Unidad 3 Seguridad de Redes

Interconectividad de redes

Unidad 3. Seguridad de redes

Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software 1

Ingeniera en Desarrollo de Software

9 Cuatrimestre

Programa de la asignatura:



Clave:

150930935

Universidad Abierta y a Distancia de Mxico

UnADM




ndice

Unidad 3 Seguridad de redes ............................................................................................ 3

Presentacin de la unidad ................................................................................................. 3

Propsitos .......................................................................................................................... 3

Competencia especfica ..................................................................................................... 3

3. Seguridad de redes ........................................................................................................ 4

3.1. Introduccin a la seguridad ......................................................................................... 5

3.1.1. Definicin ................................................................................................................. 6

3.1.2. Criptologa y esteganografa .................................................................................... 8

3.2. Mecanismos de seguridad ........................................................................................ 11

Actividad 1. Tecnologas de encriptacin ......................................................................... 15

3.2.1. Firmas y certificados digitales ................................................................................ 15

3.2.2 Criptografa ............................................................................................................. 17

Actividad 2. Tcnicas de seguridad .................................................................................. 22

3.2.3. Polticas de seguridad ............................................................................................ 23

Autoevaluacin ................................................................................................................ 27

Evidencia de aprendizaje. Esquemas de seguridad de red. ............................................. 28

Autorreflexiones ............................................................................................................... 28

Cierre de la unidad .......................................................................................................... 28

Para saber ms ............................................................................................................... 29

Fuentes de consulta ........................................................................................................ 30




Unidad 3 Seguridad de redes

Presentacin de la unidad

En esta tercera unidad se abordarn temas de seguridad de redes tales como

mecanismos y polticas de seguridad, ya que se considera muy importante que conozcas

este tema mediante los cuales es posible mantener los sistemas informticos y las redes

seguras.

Como recordars, mediante las redes se transmite informacin, y dicha informacin puede

ser muy especial, o pudiera ser informacin confidencial, si no se cuentan con las polticas

o la tecnologa necesarias, la red podra sufrir ataques, por ataque entindase cualquier

intervencin ajena a los sistemas informticos o de comunicaciones de una empresa, que

pueden resultar en corrupcin de la informacin y degradacin de servicios; y dichos

ataques podran poner en riesgo la informacin ya sea de la empresa donde se encuentre

instalada una red o la informacin personal de los usuarios de una red.

Es por ello que en esta unidad se explicarn las prcticas de seguridad ms comunes a

fin de que puedas apoyar en la toma de decisiones sobre la implementacin de algunas

de ellas en tus desarrollos de software, por ejemplo, lo ms comn en un sistema es

proteger su acceso mediante una contrasea, y esta contrasea debe viajar de manera

segura a travs de una red, es decir, encriptada, encriptar es de alguna manera esconder

la contrasea para que cuando viaje a travs de la red, sea difcil de leer para alguien que

desee interceptar los mensajes y de esta forma garantizar la seguridad en el acceso y la

transmisin de informacin mediante las redes.

Propsitos

La presente unidad tiene como propsitos que:

Identifiques las diferentes tecnologas de encriptacin.

Identifiques las tcnicas de seguridad de una red.

Relaciones los mecanismos de seguridad con los requerimientos de

administracin de red.

Competencia especfica

Configurar una interconectividad de redes de rea extensa para determinar los mtodos

de seguridad a partir de los requerimientos especficos




3. Seguridad de redes

Las redes informticas y entre ellas internet, son uno de los mayores peligros que existen

en la seguridad de un sistema informtico, ya que actualmente la mayora de amenazas y

ataques provienen del exterior a travs de la red (Garca y Alegre, 2011, pg. 45).

La nica manera de tener segura la informacin de un equipo de cmputo es no

conectndolo a ninguna red, pero esto no hara nada funcional a ese equipo de cmputo,

los recursos a los cuales podra acceder y o compartir, seran muy limitados. Las redes

informticas al dar interconectividad a diversidad de equipos se vuelven inseguras, ya que

existen muchas personas accediendo a la red para intercambiar informacin, como

muchas de estas personas tienen poco o nulo conocimiento de informtica en general,

son un blanco fcil para atacar.

La seguridad de redes nace de la misma inseguridad que se genera en las redes,

inseguridad que se crea a veces con el simple hecho de poner contraseas simples, o no

configurar correctamente un equipo de cmputo, o que al instalar un software no se

personalice adecuadamente, etctera. La seguridad de redes es parte de algunas otras

reas de especializacin dentro de la seguridad de la informacin, las cuales son segn

Areitio (2008):

Gestin de seguridad: Que se refiere al establecimiento de polticas y

procedimientos informticos que establece la alta direccin de una empresa.

Seguridad de las operaciones: Que establece controles de identidad, audita y

monitoriza accesos a equipo de red y de cmputo.

Gestin de riesgos: Que da respuesta y recuperacin a la gestin de riesgos,

identifica los riesgos, los prioriza y con base en ello establece tiempos de

respuesta y de recuperacin en caso de desastre.

Seguridad en redes y telecomunicaciones: Que asegura la red utilizando

equipos de red, por ejemplo firewalls o utilizando protocolos seguros por ejemplo

https en vez de http, como recordars del curso de fundamentos de redes, la

diferencia entre http y https es la palabra secure, ambos protocolos tienen las

siglas http, Hypertext Transfer Protocol, que en espaol es Protocolo de

Transferencia de Hipertexto, el hipertexto es lo que se conoce como links de

internet. En el protocolo Hypertext Transfer Protocol Secure o https, la palabra

secure, indica que este protocolo permitir que la transferencia de hipertexto sea

segura, usando algoritmos de encripcin.

Criptologa: Es una tcnica mediante la cual se cifra, descifra, se firma

digitalmente y se ocultan ficheros y mensajes mediante un proceso llamado

esteganografa.




Esquema de un ataque (Secur-IT @C.R.S, 2011b)

En el esquema anterior se muestra un tpico ataque a la informacin de un usuario que se

conecta a un servidor, y se observa que el atacante est en medio del usuario y del

servidor, perpetrando el ataque. Es comn que en estos ataques, el atacante, est

observando todo lo que el usuario enva al servidor, en algunos casos el atacante puede

hacerse pasar por el usuario, en todos los casos, el atacante obtiene informacin o se

hace pasar por otra persona a fin de sacar ms informacin o algn provecho, para

mitigar esto, se puede hacer uso de una red privada virtual o VPN (por sus siglas en

ingls de Virtual Private Network), una VPN no tiene que ser forzosamente conectada con

una red empresarial, actualmente existen diversidad de servicios de VPN que ofrecen

privacidad al enviar la informacin o recibirla, en el caso de tener una VPN, podra haber

un atacante en el medio, que antes de atacar, deber de descifrar toda la informacin

que recibe, ya que cifrada no le sirve de nada, y por tanto, no podr perjudicar al usuario,

el tema de cifrado se ver ms adelante, slo se hizo la aclaracin para que notes la

importancia de la seguridad en las redes y en los sistemas informticos.

En la presente unidad se revisarn aspectos de seguridad como la criptografa y

esteganografa, firmas y certificados digitales y polticas de seguridad que permiten hacer

a las redes ms seguras y considerando el antecedente de la asignatura Fundamentos de

redes donde se toc el tema de firewalls, y en la unidad 2 de esta asignatura se revis

VPN, adems de que ya se ha hablado de protocolos seguros.

3.1. Introduccin a la seguridad

La seguridad de redes, forma parte de la seguridad en sistemas de informacin pues es

informacin finalmente lo que se enva a travs de las redes.

El mbito de la aplicacin de seguridad de los sistemas de informacin abarca el

desarrollo, la operacin, la administracin y el mantenimiento de sistemas y aplicaciones

(Areitio, 2008).




De manera muy vertiginosa, las redes informticas han adquirido mayor tamao y mayor

importancia. Si la seguridad de la red se ve afectada, tendra consecuencias graves, como

la prdida de privacidad o el robo de informacin. Aunado a esto y para hacer ms

compleja la situacin, las amenazas potenciales a la seguridad de las redes informticas

se encuentran siempre en evolucin (Cisco, 2013b).

A medida que el comercio electrnico y las aplicaciones de Internet siguen creciendo, es

muy difcil encontrar el equilibrio entre estar aislado y abierto. Adems, el aumento del

comercio mvil y de las redes inalmbricas exige soluciones de seguridad perfectamente

integradas, ms transparentes y ms flexibles (Cisco, 2013b).

Como puedes observar la seguridad de las hoy llamadas tecnologas de la informacin y

de la comunicacin (TIC), es muy importante, como futuro Ingeniero en Desarrollo de

Software, es algo que no debes dejar pasar por alto a la hora de desarrollar, probar y

echar a andar una aplicacin en un entorno ya sea intranet o internet.

