Seguridad Redes

  • October 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Seguridad Redes as PDF for free.

More details

  • Words: 1,887
  • Pages: 4
Seguridad en las redes Nuevas amenazas y nuevas defensas Arturo Ribagorda Garnacho

Incluso para observadores poco atentos de la realidad resulta evidente la importancia que la seguridad de la informaci´on ha adquirido en pocos —menos de diez— a˜ nos. Ello es as´ı por la trascendencia, cada d´ıa mayor, de la informaci´on digitalizada en nuestras sociedades y la creciente dependencia de ´estas de sus sistemas de informaci´on. Sin embargo, estos mismos observadores apreciar´an que la seguridad, lejos de estar garantizada, aparece cada vez m´as comprometida o al menos amenazada. Y es que la seguridad se encuentra obstaculizada por m´ ultiples vulnerabilidades, intr´ınsecas y extr´ınsecas, adem´as de por numerosas amenazas, todas las cuales ser´a preciso analizar antes de exponer por d´onde se plantean en el presente y futuro inmediato las medidas de seguridad. De este modo, y comenzando por las vulnerabilidades intr´ınsecas, hallamos que los sistemas a que nos referimos son cada vez m´as complejos, cada uno de ellos con decenas de miles (en ocasiones millones) de l´ıneas de c´odigo (por ejemplo, se estima en m´as de cuarenta millones de l´ıneas las que tiene el Windows 2000). Pero, por si no fuera poco, estos sistemas interact´ uan con otros igual o m´as complejos para conformar, en el caso de Internet, lo que seg´ un algunos constituye la obra m´as compleja de las construidas por la humanidad. Todo ello supone un enorme reto para la seguridad, ya que la complejidad es siempre enemiga de ´esta, y los sistemas cuanto m´as complejos —como el mismo sentido com´ un indica— son m´as dif´ıcil de proteger. Empero, tampoco es s´olo esto, pues los sistemas est´an cada vez m´as interconectados y son m´as interdependientes, lo que es otro obvio problema a efectos de la seguridad. As´ı, por ejemplo, redes torpemente administradas en nuestras ant´ıpodas pueden ser usadas como plataformas de lanzamiento de ataques demoledores (como los ataques distribuidos de denegaci´on de servicio), merced a esta interconexi´on e interdependencia. Y finalmente, pero no menos grave para el inmediato futuro, la imparable tendencia al uso de redes inal´ambricas, con la obvia utilizaci´on de canales hercianos, no deja de ser una fuente de preocupaci´on, que se ir´a agravando seg´ un su despliegue vaya alcanzando a todas empresas. Por los tres motivos expuestos, hablar de sistemas cada vez m´as vulnerables no es una exageraci´on, sino antes bien una realidad muy a tener en cuenta. Pero adem´as de las anteriores vulnerabilidades de los sistemas de informaci´on, que hemos denominado intr´ınsecas, nos encontramos con otras que podr´ıamos definir de extr´ınsecas. As´ı, el software es —en lo que ata˜ ne a la seguridad— muy deficiente, pues est´a

