sábado, 4 de diciembre de 2010

Seguridad en redes de computadoras

Actualmente, cuando hablamos de seguridad en las redes de computadoras, hacemos una gran referencia a Internet, pues es dentro de esa red de alcance mundial que se producen con mayor frecuencia los ataques a nuestras computadoras.

Antes de entrar en el tema, es necesario preguntarnos qué alcance tiene para nosotros el término "seguridad". En general, decimos que una casa es segura cuando se logra reducir las vulnerabilidades de la propiedad. Pero... qué es la vulnerabilidad? Según ISO (International Standardization Organization), en el contexto de la informática se considera "vulnerabilidad" a cualquier flaqueza que pueda ser aprovechada para violar un sistema o la informacion que éste contiene.

De esta forma, tenemos varias posibles violaciones de seguridad a un sistema, o sea, varias amenazas, entre las cuales destacamos:

- Destrucción de información.
- Modificación de la información.
- Robo, remoción o pérdida de la información o los recursos.
- Interrupción de servicios.

Debemos todavía definir "ataque": es la realización efectiva de una amenaza en forma intencional. Como ejemplos de ataques en computación, tenemos:

- Personificación (enmascarada)
- DDos.
- Replay.
- Modificación.
- Ingeniería social.
- Rechazo o impedimento de un servicio.

Ante los riesgos de la inseguridad en las redes, muchas empresas adoptan políticas de seguridad, que son conjuntos de reglas, leyes y prácticas de gestión que tienen como objetivo la protección. Pueden ser implementadas a través de varios mecanismos, como por ejemplo:

- Criptografía.
- Firma digital.
- Autenticación.
- Control de acceso.
- Rótulos de seguridad.
- Detección, registro e informe de eventos.
- Llenado de tráfico.
- Control de routeo.

De esta forma, al no ser suficientes los mecanismos de seguridad en la red, establecemos medidas de seguridad en las comunicaciones también, como en el correo electrónico. El e-mail utiliza varios mecanismos para que nuestros datos lleguen de la manera más segura posible a destino. Hace uso de protocolos como SMTP (Simple Mail Transfer Protocol) que es considerado débil, S/MIME (Secure Multipurpose Internet Mail Extensions) y PGP (Pretty Good Privacy) que es destinado a la criptografía de e-mail personal.

Actualmente, lo que se utiliza en gran medida son los Firewall's, dispositivos que funcionan como una barrera de protección contra invasores. Existen tanto en forma de software como de hardware, o en la combinación de ambos.

Como ejemplo de buenos firewall's domésticos y gratuitos, podemos citar:

- Comodo Firewall


- Zone Alarm
- Sygate Personal Firewall


jueves, 2 de diciembre de 2010

Seguridad en redes WIFI - Protocolos

 La seguridad es el punto débil de las redes inalámbricas, pues la señal se propaga por el aire en todas las direcciones y puede ser captada a distancia de centenares de metros, utilizando una notebook con antena. Esto hace que las redes inalámbricas sean vulnerables a ser interceptadas. A continuación, veremos algunos protocolos utilizados en la seguridad de redes inalámbricas.


Extensible Authentication Protocol

El Extensible Authentication Protocol o EAP es un protocolo que permite varios métodos de autenticación como EAP-MD5, EAP-TLS y otros métodos. Las modalidades de autenticación pueden ser por certificados de seguridad o por contraseñas.

EAP por certificados de seguridad
EAP-TLS: requiere la instalación de certificados de seguridad en el servidor y en los clientes. Proporciona autenticación mutua, es decir, el servidor autentifica el cliente y viceversa utilizando el protocolo TLS (Transparent Layer Substrate).

EAP-TTLS: Es similar al EAP-TLS. Sin embargo, el certificado solamente se instala en el servidor, lo que permite la autenticación del servidor por parte del cliente. La autenticación del cliente por parte del servidor se hace después de establecer una sesión TLS utilizando otro método como PAP, CHAP, MS-CHAP o MS-CHAP v2.

PEAP: Es similar al EAP-TTLS, pues solamente requiere certificado de seguridad en el servidor. Fue desarrollado por Microsoft, Cisco y RSA Security.

EAP por contraseñas.

EAP-MD5: utiliza nombre de usuario y contraseña para autenticación. La contraseña es transmitida de forma cifrada a través del algoritmo MD5. No suministra un nivel de protección alto pues puede sufrir ataques de " diccionario", es decir, un atacante puede enviar varías contraseñas cifradas hasta encontrar una válida. No hay modo de autentificar el servidor, y no genera claves WEP dinámicas.

LEAP: utiliza un usuario y contraseña, y soporta claves WEP dinámicas. Por ser una tecnología propietaria de CISCO, exige que los equipos sean de Cisco y que el servidor RADIUS sea compatible con LEAP.