3.1.1. Definicin

La tendencia, cada vez ms dominante, hacia la interconectividad e interoperabilidad de

redes, de los equipos de cmputo (PC, lap top, smartphones) y de las aplicaciones que

utilizan las organizaciones ha situado a la seguridad de los sistemas de informacin como

un elemento central en el desarrollo de la sociedad (Areitio, 2008).

Pero y qu es la seguridad informtica?, segn Cervign y Garca (2011, pg. 2) "la

seguridad informtica se puede definir como un conjunto de procedimientos, dispositivos y

herramientas encargadas de asegurar la integridad, disponibilidad y privacidad de la

informacin en un sistema informtico e intentar reducir las amenazas que pueden afectar

al mismo."

La seguridad informtica implica las polticas, estndares y procedimientos usados

para mantener segura la informacin y para ello es necesario considerar los objetivos

principales de la seguridad, los cuales, segn Areitio (2008, pg. 3) son:

1. Disponibilidad y accesibilidad de los sistemas y datos, slo para su uso autorizado.

2. Integridad.

3. Confidencialidad de datos y de la informacin del sistema.

4. Responsabilidad a nivel individual (registros de auditora).

5. Confiablidad.

A continuacin se explicar a detalle cada uno de los puntos anteriores.




1. Disponibilidad y accesibilidad de los sistemas y datos, slo para su uso

autorizado. Es decir, los sistemas informticos deben estar disponibles y accesibles para

los usuarios con acceso autorizado. La disponibilidad y accesibilidad a un sistema

informtico la proporciona el administrador de dichos recursos. En la prctica es muy

difcil proporcionar una disponibilidad del 100% a los sistemas y a los datos, ya que los

sistemas, por ejemplo, se encuentran en equipos fsicos que se alimentan de energa

elctrica, y el suministro de energa elctrica escapa al control de los administradores de

un sistema informtico, aunque el recibo de energa elctrica, se pague mes con mes, no

es posible controlar que un da el suministro de energa elctrica se vea interrumpido, tal

vez por una sobre carga a la planta. Otra razn por la que es difcil garantizar una

disponibilidad del 100% de los sistemas y de los datos, es porque es muy posible que una

red se interconecte con redes ajenas y que obviamente tampoco es posible controlar,

pero aun cuando sea complicado ofrecer una disponibilidad del 100%, se deber trabajar

porque la disponibilidad sea muy cercana a este nmero. Los accesos autorizados a un

sistema se refieren comnmente a los accesos de tipo controlado, por ejemplo utilizando

un nombre de usuario y una contrasea o password.

2. Integridad. Esta garantiza que la informacin no haya sido alterada por un tercero y

que llegue a su destino en forma ntegra, es decir, tal como el usuario enva la

informacin la recibir el usuario receptor, la integridad debe observarse en dos mbitos:

Integridad de datos. Es la propiedad de los datos que indica si los datos no han sido

alterados de forma no autorizada, mientras se procesan, almacenan o transmiten.

Segn Stallings (2004, pg. 10) la integridad de los datos se refiere a "la seguridad de

que los datos recibidos son exactamente como los envi una entidad autorizada (no

contiene modificacin, insercin, omisin, ni repeticin)." Comnmente para verificar

esta propiedad existen herramientas que escanean la informacin y generan, de

acuerdo al tamao y al tipo de archivo, un cdigo al que se le denomina hash. Se

debe verificar que coincida con el otro hash que se crea cuando se almacena o antes

de transmitir.

Integridad del sistema. Es la cualidad que posee un sistema cuando realiza sus

funciones de manera normal, sin ser manipuladas sus funciones por un tercero que no

est autorizado.

3. Confidencialidad de datos y de la informacin del sistema. Es requisito

indispensable que los datos y la informacin de un sistema sean privados y que no

puedan ser ledos para usuarios no autorizados. La diferencia entre integridad y

confidencialidad, es que el primero se refiere a que no haya sufrido cambios la

informacin y el segundo a que la informacin no sea visible para quien no va dirigido el

mensaje.




4. Responsabilidad a nivel individual (registros de auditora). Es la capacidad que

debe tener un sistema de guardar registros por cada usuario que se conecte a un sistema,

esto con el fin de llevar bitcoras de uso para detectar anomalas de uso en un sistema.

5. Confiabilidad. Es el aseguramiento de que existen las polticas adecuadas para

proteger la informacin y los datos y en caso de desastre que exista un plan de

recuperacin de este desastre.

De lo anterior es posible decir que para que exista disponibilidad y acceso a los

sistemas y datos deben existir las condiciones de seguridad (acceso a usuarios a los

sistemas) y de infraestructura (red y energa de los equipos que proporcionan los

servicios) necesarias para que la disponibilidad y el acceso a los sistemas sea muy

cercano al 100%. Para que exista integridad de datos, deben existir mtodos o

procedimientos que permitan que no se corrompan los datos, por ejemplo, para acceder a

los datos se puede restringir el acceso mediante algunos datos confidenciales como el

nombre de usuario y la contrasea o password de manera tal que slo los usuarios que

legtimamente dispongan del acceso puedan hacer uso de l. Para la confidencialidad

de datos se pueden usar mtodos como encriptacin o esteganografa, los cuales se

revisarn en el siguiente tema, para este momento basta con saber que encriptar es

ocultar la informacin siguiendo un cdigo, y esteganografa es ocultar la existencia de

un mensaje, ms no su contenido. Para los registros de auditora, es altamente

recomendable habilitar el registro de logs, de los sistemas de cmputo o de red que se

desean proteger. Los logs son las bitcoras de los sistemas en donde se guarda la

informacin de determinados eventos, por ejemplo existen logs de aplicaciones, de

sistema, de usuarios, etc. La confiabilidad existe cuando estas u otras prcticas de

seguridad se han puesto en marcha y ayudan al administrador del sistema informtico o

de comunicacin a contar con sistemas ms confiables.

3.1.2. Criptologa y esteganografa

La importancia de la criptologa se ilustra en el siguiente ejemplo de aplicacin,

supongamos que dos pases en guerra envan mensajes entre sus pases aliados con el

fin de transmitir un mensaje de ayuda, qu pasara si este mensaje de ayuda fuera

interceptado por fuerzas enemigas? Y peor an que el mensaje fuera fcilmente ledo por

el enemigo, bueno pues estos casos se observan en situaciones de guerra, y por ello

muchos pases a quienes se interceptan los mensajes son vencidos, porque el enemigo

tena informacin sobre l, informacin muy importante, o como se dice actualmente,

informacin de seguridad. Este es uno de los mbitos de aplicacin de la criptografa y la

esteganografa, ya que en este ejemplo, se hace necesario que los mensajes que se

transmitan entre personas y/o pases, no sea leda por nadie ms, slo por el legtimo

destinatario del mensaje.




La Criptologa es el estudio de los sistemas de comunicaciones secretas, est constituida

por dos campos de estudio complementarias entre s (Sedgewick, 1992).

Criptografa. Es una tcnica utilizada para ocultar la informacin de manera tal que un

usuario que no conozca las claves para desencriptarla no pueda acceder a la informacin

(Garca y Alegre, 2011). Este tema se revisar ms adelante.

Criptoanlisis. Es el estudio de las formas de transgredir los sistemas de comunicacin

secretas (Sedgewick, 1992).

Por su parte la esteganografa es la ciencia que estudia los procedimientos encaminados

a ocultar la existencia de un mensaje, en lugar de ocultar su contenido (MMC, 2007). La

palabra esteganografa significa escritura oculta (Ramos y Ribagorda, 2004, pg.418).

Con base en las definiciones anteriores, es posible decir que mientras la Criptologa a

travs de la criptografa se encarga de evitar que una persona diferente al destinatario

original del mensaje pueda leer un mensaje, esto lo hace a travs de algoritmos de

encriptacin o algoritmos de cifrado, los cuales se revisarn ms adelante. Mientras que

la esteganografa, no pretende encriptar el mensaje, es decir ocultar el contenido de la

informacin, sino ms bien oculta ms bien oculta el mensaje o la informacin.

La esteganografa consiste en ocultar la existencia de informacin en un canal de

transmisin, la criptografa, por su parte cifra o transforma un mensaje en otro, se sabe

que hay un mensaje, de esta manera la esteganografa, jams transforma el mensaje

original, solo lo mantiene oculto (Ramos y Ribagorda, 2004). Por mensaje debe

entenderse en el mbito de la aplicacin de la Criptologa y esteganografa, cualquier dato

que viaja a travs de las redes, por ejemplo un usuario y un password tambin son

mensajes por que viajan a travs de una red.

