Embed Size (px)
Citation preview
UNIVERSIDAD DR. JOSE MATIAS DELGADO FACULTAD DE ECONOMIA
DR. “SANTIAGO I. BARBERENA”
Tesis para optar al título de:
LICENCIADO EN CIENCIAS DE LA COMPUTACION
Tema: Análisis de Aplicaciones en seguridad para Redes Informáticas utilizando tecnología Open Source
Presentado por:
Raúl Hernán Arenivar Gómez
Asesorada por: Ing. Amilcar Alexander Rivas
Antiguo Cuscatlán, El Salvador. Febrero de 2006
INDICE
Introducción i
CAPITULO I: ANTECEDENTES
1.1 Antecedentes de Seguridad 1
1.2 Antecedentes de Open Source 3
1.3 Planteamiento del problema. 7
1.4 Objetivos 9
1.4.1 General 9
1.4.2 Específicos. 9
1.5 Delimitación 10
1.5.1 Contenido 10
1.5.1.1 De la investigación 10
1.5.1.2 Del estudio de aplicaciones 10
1.5.2 Segmento 10
1.5.2.1 De la investigación 10
1.5.2.2 Del estudio de aplicaciones 11
1.6 Metodología de la investigación. 11
1.6.1 Población a investigar 11
1.6.2 Recolección de datos de la investigación 11
1.6.2.1 Datos primarios 11
1.6.2.2 Datos secundarios 11
1.6.2.3 Investigación de campo 12
1.6.2.4 Tamaño de la muestra 13
1.7 Metodología del estudio de aplicaciones 14
1.7.1 Población a investigar 14
1.7.2 Recolección de datos de la investigación 14
1.7.21 Datos primarios 14
1.72.2 Datos secundarios 14
1.7.2.3 Estudio de aplicaciones 14
1.8 Resultados de la investigación. 15
1.9 Limitantes 28
CAPITULO II: MARCO TEORICO 2.1 REDES INFORMATICAS
2.1.1 Qué es una Red. 29
2.1.2 Clasificación de Redes. 30
2.1.2.1 Topologías de Redes 31
2.1.3 Dispositivos de Redes. 33
2.1.4 Protocolos de comunicación 35
2.1.4.1 Descripción de protocolos de comunicación 35
2.1.5 Modelos OSI y TCP/IP 37
2.1.5.1 Modelo OSI 37
2.1.5.2 TCP/ IP. 39
2.1.5.1 Familia de protocolos de TCP/IP. 40
2.1.6 Puertos de comunicación 42
2.1.6.1 Clasificación de puertos 43
2.2 SEGURIDAD 44
2.2.1 Definición de Seguridad 45
2.2.2 ¿Qué se quiere proteger? 45
2.2.3 Amenazas 45
2.2.3.1 Personas 46
2.2.3.1.1 Empleados 47
2.2.3.1.2 Hackers 47
2.2.3.1.3 Crackers 47
2.2.3.1.4 Curiosos 47
2.2.3.2 Amenazas Lógicas 48
2.2.3.2.1 Virus 48
2.2.3.2.2 Correo no solicitado (spam) 49
2.2.3.2.3 Spyware 49
2.2.3.2.4 Dialers 50
2.2.3.2.5 Bugs 50
2.2.3.2.6 Ingeniería social 50
2.2.4 Ataques 50
2.2.4.1 Tipos de ataques 51
2.2.4.1.1 Escaneo de puertos 52
2.2.4.1.2 Autentificación 53
2.2.4.1.3 Denegación de servicios 54
2.2.4.1.4 Cracking de password 55
2.2.5 Herramientas de Seguridad 56
2.2.5.1 Políticas de seguridad 56
2.2.5.2 Contraseñas 57
2.2.5.3 Actualizaciones 57
2.2.5.4 Antivirus 57
2.2.5.5 Anti-spam y anti-dialer 58
2.2.5.6 Firewalls (cortafuegos) 59
2.2.5.7 Criptografía 62
2.2.5.8 Escáner de vulnerabilidades 64
2.2.5.9 Monitoreo de red 66
2.2.5.7 Sistema de Detección de Intrusos (IDS) 66
2.3 OPEN SOURCE
2.3.1 Definición De Open Source 70
2.3.1.1 Principios del Open Source. 70
2.3.2 Software Libre 72
2.3.3 Diferencias entre Open Source y Software Libre 72
2.3.4 Términos Relacionados. 73
2.3.5 Forma de operar de open source 74
2.3.6 Software propietario 75
2.3.6.1 Forma de operar del software propietario 75
2.3.7 Diferencias entre open source y software propietario 76
2.3.8 Licencias Open Source 78
2.3.8.1 Licencia Pública General de Gnu (Gnu Gpl) 79
2.3.10 Beneficios del Open Source 80
CAPITULO III: ESTUDIO DE APLICACIONES 81 3.1 Áreas de estudio 81
3.2 Estudio de aplicaciones 84
3.2.1 Antivirus 85
3.2.1.1 Clam AV-WIN 85
3.2.1.2 Mailscanner 88
3.2.1.3 Spamassasin 90
3.2.1.4 AVG Antivirus 93
3.2.1.5 Norton Antivirus 95
3.2.2 Firewall
3.2.2.1 Firestarter 99
3.2.2.2 IPCop 103
3.2.2.3 Netfilter/ Iptable 106
3.2.2.4 Smoothwall 112
3.2.2.5 Symantec Enterprise Firewall 115
3.2.3 Proxy
3.2.3.1 Privoxy 119
3.2.3.2 Squid 123
3.2.3.3 Web cleaner 127
3.2.3.4 ABC Proxy 129
3.2.3.5 Symantec Enterprise Firewall 131
3.2.4 Criptografía
3.2.4.1 Open SSH 134
3.2.4.2 Open SSL 137
3.2.4.3 Open VPN 140
3.2.4.4 SSL Explorer 145
3.2.4.5 Advanced encrytion package 2006 148
3.2.4.6 Symantec Enterprise Firewall 150
3.2.5 Escáneres de Vulnerabilidades
3.2.5.1 Nessus 153
3.2.5.2 Nmap 157
3.2.5.3 GFI Languard Network Security Scanner 161
3.2.6 Monitoreo de Red
3.2.6.1 MRTG 166
3.2.6.2 Nagios 170
3.2.6.3 NTOP 176
3.2.6.4 Whats up Gold 8.0 181
3.2.7 Sistema de detección de intrusiones
3.2.7.1 Prelude 185
3.2.7.2 Snare 190
3.2.7.3 Snort 193
3.2.7.4 Symantec host instrusion detection system 200
CAPITULO IV: SELECCION DE APLICACIONES
4.1 Evaluación de las aplicaciones 203
4.1.1 Criterios de evaluación y valores 203
4.2 Cuadros comparativos 204
4.2.1 Antivirus, Spam 204
4.2.2 Firewall 209
4.2.3 Proxy 213
4.2.4 Cuadro comparativo de criptografía 217
4.2.5 Cuadro comparativo de escáneres de vulnerabilidades 221
4.2.6 Cuadro comparativo de monitoreo de red 225
4.2.7 cuadro comparativo sistemas de detección
de intrusiones 229
4.3 Comparación económica 233
CAPITULO V: CONCLUSIONES Y RECOMENDACIONES
5.1 Conclusiones 238
5.2 Recomendaciones 240
Glosario 242
Bibliografía 254
Anexo: Encuesta 257
i
INTRODUCCION
Hoy en día las mayorías de las empresas poseen redes informáticas que
respaldan y ayudan al buen funcionamiento y operatibilidad de la organización; sin
embargo estas redes deben de protegerse para garantizar la integridad de la
información que genera la empresa.
Existen diversos tipos de amenazas que pueden dañar las redes, perdiendo
información que es de vital importancia para el funcionamiento de las empresas,
estos tipos de amenazas pueden ser internos y externos. Las amenazas Internas
provienen de empleados que no realizan correctamente sus funciones o no
acatan lineamientos de seguridad informática generando problemas como: virus a
través de descargas de archivos, robo de información por no utilizar contraseñas,
etc. A nivel externo con el uso de Internet se puede encontrar con diversos tipos
de amenazas como son: denegación de servicios, virus, spam, spoofing,
desbordamiento de buffer, robo de información, etc.
Para evitar este tipo de situaciones las empresas pueden protegerse optando por
la instalación de software de seguridad que permita a la empresa trabajar sin la
preocupación de perdida de información que podría generar perdida de tiempo,
costos innecesarios, incluso el cierre de labores.
Existen diferentes modalidades de software de seguridad, de acuerdo a la licencia,
entre ellos están el software open source y propietario. La investigación se
centrará en el primero, ya que representa una excelente herramienta para las
pequeñas y medianas empresas de El Salvador, las cuáles no pueden recurrir al
software propietario que representa altos costos de adquisición y mantenimiento.
El software Open Source es un término acuñado para representar el uso de código
fuente, que no significa gratis, pero que en la mayoría de los casos no hay que
pagar por utilizarlas, su tipo de licencia permite utilizarlo para los usos que se
ii
estimen convenientes, sin restricciones de máquinas, no ata a contratos por
períodos determinados, ni a contratos de mantenimiento, por lo que sus beneficios
se ven representados en aspectos económicos, de funcionalidad y estabilidad, ya
que puede compararse con cualquier tipo de software propietario.
La investigación pretende dar a conocer una herramienta que permita a las
medianas y pequeñas empresas optar por un sistema de seguridad que brinde la
protección necesaria para la información de las empresas a bajo costo.
La investigación se divide en cinco capítulos. El primero titulado Antecedentes
está conformado por los antecedentes de seguridad y Open Source, la
metodología utilizada, así como la presentación de los resultados del estudio
realizado.
El capítulo dos, desarrolla el marco teórico dividido en tres secciones: redes,
seguridad y Open Source. La sección de redes trata de conceptos generales de
redes, protocolos, puertos de comunicación. La sección de seguridad presenta
aspectos como amenazas, tipos de ataques, herramientas de protección. Y la
sección Open Source trata sobre conceptos generales del open source, sus
beneficios, forma de operar, comparación con otros tipo de software.
En el capítulo tres se presenta el estudio de diferentes aplicaciones Open Source
y propietarias que han sido desarrolladas para brindar seguridad en redes
informáticas, para ello se definieron áreas para clasificarlas de acuerdo a su
utilidad como son: antivirus, Firewall, Proxy, Escáneres de vulnerabilidades, etc.
Cada software estudiado fue desarrollado en 4 aspectos como son: descripción,
aspectos generales, características y su funcionamiento. Se trató de resumir y
concentrar los aspectos más importantes para que el personal técnico de las
empresas tengan una mejor comprensión de lo que cada herramienta puede
realizar.
iii
El capítulo cuatro esta formado por la selección, evaluación entre los diferentes
software open source, así como la comparación con software propietario. Esto se
presenta en cuadros comparativos con criterios de evaluación definidos para
poder evaluar el cumplimiento de estos por parte del software. También se
muestran cuadros económicos para medir la necesidad de desembolsos
económicos y la selección de la mejor alternativa de software Open source.
El capítulo cinco son las conclusiones y recomendaciones encontradas durante la
investigación.
1
CAPITULO I
ANTECEDENTES
1.1 ANTECEDENTES DE SEGURIDAD
Los problemas de seguridad en las redes surgieron al mismo tiempo que se
crearon. Hasta finales de 1988 muy poca gente tomaba en serio el tema de la
seguridad en redes de computadoras de propósito general, el 22 de noviembre de
1988 Robert T. Morris protagonizó el primer gran incidente de la seguridad
informática: uno de sus programas se convirtió en el famoso worm o gusano de
Internet, trayendo consigo el año de 1989 el primer antecedente legal en el cuál
el tribunal de Estados Unidos lo condenaba por el delito de violación de Seguridad
Informática de 19871. Miles de ordenadores conectados a la red se vieron
inutilizados durante días, y las perdidas se estiman en millones de dólares.
Poco después de este incidente, y a la vista de los potenciales peligros que podía
entrañar un fallo o un ataque a los sistemas informáticos estadounidenses (en
general, a los sistemas de cualquier país) la agencia DARPA (Defense Advanced
Research Projects Agency) creo el CERT (Computer Emergency Response
Team), un grupo formado en su mayor parte por voluntarios cualificados de la
comunidad informática, cuyo objetivo principal es facilitar una respuesta rápida a
los problemas de seguridad que afecten a hosts de Internet.
Hoy en día los problemas de seguridad en las redes son muy comunes y pueden
ser originados desde varios puntos: virus, ataque de hackers, personal
descontento, que pueden generar desde pequeños inconvenientes hasta la
pérdida total del negocio.
El tema no está restringido únicamente a Internet. Aunque no se esté conectada,
una red está expuesta a distintos tipos de ataques electrónicos.
1 Stephen Cobb, Manual de Seguridad para PC y REDES LOCALES, 2ª. Edición, McGraw Hill, 1994
2
Para tratar de asignar un valor al costo del delito electrónico se podría mencionar
el reporte de la agencia norteamericana Defense Information Systems Agency
titulado “Defending the Defense Information Infrastructure- Defense Information
Systems Agency”2, del 9 de julio de 1996. En dicho informe las corporaciones más
grandes de los Estados Unidos reportan haber experimentado pérdidas estimadas
en US$ 800 millones dólares en 1996 debido a ataques a la red. Asimismo el
informe de marzo de 1997 de The Computer Security Institute (CSI) indica que el
crimen de cómputo continúa en alza y se reportan pérdidas superiores a los US$
100 millones de dólares y esto es tan solo durante el primer cuarto del año 1997.
Por esto, y por cualquier otro tipo de consideración que se tenga en mente, es
realmente válido pensar que cualquier organización debe tener normativas para
obtener buen uso de los recursos y de los contenidos, es decir, al buen uso de la
información.
En un reciente estudio de Datapro Research Corp. se resumía que los problemas
de seguridad en sistemas basados en redes responden a la siguiente distribución:
Errores de los empleados 50%
Empleados deshonestos 15%
Empleados descuidados 15%
Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad física de
instalaciones 10% )
Se puede notar que el 80% de los problemas, son generados por los empleados
de la organización, y, éstos se podrían tipificar en tres grandes grupos:
Problemas por ignorancia
Problemas por haraganería
Problemas por malicia
2 ArCERT, Manual de Seguridad en redes
3
La gran mayoría de empresas pese a que el tema de seguridad en sus redes, es
importante para prevención de cualquier fallo, deciden postergar la inversión en
seguridad para las redes, debido a que los costos son elevados o no están
contemplados en sus presupuestos.
En una encuesta realizada por CISCO3 durante los meses de Abril y Junio de
2003, en la cuál se entrevistaron 75 Directores de IT de empresas de Argentina,
Brasil, Colombia, Chile, México y Perú, demuestran la aseveración anterior.
Los resultados obtenidos son sorprendentes y se consideran una paradoja, ya que
de las 75 entrevistas realizadas el 79% consideró que el tema de la seguridad de
información es de alta prioridad; pero la mitad aceptó que destinan menos del
10% del presupuesto a seguridad.
En cuanto a ataques sufridos un 43% afirma haber sido víctima de virus
informáticos. Las páginas Web de un 21% de las empresas consultadas han
sufrido ataques por parte de hackers. Un 51% reconoce haber enfrentado
problemas menores, tales como uso inadecuado de los sistemas informáticos, e-
mail corporativo o el acceso a Internet para distribución de material inapropiado.
1.2 ANTECEDENTES DEL OPEN SOURCE
La historia del open source puede dividirse en dos eras claramente diferenciadas:
la era clásica y la era moderna.
La Era Clásica
Fue a partir del año 1945 cuando los ordenadores atrajeron algunas de las mentes
más brillantes y creativas del mundo científico. Desde el ENIAC, el primer
ordenador electrónico de la historia, la cultura técnica en el campo de la
computación se desarrolló entorno a programadores entusiastas que
3 www.ciscolatam.com/encuesta2003
4
experimentaban con el software por diversión. La mayoría de estos
programadores provenían del mundo de la ingeniería y la física. Estos pioneros de
la ciencia informática programaban en lenguaje máquina, ensamblador,
FORTRAN y una docena más de lenguajes actualmente perdidos en el tiempo.
Durante los años 60, el hardware suponía la mayor fuente de ingresos para las
industrias del sector. La mayoría de los fabricantes proporcionaban las
aplicaciones de forma gratuita junto con su código fuente con el fin de favorecer la
venta de sus plataformas hardware, distribuyendo el código fuente en papel o cinta
magnética a cualquier persona que lo solicitase. La mayoría del software se
promovía y desarrollaba públicamente, no existiendo límites a la hora de usar y
modificar los programas.
En 1969 el Departamento de Defensa de los EE.UU. crea ARPAnet, la primera red
de alta velocidad Intercontinental. Esta red fue ideada inicialmente como un
experimento de comunicaciones digitales, pero con el transcurso de los años se
desarrolló ampliamente y logró interconectar cientos de universidades, centros de
defensa y laboratorios de investigación.
Justo en el mismo año de nacimiento de ARPAnet, un hacker llamado Ken
Thompson, crea en los Laboratorios Bell de AT&T el primer embrión de lo que
después sería el sistema operativo UNIX. Con el fin de desarrollar este sistema
operativo, Dennis Ritchie inventa un nuevo lenguaje de programación
denominado C.
Al igual que UNIX, el lenguaje C fue diseñado para ser ameno, flexible y sin
restricciones.
Durante los años 70‘s también se crea en el Laboratorio de Inteligencia Artificial
del MIT la primera comunidad de software compartido. Dentro de esta comunidad
5
se encontraba una persona que a la larga sería decisivo en el devenir del open
source: Richard Stallman. La comunidad de Stallman estaba formada por
estudiantes, profesores y otros colaboradores. Dentro de esta comunidad todo el
software se encontraba disponible en forma de código fuente con el fin de innovar
lo más rápido y mejor posible.
Las incipientes empresas de software se percataron de que las aplicaciones
informáticas podían ser copiadas fácilmente, especialmente cuando se distribuían
junto con su código fuente. Este hecho desencadenó la distribución del software
en su forma binaria o compilada, que es ilegible para los seres humanos y en
consecuencia difícil de descifrar.
La Era Moderna
A comienzos de los 80, cuando las compañías de software propietario
comenzaron a crecer de forma masiva, muchas de las personas del Laboratorio de
Inteligencia Artificial del MIT fueron contratadas. Adicionalmente, los proveedores
de este laboratorio comenzaron a proporcionar solamente programas propietarios.
Estos factores terminaron con la comunidad open source en la que Richard
Stallman tanto había disfrutado.
En 1984, Richard Stallman, observando todo lo que estaba aconteciendo, se
levantó enérgicamente contra las aplicaciones cerradas y, rechazando ofertas de
múltiples compañías de este sector, funda la Free Software Foundation (FSF). Su
objetivo era crear un sistema operativo open source similar a UNIX. Para
denominar este proyecto utilizó el elegante acrónimo recursivo GNU, que proviene
de ''GNU's Not UNIX''.
Cuando Stallman utilizó el término free no intentaba referirse al precio del
software, si no a la libertad de usuario. Para aclarar este concepto, proporcionó
cuatro dogmas a usuarios y desarrolladores para lo que él denominó free software.
6
A parte de promover la filosofía del open source, el proyecto GNU pretendía el
desarrollo de todas las partes de un sistema operativo robusto que debía incluir un
kernel o núcleo, compiladores, intérpretes y demás utilidades.
En 1991 el kernel del sistema operativo del proyecto GNU todavía no se había
desarrollado. En ese momento, Linus Torvalds, un estudiante finlandés de
informática de la Universidad de Helsinki, necesitaba un sistema operativo un poco
más sofisticado que el que estaba utilizando en esos momentos y que se
denominaba MINIX. Esto llevó a Linus Torvalds, usando las herramientas del
proyecto GNU, al desarrollo de la primera versión de Linux. Su éxito inicial, basado
en la filosofía de la comunidad GNU, rápidamente involucró a otros
desarrolladores.
El desarrollo de Linux podría calificarse de Darwiniano porque los desarrolladores,
en función de las sugerencias y aportaciones de multitud de usuarios, introducían
una selección de mutaciones dentro del sistema.
La FSF, con Richard Stallman a la cabeza, siempre ha sido un oponente enérgico
de cualquier sistema propietario. Con el fin de proporcionar otra alternativa en el
mundo del open source se fundó la Open Source Initiative (OSI).
El 22 de enero del año 1998, Jim Barksdale, de Netscape, anunció que el código
fuente de su navegador web sería liberado públicamente. Barksdale mencionó que
Eric Raymond había tenido una influencia decisiva en la decisión de Netscape de
variar su rumbo hacia el open source. Unos cuantos días después, Raymond, un
hacker y antropólogo de la revolución open source, reclutó un grupo de veteranos
y formó la OSI.
La etiqueta “Open Source” (Código Abierto) surgió de una reunión estratégica
mantenida el día 3 de febrero de 1998 en Palo Alto, California. Entre los presentes
estaban: Eric Raymond, Bruce Perens (líder del grupo Debian), John “Maddog”
7
Hall. (de la organización Linux International) Y Sam Ockman (grupo de usuarios de
Linux de Sillicon Valley).
A principios de la década del 2000 el software libre es un serio competidor en el
segmento de servidores, y comienza a estar ya listo para el escritorio. Sistemas
como GNOME 2.x, KDE 3.x y OpenOffice pueden ser utilizados por usuarios
domésticos, y son suficientes para las necesidades de muchas empresas, al
menos en lo que a ofimática se refiere.
1.3 PLANTEAMIENTO DEL PROBLEMA
La tecnología en información y comunicaciones se ha desarrollado en gran
medida, por lo que ahora se han vuelto parte esencial en el desarrollo de las
actividades de las empresas y más que eso pueden ser determinantes en el
posicionamiento y competencia de mercado o determinación de ganancias por un
rendimiento eficaz en las actividades.
Las empresas Salvadoreñas no quedan al margen de este cambio, conectan sus
sistemas a través de redes para todo tipo de transacciones: ventas, producción,
contabilidad financiera, comunicación, captación de clientes, etc. Por lo tanto,
cada vez más y más empresas solicitan conectar su sistema de red de
computadoras a Internet, para obtener todas las ventajas que este ofrece.
Si bien Internet ha transformado y mejorado significativamente la forma de
concretar negocios, esta extensa red y las tecnologías asociadas han abierto las
puertas a amenazas de seguridad para las redes las cuales las empresas deben
protegerse. Los ataques más graves a las redes suceden cuando afectan a
negocios que manejan datos confidenciales, actividades financieras, datos de
precisión, entre otros. Las consecuencias de los ataques a cualquier entidad
oscilan entre los que ocasionan un inconveniente leve y los completamente
8
devastadores: esto puede implicar pérdida de datos importantes, violación de la
privacidad y hasta varias horas o incluso días de inactividad de la red.
Si no se toma en cuenta la adecuada seguridad de redes, la empresa en su
totalidad puede verse afectada por diferentes medios y diferentes fines, entre
ellos: virus, Hackers, usuarios inexpertos; que todo puede conllevar a perdida de
información, manipulación de información, espionaje y aumento en los costos de
mantenimiento, restauración de información, consultorías, entre otros; además los
costos pueden no solo ser financieros sino de imagen y confiabilidad.
Para defenderse de estos aspectos, las empresas invierten en software y
hardware para detectar cualquier intento de acceso a la red que no sea con fines
transaccionales y que puedan dañar sus sistemas. Estas inversiones requieren
grandes cantidades de dinero, para lograr la adquisición de tecnología de punta y
asesoría profesional idónea.
Para las empresas que tienen sus sistemas en plataformas basadas en redes, la
mayoría del software que necesitan está diseñado por empresas especialistas en
redes y comunicación de alta tecnología, por lo que el costo de su
implementación es alto. Esto trae consigo la dependencia con los proveedores,
que obliga a las empresas a mantener una tecnología específica y a realizar
contratos de mantenimiento costosos.
En general, la instalación de un sistema de seguridad para redes es elevado,
inversión que pequeñas y medianas empresas salvadoreñas no pueden realizar,
dejando así sus sistemas expuestos a cualquier tipo de ataque que pueda
ocasionar grandes pérdidas en los negocios.
Afortunadamente este tipo de vulnerabilidades y fallas tienen solución, la cuál
consiste en la utilización de herramientas y tecnologías de punta (Open Source)
para cerrar las diversas puertas al desastre.
9
1.4 OBJETIVOS
1.4.1 OBJETIVO GENERAL
“Analizar las diferentes aplicaciones que se encuentran en el mercado y en
Internet para implementar seguridad en las redes informáticas a través del uso
de tecnología Open Source”.
1.4.2 OBJETIVOS ESPECIFICOS
Realizar una investigación a pequeñas y medianas empresas, para conocer
la percepción que se tiene en cuanto al tema de seguridad en redes.
Definir aplicaciones Open Source, que serán analizadas en base a criterios
previamente definidos.
Estudiar las características específicas de las aplicaciones Open Source
seleccionadas.
Comparar con aplicaciones propietarias existentes en el mercado.
Presentar una opción económicamente viable para que las empresas
puedan implementar seguridad en sus redes.
10
1.5 DELIMITACION
1.5.1 CONTENIDO 1.5.1.1 DE LA INVESTIGACION
El contenido de la investigación es conocer mediante una encuesta que fue
dirigida a medianas y pequeñas empresas, el nivel de conocimiento que se tiene
acerca de seguridad en redes informáticas, así como también que tipo de
seguridad poseen, y si conocen y han trabajado con software open source.
1.5.1.2 DEL ESTUDIO DE APLICACIONES
Se estudiaron diferentes aplicaciones que brindan seguridad en las redes,
evaluando las características generales de las diferentes opciones, para luego
poder definir especificaciones y recomendaciones técnicas que permitan
implementar seguridad en las empresas, tomando en cuenta el factor costo-
beneficio, a través del uso de la tecnología Open Source, y que sean compatibles
su funcionamiento con software propietario.
1.5.2 SEGMENTO
1.5.2.1 DE LA INVESTIGACIÓN
El segmento al cuál se ha dirigido ésta investigación es a pequeñas y medianas
empresas que cuentan con sistema de redes informáticas y que deseen
implementar seguridad a bajo costo. Para ello fue necesario realizar un estudio
previo a través de la herramienta de investigación: encuesta; para poder conocer
la situación actual de las empresas sobre el tema de seguridad de redes.
La encuesta fue realizada en el área geográfica de Santa Tecla, Ciudad Merliot,
Antiguo Cuscatlán, por ser estos los municipios más industrializados del país,
pudiéndose encontrar un gran número de empresas a las cuales poder encuestar,
11
tomando en cuenta los requisitos de: ser pequeñas o medianas y que posean
redes informáticas.
1.5.2.2 DEL ESTUDIO DE APLICACIONES
En cuanto a los software de seguridad para redes informáticas tanto open source
como propietario que se investigaron fueron: Antivirus-Spam, Firewall, Proxy,
Criptografía, Escáneres de vulnerabilidades, Monitoreo de red y Sistema de
detección de intrusos; existentes el mercado local y en Internet.
1.6 METODOLOGIA DE LA INVESTIGACION
1.6.1 POBLACION A INVESTIGAR
La población que se tomó para realizar la investigación de campo fueron
pequeñas y medianas empresas que poseen redes informáticas del área
geográfica delimitada en el apartado 1.5.2.1.
1.6.2 RECOLECCION DE DATOS DE LA INVESTIGACION 1.6.2.1 DATOS PRIMARIOS
Para el desarrollo de la investigación de campo se utilizó la encuesta como
herramienta de recolección de datos, con el fin de conocer la realidad y la
percepción de la población encuestada acerca del tema de seguridad en redes
informáticas y su importancia en el mundo transaccional.
1.6.2.2 DATOS SECUNDARIOS
Como complemento se realizaron entrevistas, a personal técnico y conocedores
del tema de seguridad en redes y open source. También se visitaron empresas
que ofrecen o desarrollan software para seguridad de redes, con el fin de conocer
la tecnología que hay en el mercado Salvadoreño, cuales son las marcas que más
son utilizadas y que áreas son a las que se les brinda mayor protección.
12
1.6.2.3 INVESTIGACION DE CAMPO
Para la recolección de datos se utilizó la herramienta de investigación: encuesta,
la cuál fue dirigida a personal de pequeñas y medianas empresas, sean estos
dueños, empleados técnicos, consultores o encargados de sistemas. El fin que se
persigue a través de la encuesta es conocer cuantas empresas poseen seguridad
en sus redes, la protección brindada, el tipo de tecnología que utilizan, e identificar
el grado de conocimiento que poseen acerca del software open source, así como
también si estarían dispuestos a utilizarlos como una herramienta alternativa para
protección. La encuesta consta de 12 preguntas.
Se solicitó a FUSADES y a otras instituciones dedicadas a la investigación, lista de
las medianas y pequeñas empresas situadas en el área de Santa Tecla, Ciudad
Merliot y Antiguo Cuscatlán, así como también los criterios de estratificación que
éstas le han otorgado a dichas empresas, de esta manera se obtuvo la referencia
de empresas a las cuales se les pasó la encuesta, sin embargo instituciones
como: AMPES, CONACYT, PYMES no otorgaron dicha información. Por lo que se
tomó la determinación de encuestar a las empresas de la lista brindada por
FUSADES.
La estratificación que FUSADES4 presenta en cuanto al tamaño de las empresas
es el siguiente:
TAMAÑO EMPLEADOS ACTIVO TOTAL NO EXCEDA
MICRO 1-10 $11,500 PEQUEÑA 11-19 $85,700 MEDIANA 20-99 $228,600 GRANDE + DE 100 > de $228,600
4 Encuesta dinámica Empresarial, julio – septiembre de 2004, FUSADES
13
1.6.2.4 TAMAÑO DE LA MUESTRA
Para el área geográfica seleccionada existen 1,500 medianas y pequeñas, por lo
que este será el universo para determinar el tamaño de la muestra, por lo que se
usará la formula para población finita.
n = Z2 . P . Q . N_____ (N-1) . E2 + P . Q . Z2
Donde:
El nivel de confianza es de 90%, Z = 1.64
P = 50%
Q = 50%
N = 1,500
E = 10% (Error permitido)
n = _____(1.64)2 . (0.5) (0.5) (1500)______ (1500-1) (0.1)2 + (0.5) (0.5) (1.64)2
n = __1008.6__ 15.6624 n = 65
El tamaño de la muestra fue de 65, pero que al momento de pasarla se delimitó,
ya que no todas las empresas cumplían con los requisitos necesarios para ser
sujetos de encuestar; es por ello que se redujo la muestra a 50 empresas
encuestadas, que a criterio es una representación del total de empresas que
cumplieron los requisitos y que fueron seleccionadas de la lista que proporcionó
FUSADES.
