Contramedidas


          Los ataques pasivos son difíciles de detectar pero suelen existir medidas sencillas para prevenirlos. Por el contrario, los ataques activos son fáciles de detectar pero bastante complejos de prevenir.

Las contramedidas se deben llevar a cabo para lograr los siguientes objetivos:
*      Minimizar la probabilidad de intromisión con la implantación de elementos de protección.
*    Detectar cualquier intrusión lo antes posible. Para ello debemos aprender a diferenciar las posibles alteraciones que ocurra en el sistema cuando suceda la intrusión.
*      Identificar la información objeto del ataque y su estado, para poder intentar recuperarla tras el ataque.

La implementación de los mecanismos de seguridad es indispensable para la seguridad en redes de datos. Son los elementos de protección de los que todo sistema informático no debe prescindir. 

Mecanismos de Seguridad


Los administradores de todos los sistemas disponen de herramientas y recursos para controlar que "todo vaya bien", si los procesos son los normales o si hay movimientos sospechosos.

Entre estos mecanismos están:
1.       Conocer las alertas de posible intrusión
2.       Realizar copias de seguridad
3.       Políticas de Seguridad (Auditoría)
4.       Sistemas o aplicaciones robustas
5.       Controles de Acceso
6.       Control de Entrada y salida de Datos
7.       Firewalls
8.       Encriptación
9.       Protocolos
10.  Antivirus

1.       Conocer las alertas de posible intrusión


Lo siguiente resume las posibles alertas de una intrusión hacker. 

Equipos con Windows:
*      Tráfico de red de salida sospechosamente alto.
*      Gran actividad del disco duro o archivos de aspecto sospechoso en los directorios raíces de cualquiera de los discos.
*      Gran número de paquetes que vienen de una dirección simple y que son bloqueados por el cortafuegos (firewall) personal.
Unix machines:
*      Archivos con nombres sospechosos en el archivo/tmp folder.
*      Creación de “puertas traseras”. Con frecuencia, después de ingresar al sistema, el hacker intenta asegurarse el acceso instalando una "puerta trasera" en uno de los demonios con acceso directo desde el Internet, o mediante la modificación de utilidades standard del sistema que se usan para conectarse con otros sistemas.
*      La alteración de /etc/passwd, /etc/shadow, u otros archivos de sistemas en el directorio /etc.
*      Los servicios sospechosos añadidos a /etc/services.

* Más detalles en, fuente: http://www.viruslist.com/sp/hackers/info?chapter=153349899

2.       Realizar copias de seguridad


Es una de las medidas más recomendadas y necesarias para evitar la pérdida de datos ya sea debido a desastres naturales, virus de computadora, ataques cibernéticos o errores humanos. Lo más común, utilizado en la mayoría de las organizaciones, es duplicar automáticamente todos los datos de manera periódica a través de herramientas especializadas.  Estas copias de seguridad pueden guardarse fácilmente en dispositivos físicos independientes del lugar de origen, para garantizar mayor seguridad de la información.

3.       Políticas de Seguridad (Auditoria)


Un auditoría es una serie de hechos documentados que ayudan a detectar quien registró tales o cuáles transacciones, en qué momento y bajo la aprobación de quién. Cada vez que un empleado registra una transacción, el sistema le indica al empleado que proporcione cierta información. Algunas veces se crea automáticamente un registro de auditoría utilizando datos como la fecha y hora de transacción, o el usuario que actualiza el archivo. Estos datos se registran directamente desde la computadora (a menudo sin conocimiento del usuario) y se agregan al registro de la transacción. Esta información ayuda a detectar actos indeseables, desde errores hasta fraude premeditado. El auditor debe detectar detectarlos e investigarlos. Es una de las técnicas más utilizadas en las empresas.

Estas pueden ser llevadas a cabo por personal de la propia empresa o por consultorías externas.

Una Auditoria de Seguridad comprende entre otras las siguientes actividades:
*     Evaluación de los recursos y la información a proteger.
*     Evaluación de los sistemas de seguridad implementados y de aquellos que se podrían implementar.
*     Prueba del estado de la seguridad de la red informática en general y de cada uno de los sistemas conectados a ella, mediante la ejecución de programas o el empleo de técnicas que lo pongan a prueba para poner de manifiesto los posibles agujeros de seguridad. 