Y ahora te preguntars y de qu manera se oculta un mensaje? Con el auge de la

informtica el mecanismo estenogrfico ms extendido est basado en imgenes digitales

esto dada su excelente capacidad para ocultar informacin, se sustituye el bit menos

significativo de cada byte por los bits del mensaje que se desea ocultar. Y dado que casi

todos los estndares grficos tienen una mayor graduacin de colores de los que el ojo

humano puede apreciar, la imagen no cambiar de apariencia de forma notable. Esta no

es la nica manera de esconder un mensaje, se puede esconder en archivos de video, de

msica o hasta en el mismo formato de texto (Moliner, 2005).

De una manera muy sencilla se puede ocultar un mensaje, se expondr un ejemplo a

continuacin:




Si se cuenta con un archivo de texto en una computadora y en l se tiene, por ejemplo

una agenda telefnica, se puede decir de esto que el contenido del archivo de texto es el

mensaje ahora bien, si se observa la extensin del archivo de texto seguramente ser de

extensin .txt, con lo que se le indica al sistema operativo que efectivamente se trata de

un archivo de texto y por lo tanto cuando se realice la accin para abrir el archivo, el

sistema operativo intentar abrir este archivo con un editor de texto. El sistema operativo

asocia cada extensin de archivo con un programa en especial, de manera tal que cuando

el usuario haga doble clic sobre un archivo este se abre con el visor predeterminado para

ello. Ahora reflexiona en qu pasara si un archivo con extensin .txt se cambia a una

extensin .jpg (extensin muy usada en las fotos que se toman con cmaras digitales)?,

pues al intentar abrir el archivo y ver el contenido, el programa mostrar un mensaje de

que el archivo est corrupto, y realmente no es as, simplemente que el programa visor de

fotos est intentando abrir un archivo de imagen, pero como se le indica que se trata de

un archivo de texto, no puede abrir el archivo y enva ese error.

De esta manera, muy sencilla, es como se puede observar que se est ocultando un

archivo, ms no su contenido, porque aunque el archivo sea visible como un archivo ms,

no se puede acceder a su informacin, y no es porque la informacin se haya

transformado, de hecho la informacin no se toc, simplemente se modific la extensin

del archivo, y al haberse modificado la extensin del archivo, el sistema operativo no es

capaz de abrir el mensaje, de esta manera, queda invisible para aquellos que no

conozcan la extensin o con qu programa deben abrir el archivo a fin de leerlo.

Actualmente existen diversos software que permiten esconder archivos dentro de otros,

por ejemplo, open puff, que permite esto mediante una serie de pasos muy sencillos. Hay

que agregar un password para poder desocultar el archivo que se pretende esconder,

incluso existen unos programas que piden dos tres passwords ms para aadirle ms

seguridad, se selecciona el archivo que se desea esconder, que podra ser un archivo de

extensin txt, o de texto, despus se debe de seleccionar el archivo en donde se

esconder el archivo de texto, podra ser un archivo de mp3 o de msica, de esta manera,

se podran ocultar datos confidenciales, por ejemplo del banco, en un archivo de mp3, y

de esta manera nadie sospechara que en una cancin de mp3 que se puede reproducir

con el celular, se encuentren datos de acceso del banco.

Como puedes observar este subtema est relacionado con el objetivo tercero de la

seguridad: confidencialidad de datos. A travs de la encriptacin u ocultacin del

contenido del mensaje, o a travs de la ocultacin del mensaje en s; se pueden enviar

mensajes a travs de una red manteniendo la confidencialidad del mismo. Como se

observ la esteganografa es el arte de ocultar un mensaje y la encriptacin es el arte de

esconder el contenido del mensaje, es decir, mientras en la esteganografa esconde el

mensaje por completo y no se percibe o no se sabe de la existencia del mensaje, la

encriptacin permite ver el mensaje, pero no su contenido.




A continuacin se exponen ms mecanismos de seguridad que aportan a lograr los

objetivos de la seguridad de la informacin.

3.2. Mecanismos de seguridad

Los mecanismos de seguridad, son una serie de recomendaciones que hace la Unin

Internacional de Telecomunicaciones ITU (por sus siglas en ingls de Internacional

Telecommunication Union) a travs de la recomendacin x800 (UIT, 2008). Estas

recomendaciones se dividen en dos partes, por un lado aquellas recomendaciones que se

implementan en una capa especfica de acuerdo al modelo de referencia OSI, y las otras

que no son especficas de ninguna capa, se puede decir que estas ltimas son

mecanismos generales de seguridad (Stallings, 2004).

Los mecanismos especficos de seguridad, o mecanismos que se implementan en una

capa especfica de acuerdo al modelo de referencia OSI, son (Stallings, 2004):

Cifrado

Firma digital

Control de acceso

Integridad de los datos

Intercambio de autentificacin

Relleno del trafico

Control de enrutamiento

SSL

Y los mecanismos generales, es decir, aquellos que no dependen de una capa especfica,

segn el modelo de referencia OSI, de esta manera los siguientes mecanismos no

dependen de alguna de las 7 Capas del modelo OSI en especial, sino que pueden

depender de dos o ms de las capas del mismo modelo:

Funcionalidad fiable

Etiquetas de seguridad

Deteccin de acciones

Informe para la auditora de seguridad

Recuperacin de la seguridad.

A continuacin se exponen los mecanismos de seguridad que se implementan en las

capas del modelo OSI.

Cifrado o encriptacin. Se refiere al uso de algoritmos matemticos para transformar

datos en una forma inteligible, la transformacin y su posterior recuperacin de los datos

depende de un algoritmo (se ver a detalle ms adelante). El cifrado lleva a cabo su




funcin en la capa de trasporte del modelo OSI, y lo hace en esta capa, ya que la capa

que le sigue es la capa de aplicacin y es en esta capa en donde el mensaje debe estar

listo para su uso. El cifrado o la encriptacin es cuando se modifica el mensaje original

por otro que no pueda ser ledo fcilmente. Existe por ejemplo un mtodo de encriptacin

muy comn para sitios web que en programacin de pginas web se usa como una

funcin, se llama md5, no entraremos en detalle con la funcionalidad de ste mtodo,

pero por ejemplo si se desea encriptar una palabra, por ejemplo Hola, se escribira as:

f688ae26e9cfa3ba6235477831d5122e, existen conversores en internet de textos planos o

sin cifrar a texto cifrado en md5, y como se puede observar el texto en md5 de la palabra

Hola ya no tiene el mismo sentido que la palabra Hola, por ello se dice que el cifrado

transforma los datos y en este caso el texto a una forma ininteligible.

Firma digital. Son datos aadidos a los datos o a la transformacin cifrada de estos

datos, que permite verificar al usuario la fuente y la integridad de los datos (se ver a

detalle ms adelante). Al igual que el cifrado la firma digital lleva a cabo sus funciones en

la capa de transporte. Podemos pensar en la firma digital como una serie de datos que

aaden al mensaje original, de tal manera que esos datos que se aaden deben de

corresponder con los que podamos tener almacenados, es lo mismo que una firma que

usamos cotidianamente para expresar nuestro consentimiento a un contrato, slo que

esta firma es totalmente digital.

Control de acceso. Es una serie de mecanismos que permiten dar o quitar derechos de

acceso a recursos informticos, un ejemplo de estos son los roles o tipos de permisos

para administrar ciertas aplicaciones, un ejemplo de estos roles, son administracin y

usuario normal. Estos permisos se dan comnmente en la capa de aplicacin, pues es en

la aplicacin en donde comnmente se definen los roles de usuario.

El control de acceso son los permisos que se proporcionan a un determinado usuario para

hacer o no hacer alguna actividad, por ejemplo, hablemos del portal que utilizas para

realizar tus actividades acadmicas, en l t tienes permisos de alumno, puedes leer el

contenido de las asignaturas, subir tus actividades, etctera. El facilitador (a), tiene

permisos de editar tus calificaciones, de acuerdo a las rbricas establecidas, existe

adems un usuario encargado de integrar los contenidos en el sitio donde accedes a ellos

para que puedas leerlos como ahora ests leyendo este. El control de acceso, permite

establecer y definir roles especficos a usuarios especficos.

Integridad de los datos. Es un mecanismo diseado para comprobar la integridad de

los datos, la integridad de datos es lo opuesto a la corrupcin de datos. En algunos casos

esta integridad de datos puede ser verificada mediante algn hash de caracteres, es decir

una cadena de datos, cuando se realiza mediante software la comprobacin de un hash,

se obtiene una cadena de datos y esta debe ser comparada con la original, esta original

suele venir en la pgina en donde se descarg el recurso. La integridad de los datos se




da en casi todas las capas del modelo OSI, como recordars de la asignatura

Fundamentos de redes, en las capas dos a la siete exista un control de errores que

permita que se checaran los PDU enviados entre capas a fin de evitar la corrupcin de

errores.