14
1.7 METODOLOGIA DEL ESTUDIO DE APLICACIONES 1.7.1 POBLACION A INVESTIGAR
Para realizar el estudio de las aplicaciones, se definieron áreas de estudio para
seguridad de redes, las cuales son: Antivirus-Spam, Firewall, Proxy, Criptografía,
Escáneres de Vulnerabilidades, Monitoreo de Red y Sistema de detección de
intrusos. Dentro de estas áreas, se escogieron diferentes aplicaciones Open
source, que fueron comparadas con software propietario que cumplieran con los
mismos criterios de seguridad que las aplicaciones Open source.
1.7.2 RECOLECCION DE DATOS
1.7.2.1 DATOS PRIMARIOS
Para el estudio de las aplicaciones seleccionadas se visitó la página Web del
movimiento Open Source y otras páginas relacionadas al tema como
sourceforge.net, movimiento GNU, para así determinar de acuerdo a las áreas
definidas cuáles son los software más indicados para el estudio. Lo que se analizó
dentro de sus sitios Web fue la información brindada, como versiones, cambios,
características, funcionabilidad, compatibilidad con otros software y sistemas, así
como los manuales de usuario, de implementación, etc.
1.7.2.2 DATOS SECUNDARIOS
Otra fuente de documentación fueron: libros, revistas, publicaciones, comentarios,
y sitios Web relacionados con el tema de seguridad informática. También
entrevistas o visitas a empresas que trabajan con software open source, para
conocer sus apreciaciones en cuanto al tema.
1.7.2.3 ESTUDIO DE APLICACIONES
En vista de que el tema de seguridad para redes actualmente está cobrando
mucha importancia y resulta ser un tema muy amplio fue necesario definir áreas
15
específicas de estudio, que permitan abarcar la mayoría de aspectos de
seguridad. Estas áreas son las definidas en el apartados 1.5.2.2
Definidas las áreas de estudio se procedió a obtener un listado final de software
para cada área, la cuál fue necesario realizar una serie de depuraciones, descritos
en los siguientes pasos:
El primer pasó fue la visita de las páginas Web relacionadas al tema como son: el
sitio oficial del open source, comunidad sourceforge, organización GNU, dentro de
las cuales se encuentran directorios de software, que permitió conocer sus
nombres y así poder clasificarlos dentro de las áreas de estudio. Asimismo se
buscó software propietario que cumpla con las funciones de seguridad, a través de
las visitas realizadas a las empresas y las recomendaciones encontradas en
Internet.
Como segundo paso se identificó los software que son los más utilizados y que
poseen mejores rating; posteriormente se realizó una depuración con base a los
comentarios encontrados en Internet, así como de opiniones por conocedores del
tema.
El tercer paso fue la visita a las páginas Web de los software de la lista de
obtenida en el paso 2, con la finalidad de conocer más acerca de sus
características, utilidades, funcionabilidad, compatibilidad, información de soporte
brindada, obteniendo de esta manera un nuevo listado de acuerdo a los software
que poseen mayor información.
Ya definido los software, se realizó un estudio tomando como base la
configuración e implementación de los programas, manuales y guías de
referencias y aspectos generales que ayudaron a comprender las herramientas;
de esta manera se resumió el funcionamiento del software y se presentó las
principales características que cada software ofrece.
16
1.8 RESULTADOS DE LA INVESTIGACION
PREGUNTA 1 ¿CUANTAS PC'S TIENE CONECTADAS EN RED EN SU EMPRESA?
PC's De 1 a 5 13 de 6 a 10 12 de 11 a 15 6 de 16 a 20 14 mas de 20 5 TOTAL 50
ANALISIS: De 50 medianas y pequeñas empresas entrevistadas, 13 respondieron que
poseen entre 2 y 5 computadoras conectadas en red, lo que representa un
26%; 12 respondieron que poseen entre 6 y 10 computadoras conectadas en
red, lo que representa un 24%; 6 respondieron que poseen entre 11 y 15
computadoras conectadas en red, lo que representa un 12%; 14 respondieron
que poseen entre 16 y 20 computadoras conectadas en red, lo que representa
un 28%; 5 respondieron que poseen más de 20 computadoras conectadas en
red, lo que representa un 10%.
Se analiza que la mayoría de las empresas encuestadas poseen un número
considerables de computadoras conectadas en red, por lo que es importante
la seguridad en ellas, con el objetivo de proteger la información de sus
operaciones.
17
PREGUNTA 2 ¿POSEE SEGURIDAD EN SU RED?
Si 23 No 27
TOTAL 50
ANALISIS: 27 empresas respondieron que no tienen seguridad en su redes, lo que
representa un 54%, y 23 empresas respondieron si poseer seguridad, esto
representa un 46%.
Se analiza que mas de la mitad de las empresas encuestadas no poseen
seguridad en sus redes, a pesar de tener un número considerable de
computadoras conectadas y de manejar información importante.
18
PREGUNTA 3
¿ESPECIFÍQUE PORQUE NO POSEE SEGURIDAD EN SU RED?
Costos Elevados 16 No es necesario 11 TOTAL 27
ANALISIS: De las 27 empresas que no poseen seguridad en su redes, 16 respondieron
que es debido a los costos elevados y 11 consideran que no es necesaria la
seguridad en sus redes.
Esta pregunta fue elaborada solamente a empresas que en la pregunta
anterior respondieron que no poseían seguridad en sus redes; se puede
analizar que para las pequeñas y medianas empresas los costos de
adquisición de software para seguridad son elevados y al mismo tiempo
existen empresas que no conocen la importancia de la seguridad en sus
redes.
19
PREGUNTA 4
¿QUÉ TIPO DE SEGURIDAD POSEE EN SU RED?
Hardware 0 Software 12 Ambas 11 TOTAL 23
ANALISIS:
De las 23 empresas que si poseen seguridad, 12 respondieron que tienen
seguridad de software y 11 respondieron que posen seguridad de Hardware y
de Software.
Esta pregunta fue elaborada solamente a empresas que en la pregunta
número 2 respondieron que sí poseían seguridad en sus redes; sí se toma en
cuenta el total del las encuestas realizadas, se puede analizar que una cuarta
parte del total de las empresas poseen conciencia de la importancia de la
seguridad, ya que estas se protegen tanto en lo físico como en lo lógico.
20
PREGUNTA 5
¿QUÉ TIPO DE APLICACIONES PARA SEGURIDAD EN LA RED TIENE INSTALADAS?
Antivirus 23 Antispam 17 Cortafuegos 12 Criptografia 2 Proxys 2 IDS 0 Monitoreo de Red 8
ANALISIS:
Esta pregunta es de respuesta múltiple por lo que la gráfica representa las
respuestas obtenidas. Se puede observar que las 23 empresas poseen
antivirus, 17 poseen antispam, 12 poseen cortafuegos, 2 tienen Herramientas
de criptografía al igual que proxys, 8 poseen herramientas de monitoreo de
red, y ninguna posee sistema de detección de intrusos.
21
PREGUNTA 6
MENCIONE LAS MARCAS DE LAS HERRAMIENTAS SELECCIONADAS
ANALSIS:
Esta respuesta no puede ser graficada ya que por ser una pregunta abierta
tienen múltiples respuestas. Entre las marcas mencionadas están:
Norton Panda
AVG free Firewall de Windows
ZoneAlarm las mas reconocidas
McAfee las que traen Windows
Adware
22
PREGUNTA 7
A SU CRITERIO, ¿COMO CONSIDERA EL COSTO QUE PAGÓ POR LAS APLICACIONES?
Muy Alto 1 Alto 4 Razonable 18 Bajo 0 TOTAL 23
ANALISIS:
De las 23 empresas que si poseen seguridad, 1 empresa considera muy alto
el precio que pagó por las aplicaciones, 4 consideran que lo que pagaron fue
alto, 18 lo consideran razonable y ninguna respondió que consideraba un bajo
costo, por lo pagado en la aplicaciones.
Se analiza que las empresas que encuentran razonable el precio que pagaron
por sus aplicaciones son las medianas, ya que estas poseen un nivel de
ingresos mayor, y pueden invertir en la seguridad de redes.
23
PREGUNTA 8
¿QUÉ CRITERIOS UTILIZÓ PARA COMPRAR Y UTILIZAR LAS APLICACIONES?
Precio 1 Marca 2 Estabilidad 10 Recomendación 12 Utilidad 2 Otros 1
ANALISIS:
Esta pregunta es de opción múltiple, por lo que, una empresa podía
seleccionar 2 o más opciones presentadas. La gráfica muestra que lo que
más les importa a las empresas a la hora de comprar aplicaciones para
seguridad en redes son las recomendaciones de personas conocedoras y la
estabilidad que brinda el software.
0 2 4 6 8 10 12
Respuestas
1
Empresas
CRITERIOS DE COMPRA
Otros
UtilidadRecomendacion
EstabilidadMarcaPrecio
24
PREGUNTA 9
¿HA SUFRIDO ALGÚN TIPO DE ATAQUE EN SU RED?
Si 33 No 17 TOTAL 50
ANALISIS:
En está pregunta se retomó el total de las empresas encuestadas (50).
33 empresas respondieron que si han tenido algún tipo de ataque o
problemas en sus redes, esto representa un 66% y 17 empresas respondieron
que no ha sufrido ningún tipo de ataques, lo cual representa un 34 %.
Se analiza que las empresas que no han sufrido ataques en sus redes son las
que poseen seguridad en ellas.
Entre los tipos de ataques que se han reportado se encuentran: virus,
troyanos, spam y en menor grado han tenido problema de Hackers y perdida
de información.
25
PREGUNTA 10
¿CONÓCE USTED QUE ES OPEN SOURCE?
Si 12 No 38 TOTAL 50
ANALISIS:
12 empresas respondieron si conocer acerca de lo que es Open source, lo
cual representa un 24%; así mismo 38 empresas respondieron no saber
acerca de Open source, lo cual representa un 76%.
Se analiza que el tema de Open source no es muy conocido a nivel local ya
que por una parte las marcas comerciales o propietarias tienen dominado un
sector del mercado, y por otra parte existe un pobre conocimiento de otras
herramientas como Open source, que brindan seguridad.
26
PREGUNTA 11
¿HA TRABAJADO CON TECNOLOGÍA OPEN SOURCE?
Si 3 No 9 TOTAL 12
ANALISIS:
Esta pregunta la respondieron las empresas que en la respuesta anterior
contestaron, que si conocen que es Open Source.
Solamente 3 empresas trabajan o han trabajado con esta tecnología y 9
respondieron que no han trabajado con ella.
Se analiza que existe poco conocimiento de lo que es tecnología Open source
es por ello las empresas aun no han trabajado con ésta tecnología.
27
PREGUNTA 12
¿ESTARÍA DISPUESTO A UTILIZAR ESTE TIPO DE TECNOLOGÍA PARA SEGURIDAD EN SU RED?
Si 39 No 11
TOTAL 50
ANALISIS:
Del total de las empresas encuestadas y después de una breve explicación de
lo que es Open source, 39 empresas contestaron estar dispuestas a utilizar
esta tecnología, lo cual representa un 78%; y 11 empresas contestaron no
estar dispuestas a utilizar esta tecnología, lo cual representa un 12%.
Entre las respuestas de porque las empresas que si están dispuestas a
utilizar Open source, se encuentran: consideran que primero deben probar el
software; conocer sus utilidades y beneficios; así como también conocer que
confiabilidad y estabilidad brindan.
Las empresas que respondieron que no están dispuestas a utilizarla es
porque no conocen que tipo de confiabilidad ofrecen y porque no poseen
soporte.
05
10152025303540
Empresas
Si No
UTILIZARIA OPEN SOURCE
28
1.9 LIMITANTES
Dentro de las limitaciones encontradas al momento de la investigación están:
No se obtuvo acceso a información de listado de empresas en ciertas
instituciones tales como: AMPES, PYMES, CONACYT. Esto no permitió
obtener una lista más certera de las medianas y pequeñas empresas que
existen en Santa Tecla, Ciudad Merliot y Antiguo Cuscatlán.
Se encontró con complicaciones para poder determinar el tamaño de la
muestra mediante la formula correspondiente, debido a que no se tiene un
dato detallado de las medianas y pequeñas empresas que poseen redes
informáticas, por ello se tuvo que analizar y visitar las empresas de la lista
proporcionada por FUSADES para identificar cuáles de estás si poseen
redes.
Algunas empresa no cuentan con personal fijo en el área de sistemas por lo
que costo contactarlos, para poder contestar la encuesta.
La falta de documentación bibliográfica que sustente el marco teórico y el
estudio del tema open source.
29
CAPITULO 2
MARCO TEÓRICO 2.1 REDES INFORMATICAS
Las redes en general consisten en compartir recursos y uno de sus objetivos es
hacer que los programas, datos y equipos estén disponibles para cualquier
usuario, sin importar la localización física del recurso y del usuario.
2.1.1 QUE ES UNA RED
A continuación se presenta una definición de red informática:
“Es un conjunto de dispositivos físicos "hardware" y de programas "software",
mediante el cual podemos comunicar computadoras para compartir recursos
(discos, impresoras, programas, etc.) así como trabajo (tiempo de cálculo,
procesamiento de datos, etc.)5
5 http://www.monografias.com/trabajos11/reco/reco.shtml, (visitado el 31/01/2006)
En otras palabras se puede definir a una red informática como la conexión entre 2
ó más computadoras a través de las cuales se puede compartir recursos e
información.
Una red tiene tres niveles de componentes: software de aplicaciones, software de
red y hardware de red.
El software de aplicaciones está formado por programas informáticos que se
comunican con los usuarios de la red y permiten compartir información (como
30
archivos de bases de datos, de documentos, gráficos o vídeos) y recursos (como
impresoras o unidades de disco).
El software de red consiste en programas informáticos que establecen
protocolos, o normas, para que las computadoras se comuniquen entre sí. Estos
protocolos se aplican enviando y recibiendo grupos de datos formateados
denominados paquetes. Los protocolos indican cómo efectuar conexiones lógicas
entre las aplicaciones de la red, dirigir el movimiento de paquetes a través de la
red física y minimizar las posibilidades de colisión entre paquetes enviados
simultáneamente.
El hardware de red está formado por los componentes materiales que unen las
computadoras. Dos componentes importantes son los medios de transmisión que
transportan las señales de las Pc’s y el adaptador de red, que permite acceder al
medio material que conecta a las Pc’s, recibir paquetes desde el software de red y
transmitir instrucciones y peticiones a otras computadoras.
2.1.2 CLASIFICACION DE REDES Redes LAN.
Las redes de área local (Local Área Network) son redes de computadoras cuya
extensión es del orden de entre 10 metros a 1 kilómetro. Son redes pequeñas,
habituales en oficinas, colegios y empresas pequeñas, que generalmente usan la
tecnología de broadcast, es decir, aquella en que a un sólo cable se conectan
todas las máquinas. Como su tamaño es restringido, el peor tiempo de transmisión
de datos es conocido, siendo velocidades de transmisión típicas de LAN las que
van de 10 a 100 Mbps (Megabits por segundo).
31
Redes WAN.
Las redes de área amplia (Wide Área Network) tienen un tamaño superior a una
MAN, y consisten en una colección de host o de redes LAN conectadas por una
subred. Esta subred está formada por una serie de líneas de transmisión
interconectadas por medio de routers, aparatos de red encargados de rutear o
dirigir los paquetes hacia la LAN o host adecuado, enviándose éstos de un router
a otro. Su tamaño puede oscilar entre 100 y 1000 kilómetros.
2.1.2.1 TOPOLOGIAS DE REDES6
Topología de red es la forma en que se distribuyen los cables de la red para
conectarse con el servidor y con cada una de las estaciones de trabajo. La
topología determina donde pueden colocarse las estaciones de trabajo, la facilidad
con que se tenderá el cable y el corte de todo el sistema de cableado. A
continuación se presentan las topologías más comunes:
Topología en Estrella:
Todos los elementos de la red se encuentran conectados directamente mediante
un enlace punto a punto al nodo central de la red, quien se encarga de gestionar
las transmisiones de información por toda la estrella. En este caso, todos los
cables están conectados hacia un solo sitio, esto es, un panel central.
Figura 2.1 Topología en Estrella
6 http://www.monografias.com/trabajos11/reco/reco.shtml, (visitado el 31/01/2006)
32
Topología en Bus:
En esta topología, los elementos que constituyen la red se disponen linealmente,
es decir, en serie y conectados por medio de un cable; el bus. Las tramas de
información emitidas por un nodo (terminal o servidor) se propagan por todo el bus
(en ambas direcciones), alcanzado a todos los demás nodos. Cada nodo de la red
se debe encargar de reconocer la información que recorre el bus, para así
determinar cual es la que le corresponde, la destinada a él.
Figura 2.2 Topología en Bus
Topología en Anillo:
Los nodos de la red se disponen en un anillo cerrado, conectados a él mediante
enlaces punto a punto. La información describe una trayectoria circular en una
única dirección y el nodo principal es quien gestiona conflictos entre nodos al
evitar la colisión de tramas de información. La topología de anillo esta diseñada
como una arquitectura circular, con cada nodo conectado directamente a otros dos
nodos. Toda la información de la red pasa a través de cada nodo hasta que es
tomado por el nodo apropiado.
Figura 2.3 Topología en Anillo
33
2.1.3 DISPOSITIVOS DE REDES
NIC/MAU (Tarjeta de red)
"Network Interface Card" (Tarjeta de interfaz de red) o "Medium Access Unit"
(Medio de unidad de acceso). Cada computadora necesita el "hardware" para
transmitir y recibir información. Es el dispositivo que conecta la computadora u otro
equipo de red con el medio físico. La NIC es un tipo de tarjeta de expansión de la
computadora y proporciona un puerto en la parte trasera de la PC al cual se
conecta el cable de la red.
Figura 2.4 Tarjeta de Red
Servidores
Son equipos que permiten la conexión a la red de equipos periféricos tanto para la
entrada como para la salida de datos. Estos dispositivos se ofrecen en la red como
recursos compartidos. Así un terminal conectado a uno de estos dispositivos
puede establecer sesiones contra varios ordenadores multiusuario disponibles en
la red.
Módems
Son equipos que permiten a las computadoras comunicarse entre sí a través de
líneas telefónicas; modulación y demodulación de señales electrónicas que
pueden ser procesadas por computadoras. Los Módems pueden ser externos (un
dispositivo de comunicación) o interno (dispositivo de comunicación interno o
tarjeta de circuitos que se inserta en una de las ranuras de expansión de la
computadora).
34
Figura 2.5. Módem
Hubs (Concentradores)
Son equipos que permiten estructurar el cableado de las redes. La variedad de
tipos y características de estos equipos es muy grande. En un principio eran solo
concentradores de cableado, pero cada vez disponen de mayor número de
capacidad de la red, gestión remota, etc. La tendencia es a incorporar más
funciones en el concentrador.
Figura 2.6 Hubs.
Repetidores
Son equipos que actúan a nivel físico. Prolongan la longitud de la red uniendo dos
segmentos y amplificando la señal, pero junto con ella amplifican también el ruido.
La red sigue siendo una sola, con lo cual, siguen siendo válidas las limitaciones en
cuanto al número de estaciones que pueden compartir el medio.
Bridges (Puentes)
Son equipos que unen dos redes actuando sobre los protocolos de bajo nivel, en
el nivel de control de acceso al medio. Solo el tráfico de una red que va dirigido a
la otra atraviesa el dispositivo. Esto permite a los administradores dividir las redes
en segmentos lógicos, descargando de tráfico las interconexiones. Los bridges
producen las señales, con lo cual no se transmite ruido a través de ellos.
35
Figura 2.8 Bridges.
Routers (Encaminadores)
Son equipos de interconexión de redes que actúan a nivel de los protocolos de
red. Permite utilizar varios sistemas de interconexión mejorando el rendimiento de
la transmisión entre redes. Su funcionamiento es más lento que los bridges pero
su capacidad es mayor. Permiten, incluso, enlazar dos redes basadas en un
protocolo, por medio de otra que utilice un protocolo diferente.
2.1.4 PROTOCOLOS DE COMUNICACION
Un protocolo es el conjunto de normas para comunicarse dos o más entidades.
Los elementos que definen un protocolo son:
Sintaxis: formato, codificación y niveles de señal de datos.
Semántica: información de control y gestión de errores.
Temporización: coordinación entre la velocidad y orden secuencial de las
señales.
2.1.4.1 DESCRIPCION DE PROTOCOLOS DE COMUNICACION
Actualmente existen protocolos para cualquier tipo de comunicación. Algunos de
los protocolos más conocidos y ampliamente difundidos son:
NetBIOS (Network Basic Input/Output System)
Se diseñó para proporcionar una interfaz de programación normalizada entre las
aplicaciones software y hardware de red, de forma que las aplicaciones pudieran
36
portarse entre sistemas con mayor facilidad. Es el protocolo más sencillo y está
compuesto por menos de 20 comandos que se ocupan del intercambio de datos.
NetBEUI
NetBIOS Extended User Interface o Interfaz de Usuario para NetBIOS es una
versión mejorada de NetBIOS que sí permite el formato o arreglo de la información
en una transmisión de datos.
TCP/IP
TCP (Transmission Control Protocol o protocolo de control de transmisión) e IP
(Internet Protocol o protocolo Internet).
TCP. Controla la división de la información en unidades individuales de
datos (llamadas paquetes) para que estos paquetes sean encaminados de
la forma más eficiente hacia su punto de destino. En dicho punto, TCP se
encargará de reensamblar dichos paquetes para reconstruir el fichero o
mensaje que se envió.
IP. Define la base de todas las comunicaciones en Internet. Es utilizado por
los protocolos del nivel de transporte para encaminar el datagrama, sin
comprobar la integridad de la información que contiene. El protocolo IP
identifica a cada equipo que se encuentre conectado a la red mediante su
correspondiente dirección. La dirección es un número de 32 bits que debe
ser único para cada Host, y normalmente suele representarse como cuatro
cifras de 8 bits separadas por puntos. Las direcciones se dividieron en
cuatro clases:
CLASE A. son las que en su primer byte tienen un valor entre 1 y 126
CLASE B. utilizan en su primer byte un valor comprendido entre 128 y
191.
CLASE C. El primer byte tendrá que estar comprendido entre 192 y 223.
CLASE D. Las direcciones de Clase D se usan para multienvío de IP.
37
El multienvío permite distribuir un mismo mensaje a un grupo
de computadoras dispersas por una red. Las direcciones de
Clase D empiezan con un número entre 224 y 239.
Existe otra Clase de direcciones: la E que se ha reservado para uso
experimental. Comienzan con un número entre 240 y 255.
2.1.5 MODELOS OSI Y TCP/IP
2.1.5.1 MODELO OSI
El modelo OSI (Open System Interconection) fue creado por el ISO (Internacional
Standard Organization), y consiste en 7 niveles o capas. Es usado para describir
el uso de datos entre la conexión física de la red y la aplicación del usuario final.
Los 7 niveles del modelo OSI son los siguientes:
Figura 2.10 Modelo de referencia OSI.
Capa 7.- La capa de Aplicación funciona como el acceso a los servicios que
proporciona la red, así como de proporcionar al sistema operativo servicios como
el de la transferencia de archivos.
38
Capa 6.- La capa de Presentación es la que provee una interfase para realizar la
transferencia de datos que sea idéntica de la tecnología para representarlos. Los
datos pueden representarse en varias formas, lo que define como usar los datos y
como mostrarlos es la arquitectura del sistema, así que la capa de presentación se
encarga de esto.
Capa 5.- La capa de sesión tiene la responsabilidad de asegurar la entrega
correcta de la información. Esta capa tiene que revisar que la información que
recibe esta correcta; para esto, la capa de sesión debe realizar algunas funciones:
la detección y corrección de errores, el controlar los diálogos entre dos entidades
que se estén comunicando y definir los mecanismos para hacer las llamadas a
procedimientos remotos.
Capa 4.- La capa de transporte vincula las capas de host con las capas orientadas
a la red; permite la cohesión entre el host y la red, su función es la de asegurar
una entrega confiable de la información a través de la red.
Capa 3.- Incluye dos cosas fundamentales: la capa de Red se encarga de
determinar las rutas adecuadas para llevar la información de un lado a otro
(proporciona el enrutamiento); además, su funcionalidad es la de proporcionar una
interfase para que la transferencia de datos sea idéntica de la tecnología del
enlace de datos.
Capa 2.- La función de la capa dos es la de asegurar la transferencia de datos
libres de error entre nodos adyacentes (sincronización a nivel de datos), además
establece el control de acceso al medio. La capa de enlace de datos está dividida
en dos subcapas: el control de acceso al medio (MAC) y el control de enlace
lógico (LLC). Los puentes (bridges) operan en la capa MAC.
Capa 1.- Define las características físicas del medio de transmisión; de tipo
mecánico, eléctrico y óptico (esto es, el tipo de medio a utilizar, el tamaño o forma
39
de los conectores, el grosor del cable, el tipo de cable, puede ser fibra óptica,
cable coaxial, el tipo de aislante, el voltaje de la interfase, la imperancia -
resistencia - nominal, etc.).
2.1.5.2 TCP / IP
TCP/IP es el estándar de la industria de los protocolos de transferencia de datos
para los niveles de red y transporte del modelo OSI. Un aspecto único del modelo
es el método de diseño, ya que es desarrollado por un grupo de voluntarios Ad
hoc.
Figura 2.12 Modelo de referencia TCP /IP
La capa de aplicación proporciona los distintos servicios de Internet: correo
electrónico, páginas Web, FTP, TELNET. Corresponde a los niveles OSI de
aplicación, presentación y sesión.
La capa de transporte (protocolos TCP y UDP) ya no se preocupa de la ruta que
siguen los mensajes hasta llegar a su destino. Sencillamente, considera que la
comunicación extremo a extremo está establecida y la utiliza. Además añade la
noción de puertos.
La capa de red define la forma en que un mensaje se transmite a través de
distintos tipos de redes hasta llegar a su destino. El principal protocolo de esta
capa es el IP. Esta capa proporciona el direccionamiento IP y determina la ruta
40
óptima a través de los encaminadores (routers) que debe seguir un paquete desde
el origen al destino.
Capa de acceso a la red. Determina la manera en que las computadoras envían y
reciben la información a través del soporte físico proporcionado por la capa
anterior. Es decir, una vez que se tiene cable, ¿cómo se transmite la información
por ese cable? ¿Cuándo puede una estación transmitir? ¿Cómo sabe una
estación que un mensaje es para ella?, son todos estos puntos los que resuelven
esta capa.
Capa física. Aquí se refiere al medio físico por el cual se transmite la información.
Generalmente será un cable.
2.1.5.2.1 FAMILIA DE PROTOCOLOS TCP/IP
El protocolo TCP IP no es un único protocolo, sino que realmente es un conjunto
de protocolos que cubre los distintos niveles del modelo OSI.
Figura 2.11 Familia de Protocolos TCP /IP
ARP (El Address Resolution Protocol). Convierte las direcciones IP en
direcciones de la red física. El protocolo consigue la dirección mediante la
difusión de un paquete de petición ARP que contiene la dirección IP del sistema
destinatario.
41
RARP (Reverse Address Resolution Protocol). Trabaja en forma inversa, es
decir que obtiene la dirección IP a partir de una dirección física.
SLIP. (Serial Link Internet Protocol). Brinda una conexión de velocidad, con la
posibilidad de admitir varias conexiones simultáneas con un mismo módem.
PPP. (Point to Point Protocol). Proporciona un método de enlace bidireccional
full dupléx para transportar datagramas multiprotocolo sobre enlaces simples.
Esté esta dividido en 2 subprotolocos:
LCP (Link Control Protocol). Es el encargado de comenzar una conexión,
definir como se producirá el intercambio de datos y de finalizar la conexión.
NCP (Network Control Protocol). Se encarga de negociar y configura las
opciones de los diferentes protocolos de red, abriéndolos de a uno por vez.
IPX/SPX (Internetwork packet Exchange-Sequenced packet Exchange).
Protocolo de nivel de red propietario de NetWare para el sistema operativo Novell,
siendo utilizado en las redes LAN.
UDP (User Datagram Protocol). Protocolo de datagrama de usuario proporciona
una comunicación muy sencilla entre las aplicaciones de dos ordenadores. UDP
utiliza el protocolo IP para transportar sus mensajes.
ICMP (Internet Control Message Protocol). Es de características similares al
UDP, pero con un formato aún más simple. Su utilidad está en los mensajes de
error y de control necesario para los sistemas de la red.
FTP (File Transfer Protocol). Brinda el servicio de transferencia de archivos. El
FTP permite acceder a algún servidor que disponga de este servicio y realizar
tareas tales como moverse a través de su estructura de directorios, ver y
descargar archivos al PC local.
42
HTTP (HiperText Transfer Protocol). Es la base de toda comunicación
desarrollada en la Web. Es un protocolo de aplicación para sistemas de
información distribuidos, e hipermediático. Está orientado a objetos.
SMTP. El servicio de correo electrónico se proporciona a través del Protocolo
Simple Mail Transfer Protocol y permite enviar mensajes.
NNTP (Network News Tranfer Protocol). Fue diseñado para permitir la
distribución, solicitud, recuperación y envío de noticias (News).