Auditoria aplicada a la seguridad en redes de computadores

Existen herramientas como: SAFEsuite y COPS, que empiezan probando la fiabilidad de las contraseñas de usuario usando algunas técnicas de indagación como leer el tráfico de la red buscando  información sobre nombres de usuarios y contraseñas respectivas.

Auditoria De La Red Física

Se debe garantizar que exista:
*     Áreas de equipo de comunicación con control de acceso.
*     Protección y tendido adecuado de cables y líneas de  comunicación para evitar accesos físicos.
*     Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.
*     Prioridad de recuperación del sistema.
*     Control de las líneas telefónicas.

Auditoria De La Red Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones:
*     Se deben dar contraseñas de acceso.
*     Controlar los errores.
*     Garantizar que en una transmisión, ésta solo sea recibida por el destinatario.  
*     Registrar las actividades de los usuarios en la red.
*     Encriptar la información pertinente.
*     Evitar la importación y exportación de datos.
*     Generar estadísticas de las tasas de errores y transmisión.
*     Crear protocolos con detección de errores.
*     Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
*     Los datos sensibles, solo pueden ser impresos en una  impresora especificada y ser vistos desde una terminal debidamente autorizada.
*     Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
*     Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
*     Asegurar que los datos que viajan por Internet vayan cifrados.
*     Elaborar planes de contingencia y seguridad.

4.       Sistemas o aplicaciones robustas


Se dice que un programa de cómputo es “robusto” si es eficiente y a la vez capaz de manejar un uso inapropiado, como la entrada o el procesamiento de datos incorrectos. Debe poseer una codificación que genere de manera inmediata mensajes claros si un usuario comete un error o trata de eludir un proceso.  

Los sistemas también deben cumplir con medidas de control muy importantes como: las de acceso y, las de entrada y salida de datos. A través de estas medidas se facilita al administrador poder encontrar, por ejemplo, que un usuario esté recurriendo a vías de acceso para las cuales no está autorizado o que alguien intente ingresar repetidas veces con claves erróneas que esté probando. Todos los movimientos del sistema deben ser registrados y revisados periódicamente.

5.       Controles de Acceso

Son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos.

El uso combinando de un código de acceso (ID de usuario)  y una contraseña es lo más óptimo para asegurar el ingreso correcto de usuarios autorizados. Es recomendable que las contraseñas se cambien con frecuencia. Las organizaciones suelen dotar su sistema para obligar el cambio periódico de contraseñas y asegurar que sean adecuadas.

Los IDs y sus respectivas contraseñas se mantienen en una lista especial que se vuelven parte del sistema operativo, o en una base de datos que permite visualizar los recursos autorizables para cada usuario.

En los últimos años, algunas empresas han incorporado controles de acceso físicos (biometría). Un patrón biométrico puede obtenerse de alguna característica humana física única y medible. Pueden utilizarse huellas digitales, imágenes de la retina o el tono de voz como patrones biométricos de identificación.


6.       Control de Entrada y salida de Datos


Aparte de las contraseñas de usuario, los menús programados de acuerdo al tipo de usuario, también son herramientas útiles para instalar medidas de control. Los sistemas pueden programarse para que se desplieguen diferentes opciones de menú, dependiendo de los niveles a que esté autorizado el usuario. Al proporcionar menús limitados, un sistema restringe forzosamente las posibilidades de los usuarios.

Otra manera efectiva de control, en especial cuando se usa un sistema de procesamiento de transacciones, es programar límites en los valores lógicos que pueden introducirse en campos cuantitativos o en la salida obtenida mediante procesamiento.

7.       Firewalls

Es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados desde afuera.

Para que un firewall sea efectivo, todo tráfico de información a través del Internet deberá pasar por su inspección y autorización. Este sistema no puede ofrecer protección una vez que el agresor lo traspasa o permanece entorno a este. No puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.


Sin un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros servidores en el Internet.

El firewall permite al administrador de la red definir un “choke point” (embudo), manteniendo al margen los usuarios no-autorizados (hackers, crakers, vándalos, y espías) fuera de la red, y prohibiendo  la entrada o salida a lo que vulnere los servicios de la red.  En estos puntos, la seguridad puede ser monitoreada y el administrador puede localizar con precisión los potenciales cuellos de botella en el ancho de banda, así como los puntos de falla simple. Si aparece alguna actividad sospechosa, se genera una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el tránsito de los datos.