Intercambio de autentificacin. Es un mecanismo diseado para comprobar la

identidad de algo o alguien, mediante el intercambio de informacin, esto es por ejemplo

un caso avanzado de login, es decir que adems de pedir un sistema un

usuario/password, podra requerir de algn dato adicional, una pregunta extra, el uso de

alguna tecnologa biomtrica, etc. Esta autentificacin se lleva a cabo en la capa de

aplicacin.

El relleno de trfico. Se refiere a la insercin de bits en espacios en un flujo de envo de

datos, por ejemplo, en cada espacio entre dato y dato que se enva en un flujo de datos

(algo similar a los espacios que utilizamos en la escritura humana), se adicionan bits, a fin

de dificultar su lectura por personas ajenas al mensaje, un ejemplo que ilustra este

mecanismo es cuando se escriben entre cada palabra letras de relleno, de manera tal que

el mensaje original no podr ser ledo. Este relleno de trfico se lleva a cabo en la capa

fsica, ya que se envan bits de ms a fin de que parezcan datos.

El control de enrutamiento, se refiere a tomar el control de las rutas por las que

deberan pasar los paquetes, recordemos que los routers son los dispositivos capaces de

enrutar la informacin, es decir, ellos decidirn qu camino debe tomar un paquete de

datos de acuerdo al destino, el control de enrutamiento se refiere a la capacidad de poder

cambiar esa ruta destino, a esto se le conoce en el mundo de las redes, como ruteo

esttico, ya que el usuario puede definir qu rutas debe tomar el paquete y no dejar que el

ruteador decida por l. Este tipo de ruteo se lleva a cabo desde la capa 3, red.

Capa de conexin de puerta segura SSL (por sus siglas en ingls de Secure Socket

Layer). Son una serie de herramientas criptogrficas que permiten comunicaciones

seguras, un ejemplo de SSL son las conexiones de red VPN que trabajan con SSL, de

manera tal que permiten encriptar el envo y la recepcin de informacin, SSL trabaja en

dos capas del modelo OSI, una es a nivel de aplicacin como por ejemplo con el

protocolo HTTP, y con la capa de transporte (protocolo TCP). Un ejemplo del SSL

aplicado, es el protocolo HTTPS que es la implementacin segura de HTTP, segura por

que usa SSL y de esta manera el contenido de HTTP viaja encriptado a travs de una red.

En cuanto a los mecanismos generales, es decir, los que no dependen de una capa en

especfica, se explican a continuacin:

Funcionalidad fiable. Se refiere a la correcta aplicacin de polticas de seguridad,

estas siempre dependern de la empresa o de la organizacin, por ejemplo puede ser




parte de una poltica de seguridad la aplicacin de parches de sistema operativo (en

sistemas operativos Windows se les conoce como actualizaciones), y estos parches

debern ser instalados solo en horarios nocturnos para evitar una interrupcin en el

servicio (que presta el equipo al que se le aplicarn los parches de seguridad).

Etiquetas de seguridad. Son marcas que designan atributos a un recurso, podra ser,

por ejemplo que mediante estas etiquetas se puedan distinguir rpidamente equipos cuyo

funcionamiento es ms crtico (importante) que otros.

Deteccin de acciones. Se refiere a la capacidad de una organizacin de monitorear las

acciones de lo que pasa en los sistemas pero a nivel de red, en estos casos, por ejemplo

es comn el uso de equipos que controlan o vigilan lo que sucede en una red, es decir, se

coloca un equipo que recoja las bitcoras de ciertas acciones de los dems equipos en

una red.

Informe para la auditora de seguridad. Se refiere a la recopilacin de datos de una

revisin y exmenes de sistema, que se llevan a cabo de manera local, comnmente, es

como una bitcora de aplicacin o de sistema operativo.

Recuperacin de seguridad. Se refiere a las peticiones o mecanismos, automatizados

o no de las acciones que logran recuperar un sistema, por ejemplo un respaldo de una

base de datos.

Como puedes observar, todos estos mecanismos de seguridad, permitirn a una

organizacin estar segura frente al trfico de red que circula en torno a una organizacin,

ya que la correcta aplicacin de los mecanismos de seguridad vistos anteriormente

permitir que toda la informacin que entre o salga de la organizacin no est

comprometida con fallas de seguridad, este aseguramiento permite tener un control de la

informacin que entra y que sale de una organizacin y permite saber con certeza a quin

se le envi y quin la recibi. Un mecanismo que permite tener certeza de quin enva la

informacin son las firmas y los certificados digitales, tema que se desarrollar a

continuacin.




Actividad 1. Tecnologas de encriptacin

El propsito de la actividad es que distingas las diferentes maneras de ocultar la informacin, ello te ayudar a identificar si se trata de esteganografa o de encriptacin de informacin. Para ello debers seguir estos pasos:

1. Identifica casos que impliquen el ocultamiento de informacin mediante

mtodos criptogrficos o estenogrficos.

2. Observa las diferencias de cada caso.

3. Organiza la informacin en un organizador que te permita escribir exponer diferencias y similitudes entre los ejemplos identificados.

4. Guarda la actividad con el nombre DIRE_U3_A1_XXYZ. Sustituye las XX por

las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo apellido.

5. Enva el archivo a tu Facilitador(a) para recibir retroalimentacin mediante la

herramienta Base de datos.

6. Comenta la actividad de mnimo, uno de tus compaeros, respecto a su ejemplo, identificando semejanzas y diferencias entre tu ejemplo y el suyo. Recuerda que tus comentarios no deben ser agresivos sino constructivos.

*No olvides consultar los Criterios de evaluacin de actividades de la unidad 3 para que los consideres en el desarrollo de tu actividad.

3.2.1. Firmas y certificados digitales

Las firmas y los certificados digitales permiten garantizar que el software es genuino, o

que una comunicacin entre computadoras que se da entre las computadoras es genuino,

es decir, si por ejemplo visitamos el portal de un banco, debemos revisar con el

navegador de internet que estemos utilizando que su certificado sea vlido, ya que de no

serlo, estaramos en el portal de alguien ms, pero no de nuestro banco, es decir,

podramos ser vctimas de algn tipo de fraude. Para el caso de una firma, esta se aade

en el mensaje que se enva, o en el software que se tiene, a veces es posible revisar esta

firma mediante una revisin a la firma que se puede encontrar publicada en algn sitio.

Para el caso de un certificado digital, existen asociaciones encargadas de emitir

certificados vlidos a las diferentes empresas de internet (Diccionarios Oxford-

Complutense, 2002) este certificado se almacena en un equipo de cmputo de manera tal

que cada que se ingrese desde este equipo de cmputo a un portal web de una empresa

con este certificado, ste validar que sea genuino y en caso de no serlo puede enviar




una notificacin en pantalla de que no lo es, en el mbito de las redes ambos casos

ayudan en asegurar que la interconectividad que realiza entre el equipo de cmputo con

el certificado y el sitio web al que se accesa sea el sitio web que dice ser y de esta

manera se evita caer en fraudes.

Como se observ la firma digital forma parte de los mecanismos de seguridad revisados

en el tema anterior, pero qu es una firma digital y para qu sirve?

Se conoce como firma electrnica a un conjunto de datos que se adjuntan a un mensaje

electrnico, permite al receptor de un mensaje verificar la autenticidad del emisor de la

informacin as como verificar que dicha informacin no ha sido modificada desde su

generacin. As, la firma electrnica ofrece el soporte para la autenticacin e integridad de

los datos (Biblioteca Nacional de Espaa, 2012).

Se ilustra como ejemplo un uso de la firma digital en Mxico como las que expide el

Servicio de Administracin Tributaria SAT, para la declaracin de impuestos, con esta

herramienta el (SAT) revisa que la declaracin lleve la firma, y ello garantiza al SAT que el

contribuyente est enviando sus datos correspondientes a la declaracin de impuestos,

adems, esta firma garantiza al SAT que los datos que enve el contribuyente, sean

verificados y que realmente se trata del contribuyente que los enva, adems de que

garantiza que los datos no han sido alterados, es decir, que el archivo resultante de una

declaracin de impuestos no haya sido modificado en el camino porque puede suceder

que el archivo resultante de la declaracin de impuestos enviado por correo tradicional,

sea interceptado y cambie la declaracin por otra que no corresponde. La firma

electrnica como tal, es la versin electrnica de una rbrica que comnmente se hace a

mano, dicha rbrica permite conocer que los firmantes estn de acuerdo con algo, por

ejemplo un contrato, en este caso la firma electrnica es el medio electrnico que permite

identificarse como personas fsicas o morales ante cualquier instancia, por ejemplo un

banco, una aseguradora, etc.