130

Arturo Ribagorda Garnacho

dise˜ nado sin consideraciones de seguridad, que tan s´olo es a˜ nadida al final de su desarrollo —como un parche—, cuando alguien se percata de su ausencia. Por otro lado, estos sistemas est´an administrados por profesionales ocupados en exceso, y en ocasiones negligentes, que, por ejemplo, mantienen aplicaciones no operativas (o incluso que nunca lo han sido) instaladas, sin percatarse de que las mismas, al margen de los recursos que puedan despilfarrar, conllevan el riesgo de que se pueda atacar el sistema entero a trav´es de vulnerabilidades de las mismas. M´as grave a´ un, mantienen permanentemente el software sin actualizar, o sea sin incluir los parches que cada vez que se descubre una vulnerabilidad publican (junto con la correspondiente vulnerabilidad) los fabricantes de dicho software. De este modo, se explica que antiguas vulnerabilidades conocidas desde meses sean explotadas por atacantes (que s´ı se mantiene al d´ıa de los avisos de alerta y correcciones que difunden los fabricantes) que encuentran de lo m´as f´acil penetrar en los equipos ante la desidia de sus administradores. Finalmente, la carencia de formaci´on y experiencia en el uso de esta tecnolog´ıa no es una menor vulnerabilidad. As´ı, los usuarios escogen contrase˜ nas triviales —rayanas en la candidez—, dejan los equipos conectados cuando abandonan sus puestos de trabajo — aunque sea durante largos periodos de tiempo—, abren adjuntos a correos electr´onicos — aunque exhiban extensiones m´as que sospechosas y procedan de desconocidos—, no instalan o actualizan antivirus en sus equipos, etc. O dicho de otro modo, los computadores son a´ un unos reci´en llegados, y la revoluci´on de las tecnolog´ıas de la informaci´on todav´ıa no ha calado en la sociedad —siempre impermeable a lo nuevo—, y necesitada de muchos a˜ nos para familiariarizarse con una nueva tecnolog´ıa, y a´ un m´as para comprender y manejar los riesgos que acarrea. Por lo que ata˜ ne a los ataques (o amenazas), ´estos son cada vez m´as sofisticados: de denegaci´on distribuida de servicios (DD o S), de secuestro de sesi´on (IP hijacking), de suplantaci´on de direcciones IP (IP spoofing), h´ıbridos (programas malignos que se comportan como virus, gusanos, puertas traseras, caballos de Troya, etc.), de an´alisis de red (sniffers), etc. Pero quiz´as las herramientas de agresi´on m´as preocupantes sean las automatizadas (por ´ ejemplo de generaci´on de virus, de explotaci´on de diversas vulnerabilidades, etc). Estas conllevan que con asiduidad creciente individuos con escasa, o casi nula, formaci´on inform´atica sean capaces de lanzar formidables ataques. Ello supone incrementar notablemente la cifra de potenciales atacantes y por ende de los riesgos correspondientes. Por u ´ltimo, caben destacar los ataques que se vienen conociendo como de ingenier´ıa social. Est´an basados en enga˜ nos a usuarios y responsables de equipos para conseguir contrase˜ nas, acciones de aquellos sobre los sistemas (por ejemplo, borrar ficheros del sistema operativo), difusi´on de noticias falsas, etc. Estas a˜ nagazas suponen tambi´en una peligrosa amenaza, por cuanto suponen igualmente que individuos sin conocimientos t´ecnicos pueden sumarse en sus fechor´ıas a atacantes expertos, con el a˜ nadido de la impunidad que usualmente acompa˜ na este tipo de ataques. Para hacer frente a estas nuevas amenazas y vulnerabilidades nos hemos ido dotando de numerosos instrumentos, que sin sustituir a los antiguos les han ido complementando. Estos