Otro de los beneficios claves es que ayuda a simplificar los trabajos de administración. Una vez que se consolida la seguridad en el sistema firewall, su distribución e instalación es sencilla en los demás servidores que integren una red privada.

8.       Encriptación

  
La encriptación es el proceso de  convertir información a una forma oculta o enmascarada para poder enviarla a través de canales potencialmente inseguros. El proceso inverso es llamado desencriptación o descifrado. La información una vez encriptada sólo puede leerse aplicándole una clave. Es usada para almacenar o transferir información delicada que no debería ser accesible a terceros.

 El cifrado de datos le protege en contra de: Infidelidad de empleados, Robo o extravío de información, Suplantación de identidad, Phishing y otros posibles ataques de hackers.

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.

La encriptación es dependiente de la criptografía. 

Criptografía

Es el estudio matemático de técnicas de cifrado seguras. Se destina a aspectos de la seguridad de datos como:
*     confidencialidad o mantener secreto el contenido de la información de partes no autorizadas.
*     integridad de los datos, o detección de modificaciones no autorizadas de los datos.
*     autenticación o autentificación, o identificación del origen de las entidades o datos.
*     no repudio, o prevenir que una entidad niegue una acción que ha realizado.

Mientras que el criptoanálisis es el estudio de métodos matemáticos que son utilizados en el intento de vencer las técnicas criptográficas.

El conjunto de ambas ciencias se conoce como criptología.

Métodos básicos de criptografía

Los métodos básicos de cifrado son el cifrado por sustitución y el cifrado por transposición. Prácticamente todas las técnicas de cifrado se basan en uno de estos métodos o en combinaciones de ambos.

Cifrado por sustitución: El cifrado por sustitución consiste en sustituir cada  carácter, octeto o bloque de datos por otro de acuerdo con un algoritmo determinado, generalmente, basado en algún tipo de clave.

Cifrado por transposición: Consiste en tomar bloques de datos y cambiar el orden de estos dentro del bloque. Haciendo la transposición inversa se consigue recuperar el bloque original.

Criptografía simétrica
Si se utiliza la misma clave para el cifrado y el descifrado de los datos se habla de criptografía simétrica. Los métodos que usan claves simétricas se conocen también como métodos de clave secreta ya que sólo aquellos entes que intervienen en la comunicación deben conocer la clave.

9.       Protocolos


En las redes de computadoras, la comunicación se lleva a cabo entre distintas entidades de diferentes sistemas.

Una entidad es cualquier cosa capaz de enviar o recibir información. Pero no basta con que dos entidades se envíen secuencias de bits entre sí para que se entiendan. Para que exista comunicación, las entidades deben estar de acuerdo a través de un protocolo.

Un protocolo es un conjunto de reglas que gobiernan la comunicación de datos, diseñadas para que el sistema pueda soportar ataques de carácter malicioso asegurar la correcta secuencia e integridad de los datos transmitidos.Un protocolo define qué se comunica, cómo se comunica y cuándo se comunica.

Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto. La evaluación de un protocolo por lo tanto envuelve dos preguntas básicas: ¿Es el modelo de riesgo realista? ¿El protocolo puede controlar ese nivel de riesgo?

Un protocolo es una serie de pasos, que involucra a dos o más principales, diseñado para realizar una tarea particular:
1.       Todos los principales deben conocer los pasos del protocolo de antemano.
2.       Todos deben estar de acuerdo en seguir el protocolo.
3.       El protocolo no admite ambigüedades.
4.       El protocolo debe ser completo – define qué hacer en cualquier circunstancia posible.
5.       No debe ser posible hacer más (o aprender más) que lo que el protocolo define.

Un protocolo criptográfico es un protocolo que usa funciones criptográficas en algunos o todos los pasos.

Los elementos clave de un protocolo son su sintaxis, su semántica y su temporización.
*     Sintaxis: Se refiere a la estructura del formato de los datos, es decir, el orden en el cual se presentan. Por ejemplo, un protocolo sencillo podría esperar que los primeros ocho bits de datos fueran la dirección del emisor, los segundos ocho bits, la dirección del receptor y el resto del flujo fuera el mensaje en sí mismo.
*     Semántica: Se refiere al significado de cada sección de bits. ¿Cómo se interpreta un determinado patrón y qué acción se toma basada en dicha representación?
*     Temporización: Define dos características: cuándo se deberían enviar los datos y con qué rapidez deberían ser enviados. Por ejemplo, si un emisor produce datos a una velocidad de 100 Mbps, pero el receptor puede procesar datos solamente a 1 Mbps, la transmisión sobrecargará al receptor y se perderá gran cantidad de datos.