EAP-SPEKE: utiliza del método SPEKE (Simple Password-authenticated Exponential Key Exchange), que permite al cliente y servidor compartir una contraseña secreta, lo que proporciona un servicio de autenticación mutua sin el uso de certificados de seguridad.


Service Set Id. - SSID



Service Set ID o SSID es un código alfanumérico que identifica una red inalámbrica. Cada fabricante utiliza un mismo código para sus componentes que fabrica. Usted debe alterar este nombre y deshabilitar la opción de " broadcast SSID" al punto de acceso para aumentar la seguridad de la red. Cuando el "broadcast SSID" está habilitado, el punto de acceso periódicamente envía el SSID de la red permitiendo que otros clientes puedan conectarse a la red. En redes de acceso público es deseable que se realice la propagación del SSID, para que cualquier persona pueda conectarse a la red. Como el SSID puede ser extraído del paquete transmitido a través de la técnica de "sniffing" no ofrece buena seguridad para la red. Aún así, se debe alterar el nombre para evitar que otros usen la misma red, accidentalmente.

Wired Equivalency Privacy.



Wired Equivalency Privacy o WEP. Como sugiere el nombre, este protocolo tiene la intención de suministrar el mismo nivel de privacidad de una red con cable. Es un protocolo de seguridad basado en el método de criptografía RC4 que utiliza criptografía de 64 bits o 128 bits. Ambas utilizan un vector de incialización de 24 bits. Sin embargo, la clave secreta tiene una extensión de 40 bits o de 104 bits. Todos los productos Wi-fi soportan la criptografía de 64 bits, sin embargo no todos soportan la criptografía de 128 bits. Además de la criptografía, también utiliza un procedimiento de comprobación de redundancia cíclica en el patrón CRC-32, utilizado para verificar la integridad del paquete de datos. El WEP no protege la conexión por completo sino solamente el paquete de datos. El protocolo WEP no es totalmente intocable, pues ya existen programas capaces de quebrar las claves de criptografía en el caso de que la red sea monitorizada durante un tiempo considerable.

Wi-fi Protected Access.

Wi-fi Protected Access o WPA fue elaborado para solucionar los problemas de seguridad del WEP. El WPA posee un protocolo denominado TKIP (Temporal Key Integrity Protocol) con un vector de inicialización de 48 bits y una criptografía de 128 bits. Con la utilización del TKIP la llave es alterada en cada paquete y sincronizada entre el cliente y el Access point, también hace uso de autenticación del usuario por un servidor central.

WPA2.




Es una mejoría de WPA que utiliza el algoritmo de encriptación denominado AES (Advanced Encryption Standard).

Remote Authentication Dial-In User Service.

Remote Authentication Dial-In User Service o RADIUS es un patrón de encriptación de 128 bits propietaria. Sin embargo, está disponible sólo en algunos productos más costosos, debido a la adición de una capa extra de criptografía.

Medía Access Control.
Medía Access Control o MAC, cada placa de red tiene su propio y único número de dirección MAC. De esta forma, es posible limitar el acceso a una red solamente a las placas cuyos números MAC estén especificados en una lista de acceso. Tiene la desventaja de exigir una mayor administración, pues necesita actualizar la lista de direcciones MAC cuando se cambia una computadora en la red o para proveer acceso a un visitante, o incluso en redes públicas. Otra desventaja se debe al hecho de poder alterar vía software el número MAC de la placa de red y emular un número válido con acceso a la red.

miércoles, 1 de diciembre de 2010

Planificación de la Seguridad en Redes


La planificación de la seguridad en el diseño de la red es de suma importancia pues de esto depende el buen desempeño de la red y nos evita trabajo posterior y pérdida de datos y posibles daños a la red.
En ocasiones se considera el tema de seguridad fuera de tiempo lo cual trae consecuencias de retrabado, gastos excesivos y posibles pérdidas de información.
Algunos puntos que debemos tomar en cuenta son:

1.- Accesos no autorizados.
2.- Daño intencionado y no intencionado.
3.- Uso indebido de información (robo de información).


El nivel de seguridad de nuestra red dependerá de su tamaño e importancia de la información. Un banco deberá de tener un nivel muy alto de seguridad por las transacciones que maneja, una red casera no tendrá la misma importancia, solo se orientará a los accesos de los familiares a ciertos puntos de las computadoras que la formen.
En este momento se definen las políticas referentes a los usuarios y contraseñas, los métodos de acceso a los servidores y a los sistemas. Se definen la complejidad que debe reunir las contraseñas y su validación dentro de la red, el tiempo de trabajo de las estaciones de trabajo, áreas de acceso por cada usuario, etc.