La seguridad en los sistemas de información y de computo se ha convertido en uno de los problemas más grandes desde la aparición, y más aún, desde la globalización de internet. Dada la potencialidad de esta herramienta y de sus innumerables aplicaciones, cada vez más personas y más empresas sienten la necesidad de conectarse a este magnífico mundo.
De lo anterior, los administradores de red han tenido la necesidad de crear políticas de seguridad consistentes en realizar conexiones seguras, enviar y recibir información encriptada, filtrar accesos e información, etc..
No obstante lo anterior, el interés y la demanda por internet crece y crece y el uso de servicios como World Wide Web (WWW), Internet Mail, Telnet y el File Transfer Protocol (FTP) es cada vez más popular.
El presente trabajo pretende dar una visión global acerca de los problemas de seguridad generados por la popularización de internet, como las transacciones comerciales y financieras seguras, el ataque externo a redes privadas, etc..
Se trataran temas como el uso de firewalls, de llaves publicas (criptografía), la seguridad en ambientes protocolo HTTP (web), los niveles de seguridad establecidos en la actualidad y por ultimo la aplicación mas innovadora en el campo de la seguridad en internet, el SET un protocolo para transacciones comerciales seguras liderado por Visa, IBM, Microsoft y Netscape.
De acuerdo con los estándares de seguridad en computadoras desarrollado en el libro naranja del Departamento de Defensa de Estados Unidos, se usan varios niveles de seguridad para proteger de un ataque al hardware, al software y a la información guardada.
NIVEL D1
Es la forma más elemental de seguridad disponible, o sea, que
el sistema no es confiable. Este nivel de seguridad se refiere por lo general
a los sistemas operativos como MS-DOS, MS-Windows y System 7.x de Apple
Macintosh. Estos sistemas operativos no distinguen entre usuarios y tampoco
tienen control sobre la información que puede introducirce en los
discos duros.
NIVEL C1
El nivel C tiene dos subniveles de seguridad: C1 y C2. El nivel C1,
o sistema de protección de seguridad discrecional, describe la seguridad
disponible en un sistema típico Unix. Los usuarios deberán
identificarse a sí mismos con el sistema por medio de un nombre
de registro del usuario y una contraseña para determinar qué
derechos de acceso a los programas e información tiene cada usuario.
NIVEL C2
Junto con las características de C1, el nivel C2 tiene la capacidad
de reforzar las restricciones a los
usuarios en su ejecución de algunos comandos o el acceso de
algunos archivos basados no sólo en permisos, sino en niveles de
autorización. Además requiere auditorías del sistema.
La auditoría se utiliza para mantener los registros de todos los
eventos relacionados con la seguridad, como aquellas actividades practicadas
por el administrador del sistema. La auditoría requiere autenticación
y procesador adicional como también recursos de disco del subsistema.
NIVEL B1
El nivel B de seguridad tiene tres niveles. El nivel B1, o protección
de seguridad etiquetada, es el primer nivel que soporta seguridad de multinivel,
como la secreta y la ultrasecreta. Parte del principio de que un objeto
bajo control de acceso obligatorio no puede aceptar cambios en los permisos
hechos por el dueño del archivo.
NIVEL B2
Conocido como protección estructurada, requiere que se etiquete
cada objeto como discos duros, terminales. Este es el primer nivel que
empieza a referirse al problema de comunicación de objetos de diferentes
niveles de seguridad.
NIVEL B3
O nivel de dominios de seguridad, refuerza a los dominios con la instalación
de hardware. Requiere que la terminal del usuario se conecte al sistema
por medio de una ruta de acceso segura.
NIVEL A
Nivel de diseño verificado, es el nivel más elevado de
seguridad. Todos los componentes de los niveles inferiores se incluyen.
Es de distribución confiable, o sea que el hardware y el software
han sido protegidos durante su expedición para evitar violaciones
a los sistemas de seguridad.
Que es un firewall ?
Un firewall es un sistema o un grupo de sistemas que decide que servicios
pueden ser accesados desde el exterior (internet, en este caso) de un red
privada, por quienes pueden ser ejecutados estos servicios y también
que servicios pueden correr los usuarios de la intranet hacia el exterior
(internet). Para realizar esta tarea, todo el tráfico entre las
dos redes tiene que pasar a través de él.