Los certificados digitales son documentos electrnicos que proporciona una autoridad de

confianza o de certificacin. Las partes principales de los certificados digitales son el

propietario del certificado o nombre distinguido del sujeto, su clave pblica, la presencia

de la institucin que lo expide a travs de una firma digital y la fecha de validez (CERT,

2012). Un certificado digital sirve tambin para identificar a un titular.

Y hasta este punto te preguntars y cul es la diferencia entre un certificado digital y la

firma electrnica? Pues la diferencia radica en que el certificado electrnico es el

documento electrnico que identifica a una persona. El certificado digital o electrnico

es el equivalente electrnico a una cdula de identificacin, en el caso de Mxico, es la

credencial de elector. Cuando decimos que es equivalente nos referimos a que no es la

cdula de identificacin fsica que tenemos en s, podra ser ms bien un archivo de texto




encriptado con nuestros datos personales.

La firma electrnica es un dato que es muy parecido a la firma autgrafa, al igual que la

firma autgrafa la firma digital sirve para dar fe de que estamos de acuerdo con algo. La

firma electrnica depende del certificado digital, y depende porque en el certificado digital

se encuentran las credenciales que identifican a los ciudadanos como entidad o como

persona, es de manera anloga similar al caso de la credencial de elector, cuando se

requiere realizar un trmite, por ejemplo, un trmite bancario o cuando se solicita empleo

generalmente uno de los requisitos es mostrar, la credencial de elector como

identificacin oficial ante alguna institucin, y para demostrar que se est de acuerdo con

un contrato, en ocasiones solicitan firmar de manera autgrafa algunos documentos, y

para que tenga validez esta firma, debe ser exactamente igual o muy parecida a la que se

encuentra en la credencial de elector.

Los certificados y las firmas digitales ayudan a dar la confiabilidad y la seguridad de que

una entidad o una persona es quien dice ser. Esta seguridad y confiabilidad radica en la

fortaleza que tienen estos elementos de identificacin electrnicos, la fortaleza de estos

elementos se dan por tcnicas criptogrficas que permiten cifrar la informacin y adems

ayudan a verificar que el contenido del certificado no haya sido adulterado, por lo cual, se

puede intuir que este tipo de identificacin electrnico es mucho ms confiable que los

mtodos tradicionales. Y que son las tcnicas criptogrficas? Esto se expondr en el

tema que sigue a continuacin.

3.2.2 Criptografa

En el tema 3.2.1 Criptologa y esteganografa se mencion que la criptografa es parte de

la criptologa, y que la criptologa es el estudio de las comunicaciones secretas, y que esta

se divide en dos campos de estudio que se complementan entre s:

La criptografa: es una tcnica que se usa para ocultar la informacin, es decir

encriptarla (Rajsbaum's, 2005).

Criptoanlisis: es el estudio que analiza los mecanismos que permiten violar los

sistemas de comunicacin secretas, o desencriptar la informacin, sin conocer el

password o contrasea para acceder a ella (Rajsbaum's, 2005).

La raz etimolgica de criptografa proviene del griego kryptos, ocultar, y de grafos,

escribir, que significa escritura oculta. Son las tcnicas utilizadas para cifrar y descifrar

informacin utilizando tcnicas matemticas que hacen posible el intercambio de

mensajes de manera que slo puedan ser ledos por las personas a quienes van dirigidos

(Rajsbaum's, 2005).




Existen dos grandes tipos de cifrado, por un lado se tiene el cifrado por bloques y por el

otro el cifrado por flujo (Pacheco y Jara, 2012).

Tipos de cifrado moderno (Pacheco y Jara, 2012)

En la imagen anterior se observan los dos grandes tipos de cifrado, se observa que el

cifrado de flujo es usado por la telefona mvil o el WiFi, este cifrado en Wifi, corresponde

a la clave de un Access point de internet, por ejemplo en el caso de los Infinitum, se sabe

que para poder acceder a internet usa una clave o password, esta clave es el cifrado de

flujo que permite encriptar los datos que se envan y reciben por el Access point. En el

caso del cifrado por bloques, se observan dos tipos de cifrado los cuales son:

a) Cifrado simtrico o de clave secreta.

b) Cifrado asimtrico o de clave pblica.

El cifrado simtrico o de clave secreta, como su nombre lo indica es aquel que tiene

una clave secreta y una vez que se conoce dicha clave se podr acceder al mensaje

(Rajsbaum's, 2005). Se le dice que es de cifrado local y de sesiones, ya que este tipo de

encriptacin es muy usado para de manera local compartir archivos que estn

encriptados, por ejemplo, existen programas que permiten guardar informacin de texto

en un archivo y que para poder abrir ese archivo se necesita el password de ese mismo




archivo, un ejemplo de estos programas es KeePass, este permite generar un archivo en

donde podemos guardar muchas contraseas de diversas ndoles, como por ejemplo de

acceso a sitios web, de correo electrnico, bancarias, etc, y permite recuperar las

contraseas haciendo uso slo de una contrasea, con la cual una vez ingresada de

manera correcta permite ver el contenido del archivo, es decir, las contraseas guardadas

en el archivo.

Ejemplo de cifrado simtrico (Rajsbaum's, 2005, pg. 4)

En la imagen se puede observar cmo el texto claro indicado como Entrada de texto

claro (texto sin encriptar) entra o pasa por un algoritmo de cifrado, un algoritmo de cifrado

es un conjunto de pasos o instrucciones que cifrar o encriptar el texto, por ejemplo el

algoritmo AES, o el algoritmo DES, etctera (no entraremos en detalle de lo que hace

cada algoritmo, slo se pretende dar una idea en general de qu es lo que pasa con estos

algoritmos). La diferencia bsica entre AES y DES, es que DES (Data Encryption

Standard o Estndar de Encriptacin de Datos por sus siglas en ingls usa una llave de

encriptacin de 56 bits, la llave de encriptacin es el password que se usa para

desencriptar la informacin. AES (Advanced Encryption Standard o Estndar de

Encriptacin Estndard) por su parte puede usar llaves de encriptacin de 128 bits, 192

bits 256 bits. Te preguntars de qu sirve la llave de encriptacin? Pues mientras ms

grande sea, ms difcil es de descubrir mediante un ataque de fuerza bruta. Un ataque de

fuerza bruta es aquel en el que se intenta descubrir un password, para ello existen

mecanismos en los que a travs de diferentes combinaciones de letras y nmeros se

pretende adivinar el password. De esta manera, el password ser ms difcil de adivinar,

cuando este sea de mayor longitud.

Una vez cifrado el mensaje se transmite hacia el destino, en donde el destinatario, para

leer el mensaje debe conocer la clave secreta o datos de acceso, y una vez que ingresa

esta clave en el mensaje cifrado, el mensaje ser descifrado y podr ser ledo. Para que

quede esto ms claro, considrese el siguiente ejemplo:




Se utilizar un sistema que se denomina sustitucin monoalfabtica, que se expone a

continuacin:

Texto simple: ABCDEFGHIJKLMNOPQRSTUVWXYZ

Texto cifrado: QWERTYUIOPASDFGHJKLZXCVBNM

Si se desea cifrar el texto HOLA, se obtendra el texto cifrado IHSQ, cmo se realiza el

procedimiento?, se explica a continuacin:

La H es la letra 8 del alfabeto Entonces se toma la letra 8 del texto cifrado I

La O es la letra 16 del alfabeto Entonces se toma la letra 16 del texto cifrado H

La L es la letra 12 del alfabeto Entonces se toma la letra 12 del texto cifrado S

La A es la letra 1 del alfabeto Entonces se toma la letra 1 del texto cifrado Q

En el caso de este cifrado simtrico, es muy importante que tanto emisor como receptor

conozcan la clave, esto supone un problema, ya que podra ser necesario hacer que se

renan o se llamen va telefnica emisor y receptor, para resolver este problema, se usa

el cifrado asimtrico.

El cifrado asimtrico o de clave pblica, es aquel en el que no se usa una sola clave

para encriptar o desencriptar (cifrar o descifrar) un mensaje, sino que se usan ms de una

clave. Este cifrado tiene la caracterstica de que usa una clave para cifrar y otra para

descifrar, y en este caso, comnmente, la clave de cifrado es pblica y la de descifrado es

privada. La clave de cifrado se dice que es pblica, porque es la que se debe de

compartir con quienes se desee o se requiera compartir informacin, y la clave privada,

es aquella que solo el receptor conoce.