2.1.6 PUERTOS DE COMUNICACIÓN
Un puerto es un número de 16 bits, en el caso de Internet viene dado por la
dirección IP y por el número de puerto. Entre los puertos más utilizados y
conocidos están:
PUERTO APLICACIÓN PROTOCOLO DESCRIPCION 20 FTP-Data TCP/UDP Transferencia de archivos
21 FTP TCP Control Transferencia Archivos
23 TELNET TCP/UDP Servicio remoto
25 SMTP TCP/UDP Envió de correos electrónicos
53 DNS TCP/UDP Servidor de Nombres de Dominios
70 Ghoper TCP/UDP
79 Finger TCP/UDP
80 WWW-HTTP TCP/UDP World Wide Web
110 POP3 TCP/UDP Recepción de Correos
119 UseNet TCP Newsgroups de usuarios.
137 Net Bios UDP
197 IRC TCP/UDP Chat
443 HTTPS TCP/UDP Http seguro vía SSL.
750 Kerberos TCP/UDP
Cuadro 2.1 Puertos de comunicación más utilizados.
43
2.1.6.1 CLASIFICACION DE PUERTOS
Existen más de 65,000 puertos diferentes, usados para las conexiones de Red.
Los puertos conocidos como "puertos IANA" son los 1024 primeros puertos
de la PC. La organización IANA (Internet Assigned Numbers Authority)
adjudicó a cada uno de estos puertos una utilidad, protocolo, para
estandarizar la comunicación. Son los más conocidos y usados.
Los puertos Registrados son aquellos comprendidos entre el 1025 y el
49151 sobre los cuales se han aplicado también programas, protocolos, etc.
pero sobre los cuales no pesa la estandarización de IANA.
Los puertos Dinámicos o Privados se encuentran entre el 49152 y el 65535.
Es decir, todos los restantes.
44
2.2 SEGURIDAD SEGURIDAD DE LA INFORMACIÓN es el estudio de los
métodos y medios de protección de los sistemas de
información y comunicaciones frente a revelaciones,
modificaciones o destrucciones de la información, o ante
fallos de proceso, almacenamiento o transmisión de
dicha información, que tienen lugar de forma accidental o
intencionada.
Las propiedades que conforman la seguridad de los activos de información de una
organización o empresa son la confidencialidad, la integridad y la disponibilidad.
La confidencialidad tiene relación con la protección de información frente a
posibles accesos no autorizados, con independencia del lugar en que reside la
información o la forma en que se almacena. La información sensible o valiosa que
la organización custodia o maneja, necesita ser protegida mediante estrictas
medidas de control.
La integridad se refiere a la protección de información, datos, sistemas y otros
activos informáticos contra cambios o alteraciones en su estructura o contenido ya
sean intencionados, no autorizados o casuales.
La disponibilidad es la garantía de que los usuarios autorizados puedan acceder
a la información y recursos cuando los necesiten. La falta de disponibilidad se
manifiesta principalmente de dos formas:
1. La denegación, o repudio, del servicio debido a la falta de garantías de la
prestación del mismo, tanto por parte del prestador del servicio como del
solicitante o tomador (controles de identificación fehaciente, falta de
prestaciones de los equipos, congestión de líneas, etc.).
2. La pérdida de servicios de los recursos de información por causa de
catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.
45
2.2.1 DEFINICION DE SEGURIDAD
De acuerdo a lo anterior se puede llegar a la conclusión y definir la seguridad en:
Seguridad informática7: técnicas desarrolladas para proteger los equipos
informáticos individuales y conectados en una red frente a daños accidentales o
intencionados. Estos daños incluyen el mal funcionamiento del hardware, la
pérdida física de datos y el acceso a los datos por personas no autorizadas.
Seguridad en redes8: mantener bajo protección los recursos y la información
con que se cuenta en la red, a través de procedimientos basados en una política de seguridad tales que permitan el control de lo actuado.
2.2.2 ¿QUE SE QUIERE PROTEGER?
En cualquier sistema informático existen 3 elementos básicos a proteger: El
Hardware, Software y los datos.
Hardware: conjunto de todos los sistemas físicos del sistema informático:
CPU, cableado, Impresoras, monitores, componentes de comunicación.
Software: elementos lógicos que hacen funcional al hardware, sistemas
operativos, aplicaciones.
Datos: conjunto de información lógica que maneja el hardware y el
software, bases de datos, documentos, archivos.
2.2.3 AMENAZAS
Se define amenaza, en el entorno informático, cualquier elemento que
comprometa al sistema. Las amenazas pueden ser analizadas en tres momentos:
antes, durante y después del ataque.
7 Enciclopedia multimedia Encarta 2004, Articulo seguridad informática 8 Manual de Seguridad en redes. Por ARCERT. Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina
46
1. Prevención (ANTES), mecanismos que aumentan la seguridad de un
sistema durante su funcionamiento normal.
2. Detección (DURANTE), mecanismos orientados a revelar violaciones a la
seguridad.
3. Recuperación (DESPUES), mecanismos que se aplican, cuando la
violación del sistema ya se ha detectado, para retornar a su funcionamiento
original.
2.2.3.1 PERSONAS
Se define Intruso o atacante externo a la persona que accede o intenta acceder
sin autorización a un sistema ajeno, ya sea en forma intencional o no. Entre los
tipos de intrusos existentes, Julio C. Ardita9 los define de la siguiente manera:
CLASE A: el 80% en la base son los nuevos intrusos que bajan programas
de Internet y prueban.
CLASE B: el 12%, son más peligrosos, saben compilar programas aunque
no saben programar. Prueban programas, testean las vulnerabilidades del
sistema operativo e ingresan por ellas.
CLASE C: es el 5%. Es gente que sabe, que conoce y define sus objetivos.
A partir de aquí buscan todos los accesos remotos e intentan ingresar.
CLASE D: es el 3%, Cuando entran a determinados sistemas, buscan la
información que necesitan. Para llegar a este nivel tardan de 4 a 6 años.
GRAFICO 2.1 Tipos de intrusos. Fuente CybSec S.A.
9 Borghello, Cristian F. “Tesis Seguridad Informática: sus implicancias e implementación”, Capitulo 1, Pág. 9
Clase D 3%
Clase C 5%
Clase B 12%
Clase A 80%
47
2.2.3.1.1 EMPLEADOS
Debido a que los empleados se concentran en sus obligaciones laborales
específicas, generalmente suelen descuidar reglas estándar relacionadas con la
seguridad de la red. Por ejemplo, pueden elegir contraseñas que son fáciles de
recordar para poder conectarse a las redes fácilmente. Los empleados pueden
inconscientemente ocasionar otras violaciones a la seguridad, incluyendo la
exposición y difusión accidental de virus informáticos, instalar equivocadamente un
software.
También puede verse afectada la red por el personal descontento, existiendo la
posibilidad de que un miembro enojado puede dañar la red, siendo este grupo
peligroso porque tiene más conocimiento de la red, ubicación de la información,
etc.
Otra categoría que se puede generar para los empleados son los curiosos o
traviesos, estos participan en espionajes de la empresa, accediendo sin
autorización a datos confidenciales, privados, información financiera, entre otros.
2.2.3.1.2 HACKERS
Este término genérico y a menudo idealizado se aplica a los entusiastas de la
computación quienes acceden a las redes o computadoras de otras personas.
2.2.3.1.3 CRACKERS
Otros hackers, generalmente conocidos como “crackers”, son más perniciosos,
producen la paralización de sistemas informáticos íntegros, hurtan o estropean
información confidencial, descompaginan páginas Web y en última instancia
desestabilizan los negocios.
2.2.3.1.4 CURIOSOS
Son personas que tienen un alto interés en las nuevas tecnologías, pero aún no
tienen los conocimientos básicos. En la mayoría de los casos son estudiantes
48
intentando penetrar los servidores o empleados consiguiendo privilegios para
obtener información. 2.2.3.2 AMENAZAS LOGICAS
Bajo la etiqueta de amenazas lógicas se encuentran todo tipo de programas que
de una forma u otra pueden dañar el sistema, creados de forma intencionada para
ello (software malicioso, también conocido como malware) o simplemente por error
(bugs o agujeros).
2.2.3.2.1 VIRUS
Los virus son programas informáticos generados por
programadores malintencionados y están diseñados para
que se reproduzcan solos e infecten a las computadoras
cuando un evento específico los active.
Un virus10 es una secuencia de código que se inserta en un fichero ejecutable
(denominado huésped), de forma que cuando el archivo se ejecuta, el virus
también lo hace, insertándose a si mismo en otros programas.
Existen diferentes tipos de virus, entre ellos están:
Virus de sobreescritura
Estos virus se caracterizan por destruir la información contenida en los
ficheros que infectan. Cuando infectan un fichero, escriben dentro de su
contenido, haciendo que queden total o parcialmente inservibles.
Gusanos (Worms)
Los gusanos se limitan a realizar copias de sí mismos a la máxima velocidad
posible, sin tocar ni dañar ningún otro fichero. Sin embargo, se reproducen a
10 Villalón Huerta Antonio. “Seguridad en Unix y redes, versión 2.1”, Julio 2002
49
tal velocidad que pueden colapsar por saturación las redes en las que se
infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a través
del correo electrónico, las redes informáticas. Ejemplos de gusanos:
PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson.
Troyanos o caballos de Troya
El objetivo básico de estos virus es la introducción e instalación de otros
programas en el ordenador, para permitir su control remoto desde otros
equipos.
Tienen la capacidad de eliminar ficheros o destruir la información del disco
duro. Pero además pueden capturar y reenviar datos confidenciales a una
dirección externa o abrir puertos de comunicaciones, permitiendo que un
posible intruso controle la computadora de forma remota. Ejemplos de
Troyanos: IRC.Sx2, Trifor.
2.2.3.2.2 CORREO NO SOLICITADO (SPAM)
El término spam es comúnmente utilizado para referirse al correo electrónico no
solicitado o a la acción de difundir mensajes publicitarios no solicitados a través
del correo electrónico. El daño que el spam provoca puede cuantificarse
económicamente en horas de trabajo que se malgastan cada día en todo el mundo
y en el tráfico en el ancho de banda.
2.2.3.2.3 SPYWARE
Con este nombre se designa a todo tipo de software que, de forma encubierta,
utiliza la conexión con Internet para extraer datos e información sobre el contenido
de la PC.
50
Básicamente una aplicación de spyware lo que registra y envía es información
sobre hábitos de navegación en la red: las páginas Web que más frecuentemente
visitan, el tiempo de conexión a Internet, sistema operativo, tipo de procesador,
memoria.
2.2.3.2.4 DIALERS
Un dialer no es más que un pequeño programa encargado de marcar números
telefónicos que dan acceso a algún tipo de servicio.
Estos dilalers se utilizan para redirigir, de forma maliciosa, las conexiones mientras
se navega por Internet. Su objetivo es colgar la conexión telefónica que se está
utilizando en ese momento y establecer otra, marcando otro número de
tarificación especial. Esto supondrá un notable aumento del importe en la factura
telefónica.
2.2.3.2.5 BUGS
Los errores de programación se conocen como bugs (bichos en ingles). Todo el
software que esta instalado puede tener errores. Los bugs más preocupantes son
aquellos que afectan al sistema operativo de la computadora.
2.2.3.2.6 INGENIERIA SOCIAL
Es la manipulación de las personas para convencerlas de que ejecuten acciones o
actos que normalmente no realizan para que revele lo necesario para superar las
barreras de seguridad. Esta técnica es una de las más usada y efectivas a la hora
de averiguar nombres de usuarios y passwords.
2.2.4 ATAQUES
Se Podría definir como ataques todas aquellas acciones que supongan una
violación de la seguridad al sistema (confidencialidad, integridad o disponibilidad).
51
Dichas acciones se pueden clasificar de modo genérico según los efectos
causados:
Interrupción: un recurso del sistema es destruido o se vuelve no disponible.
Éste es un ataque contra la disponibilidad. Ejemplos de este ataque son los
Nukes, que causan que los equipos queden fuera de servicio.
Intercepción: una entidad no autorizada consigue acceso a un recurso. Éste
es un ataque contra la confidencialidad. Ejemplos de este ataque son la
obtención de datos mediante el empleo de programas troyanos o la copia
ilícita de archivos o programas (intercepción de datos), o bien la lectura de
las cabeceras de paquetes de datos para desvelar la identidad de uno o más
de los usuarios mediante el Spoofing o engaño implicados en la
comunicación intervenida (intercepción de identidad).
Modificación: una entidad no autorizada no sólo consigue acceder a un
recurso, si no que es capaz de manipularlo. Éste es un ataque contra la
integridad. Ejemplos de este ataque son la modificación de cualquier tipo en
archivos de datos, alterar un programa para que funcione de forma distinta.
Fabricación: una entidad no autorizada inserta objetos falsificados en el
sistema. Éste es un ataque contra la autenticidad. Ejemplos de este ataque
son la inserción de mensajes falsos en una red o añadir datos a un archivo.
2.2.4.1 TIPOS DE ATAQUES
Ataques pasivos: En los ataques pasivos el atacante no altera la comunicación, si
no que únicamente la escucha o monitoriza, para obtener de esta manera la
información que está siendo transmitida. Los ataques pasivos son muy difíciles de
detectar, ya que no provocan ninguna alteración de los datos.
52
Ataques activos: Estos ataques implican algún tipo de modificación de los datos o
la creación de falsos datos: Suplantación de identidad, modificación de mensajes,
Web Spoofing Etc.
2.2.4.1.1 ESCANEO DE PUERTOS
Consiste en buscar puertos abiertos y fijarse en los que puedan ser receptivos o
de utilidad. El escaneo tradicional consiste en seleccionar un rango de IPs y hacer
esas "llamadas" a unas direcciones IP consecutivamente.
Escaneo de conexión TCPconnect () Es el sistema más simple de escaneo de
puertos TCP. Si el puerto escaneado está abierto y a la escucha, devolverá
una respuesta de éxito; cualquier otra respuesta conlleva que el puerto no
está abierto o que no se puede establecer conexión con él.
Escaneo TCP reverse ident. El protocolo ident permite averiguar el nombre de
usuario y el dueño de cualquier servicio corriendo dentro de una conexión
TCP.
FTP bounce attack. El protocolo FTP permite lo que se llama conexión proxy
FTP. Es decir, conectarse a un FTP desde un servidor proxy y al hacer esto
establecer una conexión y enviar un archivo a cualquier parte de la Internet.
Escaneo UDP ICMP port unreachable. En esta técnica no se usa el protocolo
TCP, si no el UDP. Al llamar a un puerto, se encuentre éste abierto o no, no
tiene por qué devolver una respuesta.
Fingerprinting. Consiste en determinar qué sistema operativo tiene la PC
atacada. Lo normal es ir probando varias técnicas y, según reaccione la PC
de la víctima, determinar su sistema operativo.
53
Escaneo TCP SYN Se envía un paquete SYN (como si se fuera a solicitar una
conexión) y se espera por la respuesta. Al recibir un SYN/ACK se envía
inmediatamente un RST (reset) para terminar la conexión y se registra este
puerto como abierto.
Escaneo TCP FIN - Stealth Port Scanning (Escaneo invisible de puertos). Hay
veces en que incluso el escaneo SYN no es lo suficientemente discreto.
2.2.4.1.2 AUTENTIFICACION
Consisten en la suplantación de una persona con autorización por parte del
atacante. Se suele realizar de dos formas: obteniendo el nombre y contraseña del
atacado o suplantando a la víctima una vez ésta ya ha iniciado una sesión en su
sistema.
SIMULACIÓN DE IDENTIDAD. Es una técnica para hacerse con el nombre y
contraseña de usuarios autorizados de un sistema. El atacante instala un
programa que recrea la pantalla de entrada al sistema, cuando el usuario
intenta entrar en él teclea su login y password, el programa los captura. El
usuario cree que en el primer intento se equivocó al teclear, sin embargo, su
login y password han sido capturados por el atacante.
SPOOFING. (Engaño). Consiste en sustituir la fuente de origen de una serie
de datos adoptando una identidad falsa para engañar a un firewall o filtro de
red.
IP Spoofing Sustituir una IP. El atacante logra identificarse con una IP que no
es la suya, con lo que a ojos del atacado, el agresor es una tercera persona,
que nada tiene que ver en el asunto, en vez de ser el atacante real.
54
DNS Spoofing Sustituir a un servidor DNS (Domain Name Server) o dominio.
Se aprovecha de la capacidad de un servidor DNS resolver una petición de
dirección IP a partir de un nombre que no figura en su base de datos.
WEB SPOOFING. El atacante crea un sitio web (falso) permitiendo
monitorizar todas las acciones de la víctima: datos, contraseñas, números de
tarjeta de créditos, etc.
LOOPING. El intruso usualmente utiliza algún sistema para obtener
información e ingresar en otro, que luego utiliza para entrar en otro, y así
sucesivamente. Este proceso se llama looping y tiene como finalidad hacer
imposible localizar la identificación y la ubicación del atacante por la red.
2.2.4.1.3 DENEGACION DE SERVICIOS
Ataque de negación de servicio. Se produce la imposibilidad por parte de la
víctima de acceder y/o permitir el acceso a un recurso determinado.
JAMMING o FLOODING. Son ataques que saturan los recursos del sistema
dejándola sin memoria, sin espacio libre en el disco duro. Los ataques más
frecuentes a proveedores son usando el ping de la muerte (que bloquea el
equipo) o enviando miles de correos electrónicos saturando los sistemas.
SYN FLOOD. (Inundación con paquetes SYN) El Syn Flood es el más famoso
de los ataques tipo Denial of Service (DoS). Se basa en un "saludo" incompleto
entre los dos sistemas.
CONNECTION FLOOD. (inundación de la conexión) Se basa en la
característica de la mayoría de los proveedores de Internet (ISP) de tener un
tope máximo de conexiones simultaneas, que tras ser alcanzado no acepta
más conexiones.
55
NET FLOOD. (inundación de la red) En este ataque se envían tantas
solicitudes de conexión que las conexiones de los demás usuarios no pueden
llevarse a cabo.
2.2.4.1.4 CRACKING DE PASSWORD
Comprende la obtención por “fuerza bruta” de aquellas claves que permiten
ingresar a los sistemas, aplicaciones, cuentas, etc. Se realizan ataques
sistemáticos con la ayuda de programas especiales y “diccionarios que prueban
millones de posibles claves hasta encontrar la correcta.
USO DE DICCIONARIOS
Son archivos con millones de palabras, las cuales pueden ser posibles password
de los usuarios. El programa encargado probar cada una de las palabras encripta
cada una de ellas, mediante el algoritmo utilizado por el sistema atacado, y
compara la palabra encriptada contra el archivo de password del sistema atacado.
En el siguiente cuadro se muestra el tiempo de búsqueda de un password de
acuerdo a la longitud y tipo de caracteres utilizados. Se supone una velocidad de
búsqueda de 100.000 password por segundo.
CANTIDAD DE
CARACTERES
26-Letras
minúsculas
36- Letras y
dígitos
52- Mayúsculas y
minúsculas
96- Todos los
caracteres
6 51 minutos 6 horas 2.3 días 3 meses
7 22 horas 9 días 4 meses 24 años
8 24 días 10.5 meses 17 años 2,288 años
9 21 meses 32.6 años 890 años 219,601 años
10 45 años 1,160 años 45,840 años 21,081,705 años
Cuadro 2.2 Tiempo de respuesta para obtener password con uso de diccionarios.
56
2.2.5 HERRAMIENTAS DE SEGURIDAD
Una vez identificadas las potenciales fuentes de amenazas y los tipos de peligros
que pueden ocurrir, resulta mucho más fácil ordenar las políticas de seguridad y
los resguardos apropiados. Las organizaciones cuentan con una gran variedad de
tecnologías, desde paquetes de software antivirus hasta hardware dedicado a la
seguridad de red, como los sistemas de detección de intrusiones y los servidores
de seguridad o firewalls, a fin de brindar protección a todas las áreas de la red.
Se puede dividir las herramientas de seguridad de acuerdo al área que se quiere
proteger y de acuerdo al ámbito en el que interactúan:
Herramientas intangibles: se refiere a políticas y estándares, auditorias,
establecidos para un mejor manejo de los sistemas por parte de los
empleados.
Software: aplicaciones que permiten monitorear la red, control de acceso,
antivirus, antispam, firewall.
Hardware: routers, proxy,
2.2.5.1 POLITICAS DE SEGURIDAD
Las políticas de seguridad11 son reglas electrónicamente programadas y
almacenadas en equipos de seguridad para controlar áreas tales como los
privilegios de acceso. Las Políticas establecen el canal formal de actuación del
personal, en relación con los recursos y servicios informáticos, importantes de la
organización.
Las Políticas deben considerar entre otros, los siguientes elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la
cual aplica. Es una invitación de la organización a cada uno de sus miembros
a reconocer la información como uno de sus principales activos así como, un
motor de intercambio y desarrollo en el ámbito de sus negocios.
Objetivos de la política y descripción clara de los elementos involucrados en
su definición.
11 Guía de seguridad de redes para principiantes, CISCO.
57
Definición de violaciones y de las consecuencias del no cumplimiento de la
política.
Responsabilidades de los usuarios con respecto a la información a la que
tienen acceso.
2.2.5.2 CONTRASEÑAS
La forma más simple y común de asegurarse de que sólo los individuos con la
autorización pertinente accedan a una zona determinada de la red, es mediante la
“protección con contraseña” de dichas áreas, lo que significa que sólo podrán
acceder las personas que tengan contraseñas específicas para tal fin.
Algunas características que deben de seguirse al momento de elegir contraseñas
son:
No elegir contraseñas que sean palabras o nombres del usuario, miembros
de la familia.
No usar contraseñas completamente numéricas.
Elegir una contraseña que mezcle caracteres alfabéticos.
Su longitud debe ser de 8 ó más caracteres.
2.2.5.3 ACTUALIZACIONES
Las empresas que desarrollan software actualizan sus versiones y a su vez crean
parches para cerrar los agujeros que se van descubriendo, como ejemplo
Microsoft ha creado la pagina de Windows Update que ofrece automáticamente
una selección de las actualizaciones más recientes disponibles para sistema
operativo, programas y hardware.
2.2.5.4 ANTIVIRUS
Es un programa cuya finalidad es prevenir y evitar la infección de virus, impidiendo
también su propagación. Tiene capacidad para detectar y eliminar los virus y
restaurar los archivos afectados por su infección.
58
Los antivirus tienen tres componentes principales:
1. Vacuna: Programa que actúa en tiempo real, analizando los archivos que
son abiertos o los programas que se ejecutan. Es una función muy
importante, puesto que si un archivo infectado ha conseguido alojarse en el
sistema y por cualquier motivo no se ha procedido a chequearlo, el antivirus
avisará del peligro cuando intenta ejecutarlo o abrirlo.
2. Motor de detección: Programa cuya función es realizar el escaneo de los
archivos, directorios o unidades que se seleccionan. Trabaja analizando los
archivos, en los que busca la existencia de códigos virales, que son
cadenas de códigos ejecutables particulares de cada virus y que el
programa reconoce por comparación, si están registrados en su lista de
definiciones.
3. Desinfectador: Programa que una vez localizado el virus y desactivada su
estructura procede a eliminarlo, procediendo a reparar sus efectos en el
sistema.
2.2.5.5 ANTI-SPAM Y ANTI-DIALER
Normalmente el correo basura tiene motivaciones comerciales y gracias a ello
puede ser detectable. Un software anti-spam lo que hace básicamente es filtrar el
correo, utilizando las más modernas técnicas de clasificación e identificando así
los mensajes indeseados.
Los programas anti-dialer interceptan los intentos de conexión del módem y
comprueban contra una lista si el número a marcar está autorizado o prohibido. En
esa lista de números prohibidos se pueden incluir tanto números telefónicos
completos como prefijos.
59
2.2.5.6 FIREWALLS (CORTAFUEGOS)
Un Firewall12 (cortafuegos) se puede definir como cualquier sistema (desde un
simple router hasta varias redes en serie) utilizado para separar una máquina o
subred del resto, protegiéndola así de servicios y protocolos que desde el exterior
puedan suponer una amenaza a la seguridad.
Es un sistema diseñado para prevenir el acceso no autorizado hacia y desde una
red privada. Los firewall son frecuentemente usados para prevenir a los usuarios
sin autorización de acceder a la red privada conectada al Internet. Todos los
paquetes que entran o dejan la intranet pasan a través del Firewall, el cual
examina cada paquete y bloquea aquellos que no cumplen con los criterios de
seguridad especificados.
Figura 2.13 Diagrama de cómo actúa un Firewall.
OBJETIVOS DE UN FIREWALL
Un firewall realiza 3 funciones básicas:
1. Bloquea los datos entrantes que pueden contener el ataque de un “hacker”.
2. Oculta la información acerca de la red, haciendo que todo parezca como si
el tráfico de salida se originara del firewall y no de la red. Esto también se
conoce como NAT (Network Address Translation).
12 Villalón Huerta Antonio. “Seguridad en Unix y redes, versión 2.1”, Julio 2002.
60
3. Filtra el tráfico de salida, con el fin de restringir el uso de Internet y el
acceso a localidades remotas.
Los firewall pueden prevenir:
Instalación y ejecución de programas instalados clandestinamente desde
Internet, por ejemplo vía aplicaciones ActiveX o Java que puede llegar a
transferir datos personales del usuario a sitios.
Acceso de terceros por fallas o errores de configuración.
VENTAJAS
Los firewalls en Internet administran los accesos posibles del Internet a la
red privada. Sin un firewall, cada uno de los servidores propios del sistema
se expone al ataque de otros servidores en el Internet.
El firewall permite al administrador de la red definir un "choke point"
(embudo), manteniendo al margen los usuarios no autorizados (hachers,
crackers, espías) fuera de la red, prohibiendo la entrada o salida al vulnerar
los servicios de la red, y proporcionar la protección para varios tipos de
ataques posibles.
Ofrece un punto donde la seguridad puede ser monitoreada y si aparece
alguna actividad sospechosa, genera una alarma ante la posibilidad que
ocurra un ataque
¿Cómo actúa un firewall?
Un Firewall actúa en los niveles 3 (red) a 7 (aplicación) de OSI. Sus funciones son
básicamente las siguientes:
Llevar contabilidad de las transacciones realizadas en la red.
Filtrar accesos no autorizados a máquinas (mediante filtrado de paquetes,
o bien observando el contenido de las unidades de protocolo de
Transporte, Sesión, Presentación, y aplicación).
Alertar en caso de ataques o comportamiento extraño de los sistemas de
comunicación.
61
TIPOS DE FIREWALL
Cualquier Firewall puede clasificarse dentro de uno de los tipos siguientes (o como
una combinación de los mismos):
Filtros estáticos a nivel de paquete (Static Packet Filters):
Analiza el tráfico de la red. Cada paquete que entra o sale de la red es
inspeccionado y lo acepta o rechaza basándose en las reglas definidas por el
usuario. El filtrado de paquetes es efectivo y transparente para los usuarios de la
red. Además de que es susceptible a IP Spoofing. Se basa en permitir o denegar
el tráfico basado en el encabezado de cada paquete.
Firewall a nivel de circuito (Circuit Level Firewalls):
Válida que los paquetes pertenezcan ya sea a una solicitud de conexión o bien a
una conexión entre dos computadoras. Aplica mecanismos de seguridad cuando
una conexión TCP o UDP es establecida. Una vez que la conexión se establece,
los paquetes pueden ir y venir entre las computadoras sin tener que ser revisados
cada vez.
Firewall a nivel de aplicación (Application Layer Firewalls).
Examina la información de todos los paquetes de la red y mantiene el estado de la
conexión y la secuencia de la información.
Filtros (Packet Filters).
Este ruteador toma las decisiones de rehusar/permitir el paso de cada uno de los
paquetes que son recibidos. El ruteador examina cada datagrama para determinar
si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido
aprobado por sus reglas. Las reglas de filtrado se basan en revisar la información
que poseen los paquetes en su encabezado, lo que hace posible su
desplazamiento en un proceso de IP.
62
Proxy (Circuit Gateways).
Los gateways nivel-aplicación permiten al administrador de red la implementación
de una política de seguridad estricta que la que permite un ruteador filtra-
paquetes. Mucho mejor que depender de una herramienta genérica de filtra-
paquetes para administrar la circulación de los servicios de Internet a través del
firewall, se instala en el gateway un código de propósito-especial para cada
aplicación deseada.
Pasarelas a nivel de Aplicación (Aplication Gateway)
Estas pasarelas se ocupan de comprobar que los protocolos a nivel de aplicación
(Ftp, Http, etc.) se están utilizando de forma correcta sin tratar de explotar algunos
problemas que pudiese tener el software.
2.2.5.7 CRIPTOGRAFIA
La palabra criptografía proviene del griego Kripto y Logos que significa el estudio
de lo oculto o escondido. Criptografía: es la ciencia de mantener los datos y las
comunicaciones seguras. Es decir que la criptografía es la ciencia que se encarga
de transformar un mensaje inteligible en otro que no lo es, para después
devolverlo a su forma original.
Para lograr este objetivo se utilizan técnicas como la encriptación, desencriptación
y autenticación.
Figura 2.14 Cómo actúa la criptografía
63
Esta dividida en dos grandes ramas: la criptografía, ocupada del cifrado de
mensajes en clave y del diseño de criptosistemas, y el criptoanálisis, que trata de
descifrar los mensajes en clave, rompiendo así el criptosistema.
El mensaje recibe el nombre de criptograma. Aunque el objetivo original de la
criptografía era mantener en secreto un mensaje, en actualidad no se persigue
únicamente la privacidad o confidencialidad de los datos, sino que se busca
además garantizar la autenticidad de los mismos, su integridad y su no repudio.
CRIPTOSISTEMA
Un criptosistema se puede definir como una composición de 5 conjuntos:
1. El conjunto de los mensajes sin cifrar.
2. El conjunto de todos los posibles mensajes cifrados.
3. El conjunto de claves que se pueden emplear en el criptosistema
4. El conjunto de transformaciones de cifrado, o la familia de funciones que se
aplica a cada mensaje sin cifrar.
5. El conjunto de transformaciones de descifrado.
Existen 2 tipos de criptosistemas:
Simétrico o de clave secreta, ocupan la misma clave para cifrar y descifrar.
Asimétrico o de clave publica, emplean un par de claves, una de ellas para
cifrar y otra para descifrar.
Dentro de cada criptosistema existen diversos métodos para poder realizar el
cifrado. Entre los algoritmos más conocidos están:
SIMETRICO. ALGORITMO DE CESAR: es simple consiste en el uso del alfabeto,
sumándole 3 número al orden de la letra, es decir que la letra A le corresponde la
letra D.
