Seguridad en redes

• Autor: Antoni Martín, Francisco de Quinto Zumárraga

3.1. Introducción

En este capítulo empezamos a estudiar con detalle la problemática de seguridad en Internet, ya que cuando hablamos de redes, estamos hablando realmente de ?la red?, de Internet. Podríamos desde estas líneas estudiar los riesgos de seguridad y las soluciones a ellos, englobado desde la perspectiva de empresa o de usuario. Cada uno de estos detalles: los hackers, los cortafuegos y las políticas de seguridad los dejamos para capítulos posteriores, ya que representan de por sí un estudio especial. Es por ello que este capítulo representa una introducción a la problemática de seguridad de las empresas y organizaciones y que en puntos siguientes iremos detallando.

Un estudio que empezará por unas básicas definiciones para poder continuar con el estudio de redes internas y externas (las redes móviles requieren un capítulo aparte especial y que hacemos hincapié en lo que se está denominando como la Internet wireless). Un estudio del protocolo TCP/IP y la arquitectura ISO nos permitirá entrar en la autenticación y el control de acceso en las redes seguras y los riesgos derivados del protocolo IP, riesgos a nivel de privacidad y de aplicación, relacionados con los servicios y protocolos a este nivel y que en posteriores capítulos estudiamos sus soluciones (Firewalls, detección de de intrusos, seguridad de contenidos, antivirus, arquitectura de 3 capas, seguridad en las bases de datos, seguridad en terminales,etc).

3.2. Terminología básica

Para poder estudiar las vulnerabilidades de las redes y sus soluciones conviene conocer más nomenclatura relacionada con redes e Internet:

? Protocolos en la red:

Habíamos adelantado en el anterior capítulo la definición de protocolo:

?Un protocolo es un lenguaje utilizado por nuestro equipo para comunicarse con otros.?

Con más detalle, un protocolo es un lenguaje utilizado por dos máquinas para comunicarse entre sí, según el nivel de comunicación del estándar OSI.

Fig. III-1. La torre OSI y el protocolo TCP/IP.

En la anterior figura podemos ver los diferentes niveles según el estándar OSI, entre los diferentes niveles el lenguaje de comunicación es un protocolo. Así para comunicarse dos máquinas a nivel de red, éstas lo pueden hacer a través del protocolo IP, y a nivel de transporte, a través del protocolo TCP. Por eso decimos que IP es un protocolo de red y TCP un protocolo de transporte.

? Extranet:

Parte privada de Internet destinada a usuarios que requieren una autenticación no básica, normalmente clientes de una empresa.

? Intranet:

WebSite interno de una organización donde los empleados acceden mediante Internet a los recursos corporativos.

? Redes virtuales privadas (VPNs):

Redes privadas seguras dentro del ámbito de Internet que interconectan empresas, organizaciones y por las que corren aplicaciones web/email.

3.3. Redes internas

La seguridad de redes, empieza como no, por las redes internas. Una red interna como suma de terminales, servidores de datos y aplicaciones, reúne una cantidad de recursos (hardware, software, datos, personas, etc) que necesitan de una arquitectura segura y de una política de seguridad a cumplir por cada uno de los recursos de la misma. Una seguridad que bien debemos aplicar máquina por máquina, o que, resultando mucho más fácil, debemos aplicar al conjunto de la organización.

El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). La plataforma de red (Uníx, Lynux, Mac, NT), el sistema operativo de los terminales y servidores, las aplicaciones cliente/servidor instaladas en los terminales (ERP/CRM/Intranet, etc), las unidades de red compartidas por los usuarios, las bases de datos corporativas y debe aplicar en los usuarios, los diferentes permisos para poder instalar, consultar, eliminar carpetas, datos, aplicaciones, etc.

Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna, no siempre debidos a intrusiones maléficas de empleados, sino muchas de las veces por fallos de seguridad o puertas abiertas que se ejecutan ?sin quererlo?.

Muchas organizaciones optan en la seguridad de su red interna, por no dar permisos de instalación de aplicaciones en sus terminales de empleados, evitando de esta manera los primeros problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red.

Un tema importante y básico es la autenticación de los usuarios en la red. La seguridad interna empieza por la autenticación de los usuarios en un servidor central. Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría que disponer de sistemas más fuertes, según las características de la información y los recursos a acceder por los usuarios de la red.

La seguridad interna de la red de una organización, debe ser administrada por profesionales en la materia, de sobrado conocimiento de la plataforma (sistema operativo, aplicaciones y bases de datos), y regida sobre una política de seguridad que implique a todos los recursos del sistema.

3.4. Redes externas

Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet, RAS, punto a punto, etc), entonces la seguridad es mucho más importante, ya que entran más peligros: ?los de fuera?.

Los peligros pueden venir de:

? Ataques dedicados:

Un intruso que nos elige y que intenta colarse en nuestra red.

? Ataques aleatorios:

Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para ver hasta donde puede llegar.

Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca), sus mecanismos fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. Estudiamos con más detalles en el Capítulo de hackers, la manera de realizar sus fechorías, pero adelantamos en este punto algunos ejemplos, para poner de manifiesto la obligada seguridad cuando nuestra red está conectada al exterior:

? Una pasarela de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación, ofreciendo por ejemplo un servicio de Call Center a través del email, pero este servidor de correo, asociado...