Ejemplo de cifrado asimtrico (Rajsbaum's, 2005, pg 27)

En este esquema se puede apreciar que el texto claro o sin cifrar entra al algoritmo de

cifrado, y se encripta con la clave pblica de Benito y enva el texto cifrado a Alicia, Alicia

toma el mensaje y lo desencripta con su clave privada y una vez que lo hace podr ver el

mensaje que le envi Benito. Para que esto sea posible existe un concepto llamado

llavero, en el llavero de Benito, que es pblico, se encuentra la clave privada de Alicia, de

manera cifrada, y como se puede ver en el esquema, cuenta con ms llaves, pero como el

mensaje es de Benito para Alicia, el cifrado se hace exclusivo para la llave de Alicia, por lo

que Alicia es la nica que puede abrir y leer el mensaje. La desventaja de este tipo de

cifrado es que utiliza ms poder de cmputo, es decir recursos de memoria RAM y CPU

en una computadora, que el cifrado simtrico, esto por lo complejo que se vuelve un

mensaje encriptado, la complejidad radica en su algoritmo RSA, que es de los ms

seguros hasta el momento, pero que por cuestiones de enfocarnos al tema de

criptografa, no tocaremos, slo se hablar explicar brevemente en que consiste. La

seguridad del algoritmo RSA (llamado as en honor a sus diseadores: Rivest, Shamir y

Adleman) radica en la dificultad de la factorizacin de nmeros grandes, del orden de 100

dgitos. Recordando un nmero primo es aquel nmero que slo es divisible entre uno y l

mismo. Y factorizarlo es decomponerlo en los nmeros que multiplicados entre s nos den

como resultado el nmero original (Moliner, 2005).

Pudiste darte cuenta de un concepto llamado, llavero, que es un archivo que sirve como

almacn de llaves pblicas de las personas con las cuales queremos intercambiar

mensajes (Rohaut, 2012).




Existen algunas instrucciones que ayudan a la hora de programar para usar los mtodos

aqu descritos, todo depender del lenguaje de programacin que se est usando, as por

ejemplo en el lenguaje de programacin PHP (en la asignatura Programacin Web 1, se

explicar a detalle en qu consiste este lenguaje), existen las extensiones criptogrficas

con las cuales se pueden encriptar y desencriptar mensajes y hacer verificaciones de

certificados digitales.

Como se puede observar cada tipo de cifrado de los que se revisaron tiene sus ventajas y

sus desventajas, as pues, la ventaja del cifrado simtrico es que es sencillo de descifrar,

por lo que usa muy poco poder de cmputo, pero no muy seguro en comparacin con el

cifrado asimtrico, el cual, ser muy seguro, pero gasta mucho poder de cmputo, es

importante que consideres las formas de cifrado para que como futuro ingeniero de

software puedas decidir qu tipo de encripcin se puede adecuar a tus desarrollos,

aunque tambin es importante mencionar que dependiendo del mensaje, datos o

informacin a enviar puedes evaluar qu tipo de encripcin utilizar, ya que, depender de

qu tanto te conviene mantener oculto un mensaje, podra suceder que enves un

mensaje cuyo contenido tiene relevancia para un periodo determinado de tiempo, por

ejemplo: una invitacin a algn evento cuyo mensaje una hora despus de enviarlo, ya no

sea relevante, para ello se podran utilizar cifrados simples que si bien se pueden romper

o deducir con cierta facilidad, para cuando un intruso descifre el mensaje este ya no ser

relevante. El tipo de encriptacin a utilizar depender de la relevancia y la importancia del

mensaje, por ejemplo, mientras ms relevancia e importancia tenga, ms fuerte deber

ser el nivel de encriptacin, ahora la pregunta es, cmo saber si un mensaje es o no

relevante e importante? esto es, entre otras cosas, el campo de estudio de algo que se le

denomina polticas de seguridad y que se revisar a continuacin.

Actividad 2. Tcnicas de seguridad

El propsito de la actividad es que identifiques las tcnicas criptogrficas que te permitan ofrecer seguridad a los datos que viajan en una red. Para ello:

1. Identifica la aplicacin de tcnicas criptogrficas en una red. Explica cul le funciona mejor y por qu?

2. Identifica en esa misma red qu mejoras propondras para ofrecer una seguridad mayor a esa red, qu tcnicas criptogrficas utilizaras?

3. Organiza la informacin en una tabla en donde expongas el antes y el despus de las propuestas que ests haciendo.

4. Redacta y relaciona cada rubro o mejora con cada uno de los objetivos

principales de la seguridad.




5. Guarda la actividad con el nombre DIRE_U3_A2_XXYZ. Sustituye las XX por

las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo apellido.

6. Enva el archivo a tu Facilitador(a) para recibir retroalimentacin mediante la herramienta Tareas.

*No olvides consultar los Criterios de evaluacin de actividades de la unidad 3 para que los consideres en el desarrollo de tu actividad

3.2.3. Polticas de seguridad

Las polticas de seguridad son normas y procedimientos que crea y que rige a una

organizacin, las polticas de seguridad de una empresa siempre sern diferentes a las de

otras empresas, esto dada la heterogeneidad de cada organizacin, o sea, cada empresa

tendr diferentes sistemas informticos, diferentes protocolos de uso, diferente

interconectividad de sus equipos a la red, diferentes administradores de sistemas,

diferentes sistemas operativos en sus equipos de red y/o en sus equipos de cmputo, por

ello las polticas de seguridad siempre sern propias de cada empresa, aqu revisaremos

un concepto en general que nos dar una idea de cmo se hacen estas polticas y para

qu sirven.

T como desarrollador de software debers tambin saber cmo se hacen y se tratan las

polticas de seguridad, ya que seguramente algn desarrollo que te soliciten en el mbito

laboral deber cumplir con alguna normativa, por ejemplo alguna normativa puede ser el

uso de encriptacin de password bajo algn mtodo; otra normativa podr ser que el

cdigo cumpla con ciertos estndares que pueden o no ser parte de alguna ISO,

simplemente puede ser el estndar que usa en una organizacin, por ejemplo el uso de

notas y comentarios en el software que vas desarrollando.

Las polticas de seguridad, recogen las directrices u objetivos de una organizacin con

respecto a la seguridad de la informacin, estas forman parten de su poltica general y

deben ser aprobadas por la direccin. Por ello las polticas de seguridad pueden ser

diferentes entre diversas organizaciones o pueden poner ms nfasis en unas polticas o

en otras, aunque tambin existen algunos estndares de polticas de seguridad para

pases o para reas (gobierno, medicina, militar, etctera) y algunos ms internacionales

son definidos por la ISO (Organizacin Internacional para la estandarizacin) (Aguilera,

2010).

Una poltica de seguridad, segn Aguilera (2010), contendr todos los elementos en

materia de seguridad de la informacin, generalmente englobados en cinco grupos:




Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de

informacin, as como evaluar los impactos sobre un eventual ataque.

Relacionar todas las medidas de seguridad que deben de implementarse para

afrontar los riesgos de cada activo o grupo de activos.

Proporcionar una perspectiva general de las reglas y los procedimientos que

deben aplicarse para afrontar los riesgos identificados en cada uno de los

departamentos de la organizacin.

Detectar todas las vulnerabilidades del sistema de informacin y controlar fallos

que se producen en los activos, incluidas las aplicaciones instaladas.

Definir un plan de contingencias.

Para poder detectar vulnerabilidades en los sistemas de informacin es necesario llevar a

cabo auditoras de sistemas, y por auditora de sistemas se entiende que es un anlisis a

detalle de un sistema que permita conocer, descubrir, identificar y corregir

vulnerabilidades en el o los sistemas de informacin. Un anlisis de vulnerabilidades

deber tener, segn Aguilera (2010), como mnimo:

Descripcin y caractersticas de los activos (equipo de cmputo o de red) y los

procesos analizados.

Anlisis de las relaciones y dependencias entre activos y/o procesos de

informacin.

Relacin y evaluacin de las vulnerabilidades detectadas en cada activo y/o

proceso de informacin.

Verificacin del cumplimiento de la normatividad de la seguridad de la informacin

Propuesta de medidas preventivas o correctivas.

Para llevar a cabo la auditora es necesario que se cuente con algunas herramientas para

llevar a cabo el anlisis, como manuales de los activos y software para auditoras. Por

ejemplo, para el caso de las redes Inalmbricas, se puede hacer uso de herramientas

como WiFi Slax, el cual nos ayuda a probar las vulnerabilidades de las redes WiFi.