64
SIMETRICO. DES (Data Encryption Standard): es un sistema de clave privada
tanto de cifrado como de descifrado; posee una clave de entrada con una longitud
de 64 bits, produciendo una salida también de 64 bits, con una clave de 56 bits (el
octavo bit de cada byte es de paridad), llamada clave externa, en la que reside
toda la seguridad del criptosistema ya que el algoritmo es de dominio público.
ASIMETRICO. RSA: La seguridad de RSA radica en la dificultad de la
factorización de números grandes: es fácil saber si un número es primo, pero es
extremadamente difícil obtener la factorización en números primos de un entero
elevado, debido no a la dificultad de los algoritmos existentes, sino al consumo de
recursos físicos (memoria, necesidades, hardware, incluso tiempo de ejecución)
de tales algoritmos.
CRIPTOANALISIS
Se encarga de estudiar los mensajes ilegibles, encriptados para transformarlos en
legibles sin conocer la clave.
Además de la encriptación que provee confidencialidad a los mensajes es
necesario:
La autenticación que es un método para verificar que el emisor del mensaje
es en realidad quien se supone que debería ser.
Chequeo de integridad, que es un método para verificar que el mensaje no
ha sido alterado a lo largo del camino de la comunicación.
No rechazo, es la posibilidad de probar que el emisor en realidad ha
enviado el mensaje.
2.2.5.8 ESCANER DE VULNERABILIDADES
Un escáner de vulnerabilidades es una herramienta que realiza un conjunto de
pruebas (ataques) para determinar si una red o un host tiene fallos de seguridad.
65
Un escáner funciona de la siguiente manera:
Se muestra un conjunto de atributos de sistema.
Los resultados del muestreo se almacenan en un recipiente de datos
seguros.
Los resultados se organizan y comparan con al menos un conjunto de
referencia de datos.
Se genera un informe con las diferencias entre ambos conjuntos de daos.
TIPOS DE ANALISIS DE VULNERABILIDADES
Existen 2 formas de clasificar los análisis de vulnerabilidades, mediante la
localización desde la que se obtiene datos o mediante el nivel de confianza del
que hace uso el analizador. Para el primer método los análisis pueden ser
basados en máquina o basados en red; y según el segundo método con
acreditación o sin acreditación.
Figura 2.15 clasificación de los escáneres de vulnerabilidades.
ANALISIS BASADO EN MAQUINA
Utiliza elementos tales como ajustes de configuración, contenidos de ficheros u
otro tipo de información de un sistema para la detección. La información se
obtiene por consultas al sistema o a través de la revisión de diferentes atributos
del sistema. En este caso se asume que tiene acceso autorizado al sistema, por lo
que se le considera con acreditaciones.
66
ANALISIS BASADOS EN RED
Obtienen la información necesaria a través de las conexiones de red que
establecen con el objetivo. Realizan conjunto de ataques y registran las
respuestas obtenidas. Los ataques se realizan sin tener permiso de acceso al
sistema, por lo que se le considera sin acreditaciones.
2.2.5.9 MONITOREO DE RED
El monitoreo es una de las partes fundamentales de la administración de las
redes. Sus tareas comprenden, entre otras cosas, la extracción e interpretación de
datos relacionados con el estado y el desempeño de los dispositivos conectados a
la red. Mediante su correcta interpretación, y llevando un registro histórico de los
acontecimientos que se van dando a lo largo del tiempo, el administrador de red
podrá determinar de manera más rápida el comportamiento de ciertos equipos e
incluso, adelantarse y predecir el deterioro del nivel de servicio en alguna parte de
la red.
2.2.5.10 SISTEMA DE DETECCION DE INTRUSOS (IDS)
Para poder definir que es un IDS, se debe conocer que es una intrusión13,
conjunto de acciones que intentan comprometer la integridad, confidencialidad o
disponibilidad de un recurso.
Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad
que intenta detectar o monitorizar los eventos ocurridos en un determinado
sistema informático o red informática en busca de intentos de comprometer la
seguridad de dicho sistema.
13 Seguridad en redes Linux, Elaborado por ENLAZA.
67
Los IDS aportan a la seguridad una capacidad de prevención y de alerta
anticipada ante cualquier actividad sospechosa. No están diseñados para detener
un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.
TIPOS DE IDS
Según sus características:
1. HIDS (Host IDS), Protege contra un único servidor, PC o host. Monitorizan
gran cantidad de eventos, analizando actividades con una gran precisión,
determinando de esta manera qué procesos y usuarios se involucran en
una determinada acción. Recaban información del sistema como ficheros,
logs, recursos, etc, para su posterior análisis en busca de posibles
incidencias. Todo ello en modo local, dentro del propio sistema.
2. NIDS (Net IDS), protege un sistema basado en red. Actúan sobre una red
capturando y analizando paquetes de red, es decir, son sniffers del tráfico
de red. Luego analizan los paquetes capturados, buscando patrones que
supongan algún tipo de ataque.
Por el tipo de respuesta:
Pasivos, son aquellos IDS que notifican a la autoridad competente o
administrador de la red mediante el sistema que sea, alerta, etc. Pero no
actúa sobre el ataque o atacante.
Activos, generan algún tipo de respuesta sobre el sistema atacante o fuente
de ataque como cerrar la conexión o enviar algún tipo de respuesta
predefinida en nuestra configuración.
68
ARQUITECTURA DE UN IDS
Normalmente la arquitectura de un IDS, está formada por:
La fuente de recogida de datos. Estas fuentes pueden ser un log,
dispositivo de red, o como en el caso de los IDS basados en host, el propio
sistema.
Reglas que contienen los datos y patrones para detectar anomalías de
seguridad en el sistema.
Filtros que comparan los datos cifrados de la red o de logs con los patrones
almacenados en las reglas.
Detectores de eventos anormales en el tráfico de red.
Dispositivo generador de informes y alarmas. En algunos casos con la
sofisticación suficiente como para enviar alertas vía mail, o SMS.
BENEFICIOS DE LOS IDS
Presentan un mayor grado de integridad. Los sistemas detectores de
intrusos, ya que monitorean la operación de los firewalls, routers, servidores
de manejo de claves y archivos críticos en otros mecanismos de seguridad,
proveen capas de protección adicionales a un sistema seguro.
Rastrean la actividad del usuario desde el punto de entrada al punto de
salida o impacto. Los sistemas detectores de intrusos le ofrecen mejoras en
las protecciones del perímetro como los firewalls.
Reconocen y reportan alteraciones de archivos.
DÓNDE COLOCAR EL IDS Antes del firewall:
Esta arquitectura se basa en detectar todos los paquetes que llegan a la red, antes
de ser filtrados por el firewall.
69
Figura 2.16, colocación del IDS antes del Firewall.
En el firewall:
De esta manera se evitan ataques de intrusos a los sensores externos y se
eliminan muchas falsas alarmas.
Figura 2.17, colocación del IDS en el Firewall.
Antes del firewall y en el firewall:
Esta opción es más costosa pero ofrece mayor seguridad, ya que permite obtener
lecturas del tráfico total y del tráfico filtrado por el firewall.
Figura 2.18, colocación del IDS antes del Firewall y en firewall.
70
2.3 OPEN SOURCE Código abierto (Open Source en inglés) es el término por el que se conoce al
software distribuido y desarrollado en una determinada forma. Este término
empezó a utilizarse en 1998 por algunos usuarios de la comunidad del software
libre.
2.3.1 DEFINICIÓN DE OPEN SOURCE
La Open Source Initiative10 utiliza la Definición de Open Source para determinar si
una licencia de software de computadora puede o no considerarse software
abierto. La definición se basó en las Directrices de software libre de Debian, fue
escrita y adaptada primeramente por Bruce Perens.
2.3.1.1 PRINCIPIOS DEL OPEN SOURCE11
Bajo la definición Open Source, las licencias deben cumplir diez condiciones para
ser consideradas licencias de software abierto:
1. Libre redistribución
La licencia no debe restringir a nadie vender o entregar el software como un
componente de una distribución de software que contenga programas de distintas
fuentes. La licencia no requerirá los derechos u honorario para tal venta.
2. Código fuente
El programa debe incluir el código fuente, y se debe permitir su distribución tanto
como código fuente como compilado. Cuando de algún modo no se distribuya el
código fuente junto con el producto, deberá proveerse un medio conocido para
obtener el código fuente sin cargo. El código fuente es la forma preferida en la cuál
un programador modificará el programa. Tampoco se permiten formatos
intermedios, como la salida de un preprocesador, o de un traductor.
10 http://es.wikipedia.org/wiki/Open_Source, visitado el 15/12/2005 11 www.opensource.org. Visitado el 13/05/2005
71
3. Trabajos derivados
La licencia debe permitir modificaciones y trabajos derivados, y debe permitir que
estos se distribuyan bajo las mismas condiciones de la licencia del software
original.
4. Integridad del código fuente del autor.
La licencia puede restringir la distribución de código fuente modificado sólo si se
permite la distribución de "patch files" con el código fuente con el propósito de
modificar el programa en tiempo de construcción. La licencia debe permitir
explícitamente la distribución de software construido en base a código fuente
modificado. La licencia puede requerir que los trabajos derivados lleven un nombre
o número de versión distintos a los del software original.
5. No discriminar personas o grupos.
La licencia no debe hacer discriminación de personas o grupos de personas.
6. No discriminar campos de aplicación.
La licencia no debe restringir el uso del programa en un campo específico de
aplicación.
7. Distribución de la licencia.
Los derechos concedidos deben ser aplicados a todas las personas a quienes se
redistribuya el programa, sin necesidad de obtener una licencia adicional.
8. La licencia no debe ser específica a un producto.
Los derechos aplicados a un programa no deben depender de la distribución
particular de software de la que forma parte. Si el programa es extraído de esa
distribución y usado o distribuido dentro de las condiciones de la licencia del
programa, todas las personas a las que el programa se redistribuya deben tener
los mismos derechos que los concedidos en conjunción con la distribución original
de software.
72
9. La licencia no debe contaminar otro software.
La licencia no debe imponer restricciones sobre otro software que es distribuido
junto con el. Por ejemplo, la licencia no debe insistir en que todos los demás
programas distribuidos en el mismo medio deben ser software Open Source.
10. La licencia debe ser tecnología neutral.
No debe requerirse la aceptación de la licencia por medio de un acceso por clic de
ratón o de otra forma específica del medio de soporte del software.
2.3.2 SOFTWARE LIBRE
El término software libre12 (o programas libres) se refiere a libertad, tal como fue
concebido por Richard Stallman en su definición. Se refiere a cuatro libertades:
1. Libertad para ejecutar el programa en cualquier sitio, con cualquier
propósito y para siempre.
2. Libertad para estudiarlo y adaptarlo a nuestras necesidades. Esto exige el
acceso al código fuente.
3. Libertad de redistribución, de modo que se permita colaborar con vecinos y
amigos.
4. Libertad para mejorar el programa y publicar las mejoras. También exige el
código fuente.
2.3.3 DIFERENCIAS ENTRE OPEN SOURCE & SOFTWARE LIBRE
No se puede decir que sean dos movimientos opuestos entre sí. Lo que queda
claro, es que ambos persiguen objetivos diferentes (pero no contrapuestos). Por
un lado está la Free Software Fundation y su defensa de la libertad a cualquier
precio. Por el otro, la incipiente Iniciativa Código Open Source que ha ganado
muchos adeptos en sus años de vida.
12 Barahona, Jesús González. “Introducción al software libre”.
73
Desde la OSI, expresan que ellos se desprendieron del software libre porque
consideraban que esa postura tan radical (pseudo comunista) asustaba a los
hombres de negocios. Su intención no es solo que los programadores lancen
proyectos certificados por la OSI, sino que grandes compañías se sumen a la
iniciativa. También suelen referirse a su movimiento como más orientado al
marketing y a generar una imagen en la gente sobre las características técnicas
de los productos de Código Fuente Abierto; más que recalcar los principios
filosóficos que persiguen.
La distinción es que la filosofía de Código Open Source se basa en hacer
software confiable y poderoso. La libertad es más importante que los atributos de
confiabilidad de un software.
2.3.4 TERMINOS RELACIONADOS FREEWARE programas gratuitos. Normalmente se ceden en binario y con
derechos de redistribución. Sin embargo, a veces sólo se pueden obtener de un
sitio oficial, normalmente para promocionar otros programas o servicios, como es
el caso de los kits de Java gratuitos que proporciona Sun Microsystems.
SHAREWARE, no es siquiera software gratis, sino un método de distribución, ya
que los programas, generalmente sin fuentes, se pueden copiar libremente, pero
no usar continuadamente sin pagarlos. La exigencia de pago puede estar
incentivada por funcionalidad limitada o mensajes molestos, o una simple
apelación a la moral del usuario, además de que las estipulaciones legales de la
licencia podrían utilizarse en contra del infractor.
CHARITYWARE, CAREWARE, generalmente shareware, pero cuyo pago se
exige para una organización caritativa patrocinada. En muchos casos, el pago no
se exige, pero se solicita una contribución voluntaria.
74
DOMINIO PÚBLICO, el autor renuncia absolutamente a todos sus derechos, a
favor del común, lo cual tiene que estar declarado explícitamente en el programa,
ya que si no se dice nada, el programa es propietario y no se puede hacer nada
con él. En este caso, y si además se proporcionan los códigos fuentes, el
programa es libre.
COPYLEFT, un caso particular de software libre cuya licencia obliga a que las
modificaciones que se distribuyan sean también libres.
2.3.5 FORMA DE OPERAR DE OPEN SOURCE
Bien, se sabe que es casi gratuito o gratuito, pero ¿qué riesgos tiene?, ¿para qué
sirve? ¿Dónde está?, la revolución open source está tomando lugar a nivel de
software de base, es decir el software que permite a las máquinas (servidores,
routers, switches de capa II, etc.) hacer su magia.
Los modelos de negocios en empresas que trabajan con open source están
basados en servicio. Brindan el producto y el código fuente, pero nadie sabe
usarlo ni instalarlo ni pueden responder preguntas durante las 24 horas del día,
porque quienes lo crearon son un grupo de programadores que no les interesa
eso, entonces alguien lo toma, lo llama Red Hat Linux, cobra 50 dólares para tener
soporte por tres meses, un manual y un sticker y así funciona el negocio.
Es decir que la rentabilidad es proveer la instalación, mantenimiento y
actualización de los programas, en función de brindar una adecuada seguridad.
Aunque si la empresa cuenta con personal Técnico este puede descargar, probar
e instalar el software lo que reduciría el costo para la empresa.
75
2.3.6 SOFTWARE PROPIETARIO
El término software no libre13 (también llamado software propietario, software
privativo, software privado y software con propietario) se refiera a cualquier
programa informático en el que los usuarios tienen limitadas las posibilidades de
usarlo, modificarlo y redistribuirlo (con o sin modificaciones), o que su código
fuente no está disponible o el acceso a éste se encuentra restringido .
Software propietario14
El término propietario significa que tiene derecho de propiedad sobre algo.
(propietary en inglés significa poseído o controlado privadamente). De manera que
un software sigue no siendo libre aún si el código fuente es hecho público, cuando
se mantiene la reserva de derechos sobre el uso distribución o
2.3.6.1 FORMA DE OPERAR DEL SOFTWARE PROPIETARIO
Cuando una empresa productora de software propietario distribuye un producto de
este tipo, solamente entrega al comprador una copia del programa ejecutable,
junto con la autorización de ejecutar dicho programa en un número determinado
de computadoras.
En el contrato que suscriben ambas partes, comúnmente denominado ``licencia''
del producto, queda expresado claramente que lo que el cliente adquiere es
simplemente la facultad de utilizar dicho programa en determinada cantidad de
computadoras (dependiendo del monto que haya abonado). En este sentido, la
licencia deja en claro que el programa sigue siendo propiedad de la empresa
productora del mismo y que el usuario no está facultado a realizar ningún cambio
en él, ni tampoco a analizarlo para determinar como realiza sus funciones.
13 http://es.wikipedia.org/wiki/Software_propietario, visitado el 10/10/2006 14 Ídem anterior.
76
La empresa productora deslinda toda responsabilidad respecto a las pérdidas que
pudiera ocasionar para el comprador el uso del software en cuestión. Esto incluye
los daños por fallas del producto, debidas a errores del mismo.
Esto genera una dependencia del proveedor, ya que la corrección de errores o el
agregado de nuevas funciones en un programa solamente puede hacerse si se
dispone del código fuente.
2.3.7 DIFERENCIAS ENTRE OPEN SOURCE Y SOFTWARE PROPIETARIO
Al hablar de Open Source vs. Software propietario, no se trata de Linux vs.
Windows, como mucha gente cree. Lo importante es que es un fenómeno de
cooperación, de ética del trabajo.
Las empresas grandes que montan sistemas de comunicación basados en
Internet (bases de datos, un sistema electrónico en red para interactuar con sus
clientes, firewalls para proteger su red) deben apoyarse justamente en este tipo de
software. Y es en estos casos en los que precisamente el factor 'gratis' juega un
enorme papel pues se está hablando de licencias de uso de software que pueden
comenzar en US$ 15,000 versus una licencia gratuita. Sin embargo, la opción no
es tan sencilla como cerrar los ojos y abrazar open source, pues el gran 'pero' de
este tipo de productos es que no tienen por detrás una empresa de soporte,
mantenimiento, ni instalación.
El informe, "Security Report: Windows vs. Linux" empieza con el análisis de tres
mitos frecuentemente utilizados en cualquier discusión donde se compara la
seguridad de Windows y Linux.
El primer mito es que Windows es objeto de más ataques y es víctima de la acción
de más virus y gusanos debido a su posición dominante en el mercado. Dado que
Windows es la plataforma dominante, los autores de ataques y virus tienen
77
preferencia por esta plataforma. El informe rebate este mito a partir de dos datos
empíricos: Linux es una plataforma muy popular a nivel de servidor Web y los
datos recogidos por Netcraft demuestran que máquinas ejecutando software de
código abierto no son reiniciadas con frecuencia.
El segundo mito se refiere a que la disponibilidad del código fuente abre la
posibilidad a descubrir más fácilmente las vulnerabilidades. Este argumento se
rebate a partir de la enorme cantidad de gusanos y virus que sacan provecho de
vulnerabilidades de Windows, lo que viene a demostrar que la disponibilidad del
código fuente no es un factor clave para detectar la existencia de problemas de
seguridad.
El tercer mito rebatido son las estadísticas que demuestran la existencia de menos
problemas de seguridad críticos en la plataforma Windows con respecto a Linux.
Ciertamente ambos tienen diferencias marcadas, pero hay que reconocer que
trabajan en diferentes ámbitos ya que uno se enfoca más a aplicaciones
comerciales y otro a aplicaciones de protección y resguardo de información.
A continuación se presenta un resumen de las ventajas y desventajas que ofrecen
cada uno:
78
VENTAJAS DESVENTAJAS
OPEN
SOURCE
Aplicaciones con código abierto,
fácil de modificar y adaptar.
Apoyo de miles de
programadores, teniendo un
amplio campo de pruebas.
Apoyo de miles de "hackers para
corregir problemas.
Precio muy bajo o gratuito,
incluso las aplicaciones
comerciales.
Falta de aplicaciones
competitivas para DESKTOP
Soporte técnico "certificado" más
escaso, aunque el CALIFICADO
abunda aunque no haya papel
que lo certifique.
No lo conoce mucha gente, así
que normalmente requiere un
período de aprendizaje y
adaptación.
SOFTWARE PROPIETARIO
Aplicaciones ya listas.
Apoyo de fabricantes de hardware
Apoyo a las empresas
Precios elevados.
Restricciones de distribución.
Dificultad de adaptar la
aplicación a necesidades
específicas.
2.3.8 LICENCIAS OPEN SOURCE
La mayoría de las licencias asociadas a proyectos Open Source son similares,
aunque es posible realizar una clasificación general según la capacidad de
contaminación de la licencia en desarrollos futuros sobre un producto ya
licenciado:
Licencias vírales. Este tipo de licencias requieren que todos los trabajos
derivados a partir de un software licenciado también continúen bajo la misma
licencia.
Licencias no vírales. En contraste a las licencias vírales, las licencias no
vírales no contaminan las licencias de los desarrollos derivados del software
original. Dicho de otro modo, permiten establecer para el software derivado
una licencia distinta de la original.
79
Las licencias Open Source más importantes y conocidas en la actualidad son las
siguientes:
GNU General Public License (GPL).
GNU Library General Public License (LGPL).
Mozilla Public License. Esta licencia fue creada por Netscape para cubrir la
apertura del código fuente de su navegador Web dentro del proyecto
Mozilla. Se trata una licencia viral de difícil lectura y comprensión debido a
su gran complejidad legal.
Apache Software License. Esta licencia de tipo viral es utilizada por la
Fundación Apache, origen de numerosos proyectos de gran éxito dentro del
mundo empresarial y la comunidad open source.
Artistic License. En esta licencia no viral se proporciona al poseedor del
copyright el control artístico sobre el desarrollo del producto, mientras se
protege la libertad de los usuarios. Existen numerosas variantes de esta
licencia, por ejemplo la que acompaña al lenguaje perl.
2.3.8.1 LICENCIA PÚBLICA GENERAL DE GNU (GNU GPL)
La Licencia Pública General del proyecto GNU (más conocida por su acrónimo en
inglés GPL) es con diferencia la licencia más popular. Su autoría corresponde a la
Free Software Foundation promotora del proyecto GNU.
La licencia GPL es interesante desde el punto de vista legal porque hace un uso
tan curioso de la legislación de copyright que haciendo estricto uso del término
llega a una solución totalmente contraria a la original, hecho por el que también se
ha venido a llamar una licencia copyleft.
La licencia GPL permite la redistribución binaria y la de las fuentes, aunque, en el
caso de que redistribuya de manera binaria, obliga a que también se pueda
acceder a las fuentes. Asimismo, está permitido realizar modificaciones sin
restricciones, aunque sólo se pueda integrar código licenciado bajo GPL con otro
código que se encuentre bajo una licencia idéntica o compatible, lo que ha venido
80
a llamarse el efecto viral de la GPL, ya que el código publicado una vez con esas
condiciones nunca puede cambiar de condiciones.
La licencia GPL está pensada para asegurar la libertad del código en todo
momento, ya que un programa publicado y licenciado bajo sus condiciones nunca
podrá ser hecho propietario. Es más, ni ese programa ni modificaciones al mismo
pueden ser publicados con una licencia diferente a la propia GPL.
2.3.9 BENEFICIOS DEL OPEN SOURCE Eliminación de los Ciclos de Actualización Innecesarios
Una de las estrategias más populares de las compañías de software propietario
consiste en el desarrollo de productos en múltiples generaciones de versiones.
Esta estrategia es adecuada, ya que es justamente después de la creación de un
producto cuando se recibe la mayor retroalimentación por parte los usuarios.
Añadir funcionalidades en este sentido producirá aplicaciones mejores de forma
gradual. El problema reside cuando los avances y mejoras se suprimen
intencionadamente de una versión con el fin de prolongar los ciclos de
actualización del producto, estrategia que aumenta los beneficios de la
multinacional.
El software Open Source elimina los ciclos de actualización innecesarios porque
se añaden nuevas características de forma constante basándose en las demandas
de los usuarios. Esto hace que los proyectos Open Source tengan un mayor
número de ciclos de vida pequeños en lugar de los ciclos de vida largos del
software propietario.
81
Personalización del software ilimitada
Esta es una gran ventaja si la organización en la que se utiliza Open Source tiene
el deseo y la experiencia suficiente como para adaptar el software. En muchas
ocasiones puede lograrse una mayor eficiencia y efectividad de las aplicaciones
realizando pequeñas adaptaciones que lo ajusten a las necesidades de la
organización. Mediante el acceso al código fuente inherente en el Open Source
este tipo de actuaciones se convierten en una realidad.
Aplicaciones Diseñadas y Probadas por una Comunidad Mundial
Los proyectos open source exitosos y activos han logrado una masa crítica
mundial que los desarrolla y prueba. Cuando se alcanza esta masa crítica, la
calidad en el proceso de ingeniería aumenta significativamente, los bugs son
encontrados y corregidos rápidamente, las nuevas características son añadidas,
revisadas y probadas en horas y los fallos de seguridad son expuestos y
subsanados rápidamente.
Bajo Costo de Utilización
Este beneficio no se sustenta solamente en el bajo precio del software Open
Source, sino también en el ahorro que se produce como consecuencia del uso de
productos fiables y que tienen una base de usuarios importante. Otro de los
factores de ahorro en el Open Source reside en la baja barrera de entrada de los
empleados de nuevas tecnologías en el uso de este tipo de software.
Eliminación de las Restricciones en las Licencias
Las licencias de los sistemas propietarios pueden llegar a ser una verdadera
pesadilla. Por ejemplo, existen licencias que sólo permiten la realización de copias
por motivos de seguridad. Otras sólo sirven para desarrollo y a la hora de poner el
sistema en producción deben adquirirse nuevas y caras licencias.
82
CAPITULO III
ESTUDIO DE APLICACIONES
En el siguiente capitulo se presenta el estudio de diferentes aplicaciones Open
Source desarrolladas para brindar seguridad a las redes informáticas. A su vez se
presentan aplicaciones de software propietario que permitan establecer
comparaciones entre ambos y obtener las conclusiones de conveniencia para las
empresas.
Para términos educativos y de investigación la seguridad lógica se dividirá en dos
áreas:
Seguridad Interna
Seguridad Externa
Seguridad interna se refiere a las aplicaciones que permitirán mantener un
monitoreo de la organización, asegurando así la integridad de la información.
Las aplicaciones para la seguridad externa están enfocadas para prevenir todo
tipo de ataque que sea del exterior (que no pertenece a la organización) ya sea a
través de la Web, e-mail, etc. o cualquier tipo de vulnerabilidad que ponga en
peligro el funcionamiento normal de la empresa.
3.1 AREAS DE ESTUDIO
En vista de que el tema de seguridad informática en redes es amplio, se han
definido áreas específicas de estudio que permitirán diseñar un sistema que
permita brindar mayor seguridad a la red informática. Estas son:
Antivirus, Spam
Firewall
Proxy
Criptografía
83
Escáneres de vulnerabilidades.
Monitoreo de Red.
Sistema de detección de intrusiones.
Para llegar al resultado del siguiente cuadro fue necesario realizar una serie de
pasos explicados en la metodología de la investigación del capítulo 1. Las
aplicaciones estudiadas fueron:
AREA SOFTWARE
OPEN SOURCE
SOFTWARE
PROPIETARIO
Antivirus, spam, Clam AV
(clamwin)
Mailscanner
Spamassasin
AVG
Norton
Firewall Firestarter
IPCop
Netfilter/Iptable
Smootwall
Symantec
Enterprise
Firewall
Proxy Privoxy
Squid
Webcleaner
ABC Proxy
Symantec
Enterprise
Firewall
Criptografía Open SSH
Open SSL
Open VPN
SSL Explorer
Advanced
encryption pro
VPN Enterprise
Firewall
84
AREA SOFTWARE
OPEN SOURCE
SOFTWARE
PROPIETARIO Escáneres de vulnerabilidades
Nessus
Nmap
Gfi landguard
Network Secure
Sensor
Monitoreo de Red Nagios
MRTG
NTOP
Whats up
Sistema de detección de Intrusos
Prelude
Snare
Snort
Symantec Host
Prelude
3.2 ESTUDIO DE APLICACIONES
A continuación se presenta el estudio del software seleccionado, en el cuál se
detallan características y funcionamiento de cada uno de ellos. Para poder realizar
el estudio se tomaron como base: la configuración e implementación de los
programas, manuales y guías de referencias, imágenes, y otros aspectos que
ayudarán a conocer las herramientas.
El estudio esta dividido en cuatro partes:
1. Descripción del software, que es, que realiza,
2. Aspectos generales.
3. Características.
4. Funcionamiento.
Este análisis representa un resumen y es parte de la recopilación de las
principales características y funcionamiento de los programas, tomado de los
manuales de usuario, administración, así como de pruebas realizadas en la red.
85
3.2.1 ANTIVIRUS
3.2.1.1 CLAM AV/WIN
Clam AV es una herramienta antivirus para Unix, diseñado para escanear e-mail
en el gateway. Provee una estructura flexible, una línea de comando de escáner, y
avanzadas herramientas para update de la base de datos vía Internet.
ClamWin es un front end gráfico del antivirus ClamAV, para poder trabajar en
ambientes Windows
ASPECTOS GENERALES CLAM AV
Autor: Desarrollado y liderado por Tomasz Koim.
Versión: La versión actual es 0.86.2
Dirección electrónica: Su sitio oficial es www.clamav.net
Tipo de Licencia: Se distribuye bajo licencia GNU GPL versión 2.
Esquema de licencia: para indeterminadas computadoras.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, Solaris, FreeBSD, Open BSD, Red Hat,
Fedora, Microsoft Windows.
Requisitos de sistemas: ninguno.
ASPECTOS GENERALES DE CLAMWIN
Autor: Desarrollado y liderado por grupo sosdog.
Dirección electrónica: Su sitio oficial es www.sosdg.org
Requisitos de sistemas: necesita instalar cygwin.
CARACTERISTICAS DE CLAM AV
Rápido escaneo.
Detecta más de 35,000 virus, gusanos, y troyanos, virus de macro.
Escanea archivos y compresazos, como extensiones: Zip, RAR; Tar, Gzip
Soporta archivos ejecutables, con extensiones: UPX, FSG.
Escaneo de correo.
86
CARACTERISTICAS DE CLAMWIN
Programación de escaneos.
Actualizaciones automáticas de la base de datos de virus.
Integración en el menú de contexto de Microsoft Explorer.
Escaneo de virus independiente.
Se puede agregar en Microsoft Outlook para escanear correos entrantes y
salientes.
FUNCIONAMIENTO
Se puede configurar para ser usado como demonio (clamd), se puede editar la
configuración del archivo.
$ clamd
Config file/etc/clamd.conf.
Clamd es un demonio multitarea que usa libclamav para escanear archivos contra
virus. Puede trabajar de dos modos en la red, como socket UNIX o socket TCP.
Clamuko es un lector especial que permite acceder al escaneo dentro Linux y
freeBSD, se puede registrar importantes reglas con su uso, entre ellas: siempre
para el demonio limpio, usando el comando SHUTDOWN.