Seguridad en las redes. Nuevas amenazas y nuevas defensas

131

nuevos instrumentos son de naturaleza legal unos (Ley Org´anica 15/1999 de Protecci´on de Datos de Personales, Ley 14/1999 sobre Firma Electr´onica, Ley 34/2001 de Servicios de la Sociedad de la Informaci´on y de Comercio Electr´onico, etc.), otras de car´acter administrativo y organizativo (formaci´on de usuarios, desarrollo de pol´ıticas de seguridad, establecimiento de la funci´on de seguridad, etc.) y de ´ındole t´ecnica las u ´ltimas (Infraestructuras de clave p´ ublica, sistemas de detecci´on de intrusiones, etc). Dejando al margen los de naturaleza legal, y comenzando por las medidas de ´ındole administrativa y organizativa, es constatable una tendencia a la gesti´on centralizada de la seguridad. Ello, a la par de facilitar esta gesti´on, permite un control de las amenazas y subsanaci´on de las vulnerabilidades desde un u ´nico punto de la organizaci´on. Es f´acil suponer los innumerables problemas que conlleva la actualizaci´on de un software si se requieren efectuarla equipo por equipo, y la inmediatez con que podr´ıa realizarse desde un u ´nico punto. Igualmente, aunque esto es m´as usual hoy en d´ıa, sup´ongase las ventajas de actualizar versiones del antivirus corporativo actuando desde un u ´nico equipo frente a lo que supondr´ıa hacerlo m´aquina por m´aquina de todas las de la corporaci´on. Por lo que respecta a la formaci´on, pilar de la seguridad, las empresas est´an empezando a realizar notables esfuerzos de mentalizaci´on, que se materializan casi siempre en la inclusi´on de la seguridad en el cursillo de formaci´on que la empresa da a sus nuevos empleados sobre sus objetivos, sus valores, su organizaci´on interna y sus pr´acticas operativas. Es suficiente para esto un seminario de un par de horas (dentro del cursillo aludido) para que sus nuevos empleados se conciencien en estos aspectos y tomen conocimiento de sus responsabilidades. A continuaci´on, se suele exigir a estos reci´en incorporados que firmen un documento en el que manifiestan conocer las pr´acticas de seguridad y aceptar las consecuencias de su incumplimiento por dolo o negligencia. Como complemento de lo anterior se va imponiendo la idea de elaborar un manual de seguridad, gu´ıa breve que, en forma de sucintas sentencias, incide en los aspectos tratados en el seminario acerca de la pr´acticas b´asicas de la seguridad. Este manual se puede colocar en un enlace en la p´agina web de entrada a la intranet corporativa. Por u ´ltimo, entre estos nuevos aspectos organizativos y administrativos que tratamos, no puede olvidarse la menci´on a la propia subcontrataci´on de los servicios de seguridad (concepto a menudo conocido como seguridad gestionada). De esta manera, cada vez m´as empresas traspasan a expertos ajenos la responsabilidad de la administraci´on de los sistemas y dispositivos de seguridad: cortafuegos, redes privadas virtuales, sistemas de detecci´on de intrusiones, etc. E incluso de facetas menos vinculadas a sistemas y dispositivos, como la gesti´on de incidentes. Finalmente, por lo que respecta a los de naturaleza t´ecnica se comprueba una tendencia a la llamada defensa en profundidad, que va desplazando a la defensa perimetral. As´ı, las herramientas que pretend´ıan defender las fronteras (el per´ımetro) de nuestros sistemas (por ejemplo, la intranet) se ven sustituidas por aquellas otras que sin desatender a dicho per´ımetro, tratan de defender tambi´en los elementos cr´ıticos de los sistemas. Por ejemplo, ahora nos encontramos con cortafuegos en diversos puntos de la intranet (y no s´olo en la interfaz de ´esta con la internet), antivirus en el servidor de correo y tambi´en en cada puesto de trabajo de la empresa.

132

Arturo Ribagorda Garnacho

Otra tendencia es la protecci´on integral, abandonando viejos h´abitos de considerar en exclusiva herramientas de prevenci´on. As´ı vemos extenderse, al tiempo que ´estas herramientas m´as tradicionales, las de detecci´on (sistemas de detecci´on de intrusiones, conocidas por sus siglas en ingl´es, IDS), de reacci´on (sistemas de protecci´on contra intrusiones, conocidas por sus siglas en ingl´es, IPS). Adem´as, otro hecho distintivo actual es que estas herramientas tienden a integrarse en sistemas u ´nicos, que garantizan as´ı la coherente interacci´on entre sus componentes, evitando los problemas a´ un hoy presentes de incompatibilidad entre dispositivos de distintos —o incluso el mismo— fabricantes, adem´as de facilitar la administraci´on como un todo de dichos sistemas. Otro rasgo actual es la instalaci´on de grandes redes corporativas apoyadas en internet, que por su flexibilidad de configuraci´on, econom´ıa de costes y universalidad de su protocolos est´a sustituyendo a las ancestrales redes dedicadas. No obstante, internet es una red insegura en grado sumo —al menos hasta la generalizaci´on de la versi´on IP v.4— por lo que el despliegue de estas redes de ´area extensa corporativas se basa en las llamadas redes privadas virtuales, RPV, tambi´en conocidas como VPN de Virtual Private Network. Pero no se puede concluir este r´apido repaso a los aspectos actuales de la seguridad sin detenerse siquiera someramente en las infraestructuras de clave p´ ublica, tambi´en PKI, de Public Key Infraestructure. Soporte de la firma digital (electr´onica avanzada, en t´ermino acu˜ nado por la Ley 14/1999) dicha firma y estas infraestructuras est´an empezando a jugar un papel vital en la seguridad corporativa, como base de la autenticaci´on de usuarios y recursos (junto con directorios LDAP), de la confidencialidad de la informaci´on corporativa, etc. En resumen, aunque son muchas las nuevas amenazas y vulnerabilidades son tambi´en numerosas las novedosas medidas de defensa que se est´an poniendo en pr´actica, tanto de ´ındole administrativa y organizativa como t´ecnica, que en esta carrera perpetua entre atacantes y defensores permiten seguir confiando en los sistemas de informaci´on, imprescindibles en esta emergente sociedad de la informaci´on.

Related Documents