En caso de que sea vulnerada la seguridad de la organizacin, y de hecho, antes de que

suceda, es muy importante que la organizacin cuente con un plan de contingencias, en

cual se plasme que hacer, de esta manera la organizacin ser capaz de responder y de

continuar con sus operaciones habituales. Un plan de contingencias para que sea

exitoso, deber estar focalizado en los siguientes tres ejes, segn Aguilera (2010):

Plan de respaldo. Es una medida preventiva en la cual se pide se hagan respaldos

peridicos de la informacin y de la configuracin de los equipos sean de cmputo o de

red, y que deber ser conservada en lugares seguros.

Plan de emergencia. Esta contempla qu medidas se deben de tomar cuando se est

llevando a cabo una amenaza, por ejemplo, en el caso de un ataque de denegacin de

servicio (DoS, Denial of Service, por sus siglas en ingls), cerrar los puertos por los




que se est llevando a cabo un ataque o bien apagar el equipo que sufre el ataque. Un

ataque de DoS, es aquel en el que se emiten muchas peticiones a un servidor, por

ejemplo, se puede llenar un servidor web de peticiones a fin de hacer que el equipo

sea incapaz de responder las peticiones web.

Plan de recuperacin. Esto tiene que ver con las medidas que se van a aplicar

despus de un desastre, con ello se evala el dao y se hace lo posible para regresar

a la operacin normal el equipo que fue atacado.

Hasta este punto te preguntars, y cmo puedo hacer una red segura? Pues bien, lo

primero es saber cules son los elementos que conforman a la red que se pretende

asegurar, es decir, considerar los siguientes planteamientos:

Con qu dispositivos de red se cuenta? Es importante conocer qu dispositivos de

red hay para saber cmo se conforma la red de manera topolgica. Conocer la

topologa de la red permite conocer la manera en la que se conectan fsicamente

todos los equipos en la red. Y as se podra evaluar si la distribucin fsica de la red es

ptima o si se propone otra distribucin, as como tambin saber en qu lugar o

lugares de la red se pueden colocar equipos de seguridad de la red.

Con qu tipos de servidores se cuenta y cules son sus sistemas operativos?

Saber qu servidores se tienen en la organizacin, permitir por un lado saber los

servicios que se brindan en esa organizacin mediante los servidores, y saber el

sistema operativo de esos servidores permitir definir una poltica de seguridad

adecuada al equipo que se trate, por ejemplo, para el caso de contar con equipos con

cierto sistema operativo, se deber crear un dominio en la red, de manera tal que ese

dominio se encargue de administrar las actualizaciones de seguridad de cada uno de

los servidores, cuando se estn conociendo los servidores de la organizacin es muy

importante conocer qu puertos usan para poder brindar los servicios para los

cuales estn destinados, por ejemplo para un servidor de pginas web, el puerto que

comnmente est asociado a este servicio es el 80, si se tratase de un servidor de

base de datos MySql el puerto por default que est asociado a este es el 3306. Se

puede buscar la informacin de puertos asociados a cada servicio en internet, aunque

es importante mencionar que a veces estos puertos pueden ser fijados por la persona

que instala el servicio en un servidor, de esta manera se podra tener un servidor de

pginas web que no use el puerto 80, sino el 90, este cambio no obedece a nada ms

que un cambio en la configuracin original de la instalacin de un servicio.

Revisar si la red de la organizacin est segmentada (es decir, que existan

subredes) y si est segmentada saber cuntos segmentos de red conforman a la

red? Saber si en la organizacin existe ms de un segmento de red, permite tener una

visin ms general de toda la red de la organizacin, y de esta manera conocer las




dimensiones reales de la red. Tambin permite conocer las causas por las que la red

est segmentada, podra tratarse de una segmentacin por tipo de departamento, o

por importancia de equipo de cmputo, por ejemplo: servidores y usuarios.

Es necesario investigar si existe algn tipo de infraestructura de red que permita

asegurar la red. Saber si existe una infraestructura de red que permita asegurar la

red, se refiere a saber si en la red existen dispositivos de red como un firewall, esto

permitir saber el nivel de seguridad actual que se tiene en la red. Es importante que

si existe uno o ms firewalls en la organizacin se deban conocer las polticas

establecidas dentro de los firewalls detectados, las polticas de firewall son el conjunto

de limitaciones o permisos que tiene configurados el equipo, estas limitaciones o

permisos definen que servicios pueden entrar o salir de la organizacin a internet

(Andreu, 2010). Recuerda que cuando se mencionan servicios son por ejemplo,

servicio web, servicio de correo electrnico, etctera.

Identificar cules son los equipos ms importantes para la organizacin. Esto

permite identificar los equipos ms sensibles para la organizacin, es decir, qu

servidores son los ms importantes y de los cuales la organizacin no puede prescindir.

As se les dar mayor importancia a estos equipos.

Considerar si existen polticas de seguridad. Saber si existen polticas de seguridad

permitir conocer las medidas se han tomado en la organizacin para hacer frente a las

amenazas de su red y de sus aplicaciones, as como evaluar o reevaluar las polticas de

seguridad, recuerda que las polticas de seguridad deben, a grandes rasgos considerar

los siguientes aspectos:

Identificar los riesgos.

Detectar vulnerabilidades en los sistemas y mitigarlos.

Evaluar el impacto en caso de un ataque.

Definir un plan de contingencias

Por identificar los riesgos, entindase buscar y tener en cuenta todos los riesgos de los

sistemas, es decir, localizar los equipos que de fallar, tendra un impacto grande en la

organizacin, por ejemplo que se descomponga el servidor de correo electrnico, que se

descomponga el servidor de pginas web, que la organizacin se quede sin internet,

etctera.

Por detectar las vulnerabilidades entindase por ejemplo, sistemas que se han dejado con

la configuracin por default, passwords que son sencillos de adivinar. La configuracin por

default de un programa es un problema de vulnerabilidad por lo siguiente, la instalacin

estndar es una instalacin que como muchos instalan y que no configuran o

personalizan a su gusto, tiene configuraciones iguales en muchos dispositivos, lo ms




peligroso de estas configuraciones es tener la misma combinacin de usuario password, y

se hace ms peligrosa, cuando al usuario tiene privilegios administrativos.

Por evaluar el impacto en caso de un ataque, se entiende como la necesidad de tener una

visin a futuro y definir qu pasara en caso de un ataque, en el mejor y en el peor de

casos. Por ejemplo, si atacan un servidor de correo electrnico, en el mejor de los casos

se deja sin servicio de correo electrnico por un rato, y en el peor de los casos, se

perdera el servidor de correo por completo con todo su historial.

Una vez definidos los impactos ante algn ataque es necesario definir un plan de

contingencias que permita recuperarse despus de un ataque lo antes posible. Un plan de

contingencias permite que se acte en forma ms cautelosa en relacin con la tecnologa,

de informacin, equipo de cmputo, equipo de red, etctera; y de esa manera reaccionar

cuanto antes a un ataque y evitar desastres. Te imaginas perder toda la informacin de

tu disco duro? El tener un plan de contingencias, permite que no pierdas tu informacin o

la menor informacin posible.

Como se ha podido observar la Seguridad en los Sistemas de la informacin juega un

papel muy importante en cualquier organizacin a cualquier nivel, ya que estn en juego

datos o informacin que es muy importante para la empresa o el negocio. La seguridad en

las Sistemas de la informacin abarca a la seguridad en aplicaciones y desarrollos y la

seguridad en las redes que es lo que trat esta materia, intentamos no dejar de lado el

panorama amplio de la seguridad en los Sistemas de informacin, para que tu como

desarrollador de software tengas una vista ms general de tu rol y la importancia de tu rol

y los dems roles del rea de tecnologas.

Es importante mencionarte que tu como desarrollador de software puedes ayudar a

mitigar las amenazas o los ataques a tus desarrollos, la mejor manera es apegndote a

las normas o polticas de seguridad de tu empresa, apegndote adems a las mejores

prcticas de uso del software que desarrolles, adems evita usar combinaciones de

usuario/password que se usan por default como o que son sencillos de adivinar:

admin/admin, o admin/123, entre otros, para poder tener passwords ms seguros intenta

usar combinaciones de nmeros, letras maysculas, minsculas y caracteres especiales,

de esta manera tu password ser ms seguro, ya que es ms difcil de rastrear.

Autoevaluacin

El propsito de esta actividad es realizar un anlisis del avance que has tenido para

detectar las reas de oportunidad respecto al estudio de la tercera unidad.




Evidencia de aprendizaje. Esquemas de seguridad de red.

El propsito de esta actividad es que elabores un esquema del diseo de seguridad de una red relacionando las firmas y certificados digitales, la criptografa y las polticas de seguridad, para ello, retoma el proyecto planteado y el diagrama que realizaste como evidencia de aprendizaje de la unidad 2 Interconectividad de rea extensa (WAN). Una vez recuperado tu proyecto, realiza los siguientes pasos:

1. Identifica en la red la necesidad del uso de firmas y certificados digitales, indica dnde las utilizars y justifica tu seleccin.