Librería clamAV es una fácil manera para agregar protección a el software. La
librería reconoce y escanea archivos, file mail, documentos, ejecutables y otros
formatos de archivos.
TERCEROS
Clam AV puede fácilmente integrarse con otras herramientas Open Source para
crear una protección más completa. Por ejemplo se puede agregar un Web Proxy
como HTTP antivirus Proxy, Snort para escanear datos en los paquetes en la
búsqueda de virus.
87
FUNCIONAMIENTO DE CLAMWIN
Para instalarlo en ambientes de Microsoft Windows es necesario utilizar Cygwin
que es una ambientación de librerías de Linux para trabajar en ambientes
Windows, constituido de 2 parte: un DLL que actúa como un emulador de Linux,
que proporciona la funcionalidad API. Y una colección de Herramientas que
provee Linux.
Provee una interfaz gráfica para instalarlo, la base de datos es descargada de
Internet al momento de instalarlo. Asimismo se puede configurar filtros,
actualizaciones de la base de datos, programar escaneos, avisar a través de un
correo la notificación de un virus, reportes.
Figura 3.1 Configuración de ClamWin.
Los reportes ClamWin los genera en formato de bloque de notas y con extensión
.txt, como se muestra a continuación:
Figura 3.2 Reporte de escaneo
88
3.2.1.2 MAILSCANNER
Mailscanner es un paquete Open Source capaz de detectar un gran número de
tipos de correos electrónicos. Es un sistema anti-spammer y scanner de virus para
el correo electrónico. Además de realizar el escaneo de virus conocidos, chequea
archivos adjuntos rechazando aquellos que contengan una serie de patrones que
se tienen configurados como no aceptables. Pone al día automáticamente los
exploradores instalados. Utiliza diversas técnicas identificando hasta un 95% de
spam. Soporta clientes como sendmail, antivirus sophos.
ASPECTOS GENERALES
Autor: Desarrollado por Julian Field.
Versión: La versión actual es la 4.47
Dirección electrónica: Su sitio oficial es:
www.sng.ecs.soton.ac.uk/mailescanner
Tipo de Licencia: Se distribuye bajo licencia GNU GPL.
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, Solaris, FreeBSD, Open BSD, Red
Hat, Fedora.
Requisitos de sistemas: ninguno.
CARACTERISTICAS
Realiza el escaneo de todo el correo entrante y saliente.
Realiza funciones antispam.
Soporta clientes como sendmail
Se integra con otras aplicaciones de antivirus como: clamav, sophos
FUNCIONAMIENTO
Scan messages
Esta configuración es usada para habilitar o deshabilitar todos los procesos
hechos por mailscanner. Esta opción es para utilizarse con reglas.
89
Archive Mail, utiliza una lista separada de combinaciones:
1. direcciones de e-mails, para permitir que mail deben ser forwarded.
2. Nombres de directorios donde los email serán guardados.
3. nombre del archivo.
Para chequear el contenido de archivos con extensiones Zip y Rar, esto lo hace a
través de opciones de comandos:
Opción O, para el desempaque de archivos zip y rar por parte de
mailscanner.
Opción 3, mailscanner chequea el nombre del archivo y el tipo de archivo
con el mensaje.
Otra característica de mailscanner es que puede detectar atentados relacionados
con fraudes de phishing.
MALICIOSO HTML
Muchas etiquetas son reconocidas por ser utilizadas en muchos ataques. Una
manera de proveerlos es el uso de la legimitación de los marcos. Entre las
opciones utilizadas son:
Registro de etiquetas HTML peligrosos= no
Permitir etiquetas de forma
Permitir etiquetas de script
Las acciones anteriores pueden ser escogidas en base a las opciones: Yes, No
Disarm.
Se puede usar reglas para escaneo de virus, escaneo de spam, esto lo hace en el
dominio de los clientes, en el archivo de configuración:
Virus Scanning= %rules-dir%/virus.scanning.rules
90
Lista de definición de Spam, este es el archivo que traslada los nombre de la lista
a valores reales de nombres DNS. Su ubicación es: %etc-dir%/spam.lists.conf
Chequeo Spam
Esto lo hace a través de una lista negra (RBLs), por default es la sentencia:
Spam List = #ODB-RBL SBL+XLB
3.2.1.3 SPAMASSASIN
SpamAssassin es un filtro de e-mail que intenta identificar spam con una variedad
de mecanismos como son análisis de texto, bloqueo de lista DNS, filtro Bayesan.
Está basado en reglas, también utiliza una prueba heurística en la cabecera y el
texto de correo.
ASPECTOS GENERALES
Autor: Están distribuidos en varios proyectos, entre los
autores están: Theo Van Dinter, Sydney
Markowitz, Craig Hughes, entre otros.
Versión: La versión actual es 3.1.0
Dirección electrónica: Su sitio oficial es www.spamassasin.apache.org
Tipo de Licencia: Se distribuye bajo licencia Apache 2.0
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis.
Sistemas operativos: Esta diseñado para trabajar en ambientes Linux,
aunque hay una versión para trabajar en
ambientes Windows.
Requisitos de sistemas: La versión de Windows requiere la previa
instalación de otras aplicaciones como son Active
Perl, nmake de Microsoft.
91
CARACTERISTICAS
Utiliza reglas para poder identificar e-mail spam
Tiene un 95% de corrección.
Utiliza métodos como análisis de texto, bloqueo de lista DNS.
FUNCIONAMIENTO
Los archivo que se instalan cuando se ha instalado SpamAssassin, son:
-/usr/share/spamassassin/*.cf
-/etc/mail/spamassassin/*.cf en este archive se crean, modifican, y agregar
reglas locales.
DEBUG
Esta es la opción usada para determinar el nivel de registros. Si existen secciones
permitidas de mensajes debug para habilitar o deshabilitar. Esto puede ser una
cadena, que es tratada como una lista delimitada de comando de las facilidades
de debug. Debug contiene los archivos siguientes:
Rules_filename, es el archivo para cargar las reglas par identificar spam.
Site_rules_filename, el directorio para cargar reglas especificas.
Userstate_dir, es el archivo utilizado para guardar.
MÉTODO PARSE
Retorna un correo a spamassasin con el mensaje de un objeto de la cabecera.
Con esta opción se puede configurar 2 parámetros opcionales: $mensaje dentro
de undef, una escala del mensaje entero, una referencia de orden de el mensaje
con 1 línea por elemento, o el archivo global con el contenido entero del mensaje.
El segundo parámetro es el $parse_now que especifica si crear o no un árbol
MIME que analice en el momento. Esta opción viene por defecto configurada
como falso (0). Esto permite que no tenga que general un árbol interno de nodo de
datos si la información no será utilizada.
92
Algunos de los comandos usados son:
$status=$f->check($$mail), esta opción permite chequear un correo,
encapsulado en un objeto del mensaje para determinar si es spam o no.
$status=$f-check_message_text($$mailtext), chequea un correo
encapsulado en una cadena plana, para determinar si es spam o no.
$f-add_address_to_whitelist($addr), da una cadena conteniendo una
dirección de correo, y la agrega a la base de datos de la lista blanca.
SPAMASSASIN DEAMON
Este programa provee una versión deamonized del ejecutable. El objetivo es
mejorar el rendimiento de procesamiento para el chequeo automatizado del
correo.
El servidor: spamd. Es el workhouse de spamc/spamd, carga una instancia de los
filtros de spamassasin y escuchar así como un deamon para que las peticiones
entrantes procesen el mensaje. Spamd escucha en el puerto 783.
Cliente spamc
Este cliente debe ser utilizado en lugar de spamassasin en escrituras para
procesar el correo. Lee el correo desde stdin y los conecta a spamd, y cuando es
leído el resultado lo imprime.
Niveles de seguridad del sistema
Spamd tiene la facilidad de correr como un usuario raíz o no. Cuando corre como
un root, spamd puede cambiar los UID´s a los usuarios que invocan el spamc para
leer y escribir sus configuraciones.
Spamassasin puede ser incorporado con otros programas para presentar una
mejor funcionalidad, por ejemplo se puede incorporar para ser utilizada como
clamav y mailscanner.
93
3.2.1.4 AVG ANTIVIRUS
AVG es un antivirus desarrollado por Grisoft, que brinda protección contra virus.
Utiliza una interfaz gráfica sencilla. Existen varios modos de software, una versión
gratuita que es para utilizarse en casas y las versiones para oficina, que dependen
de la versión o utilidad que se quiera dar, o por el número de licencias adquiridas.
ASPECTOS GENERALES
Autor: Desarrollado por grisoft Ltd.
Versión: La versión actual es la 7.0
Dirección electrónica: Su sitio oficial es www.grisoft.com
Tipo de Licencia: Es un software con derechos de Copyright
Esquema de licencia: Una licencia para una estación de trabajo,
dura 2 años.
Precio: el precio de la licencia es escalable por
ejemplo por 10 licencias su precio es de
US$ 250, si son 20 licencias son US$ 450.
Sistemas operativos: Desarrollado para ambientes de Microsoft
Windows, Linux.
Requisitos de sistemas: 15 mb. de espacio en disco duro
32 mb. de memoria RAM
CARACTERISTICAS
Soporte de múltiples lenguajes.
Opciones avanzadas para archivos infectados.
Habilidad para detectar conexiones a Internet para descarga de
actualizaciones
Administración remota (para versión comercial).
FUNCIONAMIENTO
Incorpora una interfaz gráfica que permite escoger y configurar las opciones
necesarias desde el centro de control. Entre las opciones del menú están:
94
Avg Resident Shield, donde se pueden modificar las características y
propiedades, por ejemplo escoger si se escaneara solo documentos,
archivos de programas, que tipo de análisis se realizará.
Email scanner, se puede configurar que correo escaneara, si solo el
entrante o solo el saliente, el tipo de servidor que ocupará si el protocolo
POP o SMTP,
Administrador de actualizaciones.
Bodega de Virus.
El área de test está conformada con varias opciones de prueba ya que se puede
configurar si solo se quiere escanear áreas del sistema, áreas seleccionadas o
todo el sistema. Así como mostrar los resultados del escaneo. Como se muestra a
continuación:
Figura 3.3 Configuración de área de test
Los resultados obtenidos los va registrando, como se muestra en la siguiente imagen:
Figura 3.4 Reportes
95
BODEGA DE VIRUS (VIRUS VAULT)
Esta opción es utilizada para encerrar los archivos infectados. También se puede
utilizar para curar archivos y luego regresarlos a su lugar en el disco. Entre las
acciones que se pueden tomar con respecto a los archivos están: mostrar el
detalle de los archivos, curar, borrar, restaurar los archivos.
3.2.1.5 NORTON ANTIVIRUS
Norton Antivirus es una herramienta diseñada por Symantec corporación para
brindar protección contra virus, prevención contra correo electrónico no deseado
para el gateway de Internet. En adición provee protección contra correo spyware
en cada nivel de la red. Detecta y repara automáticamente los efectos del
spyware, del software publicitario (adware).
Desarrollado en diferentes versiones y para diferentes tipos de usuarios, pero que
reúnen las características principales de protección. En el análisis se hará una
combinación de el que viene incorporado en el firewall y la edición enterprise.
ASPECTOS GENERALES
Autor: Desarrollado por Symantec Corporation.
Versión: La versión actual es la 2005, y dependiendo de
la versión comprada puede ser enterprise 10,
norton antivirus 11.0.2.4
Dirección electrónica: Su sitio oficial es www.symantec.com
Tipo de Licencia: Es un software con derechos de Copyright.
Esquema de licencia: Una licencia para una estación de trabajo,
duración de 1 año.
Precio: el precio de la licencia depende de la versión a
comprar y hay desde US $ 40.
96
Sistemas operativos: Desarrollado para ambientes de Microsoft
Windows
Requisitos de sistemas: 111 mb. de espacio en disco duro
64 mb. de memoria RAM
Internet Explorer 5.5 o más.
CARACTERISTICAS
A nivel de gateway ofrece filtrado de contenido, eliminación de virus del
tráfico HTTP y FTP.
En el gateway de correo, bloquea mensajes y anexos de contenido no
deseado, códigos maliciosos virus en los mensajes anexos.
Elimina virus, spyware, adware y malware.
Protección en tiempo real.
Protección en los protocolos SMTP, POP.
Actualizaciones automáticas.
Detección de phising.
Bloqueo de puertos de gusanos.
Uso de reglas.
FUNCIONAMIENTO
Es una interfaz gráfica y fácil de usar, que está conformado por una pantalla
principal. Donde se encuentra el status, las opciones de escaneo y reportes. Una
carpeta de opciones que esta dividida en tres áreas: System, Internet y otros.
System está subdividido en auto protección donde se puede escoger las opciones
de cómo estar protegido, como responder a un virus encontrado, que tipo de
archivos se escanearan.
La segunda opción es la protección del correo, configuración de protección contra
gusanos, donde se pueden configurar exclusiones, como se muestra en la
siguiente imagen:
97
Figura 3.5 Configuración de firmas
Además de eso se puede controlar programas para permitir o denegar el acceso a
Internet, configurar manualmente donde se puede escoger el tipo de acceso que
tendrá, que rango de IP se les permitirá, el protocolo que se permitirá, y el tipo de
comunicación, las reglas generales que trae pre-configuradas el programa
Figura 3.6 Uso de reglas
También se puede escanear los mensajes instantáneos ya sea de MSN o yahoo.
En las otras categorías es donde se puede configurar si se desea escanear
spyware, adware, dialers, accesos remotos, como se muestra a continuación:
98
Figura 3.7 Configuración de categorías
La opción de registros guarda las operaciones realizadas, como si ha generado
una alerta, actividad de las aplicaciones, conexiones, actividades, sistema,
alertas.
Figura 3.8 Reportes
99
3.2.2 FIREWALLS
3.2.2.1 FIRESTARTER
Es un programa visual que funciona como Firewall, que puede utilizarse dentro
de una computadora personal, en un servidor, o como un Firewall dedicado o
gateway, es decir, se puede configurar con un mínimo de instrucciones, y puede
activar el servicio DHCP.
ASPECTOS GENERALES
Autor: Desarrollado por Tomas Junnonen.
Versión: La versión actual es 1.0.3
Dirección electrónica: Su sitio oficial es www.fs-security.com
Tipo de Licencia: Tiene derechos de autor, pero se distribuye bajo
licencia GNU GPL versión 2.
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, Fedora, Red Hat, Suse.
Requisitos de sistemas: ninguno.
CARACTERISTICAS
Interfaz gráfica que lo hace fácil de usar y es amigable.
Monitorea intrusiones y atentados en tiempo real.
Conexiones a Internet activas, opcional con el servicio DHCP para los
clientes.
Vista de conexiones activas, incluyendo cualquier ruta de tráfico.
Provee protección en el kernel de Linux de spoofing, flooding, boadcasting.
Soporta parámetros para detener ataques de denegación de servicios.
Habilidad para definir scripts y reglas antes y después de activar el firewall.
100
FUNCIONAMIENTO
La aplicación está dividida en tres partes:
Status, que da un resumen del estado del firewall.
Eventos, donde bloquean atentados de intrusiones y
Políticas, donde se pueden activar o crear nuevas políticas.
Figura 3.9 Consola principal
La sección de eventos muestra el historial de las conexiones que han sido
bloqueadas, detallando la fecha y hora, la dirección (si fue interna o externa), el
puerto de destino, el protocolo de red utilizado, el tipo de parámetro del servicio
que fueron configurados en el paquete, como el nombre del servicio al que está
intentando acceder.
Figura 3.10 Sección de eventos.
La sección de políticas esta dividida en dos áreas: la entrada de tráfico y la salida.
101
Figura 3.11 Sección de políticas
La política de entrada de control de tráfico agrupa el tráfico de Internet y de la red
local. Los grupos de entrada están divididos en: permitir servicios, permitir
conexiones del Host, servicio delantero.
Cuando se crean nuevas reglas en el grupo de conexiones de Host, el único
parámetro que se puede especificar es la IP o el nombre del Host.
El grupo de servicios permite más controles de accesos. Las reglas toman 2
parámetros, el servicio y el target.
El servicio delantero es solamente activado si se tienen compartidas en un grupo
la conexión de Internet. Cuando se permite compartir un grupo de computadoras
se considera como una sola entidad, desde el punto de vista de la red exterior.
Como todas las computadoras tienen una sola dirección IP, el firewall actúa como
un relay delantero entre la red pública y privada.
POLITICAS DE SALIDA
Las políticas de salida, controlan el tráfico hacia el Internet y de cualquier cliente
LAN, que por default viene en modo permisivo, es decir que cualquier cliente
conectado a la red local puede buscar en la red, leer correos, sin restricciones.
102
OPCIONES DE CORTAFUEGO
Esta dividido en opciones generales, ajustes de la red, opciones de filtro ICMP y
ToS.
Las opciones generales se puede configurar las opciones de:
Iniciar con el arranque de programa,
Iniciar con un Dial out, se inicia cuando se establece una conexión manual.
Figura 3.12 Opciones de cortafuego
OPCIONES DE FILTRO ICMP
ICMP es uno de los protocolos centrales de la suite de protocolos de Internet. Es
usado principalmente por los Sistemas operativos de las computadoras en una red
para enviar mensajes de error, indicando por ejemplo que un servicio determinado
no está disponible ó que un router ó host no puede ser localizado.
Es utilizado para prevenir ataques flooding o denegación de servicios. Entre los
tipos de ICMP permite para el control están:
La petición y respuesta ECHO, usado por la herramienta ping, pero
también para permitir juegos y programas en general.
Timestamping, es usado para determinar cuanto tiempo un paquete
destinado para un host permanecerá activo.
Unreachable, usados en ataques de finger, mensajes unreachables son
enviados cuando un destinatario host no responde a la respuesta de la
máquina.
103
3.2.2.2 IPCOP
IPCOP es un Firewall para Linux con una interfaz fácil de usar. Se sitúa en la
conexión de Internet (módem, DSL) y el tráfico directo usando un conjuntos de
reglas para TCP/IP, permitiendo navegar alrededor visitando sitios Web, FTP,
email. Además se puede configurar para utilizar VPN. Trabaja con 4 tipos de
interfaces para poder configurar.
ASPECTOS GENERALES
Autor: Desarrollado por el grupo IPCop liderado por
Jack Beglinder.
Versión: La versión actual es la 1.4.9
Dirección electrónica: Su sitio oficial es www.ipcop.org
Tipo de Licencia: bajo licencia GNU GPL.
Esquema de licencia: Puede ser instalado para uso personal o
pequeñas empresas.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, FreeBSD, Open BSD, Solaris; Windows.
Requisitos de sistemas: ninguno.
CARACTERISTICAS
Filtrado de paquetes de red en base a IPtable.
Web Server con páginas que permiten la sencilla administración del firewall.
Permite trabajar con cliente DHCP que permite obtener la dirección IP
automáticamente desde el ISP.
Servidor DHCP que permite una rápida y sencilla configuración de
estaciones de trabajo en la red interna.
Proxy DNS caché, que permite incrementar la velocidad de resolución de
consultas de nombre de dominio.
Web Proxy con cache que incrementa la velocidad de navegación por Web.
Detección de intrusos para advertir ataques desde la red externa.
104
FUNCIONAMIENTO
IPCOP puede trabajar de cuatro formas diferentes.
• GREEN (RED is modem/ISDN)
• GREEN + ORANGE (RED is modem/ISDN)
• GREEN + RED (RED is Ethernet)
• GREEN + ORANGE + RED (RED is Ethernet)
IP-COP trabaja mediante IP-TABLES, permitiendo el filtrado de paquetes a través
de reglas. La siguiente imagen muestra la vista generada del control de las
conexiones utilizada por las diferentes IP, a través de IP table.
Figura 3.13 Control de conexiones
MENU DE FIREWALL
En la interfaz vía Web hay un menú de firewall para poder configurarlo. Primero el
puerto delantero es un servicio que permite limitar el acceso para LAN internas
hacia afuera. Cuando se ingresa al servidor, se puede escoger el recibir o
escuchar puertos de las máquinas internas de red. Cuando está listo para recibir
los puertos, se puede leer la información.
Donde se puede agregar nuevas reglas, o activar las ya predefinidas,
especificando el recursos, la dirección IP de destino. IPCop también permite
configurar accesos externos. Permite crear DMZ Pinholes (zona de delimitación)
que es utilizada como una semi-interface de puntos entre la zona externa e
interna.
105
Figura 3.14 Configuración del firewall
VPN
Puede establecer VPN con otros servidores, permite ver el status de la conexión,
establecer el tipo de conexión, ya sea en base a Host-red o red-red, con
autenticación.
PROXY
Se puede configurar IPCop para que trabaje el Proxy de forma normal o
transparente.
Si el Proxy se configura en modo normal el usuario deberá configurar su browser y
todos los programas que accedan a Internet con la dirección del IPCop para la
interfase VERDE. Esto permite un mayor control de las actividades del usuario.
En cambio si el Proxy se configura en modo transparente no se requiere ningún
tipo de configuración de Proxy en las estaciones de trabajo de la red interna.
Además puede generar estadísticas, verificar que servicios están activos, el tráfico
generado, la interfaz utilizada, como se muestra a continuación:
106
Figura 3.15 Generación de Estadísticas.
3.2.2.3 NETFILTER/ IPTABLE
Netfilter e IPtable han sido desarrollados para ejecutarse dentro del marco del
Kernel de Linux 2.4 y 2.6. Puede ser configurado como Firewall, filtrado de
paquetes, conversión de dirección de redes y puertos (Network adress and port
translation (NAPT). El firewall filtra el tráfico TCP/UDP/ICMP/IP y decide si un
paquete pasa, se modifica, se convierte o se descarta.
Netfilter es un sistema de ganchos dentro del núcleo del Linux que permite
registrar funciones de rellamadas con la red.
Iptables es un conjunto de herramientas disponibles en el kernel del linux (2.4) que
le permiten al usuario enviar mensajes al kernel del Sistema Operativo. Iptables
permite decirle al kernel qué debe hacer con cada uno de los paquetes, en base a
las características de un paquete en particular, tales como los valores que tienen
en sus encabezados (a dónde se dirigen, de dónde vienen, números de puertos,
etc.).
107
ASPECTOS GENERALES
Autor: Desarrollado por Paul Russell, actualmente hay
un grupo encabezado por Harald Welte.
Versión: La versión actual es la 2.6
Dirección electrónica: Su sitio oficial es www.netfilter.org
Tipo de Licencia: bajo licencia GNU GPL.
Esquema de licencia: Para ser instalado en el núcleo de Linux.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, FreeBSD, Open BSD, Solaris.
Requisitos de sistemas: ninguno.
CARACTERISTICAS
Filtro de paquetes stateless ( IPv4 y IPv6)
Filtros de paquetes Stateful (IPv4)
Todo tipo de conversión de direcciones de red y puertos (NAT/NAPT)
Infraestructura flexible y extensible.
Se puede construir firewall basados en filtros de paquetes stateful y
stateless
Uso de NAT y máscaras para compartir accesos a Internet si no se
tienen suficientes direcciones IP.
Uso de NAT para implementar proxies.
FUNCIONAMIENTO
Netfilter esta dividido en 4 partes, la primera parte cada protocolo define los hook,
(IPv4 define 5), que son puntos definidos en un paquete transversal. Cada uno de
estos puntos, el protocolo llamará el marco de netfilter con los paquetes y el
número de hook.
Segunda, parte del kernel pueden colocarse para escuchar los diversos hook de
cada protocolo. Cuando un paquete pasa por el marco de netfilter, comprueba si
108
algo ha registrado el protocolo y el hook, y así consigue examinar, descartando
paquetes y permitiendo el paso, diciendo a netfilter que olvide el paquete.
La tercera parte es para los paquetes que han sido recogidos por el driver ip
queued para enviarlos al userpace. La última parte consiste en comentarios en el
código y la documentación.
ARQUITECTURA DE NETFILTER
BASE DE NETFILTER
Los módulos del kernel pueden colocarse en cualquiera de los hooks. Un módulo
debe registrar una función especificando la prioridad dentro del hook, cuando el
hook es llamado de un código, cada módulo registrado en los puntos es llamada
en orden de prioridad y es libre de manipular los paquetes. El módulo puede hacer
lo siguiente:
1. NF_ACCEPT, continúa como normal.
2. NF_DROP, baja el paquete, no continúa.
3. NF_STOLEN, ha tomado el control del paquete, no continúa.
4. NF_QUEUE, hace cola el paquete.
5. NF_REPEAT, llama el hook nuevamente.
SELECCION DE PAQUETE: IP TABLE
Para comenzar con esta parte de la arquitectura de netfilter es necesario conocer
el concepto de iptable. Iptable es el userspace programa de línea de comando
usado para configurar las reglas de filtro de paquetes. Entre sus características
está listar los contenidos de las reglas, agregar, eliminar o modificar reglas. Cada
regla especifica un conjunto de condiciones que debe cumplir el paquete, y que
hacer si se ajusta a ella.
109
ESTRUCTURAS DE DATOS DE IP_TABLES
Por conveniencia, se utiliza la misma estructura de datos para representar una
regla en el espacio de usuario y dentro del kernel, aunque algunos campos sólo se
utilizan dentro del kernel.
Cada regla consiste en las partes siguientes:
Una estructura `struct ipt_entry'.
Cero o más estructuras `struct ipt_entry_match', cada una con una cantidad
variable de datos (0 o más bytes) dentro de ella.
Una estructura `struct ipt_entry_target', con una cantidad variable de datos
(0 o más bytes) dentro de ella.
La naturaleza variable de las reglas proporciona una enorme flexibilidad a las
extensiones, especialmente porque cada concordancia (match) u objetivo (target)
puede llevar una cantidad de datos arbitraria.
La estructura `struct ipt_entry' tiene los siguientes campos:
1. Una parte `struct ipt_ip', que contiene las especificaciones para la cabecera
IP que tiene que concordar.
2. Un campo de bits `nf_cache' que muestra qué partes del paquete ha
examinado esta regla.
3. Un campo `target_offset' que indica el offset del principio de esta regla
donde comienza la estructura ipt_entry_target. Esto siempre debe alinearse
correctamente (con la macro IPT_ALIGN).
4. Un campo `next_offset' que indica el tamaño total de esta regla, incluyendo
las concordancias y el objetivo. Esto siempre debe alinearse correctamente
con la macro IPT_ALIGN.
5. Un campo `comefrom', utilizado por el kernel para seguir el recorrido del
paquete.
110
6. Un campo `struct ipt_counters' que contiene los contadores de paquetes y
de bytes que han concordado con esta regla.
RECORRIDO Y USO DE IP_TABLES
El kernel comienza el recorrido en la posición indicada por el gancho en particular.
Esa regla se examina, y si los elementos de `struct ipt_ip' concuerdan, se
comprueba cada `struct ipt_entry_match' en orden (se llama a la función de
concordancia asociada con esa concordancia). Si la función de concordancia
devuelve 0, la iteración se detiene en esa regla. Si establece el valor de `hotdrop' a
1, el paquete será rechazado inmediatamente .
Si la iteración continúa hasta el final, los contadores se incrementan y se examina
la estructura `struct ipt_entry_target': si es un objetivo estándar, se lee el campo
`veredict' (negativo significa el veredicto de un paquete, positivo significa un offset
al que saltar). Si la respuesta es positiva y el offset no es el de la regla siguiente,
se establece la variable `back', y el valor anterior de `back' se coloca en el campo
`comefrom' de esa regla.
Se ha construido un sistema de selección de paquetes llamado IP Tables sobre el
sistema netfilter. Los módulos del kernel pueden registrar una tabla nueva, e
indicarle a un paquete que atraviese una tabla dada. Este método de selección de
paquetes se utiliza para el filtrado de paquetes, para la conversión de direcciones
de Red y para la manipulación general de paquetes antes del enrutamiento.
NAT
Esto es el reino de la tabla NAT, que se alimenta de paquetes mediante tres
ganchos de netfilter: para los paquetes no locales, los ganchos
NF_IP_PRE_ROUTING y NF_IP_POST_ROUTING son perfectos para las
alteraciones en el destino y el origen, respectivamente. Para alterar el destino de
los paquetes locales, se utiliza el gancho NF_IP_LOCAL_OUT.
Enmascaramiento, redireccionamiento de puertos y proxys transparentes
111
NAT de Origen (en el que se altera el origen del primer paquete), y NAT de
Destino (en el que se altera el destino del primer paquete).
El enmascaramiento es una forma especial de NAT de Origen; el
redireccionamiento de puertos y los proxys transparentes son formas especiales
de NAT de Destino
SEGUIMIENTO DE CONEXIONES
El seguimiento de conexiones es fundamental para NAT, pero está implementado
en un módulo aparte; esto permite una extensión del filtrado de paquetes para
utilizar de manera limpia y sencilla el seguimiento de conexiones.
TABLAS, CADENAS Y REGLAS Las tablas en iptables son de tres tipos: filter (filtrado), nat (network address
translation) y mangle (redirigir). La primera (filter) es donde se encuentran todas
las cadenas que pueden contener reglas que hagan filtrado de paquetes (acepten,
rechacen o denieguen paquetes).
La regla es la orden específica que le indica al kernel qué hacer cuando encuentra
un paquete con las características que están indicadas en la misma regla. Las
reglas están contenidas dentro de cadenas y las cadenas están dentro de las
tablas.
112
3.2.2.4 SMOOTHWALL
Smoothwall express permite construir fácilmente un firewall para asegurar la
conexiones de red, habilidad o deshabilitar servicios, crear reglas de seguridad.
Utiliza una interfaz gráfica vía web. Smootthwall viene configurado para bloquear
todo tráfico incomodo que es el resultado de una respuesta de salida.
ASPECTOS GENERALES
Autor: Desarrollado por grupo Smoothwall limitada.
Versión: La versión actual es la 2.0
Dirección electrónica: Su sitio oficial es www.smoothwall.org
Tipo de Licencia: Tiene derechos de autor, pero se distribuye bajo
licencia GNU GPL versión 2.
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis y que para usos
comerciales puede comprarse otras aplicaciones
desarrolladas por la compañía.
Sistemas operativos: Linux, Windows, Macintosh,
Requisitos de sistemas: 64 mb. de memoria ram.