En ultima instancia el firewall solo deja pasar el trafico autorizado
desde y hacia el exterior.
No se puede confundir un firewall con un enrutador, un firewall no
direcciona información (función que si realiza el enrutador),
el firewall solamente filtra información. Desde el punto de vista
de política de seguridad, el firewall delimita el perímetro
de defensa y seguridad de la organización.
El diseño de un firewall, tiene que ser el producto de una organización
conciente de los servicios que se necesitan, además hay que tener
presentes los puntos vulnerables de toda red, los servicios que dispone
al exterior de ella (WWW, FTP, telnet, entre otros) y conexiones por modem
(dial-in modem calling).
Términos relacionados con FIREWALLs:
Screening Router: Puede ser un enrutador comercial o un nodo
con capacidades de enrutamiento que posee capacidades de filtrado de paquetes.
Tienen la habilidad de bloquear o permitir el tráfico entre redes
o nodos basados en direcciones, puertos, protocolos, interfaces,
etc.
Bastion Host: Es un sistema identificado por el administrador
del FIREWALL como el punto más crítico en la seguridad de
la red.
Dual Homed Gateway: Muchos firewalls se implementan sin enrutadores
de filtrado, simplemente se coloca un sistema con conexiones a ambas redes;
las dos redes no se pueden comunicar directamente. Este sistema es en sí
mismo un Bastion Host.
Screening Host Gateway: Es una combinación de un Enrutador
de Filtrado y un Bastion Host usualmente instalado en la red Interna y
se configura el Enrutador de filtrado para que este Bastion sea el único
sistema alcanzable desde la Internet. Application Level Gateway (¨proxy
gateway¨): Son intermediarios entre dos entidades que se desean comunicar.
Beneficios de un firewall
Los firewalls manejan el acceso entre dos redes, si no existiera todos
los hosts de la intranet estarían expuestos a ataques desde hosts
remotos en internet. Esto significa que la seguridad de toda la red, estaría
dependiendo de que tan fácil fuera violar la seguridad local de
cada maquina interna.
El firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador de la red escogerá la decisión si revisar estas alarmas o no, la decisión tomada por este no cambiaría la manera de operar del firewall.
Otra causa que ha hecho que el uso de firewalls se halla convertido en uso casi que imperativo es el hecho que en los últimos años en internet han entrado en crisis el numero disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones CIRD (o direcciones sin clase), las cuales salen a internet por medio de un NAT (Network address traslator), y efectivamente el lugar ideal y seguro para alojar el NAT ha sido el firewall.
Los firewalls también han sido importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el trafico de la red, y que procesos han influido mas en ese tráfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor ancho de banda.
Finalmente, los firewalls también son usados para albergar los
servicios WWW y FTP de la intranet, pues estos servicios se caracterizan
por tener interfaces al exterior de la red privada y se ha demostrado que
son puntos vulnerables para acceder a ella.
Limitaciones del firewall
La limitación más grande que tiene un firewall sencillamente
es el hueco que no se tapa y que coincidencialmente o no, es descubierto
por un hacker. Los firewalls no son sistemas inteligentes, ellos actúan
de acuerdo a parámetros introducidos por su diseñador, por
ende si un paquete de información no se encuentra dentro de estos
parámetros como una amenaza de peligro simplemente lo dejara pasar.
Pero este no es lo más peligroso, lo verdaderamente peligroso es
que ese hacker deje "back doors" es decir abra un hueco diferente y borre
las pruebas o indicios del ataque original.
Otra limitación es que el firewall "no es contra humanos", es decir que si un hacker logra entrar a la organización y descubrir passwords o se entera de los huecos del firewall y difunde la información, el firewall no se dará cuenta.
Es claro que el firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus.
indice
CRIPTOGRAFIA
La criptografía robusta sirve para proteger información importante de corporaciones y gobiernos, aunque la mayor parte de la criptografía fuerte se usa en el campo militar.
La criptografía se ha convertido en un gran negocio últimamente ya que es una de las pocas defensas que pueden tener las personas en una sociedad vigilante.