 Estándares

Son esenciales para crear y mantener un mercado abierto y competitivo entre los fabricantes de los equipos, y para garantizar la interoperabilidad nacional e internacional de los datos, la tecnología y los procesos de telecomunicaciones. Proporcionan guías a los fabricantes, vendedores, agencias del gobierno y otros proveedores de servicios, para asegurar el tipo de interconectividad necesaria en los mercados actuales y en las comunicaciones internacionales.

 Los estándares de transmisión de datos se pueden clasificar en dos categorías: de facto (que quiere decir “de hecho” o “por convención”) y de jure (que quiere decir “por ley” o “por regulación”).

*     De facto: Son los estándares que no han sido aprobados por un cuerpo organizado, pero han sido adoptados como estándares por su gran difusión. A menudo son establecidos por fabricantes que buscan definir la funcionalidad de un producto o tecnología nueva.
*     De jure: Son los que han sido legislados por un organismo oficialmente reconocido.

Organizaciones de estandarización

Los estándares son desarrollados mediante la cooperación entre comités de creación de estándares, foros y agencias reguladoras de los gobiernos.

Comités de creación de estándares
Aunque hay muchas organizaciones que se dedican a la definición y establecimiento de estándares para datos y comunicaciones, en América del norte se confía fundamentalmente en aquellos publicados por los siguientes organismos: The International Organization for Standardization (ISO), The International Telecommunications Union-Telecommunication Standards Sector (ITU-T), la Telegrafía Internacional (CCITT), The American National Standards Institute (ANSI) y The Institute of Electrical and Electronics Engineers (IEEE).

Foros
El desarrollo de la tecnología de las telecomunicaciones avanza más rápidamente de lo que permite el alcance de los comités de estandarización para ratificar los nuevos y necesarios estándares.

Para facilitar los procesos de estandarización, muchos grupos con este propósito han desarrollado foros compuestos por miembros que representan a las empresas interesadas. Los foros trabajan con las universidades y los usuarios para probar, evaluar y estandarizar nuevas tecnologías.

Concentrando sus esfuerzos en una tecnología en particular, los foros son capaces de acelerar la aceptación y el uso de esa tecnología en la comunidad de las telecomunicaciones. Luego, se encargan de presentar sus conclusiones a los organismos de estandarización.

Agencias reguladoras

Toda la tecnología de comunicaciones está sujeta a regulación por las agencias del gobierno tales como la Comisión Federal de Comunicaciones (FCC) en Estados Unidos. El objetivo de estas agencias es proteger el interés público mediante la regulación de la radio, la televisión y las comunicaciones por cable. El FCC tiene autoridad sobre el comercio interestatal e internacional en lo relativo a comunicaciones.

Estándares en Internet

Es una especificación o regulación formalizada y aprobada a conciencia, que debe ser seguida por aquellos que se adhieren a trabajar en Internet. Hay un procedimiento estricto por el que una especificación obtiene ese estatus de estándar de Internet.


10.       Antivirus


        Es un programa informático que tiene el propósito de detectar y eliminar elementos perjudiciales antes o después de que ingresen al sistema.

Estas aplicaciones han sido diseñadas como medida de protección y seguridad para resguardar los datos y el funcionamiento de sistemas informáticos caseros y empresariales de virus, malware, spyware, etc. Para detectar estos elementos, compara el código de cada archivo que revisa con una base de datos de códigos de virus ya conocidos. Pueden registrar tanto los archivos que se encuentran dentro del sistema como aquellos que procuran ingresar o interactuar con el mismo. Es necesario mantenerlo actualizado debido a que continuamente aparecen nuevos virus.

El antivirus permanece en ejecución durante el funcionamiento del sistema informático al que sirve, registra un archivo o serie de archivos cada vez que el usuario lo requiera, y también, puede revisar los sitios web visitados en tiempo real y los correos electrónicos entrantes y salientes.


Seguridad Informática

Recomendamos la siguiente página, además de videos similares, también encontraremos otros de diversos temas tecnológicos informáticos muy interesantes: http://www.globbtv.com/Default.aspx


No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)