2. Integra el uso de un mtodo de criptografa basndote en la configuracin de tu red y los recursos con los que se cuenta.

3. Menciona y enumera las polticas que vas a definir en tu red, para hacerla ms segura. Contempla el plan de contingencias y de desastres.

4. Integra tus conclusiones acerca de la necesidad de contar con redes seguras.

Consulta el documento EA. Escala de evaluacin de la unidad 3 donde podrs conocer los parmetros de evaluacin de esta actividad.

Autorreflexiones

Adems de enviar tu trabajo de la Evidencia de aprendizaje, ingresa al foro Preguntas de

Autorreflexin y consulta las preguntas que tu Facilitador(a) presente, a partir de ellas

elabora tu Autorreflexin en un archivo de texto llamado DIRE_U3_ATR_XXYZ.

Posteriormente enva tu archivo mediante la herramienta Autorreflexiones.

Cierre de la unidad

En esta unidad se revis a grandes rasgos una visin general de seguridad de la

informacin, y en este papel la redes juegan un papel muy importante desde cmo se

configura una red, hasta qu accesos se estn proporcionando a los usuarios.

Se puede intuir a lo largo de esta unidad que el usuario juega un papel muy importante

para la seguridad, y es en este papel en donde aplican las polticas de seguridad, las

redes y los sistemas de informacin por s solos siempre tendrn huecos de seguridad,

pero es tarea de los administradores de los sistemas de informacin arreglarlos o

mitigarlos. Como futuro ingeniero de software tambin tendrs tus responsabilidades para

evitar que los sistemas de informacin no presenten fallas de seguridad y si las hay saber




que existen mecanismos de seguridad que pueden ser implementados.

La interconectividad de redes es algo que se utiliza todos los das, y un ejemplo de ello es

tu carrera que est cursando en lnea, desde una computadora con acceso a internet para

acceder a los tus asignaturas, hasta el servidor en donde se encuentran hospedado todos

y cada uno de los contenidos que revisas a diario, aqu tambin la seguridad de la

informacin juega un papel importante, ya que la plataforma debe ser capaz de albergar a

todos los estudiantes que se conectan a diario para leer, consultar o para entregar sus

tareas, y esta plataforma tambin obedece a ciertas polticas de seguridad a fin de que

todos los estudiantes puedan acceder a sus asignaturas y que los datos importantes

como tus calificaciones, mensajes, etctera, puedan estar seguros.

Para saber ms

Para saber ms acerca de cmo implementar una red segura y su importancia se

recomienda consultar el siguiente sitio:

Search Data Center (2013). Cmo planificar una red segura mediante la prctica de la

defensa en profundidad. [En lnea]

http://searchdatacenter.techtarget.com/es/consejo/Como-planificar-una-red-segura-

mediante-la-practica-de-la-defensa-en-profundidad

Para saber cmo desarrollar e implementar una red segura puedes consultar el siguiente

documento:

Ardita, J.C., (2001) Cmo desarrollar una arquitectura de red segura? Buenos Aires,

Argentina: CYBSEC S.A. Security Systems.

Para reforzar la importancia de la seguridad en las redes, consulta algunas razones por

las que una red inalmbrica debe estar asegurada en el siguiente sitio:

Cisco (2013a). Aunque no pueda ver su red inalmbrica, protegerla debera ser una de

sus principales prioridades. [En lnea]

http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html

Puedes consultar algunos consejos de implementacin de una red segura en el siguiente

sitio:

Lorenzana, Diego (2012). Consejos para implementar una segura red informtica en

nuestra empresa. Madrid: Pymes y autnomos [En lnea]

http://www.pymesyautonomos.com/consejos-practicos/consejos-para-implementar-una-

segura-red-informatica-en-nuestra-empresa




Fuentes de consulta

Aguilera Lpez, P. (2010). Seguridad informtica. Madrid: Ed. Editex. ISBN 849-

77-176-19.

Andreu Gmez, J. (2010). Servicios en red. Madrid: Editex.

Ardita, J.C., (2001) Cmo desarrollar una arquitectura de red segura? Buenos

Aires, Argentina: CYBSEC S.A. Security Systems.

Areitio, J., (2008). Seguridad de la informacin: redes, informticas y sistemas de

informacin. Madrid: Ed. Paraninfo. ISBN: 978-84-9732-502-8

Biblioteca Nacional de Espaa (2012). Qu son la firma y los certificados

electrnicos? Madrid: BNE. [En lnea]

https://sede.bne.gob.es/SedeElectronica/es/LegislacionYSeguridad/Seguridad/Fir

maElectronica/

Cert Superior (2012). Certificados Digitales. En lnea

http://www.certsuperior.com/CertificadosDigitales.aspx. Mxico: SSL Symantec

Cisco (2013a). Aunque no pueda ver su red inalmbrica, protegerla debera ser

una de sus principales prioridades. [En lnea]

http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html

Cisco (2013b). Tecnologa inalmbrica. Proteccin de las redes inalmbricas.[En

lnea] http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html

Diccionarios Oxford-Complutense (2002). Diccionario de internet. Madrid : Editorial

Complutense.

Garca Cervign Hurtado, A., y Alegre Ramos, M., (2011). Seguridad Informtica.

1 edicin. Madrid: Ed Paraninfo. ISBN 978-84-9732-812-8

Lorenzana, Diego (2012). Consejos para implementar una segura red informtica

en nuestra empresa. Madrid: Pymes y autnomos [En lnea]

http://www.pymesyautonomos.com/consejos-practicos/consejos-para-implementar-

una-segura-red-informatica-en-nuestra-empresa




MMC Modelacin Matemtica y Computacional (2003). Esteganografa. Mxico:

Grupo de Geofsica Computacional UNAM. [En lnea]

http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-

html/node320.html

Moliner Lpez, F. J., (2005). Grupos A y B de informtica. Bloque especfico.

Valencia: Ed MAD S.L. ISBN 84-665-2078-3

Pacheco, F., y Jara, H., (2012). Users: Ethical Hacking 2.0. Buenos Aires: Ed.

Dalaga, S.A. ISBN 978-987-1857-63-0

Rajsbaum's, S., (2005). Criptografa. Mxico: Instituto de Matemticas, Universidad

Nacional Autnoma de Mxico UNAM. [En lnea]

http://www.matem.unam.mx/~rajsbaum/cursos/web/presentacion_seguridad_1.pdf

Ramos lvarez, B.; Ribagorda Garnacho, A., (2004). Avances en Criptologa y

Seguridad de la Informacin. Madrid: Ed. Daz de Santos. ISBN: 84-7978-650-7.

Rohaut, S. (2012). Preparacin para la certificacin LPIC-1. 2 edicin. Barcelona:

ENI. ISBN 978-2-7460-7320-3.

Search Data Center (2013). Cmo planificar una red segura mediante la prctica

de la defensa en profundidad. [En lnea]

http://searchdatacenter.techtarget.com/es/consejo/Como-planificar-una-red-

segura-mediante-la-practica-de-la-defensa-en-profundidad

Sedgewick, R., (1992). Algoritmos en C++. Delaware: Ed. Addison-Wesley / Diaz

de santos. ISBN 0-201-62574-1

Stallings, W. (2004). Fundamentos de seguridad en redes: Aplicaciones y

estndares. 2 Edicin. Madrid: Ed Pearson Educacin. ISBN 84-205-4002-1

UIT Internacional Telecommunication Union (2008). X.800 Layer Two Security

Service and Mechanisms for LANs. [En Lnea] http://www.itu.int/rec/T-REC-X.800-

199610-I!Amd1

Fuentes de imgenes:

Pacheco, F., y Jara, H., (2012). Users: Ethical Hacking 2.0. Buenos Aires: Ed.

Dalaga, S.A. ISBN 978-987-1857-63-0




Rajsbaum's, S., (2005). Instituto de Matemticas, Universidad Nacional Autnoma

de Mexico (UNAM). [En lnea]

http://www.matem.unam.mx/~rajsbaum/cursos/web/presentacion_seguridad_1.pdf

S Secur-IT @C.R.S (2011a). Informacin previa a System Hacking. [En lnea]

http://securitcrs.files.wordpress.com/2011/10/system-hacking.png

Secur-IT @C.R.S (2011b). Ataques online pasivos System Hackyng. [En lnea]

http://securitcrs.files.wordpress.com/2011/10/man-in-the-middle1.png

Stallings, W., (2003). Fundamentos de seguridad en redes. Aplicaciones y

estndares. Madrid: Pearson Prentice Hall

Unidad 3 Seguridad de Redes

Documents

Transcript of Unidad 3 Seguridad de Redes