CARACTERISTICAS
Soporta DMZ
Mantiene la información privada y confidencialmente en servidores.
Es como una herramienta de prueba no tan robusta como las versiones
comerciales desarrolladas por el grupo.
Soporta incorporar otras herramientas para realizar una administración
centralizada, como snort, squid.
FUNCIONAMIENTO
Después de configurado e instalado el software, la página de control está dividida
en una serie de ventanas conformadas por: control, servicios, red, vpn, registros,
herramientas, y mantenimiento.
113
NETWORKING
Está formado por port forwarding, servicios de acceso externo, DMZ pinoles, PPP
setting, IP block y Advanced.
Figura 3.16 Imagen de la ventana de trabajo de Networking
Port forwading permite crear una lista de reglas de puertos delanteros, donde el
tráfico es llevado a un puerto en interfase Roja (Internet), y enviada a otra
dirección IP, normalmente en el DMZ (orange) pero potencialmente dentro de la
red local protegida (verde). Es utilizada para permitir que los servidores dentro del
DMZ se comuniquen con el mundo exterior en el Internet sin exponer la dirección
IP real, servicios o puertos necesarios.
El servicio de acceso externo permite crear una lista de conexiones permitidas de
computadoras externas a smootwall Express vía direcciones IP/ puertos en la
interfaz de Internet (rojo).
DMZ Pinoles, está configuración será aplicable para instalaciones donde DMZ es
configurado en interfaz orange. Permite configurar holes entre DMZ y la red local
(verde).
IP block, evita que ciertas direcciones IP puedan acceder al Firewall o a cualquiera
de las computadoras de usuarios o Host.
114
VISTA DE REGISTRO DE ARCHIVOS
Esta ventana permite ver los registros capturados por el Firewall, web proxy, IDS,
y otros.
Figura 3.17 Imagen de la vista de registros del firewall
Además puede generar gráficos del tráfico realizado por cada interfaz, ya sea de
entrada y de salida, como se muestra a continuación:
Figura 3.18 Imagen del tráfico
115
3.2.2.5 SYMANTEC ENTERPRISE FIREWALL
Es un firewall desarrollado por Symantec que provee inspección total, proxies de
seguridad y filtrado de paquetes. Además tiene la capacidad de configurar
políticas para el control del tráfico de entrada y salida. Provee seguridad en todas
las capas TCP/IP, tiene múltiples procesadores, métodos de autenticación,
protección contra ataques de negación de servicios. Integra VPN, proporcionando
una conexión segura y rápida.
ASPECTOS GENERALES
Autor: Desarrollado por Symantec Corporation.
Versión: La versión actual es 8.0
Dirección electrónica: Su sitio oficial es www.symantec.com
Tipo de Licencia: Es un software con derechos de Copyright
Esquema de licencia: Una licencia para una estación de trabajo.
Precio: US$ 2101.5.
Sistemas operativos: Desarrollado para Windows NT ó 2000 y Solaris.
Requisitos de sistemas: 8 mb. de espacio en disco duro
256 mb. de memoria RAM
CARACTERISTICAS
Es compatible con el protocolo NAT de entrada y salida para el tráfico VPN.
Protege las direcciones internas de visualizaciones externas.
Bloqueador de contenidos, a través de la tecnología de filtrado llamada
WebNot para controlar el acceso a sitios no deseados. Se puede limitar el
acceso a sitios para usuarios específicos.
Se integra sin ningún problema con Symantec VPN.
Balance de carga ya que admite la integración de mecanismos de carga
para hardware y software.
Administración centralizada a través de la consola de Symantec Raptor
(SRMC), para la configuración y administración de políticas.
116
Administración de políticas de seguridad, como por ejemplo el acceso a
servidores, archivos compartidos.
Previene ataques de denegación de servicios a usuarios de Internet
FUNCIONAMIENTO
La consola del security gateway está conformada por los directorios siguientes:
POLICY, en esta sección se configuran reglas, grupos de servicio, políticas
de VPN, filtros.
Location Setting, se usa para configurar entidades de red, usuarios,
túneles VPN y métodos de autenticación.
System, para especificar atributos específicos como interfaces de red,
registro de archivos,
Monitoring, se utiliza para ver las alertas, registros de archivos.
Reports.
Cuando esta configurando la consola se puede habilitar o deshabilitar opciones
de interfaces para conectarse como son: permitir trafico multicast UDP, escaneo
de puertos, protección Spoof, DNS, SYN flood.
REGLAS
Las reglas básicas incluyen código y entidades de destino y que interface o túnel
de seguridad entra y sale del gateway. Con las reglas se pueden definir accesos,
controlar que protocolos accedan al sistema, prevenir ataques usando cadenas
HTTP URL, remover la cabecera de los paquetes HTTP para no revelar la
información del Web Server, configurar los protolocos de red.
FILTROS
Los filtros se utilizan para restringir el paso de paquetes del host dando una
seguridad en el túnel. Los filtros consisten en instancia de protocolos y
direcciones, especificando una pareja de entidad.
117
Figura 3.19 Imagen de la interfaz donde se crean los filtros
REDIRECCIONANDO SERVICIOS
El redireccionamiento del servicio implica definir de una dirección virtual en la cual
un servicio sea disponible y que vuelve a dirigir las conexiones para esa dirección
a un destino no publicado.
La configuración del servicio de redirección da a los usuarios exteriores el aspecto
de acceso transparente a la información sobre sistemas iniciados sin divulgar las
direcciones de los sistemas. Por ejemplo un usuario externo podría conectar con
206.7.7.23 para FTP. El servicio se podía remitir a 192.168.3.11 sin que el usuario
se entere.
DIRECCIONES NAT POOL
Es un conjunto de direcciones designadas para reemplazar direcciones IP
clientes. Hay 2 tipos de NAT: dinámicas y estáticas.
MONITOREO DEL TRÁFICO
La ventana de monitoreo da una visión de varios aspectos de la actividad de la
de la seguridad, incluyendo reciente y el tráfico actual, registro de archivos,
estado del cluster y de los eventos que son registrados por el administrador SESA.
118
La ventana de SUMMARY de la conexión proporciona un resumen de las
conexiones a la entrada de la seguridad, qué tipos de protocolo están
funcionando, y el volumen de tráfico en esas conexiones.
La ventana de conexiones activas proporciona una foto, restaurada en pocos
segundos, de conexiones actualmente activas a la entrada de la seguridad. Esta
desplega información incluyendo la fuente y destino para cada conexión y la
interfaz a través de el cual se hace la conexión.
La vista de registros de archivos provee información detallada de los registros que
el sistema colecciona de las conexiones. Los registros los maneja con categorías,
por ejemplo en un nivel de información se encuentra en un rango de números de
100-199 que muestra un mensaje operacional estándar que indica una operación.
Figura 3.20 Vista de registros
119
3.2.3 PROXY
3.2.3.1 PRIVOXY
Privoxy es un Web proxy con capacidades avanzadas de filtro para proteger la
privacidad, modificación de contenido de página Web, administración de cookies,
control de acceso, y eliminación de publicidad, baners, pop ups y otro tipo de
basura de Internet. Esta basado en Junkbuster.
ASPECTOS GENERALES
Autor: Desarrollo por el equipo Privoxy, entre ellos
están: Johny Agotnes, Rodrigo Barbosa, Moritz
Barsnick, Brian Dessent y muchos más
Versión: La versión estable es la 3.0.3
Dirección electrónica: Su sitio oficial es www.privoxy.org
Tipo de Licencia: bajo licencia GNU GPL, versión 2.
Esquema de licencia: para indeterminadas PCs.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, SunOS/Solares, Unix,
Windows.
Requisitos de sistemas: ninguno.
CARACTERISTICAS
Browser integrado basado en utilidades de control y configuración.
Filtro de contenido de páginas Web
Configuración modularizada ue permite ajustes estándar y ajustes de
usuarios.
Soporta las expresiones regulares compatibles del Perl en los archivos de
configuración.
Administración de cookies.
Autodetección y reescritura de los cambios de los archivos de
configuración.
120
FUNCIONAMIENTO
Luego de haber instalado privoxy, es necesario configurar el browser para poder
utilizar privoxy como un Proxy HTTP y HTTPS. Utiliza el puerto 8118. El menú de
privoxy está conformado por las opciones siguientes:
Ver y cambiar la configuración actual
Ver los números de versión del código fuente
Mirar que acciones son aplicadas a los URL y porqué.
Encendido o apagado de privoxy.
CONFIGURACION Y LOCALIZACION DE ARCHIVOS DE REGISTROS
Para que los usuarios puedan usar privoxy, debe haber leído los permisos de
todos los archivos de configuración, escribir permisos de algunos archivos que han
sido modificados, como registros y acciones. Entre estos archivos que deben ser
configurados están:
Confidir
Logdir
Filterfile, este archivo contiene modificación de reglas que son usadas
regularmente. Estas reglas permiten cambios en el contenido de la página
Web.
Trusfile, es un experimento para construir listas blancas, que permitirá el
acceso solamente a sitios que son especificados en el archivo.
CONTROL DE ACCESO Y SEGURIDAD
En esta sección se configuran y controlan aspectos de seguridad. Está formado
por los archivos:
Listen-address, especificando la dirección IP y el puerto.
Enable edit actions
ACLs: permitir o denegar accesos, las lista de control de acceso permite
especificar quien puede acceder a?, la sintaxis utilizada es:
Src_addr [ src_masklen] [dst_addr[dst_masklen]
121
Donde scr_addr y dst_addr son direcciones IP en notación decimal o
nombres validos DNS, src_masklen y dst_masklen son mascaras de la
subset en notación CIDR.
FORWARDING
Permite dirigir peticiones de HTTP a través de cadenas de múltiples proxies. Esta
función puede ser utilizada para proteger la privacidad y confidencialidad cuando
se accesa a específicos dominios que son dirigidos por anónimos proxies públicos,
o para aumentar la velocidad del buscador, o para utilizarlo a través de un Proxy
padre. También son especificados los SOCKS, que son los protocolos Socks 4 y
Socks 4A.
ARCHIVOS DE ACCIONES
El archivo de acciones es utilizado para definir que acciones tomará privoxy para
los URLs, y así determinar que imágenes, cookies y otros aspectos serán
manejados en un sitio Web. Está formado por tres archivos que son:
Default.action, es el archivo principal que fija los valores iniciales para las
acciones.
User.action, es para establecer las preferencias y acciones de los sitios.
Standard.action, es usado por el editor Web, para fijar varios tipos de reglas
predefinidos en default.action
Entre las configuraciones que vienen por default están:
Agregar filtro por tamaño.
Agregar bloqueo por URL
GIF de animación
Los archivos de acciones se dividen en secciones. Que tienen una línea de título
que consiste en una lista de acciones, separadas por espacios en blanco.
122
Todas las acciones son deshabilitadas por default. Son activadas si son
precedidas común “+” y deshabilitadas con un “-“.
Hay 3 tipos clases de acciones:
Booleano, para habilitar o deshabilitar la acción.
Parámetros, cuando algunos valores son requeridos para permitir algún tipo
de acción. Sintaxis: +name {parámetro}
Multi-valores, parecen acciones de parámetros, pero se comportan
diferentemente: Si la acción aplica múltiples tiempos al mismo URL, pero
con diferentes parámetros, todos los parámetros emparejados se
recuerdan.
Lista de acciones:
Bloqueo de publicidad o molesto contenido, tipo booleano
Desanimar GIF, tipo parámetro.
Filtro. Generalmente es usado para librarse de baners, anuncios en
javascript. El nombre del filtro está definido en el archivo filterfile, ejemplo
de algunos filtros:
+filter{frameset-borders} Ajusta el tamaño de los marcos y de los bordes.
+filter{banners-by-size} elimina los baners por tamaño.
+filter{ie-exploits} inhabilita algunos agujeros de Internet Explorer.
123
3.2.3.2 SQUID
Squid es un Web Proxy Caché que permite controlar y acelerar la navegación en
Internet, esto lo realiza ya que guarda las peticiones que los usuarios realizan, es
decir, si un usuario accede a una página Web, squid crea una copia así el
próximo acceso la descarga más rápidamente.
Squid consiste en un programa principal, un programa dnsserver, algunos
programas opcionales para reescribir peticiones y permitir autenticaciones, y
herramientas de administración de clientes.
ASPECTOS GENERALES
Autor: Duane Wessels de la Fundación Nacional de
Ciencia (NSF), lidera el desarrollo del código
fuente, pero hay muchos que han contribuido al
programa.
Versión: La versión estable es la 2.5
Dirección electrónica: Su sitio oficial es www.squid-cache.org
Tipo de Licencia: bajo licencia GNU GPL.
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, Unix, Windows.
Requisitos de sistemas: 512 mb. de memoria RAM
9 GB, de espacio en disco duro.
CARACTERISTICAS
Acelera la navegación por Internet.
Soporta actualmente los protocolos HTTP, FTP, GOPHER, SSL, y WHAIS.
Trabaja con listas de control de accesos
124
FUNCIONAMIENTO
Al referirse a un caché se dice que es una manera de almacenar los objetos
solicitados del Internet (datos disponibles vía HTTP, FTP, y los protocolos Gopher)
en un sistema más cercano al sitio de la petición. Los browsers pueden utilizar
Squid como servidor Proxy HTTP, reduciendo tiempo de acceso y el consumo del
ancho de banda. Para poder trabajar squid en ambientes Microsoft Windows
requiere la instalación de Cygwin.
Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo se
puede especificar que lo haga en cualquier otro puerto o bien que lo haga en
varios puertos a la vez.
CONTROL DE ACCESO
Es necesario establecer Listas de Control de Acceso que definan una red o bien
ciertas maquinas en particular. A cada lista se le asignará una Regla de Control de
Acceso que permitirá o denegará el acceso a Squid.
Regularmente una lista de control de acceso se establece siguiendo la siguiente
sintaxis:
Acl [nombre de la lista] src [lo que compone a la lista]
También puede definirse una Lista de Control de Acceso invocando un fichero
localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista de
direcciones IP. Ejemplo:
acl permitidos src "/etc/squid/permitidos”
REGLAS DE CONTROL DE ACCESO
Estas definen si se permite o no el acceso a Squid. Se aplican a las Listas de
Control de Acceso. La sintaxis básica es la siguiente:
http_access [deny o allow] [lista de control de acceso]
125
También pueden definirse reglas valiéndose de la expresión !, la cual significa
excepción.
Acls basados en direcciones de destino
Existe un caso frecuente, consistente en prohibir el acceso a una lista de sitios
considerados como "inapropiados". Squid no está optimizado para gestionar una
larga lista de sitios, pero puede gestionar un número concreto de sitios sin
problemas.
acl adultos dstdomain playboy.com sex.com
acl hostpermitidos src 196.4.160.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
http_access deny adultos
http_access allow hostspermitidos
http_access deny all
CACHE CON ACELERACIÓN.
Cuando un usuario hace petición hacia un objeto en Internet, este es almacenado
en el cache de Squid. Si otro usuario hace petición hacia el mismo objeto, y este
no ha sufrido modificación alguna desde que lo accedió el usuario anterior, Squid
mostrará el que ya se encuentra en el cache en lugar de volver a descargarlo
desde Internet.
En la sección HTTPD-ACCELERATOR OPTIONS deben habilitarse los siguientes
parámetros:
httpd_accel_host virtual
httpd_accel_port 0
httpd_accel_with_proxy
ANALISIS DE LOGS
Squid trabaja con 4 ficheros logs, estos son:
126
1 Access.log, En este fichero se almacenan las peticiones hechas al caché.
Gracias a este fichero se podrá saber cuanta gente utiliza el caché, tipos de
peticiones, sitios más populares, etc.
2 cache.log, este fichero almacena toda la información que proporciona squid,
como por ejemplo errores, mensajes de inicio, etc.
3 store.log, aquí se almacena toda la actividad del disco duro. Muestra cuando
un objeto es añadido o borrado del disco.
4 cache/log, este archivo contiene un índice de todos los objetos salvados, y su
localización en el disco duro.
Estos análisis de logs pueden presentarse en forma gráfica utilizando SARG que
es un generador de reportes que permite ver la información registrada a través de
reportes HTML. Entre los reportes que desplega son: sitios visitados, download,
sitios, accesos denegados. El sitio donde se puede descargar es:
http://sarg.sourceforge.net/squid-reports/
Figura 3.21 Reporte de sitios descargados mostrados por SARG
127
3.2.3.3 WEB CLEANER
WebCleaner es un proxy HTTP de filtrado HTML, que permite desactivar GIF
animados, eliminando o añadiendo cabeceras HTTP y, apartando elementos
HTML indeseables como los pop-up de publicidad o códigos JavaScript.
Este filtro parsea por completo los datos HTML de una Web, identificando líneas
de código HTML erróneas para ignorarlas. El filtrado JavaScript consta del motor
javaScript Spidermonkey, evitando de esta forma la supresión del código maligno,
pop-ups.
WebCleaner puede detectar fallos de seguridad en los procesos HTML. Por
ejemplo, permite detectar la explotación del buffer overflow, ataques de tipo Denial
of Service, solucionándolos mediante clases HTMLSecurity.
ASPECTOS GENERALES
Autor: Proyecto desarrollado por SourceForge.net
Versión: La versión estable es la 2.33
Dirección electrónica: Su sitio oficial es
www.webcleaner.sourceforge.net
Tipo de Licencia: dentro de GNU GPL.
Esquema de licencia: Sin restricciones de instalación.
Precio: Es una herramienta gratis.
Sistemas operativos: Puede trabajar en Linux, Microsoft Windows.
Requisitos de sistemas: Requiere la previa instalación de Python.
CARACTERISTICAS
Remueve HTML no deseado.
Bloquea Pop ups.
Inhabilita GIF animados.
Filtro de imágenes por tamaño.
Remueve/ agrega/ modifica cabeceras HTTP
128
Uso de lista negra de Squid.
Soporta HTTPS/ HTTP 1.1
FUNCIONAMIENTO
El Proxy se puede configurar para correr en el puerto 8080. Primero es necesario
instalar Pitón y sus extensiones.
Python es un lenguaje de programación interpretado, interactivo, orientado a
objetos. Python combina energía notable con sintaxis muy claro. Tiene módulos,
clases, excepciones, los tipos de datos dinámicos de nivel muy alto.
Su interfaz es sencilla, fácil de utilizar, solamente hay que chequear en los
módulos que filtros desean realizar, si bloqueo, Gif animado, reducción de tamaño,
cabeceras, seleccionar que host se les permitirá navegar y a cuales se les
aplicarán los filtros.
Figura 3.22 configuración del Proxy
En la configuración de filtros esta divida en tres secciones: fólder, fólder de reglas
y las reglas.
Los fólder permiten ordenar por opciones de filtro si son cabeceras, sitios eróticos,
scripts. Las reglas pueden configurarse de acuerdo a parámetros y opciones como
el titulo de la regla, las URL, atributos entre otros.
129
Figura 3.23 folders y parámetros
3.2.3.4 ABC PROXY
ABC Proxy permite compartir a los usuarios de una red local para navegar
simultáneamente, utilizar el correo electrónico, actuando también como un firewall.
Permite trabajar con cualquier tipo de conexión de red.
ASPECTOS GENERALES
Autor: Desarrollado por Idesoft
Versión: La versión actual es la 6.0
Dirección electrónica: Su sitio oficial es www.idesoft.com
Tipo de Licencia: Es un software propietario con derechos de
autor, y derechos de propiedad por parte de
Idesoft de acuerdo en la ley 22/1987 sobre
Propiedad intelectual de España.
Esquema de licencia: Una licencia por PC.
Precio: Ronda pro los US $ 25.
Sistemas operativos: Esta diseñado para todas las versiones de
Microsoft Windows.
Requisitos de sistemas: 8 MB. de memoria RAM.
130
CARACTERÌSTICAS
Soporta todo tipo de redes locales.
Permite navegar por Internet, correo electrónico, noticias, irc-chat,
conexiones FTP, real audio entre otros.
Soporta HTTP, HTTPS, FTP, PO, SMTP, IRC, MSN Messenger.
Puede trabajar con cualquier tipo de conexiones: Modem, RDSI, cable,
ADSL, satélite.
Soporta conexiones seguras para el comercio electrónico.
Soporta el protocolo SOCKS, lo que permite hacer uso de cualquier
aplicación que pueda acceder a Internet.
Aceleración y optimización de la navegación.
Incorpora Firewall para evitar accesos no deseados.
FUNCIONAMIENTO
Ya instalado el Proxy es necesario configurar dentro del buscador las opciones
que dirijan y permita acceder a estos por medio del Proxy. Además es necesario
configurar los clientes FTP, MSN Messenger.
Su interfaz gráfica es muy sencilla y con pocas opciones, como se muestra a
continuación:
Figura 3.24 Consola principal de ABC Proxy
131
REDIRECCION DE PUERTOS
Esta opción se utiliza ya que en ocasiones algunas aplicaciones requieren de una
configuración particular del Proxy, y al seleccionar esta opción el programa
muestra las redirecciones disponibles. También se pueden crear las redirecciones
de puertos con las opciones de agregar y modificar.
OBTENER UNA DIRECCION IP
Esta opción es para introducir el servidor de correo entrante, saliente y de news a
través de una dirección IP, por lo que al utilizar esta opción se podrá obtener la
dirección IP del proveedor.
SOCKCAP
Es una aplicación externa desarrollada por NEC que actúa de emulador de la
conexión Internet para aquellas aplicaciones que necesitan conectarse a Internet y
no disponen de soporte Proxy.
3.2.3.5 SYMANTEC ENTERPRISE FIREWALL
Symantec Enterprise Firewall incorpora el proxy, que manejan servicios comunes,
como Telnet, HTTP, FTP, RealAudio, y otros; ofreciendo un alto nivel de registro
y facilidad de empleo.
Un proxy, también conocido como un proxy demonio, es una aplicación que corre
el gateway y actúa como servidor y cliente, aceptando conexiones de clientes y
hace peticiones de clientes al servidor de destino. Provee inspección completa de
los protocolos específicos.
Los servicios que son incluidos en la configuración del proxy son:
Sistema de archivos comunes de Internet (CIFS)
Servicio nombre de dominio (DNS)
132
Protocolo de transferencia de archivos (FTP)
Proxy servicio genérico (GSP)
H.323
Protocolo de transferencia de Hipertexto (HTTP)
Datagrama NetBIOS (NBDGRAM)
Protocolo de transferencia de noticias de red (NNTP)
Protocolo de tiempo de Red (NTP)
Ping
Comando remoto (RCMD)
Protocolo streaming en tiempo real (RTSP)
Simple Mail Transfer Protocol (SMTP)
Telnet
CONFIGURANDO LOS SERVICIOS PROXYS
El sistema de archivos comunes de Internet (CIFS) es un protocolo estándar que
permite a los programas hacer peticiones de archivos y servicios en
computadoras remotas a Internet. Un programa cliente hace una petición a un
servidor para acceder a archivos o pasar mensaje al servidor. El servidor toma la
petición y responde. El protocolo soporta:
Conexiones transparentes de seguridad.
Acceso a archivos que están en el servidor, incluyendo lectura escritura
Archivos compartidos con otros clientes usando llaves especiales
FTP PROXY, es un protocolo orientado a conexiones TCP que permite el registro
de clientes dentro de un servidor remoto FTP para transferir archivos.
H.323 PROXY, utilizado para soportar comunicación de audio y video de Internet.
HTTP PROXY, es un protocolo a nivel de aplicación que confía la comunicación
existente para distribuir, colaborar, a los sistemas de información Hyper media.
133
Figura 3.25 Configuración del proxy
NTP PROXY, es utilizado para sincronizar el tiempo de una computadora cliente
con el servidor en referencia de los recursos.
RCMD PROXY, utiliza 3 servicios comúnmente utilizados en UNIX, estos servicios
son:
Exec, se puede utilizar cuando se desea permitir que los usuarios ejecuten
comandos UNIX en un maquina de la red. El puerto utilizado es el 512.
Login, es usado cuando se permitirá a un usuario conectarse remotamente
en otra máquina UNIX. El puerto que utiliza es el 513.
Shell, es un grupo de servicio correspondiente a el rsh comando de UNIX,
es usado para abrir shell remotamente, e interactuar con esa máquina.
Utiliza el puerto 514.
RTSP PROXY, maneja en tiempo real los datos de audio y video producidos por
Real placer y Quick Time.
SMTP PROXY. Controla el acceso de email a través del gateway.
134
3.2.4 CRIPTOGRAFIA
3.2.4.1 OPEN SSH
Open SSH es una versión del protocolo SSH para redes, para proteger la
comunicación de telnet, rlogin, ftp. Para ello Open SSH cifra todo el tráfico para
eliminar las escuchas, secuestros de conexiones y otros ataques a nivel de red.
Ofrece posibilidades para la creación de túneles y varios métodos de
autenticación.
Open SSH es un proyecto desarrollado especialmente por el proyecto OpenBSD.
Es conjunto de programas, entre los que están: ssh1 que sustituye a rlogin y
telnet, scp que sustituye a rcp y ftp.
ASPECTOS GENERALES
Autor: La versión original fue desarrollada por Tatu Ylónen
Versión: La versión actual es la 4.2
Dirección electrónica: Su sitio oficial es www.openssh.com
Tipo de Licencia: Se distribuye bajo los términos de la licencia
OpenBSD. (Ver anexo 3.2)
Esquema de licencia: sin restricciones.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, SunOS/Solares, Unix,
Windows.
Requisitos de sistemas: Para instalarlo es necesario Cygwin.
CARACTERISTICAS
El cliente autentica con RSA la identidad de la máquina servidora al
principio de cada conexión para prevenir ataques mediante intermediarios a
través de troyanos
135
La distribución de la clave de autenticación del anfitrión puede estar
centralizada por la administración de forma automática cuando se realice la
primera conexión.
Cualquier usuario puede crear una cantidad de claves de autenticación para
su necesidad particular.
Dispone de un servidor de claves RSA propio que se regenera cada hora
de forma automática.
OpenSSH soporta 3DES, Blowfish, AES y Arcfour como algoritmos de
cifrado.
Reenvío por X 11. permite el cifrado del tráfico en entornos X Windows
remotos, de tal modo que nadie pueda fisgonear en sus xterm remotas o
insertar órdenes dañinas.
Reenvió por puertos. Permite enviar conexiones de TCP/IP a una máquina
remota por un canal cifrado.
Reenvío por agentes. Un agente de autenticación que se encuentre en la
estación de trabajo o el portátil de un usuario, se puede usar para contener
las claves de autenticación de RSA o DSA
Autenticación fuente, contraseñas de un solo uso, clave pública.
FUNCIONAMIENTO
Existen dos tipos del protocolo SSH que son: SSH 1 y SSH 2. El protocolo SSH
1, se encuentra en dos subvariedades: el protocolo 1.3 y el protocolo 1.5.
OpenSSH soporta ambas. Las dos usan el algoritmo de criptografía asimétrica
RSA para la negociación de claves, y luego usan una pequeña lista de algoritmos
simétricos para esconder datos: 3DES y Blowfish.
El protocolo SSH 2. SSH 2 se creó para evitar los problemas de patentes
relacionados con RSA y para solucionar el problema de integridad de datos de
CRC que tiene SSH1. Usando los algoritmos asimétricos DSA y DH, el protocolo 2
evita todas las patentes.
136
OpenSSH están formados por varios programas que se describen a continuación:
Sshd(8) - Programa servidor. Este programa escucha las conexiones de las
máquinas clientes, y en cuanto recibe una conexión, lleva a cabo la
autenticación.
Ssh1 - Éste es el programa cliente que se usa para ingresar en otra
máquina o para ejecutar órdenes en la otra máquina.
Scp(1) - Copia ficheros desde una máquina hasta otra en modo seguro.
Ssh-keygen(1) - Se utiliza para generar las claves públicas (RSA o DSA)
autenticación.
Ssh-agent(1) - Agente de autenticación. Se puede usar para conservar la
autenticación inicial con RSA durante procesos u órdenes consecutivas.
Ssh-add(1) - Se usa para registrar nuevas claves con el agente.
Sftp-server - Subsistema servidor de SFTP.
Sftp(1) - Programa de transferencia segura de archivos.
Ssh-keyscan(1) - Utilidad para la obtención de claves públicas.
Ssh-Keysian - Programa de ayuda de ssh para la autenticación basada en
anfitrión.
SSH
Es el programa para registrar y ejecutar comandos en una máquina remota. Ssh
conecta y registra en el hostname especificado. El usuario debe probar su
identidad a la máquina remota usando uno de varios métodos dependiendo de la
versión del protocolo usado.
Ssh mantiene automáticamente y chequea una base de datos que contiene la
identificación de todos los anfitriones que se ha utilizado. Las llaves del anfitrión
se almacenan en el directorio ~/.ssh/known_hosts.
Ssh puede configurarse para verificar la identificación del host usando fingerprint.
La opción de VerifyHostKeyDNS se puede utilizar para controlar cómo se realizan
las operaciones de búsqueda del DNS.
137
3.2.4.2 OPEN SSL
Es un conjunto de herramientas de administración y librerías relacionadas con la
criptografía, ayudan al sistema a implementar el Secure Sockets Layer (SSL), El
Transport Layer Security (TLS).
OpenSSL esta basado en la librería SSLeay desarrollado por Erick A. Young.
Distribuido por la licencia tipo Apaché. Es un programa en línea de comando para
usar varias funciones criptográficas de la librería crypto del shell.
ASPECTOS GENERALES
Autor: Desarrollado por la comunidad Open Source,
formando un grupo, entre los actuales
colaboradores están: Mark J. Cox, Ralf S.
Engelshall, Ben Laurie.
Versión: La versión actual es la 0.9.8
Dirección electrónica: Su sitio oficial es www.Openssl.org
Tipo de Licencia: Distribuido bajo la licencia estilo tipo apache.
Esquema de licencia: sin restricciones.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, Unix, Windows.
Requisitos de sistemas: ninguno.
CARACTERISTICAS
Creación de parámetros de llaves RSA, DH y DSA.
Creación de certificados x.509, CSRs y CRLs.
Calculo de mensajes.
Prueba de Server y clientes SSL/TLS
Encriptación y desencriptación con cifras.