Terminología básica:
Los algoritmos simétricos pueden ser divididos en bloques y cadenas cifradas, las cadenas cifran bit a bit y los bloques cifran grupos de bits (64 normalmente) como una unidad simple.
Los cifrados asimétricos pueden tener la llave de desencriptamiento pública, pero la de encriptamiento es privado.
Firmas digitales:
Las firmas digitales son bloques de datos que han sido codificados
con una llave secreta y que se pueden decodificar con una llave publica;
son utilizados principalmente para verificar la autenticidad del mensaje
o la de una llave publica.
En una estructura distribuida se necesita una llave principal o raíz
de conocimiento publico y cada grupo define un grupo de llaves particulares
autenticables con la llave principal este es el concepto que maneja los
sistemas PGP. Algoritmos de mezcla de funciones y por generación
de números aleatorios: En los algoritmos por mezcla de funciones
se definen por el usuario o de forma automática una secuencia de
funciones de encriptamiento determinada de modo que la única forma
de desencriptar el mensaje sea corriendo la misma rutina con sus correspondientes
llaves.
Y en el encriptamiento por generación de números aleatorios
se generan una serie de llaves numéricas de forma aleatoria que
son usadas de forma automática por el ente de encriptamiento y el
de desencriptamiento.
Hay sistemas de criptografía que son teóricamente inviolables
pero que en la realidad no se puede probar, un sistema de criptografía
robusto puede ser implementado de forma sencilla en la que la habilidad
del creador es el que determina su confiabilidad, las llaves pueden ser
halladas por la fuerza pasando todas las posibles combinaciones de las
mismas así las llaves de 32 bits toman 232 pasos para ser barridas
por completo; se ha determinado que las llaves de 128 bits son lo suficientemente
confiables como para no requerir de mas bits en la llave. Aunque la longitud
de la llave no es el punto más relevante en la seguridad del criptograma
ya que este puede roto de otra forma.
APLICACIONES (SET)
Comercio Electrónico
El aumento en el uso de la Red Internet a nivel mundial ha propiciado
el surgimiento de una nueva dimensión en las comunicaciones y el
comercio. Uno de los principales motivos de esta expansión es el
comercio electrónico, es decir, la opción de adquirir objetos
y servicios electrónicamente durante las 24 horas del día.
Aunque comprar a través de la Red Internet es, sin duda, una
gran cosa, muchos consumidores se han mostrado reacios a utilizar este
medio para hacer sus compras debido al riesgo de seguridad en una red abierta
como la Internet. Esto sucede porque no ha existido hasta este momento
un método eficaz y disponible para prevenir el fraude o robo cuando
los consumidores transmiten los números de sus tarjetas de crédito
u otros datos financieros personales.
SET la solución
El 1º. de febrero de 1996 Visa International y MasterCard, conjuntamente
con otras organizaciones de la industria, anunciaron el desarrollo de una
norma técnica común que protege las compras abonadas con
tarjetas de crédito a través de redes abiertas como Internet.
Esta norma se conoce como SET, Transacciones Electrónicas Seguras,
en ingles. SET incluye certificados digitales (una forma de verificar que
el tarjetahabiente es quien efectivamente realiza la compra), brindará
a las instituciones financieras, comerciales y a los proveedores una forma
nueva y segura de aprovechar al máximo el mercado del comercio electrónico
en internet.
Qué es SET?
La norma SET, Secure Electronic Transactions, en español, Transacción
Electrónica Segura, está diseñada con el propósito
de asegurar y autenticar la identidad de los participantes en las compras
abonadas con tarjetas de pago en cualquier tipo de red en línea,
incluyendo la Red Internet. SET fue desarrollada por Visa y MasterCard,
con la participación de Microsoft, IBM, Netscape, SAIC, GTE, RSA,
Terisa Systems, VeriSign y otras empresas líderes en tecnología.
SET emplea novedosas técnicas de criptografía que convierten
internet una red más segura para efectuar negocios, y con su implementación
se espera estimular la confianza del consumidor en el comercio electrónico.
El objetivo primordial de SET es mantener el carácter estrictamente
confidencial de la información, garantizar la integridad del mensaje
y autenticar la legitimidad de las entidades o personas que participan
en una transacción.