138
FUNCIONAMIENTO
Open SSL es un conjunto de herramientas de criptografía para implementar los
protocolos de red SSL y TLS. Open SSL puede ser usado para la creación de
parámetros de llaves RSA, DH y DSA, creación de certificados X:509, CSRs y
CRLs, Encriptación y desencriptación con cifras.
Provee una variedad de comando, con una cantidad de opciones y argumentos.
Entre los comandos utilizados están:
CA, Administración del Certificate Authority
Crl, administración del Certificate Revocation list (certificado de lista
revocada)
Dsaparam, generación de parámetros DSA.
Rsaultl, utilidad RSA para firmar, verificación, encriptación y
desencriptación.
S_client, implementa un cliente genérico SSL/TLS para establecer una
conexión transparente con un servidor remoto.
S_server, implementa un servidor genérico SSL/TLS para aceptar
conexiones de clientes remotos.
ESTRUCTURA DE DATOS DE LIBRERÍA SSL
Las funciones de la librería SSL que maneja actualmente son:
SSL_METHOD (Método del SSL), es una estructura que describe la
biblioteca interna, métodos/ funciones que implementar varias versiones de
los protocolos (SSL, TLS) necesarios para crear un SSL_CTX
SSL_CIPHERS está estructura lleva a cabo la información del algoritmo
para una cifra particular que es una pieza del protocolo SSL. Las cifras
disponibles se configuran sobre la base de SSL_CTX.
SSL_CTX (Contexto del SSL), esta es la estructura global del contexto que
es creada por un servidor o cliente una vez por el curso de la vida del
programa y que lleva los valores por default para las estructuras del SSL.
139
SSL (conexión SSL), esta es la estructura principal que es creada por un
servidor o un cliente por la conexión establecida.
LIBRERÍA CRIPTO
La librería crypto implementa un amplio rango de algoritmos estándares
criptográficos usados de Internet. Los servicios proveídos por la librería son
usados para la implementación de SSL, TLS y S/MIME, y también son usados
para implementar SSH, OpenPGP y otros estándares.
Consiste en un número de sub-librerías para implementar algoritmos individuales.
Incluye encriptación simétrica, llaves públicas, certificados, funciones hash
criptográficas y generador de números pseudo-random.
Las llaves son la base de los algoritmos de llaves públicas y PKI. Las llaves vienen
en pares, con una parte de llave pública y la otra mitad como una llave privada.
Las llaves publicas viene en diferentes usos, entre las más asociadas con los
certificados son: RSA y DSA. Una llave RSA puede ser utilizada para encriptar y
para firmar. Para generar una llave RSA solo es necesario utilizar el siguiente
comando:
openssl genrsa -des3 -out privkey.pem 2048
la opción –des3 es para proteger la llave a través de un password.
El número 2048 es el tamaño de la llave.
Las llaves DSA solamente se pueden utilizar para firmar solamente. Para generar
una llave DSA es un proceso de dos etapas. Primero hay que generar los
parámetros, como se muestran a continuación:
openssl dsaparam -out dsaparam.pem 2048
Luego se genera la llave usando los parámetros.
140
3.2.4.3 OPEN VPN
Es una solución de SSL que puede aceptar una cantidad de configuraciones,
incluyendo accesos remotos, Wifi seguridad. Soporta autenticación de clientes a
través de métodos basados en certificados, tarjetas smart, y factor2 de
comunicación y permite a los usuarios especificar políticas de control de acceso
usando reglas de firewall. Implementa las capas 2 y 3 del modelo OSI, usando el
protocolo SSL/TLS
ASPECTOS GENERALES
Autor: Es una herramienta desarrollada por Open VPN
solutions LLC
Versión: La versión actual es la 2.0.5
Dirección electrónica: Su sitio oficial es www.openVPN.net
Tipo de Licencia: Como contiene un conjunto de componentes,
las licencias que viene incorporadas son: GNU
GPL versión 2, LZO, TAP-Win32 driver,
Windows DDK simples, NSIS, Open SSL,
original SSleay,
Esquema de licencia: sin restricciones.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, SunOS/Solares, Unix,
Windows.
Requisitos de sistemas: Requiere la instalación de los drivers TUN y TAP
para permitir a los programas controlar un
dispositivo punto a punto o Ethernet. También
requiere la instalación de la librería Open SSL, la
librería LZO para compresión en tiempo real.
CARACTERISTICAS
Creación de túneles en cualquier IP de la subred o de un adaptador virtual
de Ethernet dentro de un puerto UDP o TCP.
141
Configuración escalable, permite carga equilibrada usando una o más
maquinas que puedan manejar muchas conexiones dinámicas de clientes
entrantes.
Uso de todo tipo de encriptación, autenticación y certificación de la librería
Open SSL para proteger el trafico privado como el de Internet.
Se puede escoger entre la encriptación convencional basado en llaves
estáticas o en encriptación de llave publica basada en certificados.
Uso de llaves pre-compartidas estáticas o intercambio dinámico de llaves
basado en TLS
Uso de compresión en tiempo real y administración de trafico para
utilización del ancho de banda
Creación de túneles de red en donde los endpoints públicos son dinámicos
como un DHCP o clientes dial in.
Creación de túneles de NAT
Creación de túneles orientado a conexiones stateful sin utilizar reglas de
Firewall.
Creación de puentes seguros usando el dispositivo virtual TAP.
FUNCIONAMIENTO
Con OpenVPN se pueden crear 2 tipos de túneles:
IP routed, usados para encaminar tráfico IP punto a punto sin broadcast.
Puente Ethernet, se usa para encapsular protocolos IP y no IP. Este tipo de
túnel es apropiado para aplicaciones que se comunican utilizando difusión
(broadcast).
CONSTRUCCIÓN DE LOS CERTIFICADOS Y CLAVES RSA
OpenVPN tienes dos modos considerados seguros, uno basado en SSL/TLS
usando certificados y claves RSA, el otro basado en claves estáticas pre-
compartidas.
142
Los certificados RSA son claves públicas que también tienen otros campos
seguros insertados en ellos tales como el Nombre común o la dirección e-mail del
propietario del certificado. OpenVPN provee la posibilidad de escribir scripts para
probar estos campos antes de la autenticación.
En modo estático, una llave pre-compartida es generada y compartida entre
ambos pares antes de que se inicie el túnel. Contiene 4 llaves independientes:
HMAC enviadas, HMAC recibidas, cifrado, y descifrado.
En modo de SSL/TLS, una sesión SSL es establecida con la autentificación
bidireccional (es decir cada lado de la conexión debe presentar su propio
certificado).
OpenVPN permite que cualquier opción sea puesta en la línea de comando o en
un archivo de configuración. Aunque todas las opciones de la línea de comando
son precedidas por una doble guión ("--").
Entre las opciones que se pueden configurar están:
Opciones de túnel
Modo Server
Modo Cliente
Opciones Encriptación canal de datos.
Opciones modo TLS
Información de librería SSL
Generador de llave.
Modo de configuración TUN/TAP
El modo del servidor es cliente múltiple TCP/UDP. En modo servidor, escuchará
en un solo puerto conexiones entrantes del cliente. Todas las conexiones de los
clientes serán encaminadas a través de un solo interfaz.
143
Opciones Encriptación canal de datos son necesarias para los modos dominantes
estáticos y llaves negociadas TLS. Entre algunos comandos utilizados están:
--secret file [direction] habilita las llaves estáticas en modo encriptado.
--cipher alg, para encriptar paquetes con el algoritmo alg.
El modo de TLS es el más poderoso crypto de gran alcance OpenVPN para
seguridad y flexibilidad. El modo de TLS trabaja estableciendo los canales del
control y de los datos que se multiplexan sobre un solo puerto TCP/UDP.
OpenVPN inicia una sesión de TLS sobre el canal del control y la utiliza para
intercambiar cifra y llaves de HMAC para proteger el canal de los datos.
Comandos utilizados:
--tls-server, habilita TLS y asume el rol de servidor.
--ca file, archivo de autorización certificada.
AMBIENTE GRÁFICO
Hay varias herramientas que permiten utilizarse para poder administrar Open
VPN, en este caso la interfaz gráfica para administración para Windows ofrece el
manejo de conexiones múltiples, corrección de los config, star/stop/restar el
servicio VPN, configuración de Proxy, a continuación se muestran algunas de las
imágenes que se generan:
3.26 Imagen de conexión de VPN
144
3.27 Configuración del Proxy.
LICENCIAS
LZO es una librería de compresión de datos diseñada para comprimir y
descomprimir en tiempo real. Lzo ofrece una compresión rápida y una
descompresión extremadamente rápida que no requiere memoria. Distribuido bajo
la licencia GPL desarrollado por Markus F.X.J Oberhumer.
Tap-win32 es derivado del kernel CIPE-win32 driver, distribuido bajo la licencia
GPL. Es un dispositivo virtual de la red Ethernet que fue diseñado como soporte
del kernel para nivel bajo para hacer un túnel de Ethernet.
Windows DDK es un kit de desarrollo de drivers (DDK) que proporciona un
ambiente de estructura, herramientas, ejemplos de drivers, y la documentación
para apoyar el desarrollo de drivers para Windows.
NSIS (Nullsoft Scriptable Install System) es una herramienta open source para el
desarrollo de los instaladores de Windows. Con derechos de autor por parte de
Nullsoft, Inc. Este software es proporcionado “como es”, sin ninguna garantía
expresa. El permiso se concede a cualquier persona para utilizar el software para
cualquier propósito, incluyendo usos comerciales, y para alterarlo y de
redistribuirlo libremente.
La licencia OpenSSL permanece debajo de una licencia dual, es decir, las
condiciones de la licencia de OpenSSL y la licencia de SSLeay. Ambas licencias
son Open Source del estilo BSD.
145
3.2.4.4 SSL EXPLORER
SSL Explorer VPN es un browser basado en SSL VPN. Provee una arquitectura
segura para el protocolo SSL, posee una interfaz Web browser. También permite
acceder a recursos de la intranet.
ASPECTOS GENERALES
Autor: Desarrollado por 3SP Ltd.
Versión: La versión actual es la 0.1.14
Dirección electrónica: Su sitio oficial es:
http://www.sshtools.com/showSslExplorer.do
Tipo de Licencia: Distribuido bajo la licencia GNU GPL
Esquema de licencia: Sin restricciones.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, Red Hat, Microsoft Windows.
Requisitos de sistemas: Pentium III de 1 Ghz.
Mínimo 512 mb. de memoria RAM
150 mb. de espacio en disco duro.
El Server requiere la instalación de Java Runtime
Enviroment (JRE).
CARACTERISTICAS
Forwarding TCP /UDP
Control de accesos con restricciones IP, chequeo de recursos IP,
Soporta autenticación de Active Directory.
Uso de cualquier conexión para habilitar el browser SSL.
Soporta accesos de Proxy HTTP y socks
Túneles locales y remotos vía SSL
Administración basada en roles.
146
FUNCIONAMIENTO
Como se mencionó es necesario instalar Java que es un software que permite a la
computadora entender aplicaciones escritas en Java. La interfaz tiene tres
importantes menús como lo son la red, los servicios y la administración.
VPN CLIENTES
Open SSL viene con un pequeño cliente VPN. Es una aplicación en Java que
provee túneles. El VPN cliente puede ser configurado para dirigir respuestas al
Proxy Server, especificando el tipo de Proxy, el nombre del host, el puerto que
usa, el método de autenticación.
FORWARDING LOCAL Y REMOTO
SSL Explorer provee dos caminos para archivar protocolos delanteros que pueden
ser remotos y locales, referido también a los túneles entrantes y salientes. Puertos
locales delanteros, trata de defender todo el tráfico saliente en un puerto local. Por
ejemplo todo el tráfico entrante pasa por el puerto 1234, en el cliente puede ser
forwarded en el puerto 23 en el Server.
Se puede agregar seguridad a el POP / y SMTP e-mail. Ya que con SSL Explorer
se puede asegurar aplicaciones existentes de comunicación para encriptarlas. A
continuación se muestra una imagen de la configuración de un túnel.
Figura 3.28 Configuración de un túnel
147
CONFIGURACON DE ROLES
Se puede brindar seguridad a través de uso de roles basados en controles de
acceso. El concepto es usar espejos creando más divisiones por departamentos.
Con el uso de active directory pueden definirse grupos y asignar roles y permisos.
Dentro de los roles por grupos se pueden crear los permisos a lo que se podrá
tener acceso. Entre los permisos que trae por default el programa están:
Mostrar túneles
Editar túneles
Mostrar lugares de red.
Figura 3.29 Configuración de roles
Siempre en el menú de seguridad donde se crean los roles se pueden crear
permisos para los custom que puede ser asociados con aplicaciones y túneles; y
también agregar restricciones a IPS.
ACCESOS A LOS RECURSOS DE LA INTRANET
Existen tres métodos para poder archivar los resultados de los links para acceder
a los recursos de la intranet, los cuáles son:
1. Reverse Proxy. Es un gateway para servidores para proveer contenido de
manera transparente. Con este método SSL Explorer puede habilitar
controles de accesos de la Web.
148
2. Secure Proxy. Con este método restaura la pagina Web a favor de la
conexión del cliente, reescribiendo todos los links.
3. Single Site Proxy, requiere el uso del cliente VPN para datos delanteros
usando túneles fuera de línea
3.2.4.5 ADVANCED ENCRYTION PACKAGE 2006
Advanced encrytion package 2006 pro (AEP2006 Pro) es una herramienta para
cifrar archivos y textos diseñada para Microsoft Windows. Soporta algoritmos
simétricos (AES, twofish, serpert) y asimétricos (llaves RSA).
ASPECTOS GENERALES
Autor: Desarrollado por SecureAction Research, LLC.
Versión: La versión actual es la 4.2.2 pro 2006
Dirección electrónica: Su sitio oficial es www.secureaction.com
Tipo de Licencia: Es un software con derechos de Copyright.
Esquema de licencia: Una licencia para una estación de trabajo por un
año.
Precio: el precio de la licencia es US $ 49.95
Sistemas operativos: Desarrollado para Windows NT, 2000 o Milenium.
Requisitos de sistemas: 2 kb. de espacio en disco duro
32 mb. de memoria RAM
CARACTERISTISCAS
Usa 17 tipos de algoritmos simétricos para encriptar los datos, entre los que
están: Desx, Blowfish, 3-DES, Saber, Square,etc.
Hace a los archivos ejecutables para las personas que se les envío el
archivo y no tienen el programa.
Incluye un compresor de datos para reducir el tamaño de los archivos
encriptados.
149
Soporta interfaz de línea de comando.
Se puede cifrar/descifrar desde el explorador de Windows.
Incluye un diccionario de 45,000 passwords comunes, para prevenir el uso
de palabras inseguras.
Habilidad para encriptar texto de e-mail, y de otros tipos de mensajes
instantáneos como ICQ, Messenger.
FUNCIONAMIENTO
AEP2006 utiliza una interfaz gráfica, fácil de usar como se muestra a continuación
la consola principal:
Figura 3.30 Consola principal
Como se puede ver se puede escoger el modo en que se quiere trabajar:
encriptar, desencriptar, sfx, zip,e-mail.
Cuando se escoge la opción de encriptar se puede seleccionar el modo en que se
realizará: con password o llave pública. Con password se pueden utilizar los
algoritmos simétricos mencionados en las características.
150
MENU DE HERRAMIENTAS
En el menú de herramientas se puede generar llaves a través de password, RSA,
entrar en modo de comando.
Las llaves RSA, pueden generarse de manera pública y privada. Como se muestra
a continuación:
Figura 3.31 Configuración de llaves
3.2.4.6 SYMANTEC FIREWALL ENTREPRISE
El Firewall Entreprise de Symantec incluye tecnología VPN, proporcionando
seguridad al proxy server, permite establecer conexiones seguras, rápidas,
asegurando el acceso a la información. Usa túneles para encriptar y encapsular
paquetes IP dentro de redes públicas a otro servidor VPN.
ASPECTOS GENERALES
Autor: Desarrollado por Symantec Corporation.
Versión: La versión actual es 8.0
Dirección electrónica: Su sitio oficial es www.symantec.om
Tipo de Licencia: Es un software con derechos de Copyright
Esquema de licencia: Una licencia para una estación de trabajo.
Precio: US$ 2,101.5 (Viene incorporado en la versión del
Firewall).
Sistemas operativos: Desarrollado para Windows NT ó 2000 y Solaris.
151
Requisitos de sistemas: 8 mb. de espacio en disco duro
256 mb. de memoria RAM
CARACTERISTICAS
Políticas VPN, envía las políticas generales pre-configuradas de VPN que
pueden aplicarse para asegurar los túneles. Por ejemplo, hay políticas de
IPsec/IKE y políticas de IPsec/Static.
Soporte de terceros clientes. Soporta administración de políticas
escalables para cualquier IKE-compliant.
FUNCIONAMIENTO
CONFIGURACION DE POLITICAS VPN
Antes de asegurar los túneles, se pueden crear las políticas VPN para trabajar a
un nivel global. Por ejemplo, se puede crear una política general de IPsec/IKE y
una política estática IPsec y aplicarse estas políticas para cada IKE o IPsec/Static
asegurar el túnel.
IPsec es una arquitectura estándar que usa protocolos separados para proveer
autenticación y confidencialidad. Los protocolos que utiliza son:
Autenticación de cabecera (AH) realiza una función criptográfica sobre los
paquetes del IP, usando una llave secreta compartida de la autentificación
para proporcionar autentificación e integridad en los datos.
Encapsulation Security Payloads (ESP) proporciona confidencialidad a los
datagramas IP, así como la capacidad de autenticar datos.
Security Parameter Indices (SPI) especifica los túneles para dárselos a los
protocolos AH o ESP.
Entre las políticas pre-configuradas están:
1. ike_default_crypto
2. ike_aes_crypto_strong
3. static_default_crypto
152
Figura 3.32 Configuración de políticas por IPsec con IKE
Los modos de encapsulamiento para crear las políticas son modo Túnel o modo
transparente. También se puede escoger el método de algoritmo a utilizar, entre
los que están: DES, triple DES, AES.
TUNELES
Se pueden configurar 2 tipos de túneles:
Gateway –gateway, para construir túneles entre la seguridad del gateway y
otro gateway. Colecciona la información para identificar túneles locales y
remotos y la política que rige en el tráfico.
Client-gateway, para construir túneles entre la seguridad del gateway y el
host usando el cliente symantec VPN.
153
3.2.5 ESCANERES DE VULNERABILIDADES
3.2.5.1 NESSUS
Es una herramienta diseñada para probar y descubrir problemas de seguridad.
Esta diseñado para ayudar a identificar y solventar problemas, antes de que otros,
como cracker lo hagan. Es el más popular escaneador de vulnerabilidades.
ASPECTOS GENERALES
Autor: El proyecto fue iniciado por Ranaud Deraison en
1998. Actualmente el propietario es Tenable
Network Security.
Versión: La versión actual es 2.2.6
Dirección electrónica: Su sitio oficial es www.nessus.org
Tipo de Licencia: Es un software con derechos de copyright,
propiedad de tenable. Aún es una Herramienta
Open Source bajo licencia GNU.
Esquema de licencia: Hasta la versión 2 no presenta mayores
restricciones.
Precio: Aún es gratis, hay un cliente para Windows
comercial que es pagado, no aparece el precio.
Sistemas operativos: El servidor soporta sistemas POSIX como Linux,
Solaris, FreeBSD. El cliente soporta interfaz GUI
para sistemas UNIX y Microsoft Windows.
Requisitos de sistemas: Es necesario instalar los programas externos.
CARACTERISTICAS
Mantenimiento actualizado de la base de datos de vulnerabilidades.
Arquitectura de plugins.
NASL (Nessus Attack Scripting Language, un lenguaje diseñado para
escribir pruebas de seguridad fácil y rápidamente.
Múltiples servicios, ya que un host puede correr dos o más servicios.
154
Soporta SSL, tiene la habilidad para probar servicios SSLized como HTTP,
SMTP, Imap,
Reportes exportables, ya que puede exportarlos en formato XML, HTML.
FUNCIONAMIENTO
Los programas necesarios que deben instalarse para un mejor funcionamiento de
nessus son:
Nmap, es un escaneador de puertos.
Hydra, es un probador de contraseñas y provee ataques de fuerza bruta
para servicios comunes como telnet, Web, pop3.
Nikto, provee ataques específicos y pruebas para servidores Web.
USO DE CLIENTES GUI
Nessus utiliza para los cliente programas GUI para poder configurar las opciones,
en el caso particular de Windows una plataforma es NessusWX, que es una
herramienta gratis y distribuida bajo licencia GNU GPL versión 2, que puede
soportar sesiones múltiples con diferentes configuraciones, uso de autenticación
por certificado X.509 o por password, comunicación SSL, generación de reportes,
escaneo de puertos, uso de plugins, conexiones, etc.
USO DE PLUGINS PELIGROSOS Y NO PELIGROSOS
Los plugins se clasifican de varias maneras ya sean por categorías como:
Dangerous/Denegación del servicio (DOS)
Puertas traseras(Backdorrs)
RPC
Abusos CGI
FTP
155
Figura 3.33 Configuración de plugins
El servicio de plugins permite identificar el programa actual de cada puerto, cuyo
paso es necesario ya que muchos servicios corren en puertos no estándares, por
ejemplo Internet Explorer puede correr en puertos alternativos como el 8080,
4983.
Los plugins más utilizados son el peligroso y chequeo seguro. El peligroso prueba
vulnerabilidades para ataques de denegación de servicios y el chequeo seguro
prueba vulnerabilidades a través de colecciones pasivas dentro una versión de
software.
ESCANEO DE PUERTOS
El escaneo de puertos es el proceso por el cuál los puertos activos para una
dirección IP son identificados. Cada puerto se ata a un uso específico. Los plug-
in procuran identificar el programa que funciona en cada puerto. Los tipos de
escaneo más usados son el connect () y el SYN. También utiliza NMAP ya que
logra más opciones de escaneo: FIN scan, Null Scan, UDP, RPC, identificación de
sistemas operativos remotos, etc. En la versión del cliente para Unix se puede
programar el número de host que se probarán.
156
Figura 3.34 Escaneo de puertos.
REPORTES
Los resultados se pueden ser vistos directamente dentro de un reporte generado
por el cliente, GUI de Nessus (Unix) o NessusWx (Windows), o exportando los
datos para el análisis con un programa externo. Los resultados se pueden ver
usando el comando VIEW, o escritos en un texto plano (txt), HTML, acróbat
reader (pdf).
Figura 3.35 Generación de reportes en clientes Unix
157
3.2.5.2 NMAP
Nmap (Mapeo de red) es una herramienta para exploración de redes y auditoria de
seguridad. Usa paquetes IP para determinar que hosts están disponibles en la red,
que servicios están ofreciendo, que sistemas operativos están corriendo, que tipo
de paquetes de filtros/ Firewall son usados. Es compatible con un gran número de
técnicas de escaneo como: UDP, TCP connect(), TCP SYN (half open), ftp
proxy (bounce attack), Reverse-ident, ICMP (ping sweep), FIN, ACK sweep, Xmas
Tree, SYN sweep, and Null scan.
ASPECTOS GENERALES
Autor: Desarrollado por Fyodor y propiedad de Insecure
Com LLC.
Versión: La versión actual es la 3.93
Dirección electrónica: Su sitio oficial es www.insecure.org
Tipo de Licencia: Se distribuye bajo licencia GNU GPL versión 2.
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, SunOS/Solares, Unix,
Microsoft Windows.
Requisitos de sistemas: Necesita la instalación previa de la librería
WinPcap. Además de Cygwin.
CARACTERISTICAS
Utiliza mecanismos de escaneo de puertos como : TCP, UDP, FIN, TCP
SYN
Utilización de ambiente gráfico.
Determina que servicios se encuentran activos.
Detección del sistema operativo de manera remota.
Detección de servidores inactivos por medio de plugins
Detección de filtrado de puertos.
158
Puede detectar información de target, inclusión de nombres DNS, tipos de
dispositivos y direcciones MAC.
FUNCIONAMIENTO
Lo primero que se debe de hacer para poder comenzar a trabajar con Nmap es
identifica el objetivo que puede ser una dirección IP o el nombre de un Host. Para
utilizarse en ambientes gráficos se puede utilizar un front end como NMAP FE.
FUNDAMENTOS DE ESCANEO DE PUERTOS
El comando nmap target puede escanear más de 1600 puertos TCP dentro de un
host. Por lo que divide los puertos en 6 estatus: abiertos, cerrados, filtrados, sin
filtros, abiertos filtrado y cerrados filtrados.
Abierto, es cuando una aplicación esta aceptando activar conexiones TCP o
paquetes UDP en este puerto.
Cerrado un puerto cerrado es accesible si responde y recibe paquetes de
prueba, pero esta no es una aplicación escuchada.
Filtrado, Nmap no puede determinar si el puerto está abierto a causa de la
filtración de paquetes evita que sus puntas de prueba alcancen el puerto.
No filtrado, significa que le puerto es accesible, pero no se conoce si esta
abierto o cerrado. Solo el escaneo ACK, que es usado para mapear reglas
de Firewall, puede clasificar este estado.
Abierto filtrado, coloca los puertos en este estado cuando no puede
determinar si un puerto es abierto o filtrado. Esto ocurre cuando para tipos
de escaneo no responden.
Cerrado filtrado, es usado cuando no puede determinar si los puertos están
cerrados o filtrado.
TECNICAS DE ESCANEO DE PUERTOS
A continuación se presenta algunas de las técnicas utilizadas por Nmap para el
escaneo de puertos y su respectiva sintaxis.
159
-sS (escaneo)TCP SYN, el escaneo SYN es la opción más utilizada, ya que es
rápida, escaneando miles de puertos en segundo. A menudo es llamada half
open (medio abierta) porque no abre completamente una conexión TCP.
-sT (escaneo TCP Connect ()), es utilizada cuando un usuario no tiene
privilegios raw de paquetes. Nmap pide que el sistema operativo subyacente
establezca conexión con la maquina objetivo y el puerto.
-sU (escaneo UDP), este escaneo es más lento, utilizado por DHCP, SNMP,
DNS. Trabaja enviando una pareja de cabeceras UDP para cada puerto
objetivo.
-sO, (escaneo de protocolo IP), determina que protocolos IP admite el sistema
objetivo,
Nmap ofrece las opciones de especificar que puerto serán escaneados y en que
orden. Por defaut Nmap escanea todos los puertos hasta el 1024, pero se pueden
usar comando para especificar el orden.
-p <port rangers> (rango de puertos), esta opción especifica qué puertos
desea escanear.
-f (escaneo rápido), especifica que solamente escaneará los puertos
enumerados en el archivo de nmap servicios.
Figura 3.36 Ambiente gráfico de NMAP FE
160
DETECCION DE SERVICIOS
Esta opción es para establecer correctamente los servicios, ya que a pesar de que
hay puertos que se conoce su uso como el 25 para el mail, no se puede asegurar
que es sea cierto, por lo que es necesario conocer la versión de servicio esta
corriendo y la versión para determinar que Server es vulnerable.
Luego de descubrir el uso de los puertos, estos son interrogados para detectar la
versión y ve sobre que esta corriendo. La base de datos de pruebas de servicio
contiene exámenes para varios servicios, tratando de conocer el protocolo de
servicio, el nombre de la aplicación, el número de versión, nombre del host, el tipo
de dispositivo, y el sistema operativo.
DETECCION DEL SISTEMA OPERATIVO
Esto lo realiza usando snack fingerprinter, que funciona enviando una serie de
paquetes TCP Y UDP a un host remoto y examina todas las respuestas. Realiza
muchas pruebas como muestro TCP ISN compara los resultados en su base de
datos os fingerprints. Cada fingerprints incluye una descripción textual del sistema
operativo, y la clasificación que da el vendedor, generación y el tipo de dispositivo.
REPORTES
Nmap ofrece diferentes formatos de generación de reportes para mejor
entendimiento como XML, HTML,
161
3.2.5.3 GFI LANGUARD NETWORK SECURITY SCANNER (N.S.S)
GFI Languard Network Security Scanner (GFI Languard N.S.S.) es una
herramienta que permite realizar rápida y fácilmente una auditoria de seguridad de
red. Crea informes que pueden ser utilizados para resolver problemas de
seguridad de la red.
GFI LANguard N.S.S. identifica vulnerabilidades específicas como problemas de
configuración de servidores FTP, exploits en Servidores Microsoft IIS y Apache
Web o problemas en la configuración de la política de seguridad Windows, más
otros muchos potenciales problemas de seguridad.
ASPECTOS GENERALES
Autor: Desarrollado por GFi Software Ltd.
Versión: La versión actual es la 6.0
Dirección electrónica: Su sitio oficial es www.gfi.com
Tipo de Licencia: Software propietario con Copyright,
Esquema de licencia: Depende del número de equipos que se
analizarán.
Precio: Para una red de hasta 25 IP su precio es de US $
375.
Sistemas operativos: Windows.
Requisitos de sistema: Requiere de SO Windows 2000, 2003 o XP.
Internet Explorer 5.0 o mayor,
34 mb. de espacio en disco duro.
CARACTERÍSTICAS
Encuentra servicios rufianes y puertos TCP y UDP abiertos
Detecta vulnerabilidades CGI, DNS, FTP, Correo, RPC y otras
Detecta dispositivos inalámbricos.
Detecta usuarios pícaros o en “puertas traseras” (backdoors)
162
Detecta recursos compartidos abiertos y enumera quién tiene acceso a
estos recursos junto con sus permisos.
Enumeración de usuarios, servicios, etc.
Capacidad de guardar y cargar resultados de análisis.
Habilidad de comparar análisis, para enterarse de posibles nuevos
puntos de entrada.
Resultados en HTML, XSL y XML.
Módulo SSH que permite la ejecución de scripts de seguridad sobre
equipo Linux/Unix.
COMPONENTES DE GFI LANGUARD N.S.S.
GFI LANguard Network Security Scanner
Este es el principal interfaz del producto. En esta aplicación se ven los resultados
del análisis en tiempo real, configurar las opciones de análisis, perfiles, informes
filtrados, uso de herramientas de seguridad especializadas y más.
GFI LANguard N.S.S. servicio asistente
Este servicio inicia los análisis de red programados, e implantaciones
programadas de actualizaciones.
GFI LANguard N.S.S. Servicio agente de actualizaciones
Este servicio se implanta en los equipos objetivos a los cuales hay que instalar
actualizaciones, service pack o aplicaciones y se encarga de la instalación de los
parches, service pack o aplicaciones.
GFI LANguard N.S.S. Depurador de Scripts
Se usa este módulo para escribir/depurar los scripts a medida que haya creado.
Monitor de GFI LANguard N.S.S.
Se utiliza este módulo para supervisar el estado de los análisis programados y las
implantaciones de actualización de software en curso.
163
FUNCIONAMIENTO
Ya instalado para realizar una auditoria, solamente es necesaria que en la pantalla
principal darle new scan y configurar las opciones si será en varias IP o solamente
en una. Se pueden establecer rangos y filtros de acuerdo a sistemas operativos;
así como el tipo de auditoria a realizar.
Luego de haber realizado la auditoria muestra los resultados encontrados, como
se muestra a continuación.
Figura 3.37 Resultado de auditoria.
Donde encontró el sistema operativo, la dirección IP, 9 USB, 1 puerto abierto, el
cuál es el 135 epmap.
MENU DE CONFIGURACION
Un punto muy importante es la configuración ya que se puede seleccionar que
tipos de puertos se desean escanear ya que puede ser solo para escaneo de
puertos TCP , UDP, parches, SNMP, Ping, puerto troyanos, CGI scanner.
El nodo vulnerabilidades muestra los problemas de seguridad detectados e
informa cómo resolverlos. Estas amenazas pueden incluir actualizaciones de
seguridad y service pack ausentes, problemas HTTP, Abusos CGI,
164
Vulnerabilidades FTP, Vulnerabilidades DNS, Vulnerabilidades RPC,
Vulnerabilidades de Servicio, etc.
Figura 3.38 Menú de configuraciones.
La opción de análisis programado permite configurar análisis que serán iniciados
automáticamente en una fecha / hora específicas. Los análisis programados
también se pueden iniciar periódicamente.
Figura 3.39 Filtros
HERRAMIENTAS
DNS Lookup: Esta herramienta resuelve el Nombre de Dominio a una
dirección IP correspondiente y además proporciona información sobre el
nombre de dominio
165
Traceroute: Esta herramienta muestra la ruta de red que siguió GFI
LANguard N.S.S. para alcanzar el equipo objetivo
Whois: Esta herramienta buscará información sobre un dominio o dirección
IP
SNMP Walk permite recoger información SNMP
SNMP Audit, permite realizar una auditoria SNMP sobre un dispositivo y
auditar cadenas de comunidad débiles.
SQL Server Audit, esta herramienta permite realizar una auditoria sobre una
instalación de Microsoft SQL Server.
AGREGAR COMPROBACIONES DE VULNERABILIDAD
GFI LANguard N.S.S. permite agregar rápidamente comprobaciones de
vulnerabilidades a medida. Esto se puede hacer de 2 formas: Escribiendo un
script, o utilizando un conjunto de condiciones.
Lenguaje VBscript. Este lenguaje ha sido creado para permitirle incluir fácilmente
comprobaciones a medida. Además incluye un módulo SSH que permite la
ejecución de scripts de vulnerabilidad sobre sistemas Linux.
166
3.2.6 MONITOREO DE RED
3.2.6.1 MRTG
MRTG (Generador de Trafico Multi Enrutador) consiste en una escritura de PERL,
que utiliza SNMP (Simple Network Management Protocol), para leer y recolectar
los datos de tráfico de cualquier dispositivo, (sea router o servidor). Es una
herramienta para supervisar la carga de tráfico en los enlaces de red. Además
genera páginas HTML con imágenes gráficas que proporcionan una
representación visual del tráfico.
Puede crear una vista grafica detallada diaria del tráfico, y de los últimos 7 días,
hasta un máximo de los últimos 2 años. Asimismo MRTG no se limita al monitoreo
de tráfico, sino que es posible monitorear la carga de sistema, las sesiones
abiertas, módem.
ASPECTOS GENERALES
Autor: La programación está a cargo de Tobias Oetiker,
Dave Rand y muchos colaboradores.
Versión: La versión actual es la 2.12.2
Dirección electrónica: Su sitio oficial es:
http://people.ee.ethz.ch/~oetiker/webtools/mrtg/
Tipo de Licencia: bajo licencia GNU GPL.
Esquema de licencia: no tiene restricciones, debe ser instalado en el
servidor.
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, Unix, Microsoft Windows.
Requisitos de sistemas: Para poder instalarlo en la versión Windows es
necesario instalar previamente una copia de
PERL para Windows.
167
CARACTERISTICAS
Monitorea Servicios de red.
Determina el ancho de banda utilizado
Estadísticas es tiempo real y estadísticas históricas.
Uso de interfaz Web.
FUNCIONAMIENTO
Para poder instalar MRTG hay que crear el archivo de configuración. Seguido se
debe configurar para que corra todo el tiempo agregando la opción correr como
un deamon.
Para poder configurarlo como un servicio de Windows necesita la previa
instalación de las herramientas SRVANY.exe y INSTSRV.exe, recursos de
Windows.
Algunos de los comandos utilizados son:
-logging filename/eventlog, este es el archivo reescribible, todas las
entradas (peligros, errores) vienen a este archivo.
-check, solamente chequea los errores de configuración.
-debug, habilita las opciones debug.
OPCIONES SNMP
Se puede configurar también la conducta del proceso snmpget a un nivel más
profundo. SnmpOptions acepta una serie de opciones, entre las que soporta
actualmente:
timeout => $default_timeout,
retries => $default_retries,
backoff => $default_backoff,
lenient_source_address_matching => 1
168
CONFIGURACION POR OBJETIVO
Cada objetivo supervisado debe identificarse por un nombre único. Este nombre
debe añadirse a cada parámetro perteneciente al mismo objetivo. El nombre
también se usará para nombrar las páginas web, históricas e imágenes generadas
para este objetivo.
Objetivo (Target)
Con la palabra clave Target se escoge lo que debe supervisar MRTG. Puede
tomar los argumentos en una amplia gama de formatos:
Básico
El formato más básico es ``port:community@router'' Esto generará un gráfico de
tráfico para la interface 'port' de la máquina 'router' (nombre dns o dirección IP) y
usará la comunidad 'community' (la contraseña snmp) para la consulta snmp.
Interface por IP
A veces el índice de interface SNMP puede cambiar, como cuando se agregan o
se quitan nuevas interfaces. MRTG soporta direcciones IP en lugar de index al
definir un objetivo. Entonces MRTG consultará al dispositivo snmp e intentará
asignar la dirección IP al index actual,
FILTROS
El propósito de los filtros es decidir que interfaces serán aceptadas o denegadas.
Las variables ya vienen predefinidas para usarse en los filtros. Los nombres de
todas las variables comienzan con un signo del dólar ($), que es un requisito
sintáctico en Perl.
EJEMPLO DE IMÁGENES
Las imágenes que se muestran a continuación son una muestra de los usos de
MRTG. La siguiente imagen muestra las sesiones concurrentes y el ancho de
banda fuera de su puerto principal de Ethernet:
169
Figura 3.40 Vista de sesiones y ancho de banda
El gráfico generado: semanal, mensual y de las últimas 36 horas de un servidor es
mostrado a continuación:
Figura 3.41 Tráfico en diferentes secciones.
170
3.2.6.2 NAGIOS
Nagios es un programa de monitoreo de red, de servicios y de host. Diseñado
para informar problemas de red. Cuando se encuentran problemas, el deamon
puede enviar notificaciones hacia fuera a los contactos administrativos en una
variedad de formas (email, mensaje inmediato, SMS, etc.). La información del
estado actual, los registros históricos, y los informes se pueden todos alcanzar vía
Web browser.
ASPECTOS GENERALES
Autor: Desarrollado por Ethan Galstad, pero tiene otros
contribuyentes como DeBisschop, Ton Voon,
Stanley Hopcroft, entre otros.
Versión: La versión actual es la 2.0b5
Dirección electrónica: Su sitio oficial es www.nagios.org
Tipo de Licencia: se distribuye bajo licencia GNU GPL, versión 2.
Esquema de licencia: Debe ser instalado en el servidor.
Precio: Es una herramienta gratis.
Sistemas operativos: Diseñado originalmente para Linux, aunque
puede trabajar en otras plataformas.
Requisitos de sistemas: Ninguno.
CARACTERISTICAS
Monitoreo de servicios de red (SMTP, POP3, HTTP, NNTP, PING)
Monitoreo de recurso del host (carga del procesador, uso de memoria y de
disco, procesos ejecutados, registro de archivos)
Monitoreo de factores ambientales, como temperatura.
Capacidad de definir jerarquía de red de Host, permitiendo la detección y
distinción entre los host anfitriones que está abajo y las que son
inalcanzables.
Envío de notificaciones cuando ocurren problemas de servicio o de host y
resolución de estos.
171
Interfaz externa de comandos que permite modificaciones en marcha sean
hechas en el monitoreo y comportamiento de la notificación con el uso los
tratantes del acontecimiento, de una interfaz Web, y de terceras
aplicaciones.
FUNCIONAMIENTO
Los archivos que se crean con la configuración inicial son: registro de archivos, de
configuración de objetos, de recursos, estatus, etc.
DEFINICION DE OBJETOS
Los objetos es un término que se utiliza para describir algunos datos que se
necesitan monitorear. Los tipos de objetos que se pueden definir son: Servicios,
Host, Contactos, etc.
Nagious pede ser iniciado de 4 diferentes maneras:
1. Manualmente, como un proceso en primer plano. Línea de comando:
/usr/local/nagios/bin/nagios <main_config_file>
2. Manualmente, como un proceso de fondo.
3. Manualmente, como un deamon. Línea de comando:
/usr/local/nagios/bin/nagios -d <main_config_file>
4. Automáticamente en el sistema.
PLUGINS
Son escrituras o ejecutables compiladas que pueden correr en línea de comando
para chequear es status de un host o servicio. Nagios ya trae incorporados los
plugins.
Nagios ejecuta los plugins cuando chequea recursos o servicios locales o remotos.
Cuando un plugins ha finalizado su labor, pasa el resultado para procesarlo.
172
Cuando se necesita chequear el estado de un servicio en particular, debe
ejecutarse el plugin especificando los argumentos en el comando
<check_command>. De la misma manera se puede se puede chequear el estatus
del los hosts con el comando <host_check_command>
NOTIFICACIONES
Cada servicio tiene una opción de contacto para especificar quien recibirá una
notificación. Las notificaciones se realizan cuando ocurren cambios en el sistema,
o cuando host o servicio se encuentra en estado no aceptable. Esto se hace a
través de filtros y los tipos de notificación que devuelve son:
Problema, si se de en el servicio se puede decir que esta en un estado de
peligro, desconocido o critico. Si se da en host, significa que esta abajo o
desconocido.
Recuperación, si se da en el servicio significa que el servicio ha vuelto a
estado aceptable. Si es en el anfitrión, significa que ha vuelto a estado UP.
Reconocimiento,
La siguiente imagen muestra como son enviadas las notificaciones, la información
del host, el tipo de notificación.
Figura 3.42 Notificación del Host
TIPOS DE ESTADO
El estado de los servicios o de los host está determinado por 2 componentes: el
estado y el tipo de estado. El estado puede ser up, down, ok, warning, entre
Otros.
173
Nagios tiene 2 tipos de estado como son soft y hard. Los tipos de estado son
usados para determinar cuando los eventos son ejecutados y cuando se enviaran
notificaciones.
El estado soft ocurre cuando el resultado del chequeo de un servicio o host es no
aceptable o cuando se han recuperado de un estado de error de programa. El
estado hard ocurre cuando el resultado del chequeo de un servicio es no
aceptable o cuando se han recuperado de un estado fuerte de error de programa.
Figura 3.43 Imagen de los estatus
CHEQUEO INDIRECTO DE SERVICIOS O HOST
Hay recursos privados que incluyen cosas como uso del disco, carga del
procesador, el etc. en máquinas remotas. Los recursos privados como éstos no se
pueden comprobar sin el uso de un agente intermediario. Los chequeos del
servicio que requieren a agente intermediario llamados chequeos indirectos.
Los chequeos indirectos son útiles para:
monitorear recursos locales (tales como uso del disco, carga del
procesador, etc.) en los host remotos.
Monitoreo de servicios y de los host detrás de cortafuegos
174
IMÁGENES
A continuación se mostrarán algunas imágenes que pueden servir para conocer
más de cómo trabaja Nagios.
Nagios esta diseñado para monitorear servicios o Host, por lo que la siguiente
imagen es una muestra de como desplega la información de de todos los
servicios de una red.
Figura 3.44 información de los servicios de red.
Y también puede desplegar información detallada de un determinado servicio,
como se muestra en la siguiente imagen:
175
Figura 3.45 Información del Host
Nagios puede mostrar los resultados de los estados de los servicios en un
histograma, donde se muestran los eventos sucedidos y el tipo de estado que se
encontró, como se puede ver en la siguiente imagen:
Figura 3.46 Resultado en histograma
176
3.2.6.3 NTOP
Es una herramienta para el control de tráfico de red, que además permite la
planeación y optimización de ésta, así como a detectar violaciones en la seguridad
de la red. Usa interfaz Web, basado en libpcap y escrito para soportar plataformas
Win y Unix.
ASPECTOS GENERALES
Autor: Desarrollado inicialmente por Luca Deri y Stefano
Suinm para problemas de red en la Universidad
de Pisa, Italia. Actualmente es una Fundación.
Versión: La versión actual es la 3.1
Dirección electrónica: Su sitio oficial es www.ntop.org
Tipo de Licencia: bajo licencia GNU GPL.
Esquema de licencia: para indeterminadas PCs
Precio: Es una herramienta gratis.
Sistemas operativos: Linux, freeBSD, net BSD, SunOS/Solares, Unix,
Microsoft Windows.
Requisitos de sistemas: Necesita la instalación previa de varias librerías
gráficas entre ellas: libpcap, winPcap.
En cuanto al uso de la memoria depende de la
configuración, numero de Host, numero de
sesiones TCP activas. El uso del CPU depende
de la configuración al momento de instalarlo.
CARACTERISTICAS
Generar medidas de tráfico, esto es a través de la generación de
estadísticas para los host,
Puede controlar el trafico total (ya sea generado o recibido) en los host.
Desplega estadísticas de tráfico.
El ancho de banda utilizado.
177
Dentro del monitoreo del trafico puede detectar problemas con es el uso de
IP duplicadas, identificación de routes, identificación de protocolos IP,
estadísticas.
Puede identificar potenciales fallas en la seguridad como son: IP spoofing,
ataques de denegación de servicios, y escaneo de puertos.
FUNCIONAMIENTO
Para configurarlo es necesario instalar las librerías:
Winpcap, que funciona como un conductor para que aplicaciones Open
Source puedan instalarse y ejecutarse en ambientes Windows. Consiste en
un driver, para que en la red del sistema operativo pueda ingresarse a
capas de niveles bajos. Esta librería también contiene el libpcap. La
dirección electrónica es www.winpcap.org
libpcap, un interfaz para tratamiento de paquetes de red desde espacio de
usuario,
La arquitectura de Ntop es la siguiente: motor de reporte, análisis de paquetes,
sniffer de paquetes, como se muestra a continuación:
El paquete de sniffer El paquete sniffer colecciona paquetes de red que son
pasados al analizador de paquetes para procesarlos. Soporta diferentes interfaces
de red incluyendo PPP, Ethernet y Token Ring permitiendo capturar paquetes
para ser filtrado antes de ser procesado.
El analizador del paquete procesa un paquete en el tiempo. Las cabeceras del
paquete son analizados de acuerdo a la interfaz de la red que es utilizado. La
información de los host se almacenan en una tabla que llave sea la dirección del
178
hardware de 48 bit (MAC). Cada entrada contiene varios contadores que no
pierden de vista los datos enviados y recibidos por el host, clasificados según los
protocolos de red.
En esta área se realiza el caching de paquetes, esto lo realiza en 2 pasos: el
primer nivel es un caching semi-persistente basado en gdbm. El segundo nivel es
usando una base de datos SQL, recogiendo información como la dirección IP,
sistema operativo del host remoto, eventos de red, funcionamiento de datos.
El motor de reporte es el modo en que será iniciado, que puede ser de 2 formas:
1. modo interactivo, para correr en una Terminal basada en caracteres.
2. Modo Web, actúa como un servidor HTTP y permite estadísticas de análisis
de tráfico.
Entre la información que es mostrada por Ntop:
Información de Host, los datos enviados y recibidos, sesiones activas TCP,
historia de sesiones TCP/UDP, servicios del IP , ancho de banda
Estadísticas de tráfico. Tráfico local (subnet), local versus remoto, remoto
vrs. local, estadística de paquetes, rendimiento de procesamiento de la red
sesiones activas TCP en tiempo real
Distribución de protocolo IP y no IP
El uso local de la red. Detalla estadísticas sobre sockets, datos enviados
recibidos
FUNCIONES
La primera función es la medida de tráfico, que consiste en medidas relevantes
para el uso de tráfico. Ntop sigue el uso de la red, generando una serie de
estadística para cada host. Todos los paquetes en el subnet son capturados y
asociados n a un par del transmisor/receptor. Así es posible seguir las actividades
del tráfico de un host particular.
179
Monitoreo de tráfico.
La supervisión del tráfico tiene la capacidad de identificar situaciones donde el
tráfico de la red no se conforma con políticas específicas. Además provee soporte
para detectar algunos problemas de configuración de red, como son:
Uso de direcciones duplicadas.
Identificación de local host en modo promiscuo.
Detección de servicios erróneos.
Protocolos erróneos.
Utilización de ancho de banda.
Detección de violaciones de seguridad de red.
Ntop proporciona soporta a los usuarios para seguir ataques en red e identificar
agujeros potenciales de seguridad incluyendo spoofing IP, tarjetas de red en modo
promiscuo, negación de ataques de servicio, caballos de Troya y ataques
portscan.
ESTADISTICAS DE TRÁFICO
Reporta información general sobre el tráfico observado. El tráfico es considerado
desde una perspectiva global, sin información especifica.
Figura 3.47 Estadísticas de tráfico
180
ESTADISTICAS GLOBALES
Muestra estadísticas globales del tráfico, desplegada en gráficos de rendimiento.
Se presentan en diversas escalas de tiempo, demostrando el rendimiento de
procesamiento en los 60 minutos pasados y en las 24 horas pasadas.
Figura 3.48 Estadísticas globales
SESIONES ACTIVAS
Ntop puede analizar los paquetes IP capturados individuales y relacionarlos con
las sesiones activas del TCP. Esto es posible porque Ntop implementa el
protocolo TCP. Es posible reconocer flujos específicos y el tráfico asociado.
Figura 3.49 Sesiones activas.
181
3.2.6.4 WHATS UP GOLD 8.0
Es una herramienta para la administración de redes proporcionando monitoreo,
reportes, notificaciones. Puede monitorear ilimitado números de dispositivos de
redes, servicios, trampas SNMP, utilización del CPU, espacio en disco.
ASPECTOS GENERALES.
Autor: Desarrollado por Ipswitch, Inc.
Versión: La versión actual es la 8.03
Dirección electrónica: Su sitio oficial es www.ipswitch.com
Tipo de Licencia: Software propietario con Copyright,
Esquema de licencia: Licencia por número de IPS ha monitorear.
Precio: para una red de hasta 25 IP su precio es de US $
2,195
Sistemas operativos: Desarrollado para Windows 2000 en adelante.
Requisitos de sistema: 30 Mb. de espacio en disco.
CARACTERISTICAS
Captura de estados en tiempo real
Mapeo de redes
Administrador de registros
Gráficos SNMP en tiempo real
Notificación de alertas
Identificación de alertas
Monitor de servidor Exchange.
FUNCIONAMIENTO
CREACION DE MAPAS DE RED
Whats up Gold usa un método automático para crear el mapa de la red de la
empresa; donde se puede ver y editar los dispositivos de red (routers, hots,
servidores). Utiliza un SmartScan para ver las rutas de las tablas y descubrir
dispositivos.
182
Para trabajar con dispositivos utiliza el método usa los método ICMP polling
(votación) para servicios y dispositivos, IPX para dispositivos IPX, y NetBIOS
dispositivos. ICMP envía paquetes a dispositivos y traza rutas de las respuestas.
MONITOREO DE SERVICIOS
Whatsup Gold chequea cada servicio en el menú, y puede monitorear:
Servicios comunes TCP/ IP (Telnet,, DNS; SMTP)
Uso de servicios TCP/ IP
Valores de variable SNMP
Escaneo de contenido HTTP
Figura 3.50 Monitoreo de servicios.
MONITOREO DE EVENTOS
Se puede realizar en 2 caminos diferentes:
Intervalo polling, para servicios de red y dispositivos son requeridos en un
intervalo de tiempo para chequear esos estados.
Eventos Asynchoronous, algunos elementos en una red pueden no proveer
un claro estado UP o DOWN cuando es requerido.
Además se puede configurar un evento Server como un ejecutable separado para
escuchar un evento tomar lugar y notificar a What up.
183
NOTIFICACIONES
Cuando una actividad ocurre en la red whats uo puede tomar diferentes acciones:
Grabar las actividades en el registro de actividades.
Actualizar las propiedades de dispositivos, estado y cajas de diálogos de
registros.
Cambiar la apariencia de los iconos de los dispostivo
Enviar notificaciones por diferentes caminos: sonidos y alarmas, vía correo
electrónico, un programa ejecutable, parar o reiniciar servicios, envío de
notificación SMS
Figura 3.51 Notificación Vía correo Electrónico
USO DE ESTADOS
Muestra un listado de todos los dispositivos en el mapa activado y desplega el
estado usando el mismo color del mapa.
Figura 3.52 Uso de estados
184
EJECUCION DE GRAFICOS
Se puede crear ejecuciones de gráficos del acumulado de las estadísticas polling
de subnets, dispositivos, y recursos de red. Estos gráficos pueden mostrar datos
agregados, como el mejor, o dispositivos con el más alto y más bajo tiempo de
repuesta.
Los reportes de salida muestran los dispositivos up y down de salida y puede ser
visto en un formato detallado. Los reportes de estadísticas incluyen llaves
resumidas que permiten especificar el período de muestra (semanal, mensual)
Figura 3.53 Estadísticas
185
3.2.7 SISTEMA DE DETECCION DE INTRUSIONES
3.2.7.1 PRELUDE
Prelude es un sistema de detección de intrusiones hibrido, es decir, que es un
Host y a la vez un NIDS, ya que puede combinar eventos detectados por
cualquier aplicación (red, analizar registros, aplicaciones de seguridad). Funciona
ya sea bajo el modo Open source o propietario. Trabaja con el estándar IDMEF
(Intrusión Detection Message Exchange Format) de la IETF, que permite a
diferentes tipos de sensores generar eventos a través de un lenguaje unificado.
Tiene la capacidad de encontrar rutas de actividades maliciosas de diferentes
sensores como snort, honeyd, Nessus, 30 tipos de registros de sistemas.
ASPECTOS GENERALES
Autor: Desarrollado por Yoann Vandoorselaere, aunque
actualmente hay muchos colaboradores.
Grupo: Prelude IDS Technologies.
Versión: La versión actual es la 0.9.0
Dirección electrónica: Su sitio oficial es www.prelude-ids.org
Tipo de Licencia: Se distribuye bajo licencia GPL
Esquema de licencia: se puede instalar en indeterminadas PC.
Precio: es gratis, la consola profesional si requiere de un
pago.
Sistemas operativos: Linux, Unix, Solaris, BSD
Requisitos de sistemas: instalación previa de otros programas que vienen
incorporados.
CARACTERÍSTICAS
Es una aplicación hibrida ya que puede trabajar como NIDS o como Host
IDS.
Puede detectar diversos tipos de aplicación.
Puede detectar diferentes sensores.
186
FUNCIONAMIENTO
Previamente es necesario instalar los siguientes paquetes:
Libprelude, provee el marco para tener acceso al sistema de prelude. Maneja
comunicaciones seguras con algunos colectores y provee una API (interfaz
de programación de aplicación). Proporciona el failover (salva archivos para
después retransmitirlos, usando una ruta de retraso), en caso de que fuera
bajado.
Libpreludedb, provee el marco para el acceso fácil a la base de datos de
prelude.
Prelude-manager, el servidor que actúa como un concentrador, recibiendo
eventos emitidos por los sensores y almacenándolos en una base de datos.
Recoge y normalizar eventos. Tiene la capacidad de filtrar eventos
recibidos para especificar las acciones a tomar.
Prewikka, consola de administración de prelude.
Prelude-lml, es un analizador que supervisa su logfile y recibe mensaje del
syslog para las actividades sospechosas. Fue escrito par integrar productos
de terceros.
Prelude-pflogger, escucha a OpenBDS PF redirecciona paquetes registrados,
y envía alertas a prelude manager.
ARQUITECTURA
Esta formado por sensores, Administración, front ends.
Un sensor es un programa que analiza una corriente de información y genera
eventos cunado detecta actividades maliciosas. Los eventos son descritos usando
el estándar IDMEF, teniendo una gran cantidad de sensores.
El estándar IDMEF tiene como propósito definir formato de datos e intercambiar
procedimientos para compartir información de interés para los sistemas de
detección de intrusos, para reportar alertas acerca de eventos que se consideren
sospechosos.
187
Administración, es un servidor que recoge la información de los sensores y
almacena en una base de datos. La comunicación entre él y el cliente se usa
encriptando a través del SSL.
Frontend, proporciona los medios para preguntar a la base de datos, agregados y
filtros de eventos, proporciona estadísticas sobre lo que esta pasando.
SENSORES
Son los responsables de detectar actividades en un host o en una red en tiempo
real. Prelude trabaja con tres sensores:
Prelude NIDS
Prelude LML o analizador de paquetes.
Libsafe para Linux solamente, que puede proteger el sistema del
desbordamiento de buffer.
PRELUDE NIDS
Es el sensor responsable de capturar paquetes de la red en tiempo real para
analizarlos. Cuando un paquete es recibido el sensor decodifica la cabecera del
paquete y lo guarda dentro de una estructura, para examinarlo y determinar si el
paquete es válido o no.
Otras pruebas son realizadas en la IP y en el TCP. Si una anomalía es detectada,
el paquete es rechazado. Algunas técnicas utilizadas para realizar estas pruebas
son las siguientes:
Normalización de datos, a través de la decodificación de plugins HTTP,
FTP y TELNET.
Los plugins job, es para analizar el protocolo designado en el monitor.
Plugins de detección de escaneo, esto es si se tienen muchas conexiones,
o diferentes puertos son detectados.
Plugins ArpSpoof, chequeando al coherencia de los mensajes ARP y la
cabecera de ethernet.
188
Defragmentación de IP.
LIBSAFE
Es una librería diseñada para Linux que protege contra la explotación de
vulnerabilidades como desbordamiento del buffer, y si lo detecta para la
ejecución del programa.
Todos los sensores tienen un sistema común de opciones. Una vez instalada la
librería se puede cambiar la configuración para ello se utiliza el comando $prefix
con la instalación definida por el usuario.
$PREFIX/etc/prelude/default/global.conf.
Este es comando de configuración usados por todos los programas de
prelude.
$PREFIX/etc/prelude/default/client.conf.
Este archivo de configuración se puede configurar la secuencia de conexión
de los clientes, que necesita conectar a prelude.
Cuando en el administrador un evento ha sido procesado, este usa plugins
reportes para convertir las alertas en format binario IDMEF, en varias formatos de
salidas. Puede ser una base de datos (MySql), xmlmod, textmod, relaying. A
continuación se presenta un ejemplo: prelude-manager --textmod --logfile stderr --textmod MyInstanceName --logfile /var/log/prelude.log
Ya trabajando en una interfaz gráfica a través de prewikka se pueden configurar
las opciones de alertas, a continuación se muestran varias alertas capturadas.
189
Figura 3.54 configuración de alertas
También se pueden crear estadísticas pero esto solo se puede realizar en la
versión comercial. Como se muestran a continuación algunos ejemplos de
estadísticas creados por prewikki.
Figura 3.55 Estadísticas generadas por día
Figura 3.56 Estadísticas por categoría de alertas
190
3.2.7.2 SNARE
SNARE (System Intrusión Analisis and Reporting Enviroment), es una solución de
monitoreo construida para supervisar los agentes Open source, proporcionando
una auditoria central de eventos, análisis, reportes y sistemas de archivos.
Está diseñado para diferentes sistemas operativos, en este caso se centrará el
estudio en Snare Sensor para Windows que proporciona filtros, control remoto, y
distribución remota para datos del eventlog. Se considera dentro de los sistemas
de detección de intrusiones basado en host.
Un sensor es un programa que análisis las corrientes de información, y genera
eventos cuando una activada maliciosa es detectada.
Puede ser utilizado como auditor de registros o para enviar datos a Snare Server,
o a un server de SYSLOG, para análisis y almacenaje.
SNARE funciona con 2 aplicaciones complementarias:
EL SnareCore aplicación basada en servicios.
Configuración gráfica y herramientas de reporte.
El servicio SnareCore interconecta con el subsistema event logging de Windows
para leer, filtrar y enviar registros de aplicaciones, sistemas, o de los subsistemas
de seguridad a un remoto host. También puede leer, filtrar y enviar registros del
servidor DNS. Los registros serán filtrados de acuerdo a los objetivos escogidos
por el administrador y pasados dentro de la red, usando protocolo UDP.
El servicio SnareCore es habilitado para controlarlo remotamente vía Web
browser.
ASPECTOS GENERALES
Autor: Desarrollado por grupo Intersect Alliance.
191
Versión: La versión actual es 2.5.1
Dirección electrónica: Su sitio oficial es www.intersectalliance.com
Tipo de Licencia: Snare Server es una herramienta con derechos
de autor Copyright y el sensor para Windows es
un freeware, bajo licencia GNU GPL.
Esquema de licencia: soporta indeterminadas IP.
Precio: El sensor una herramienta gratis.
Sistemas operativos: Windows, Linux, Unix, Solaris.
Requisitos de sistemas: 2 Mb de espacio en disco duro.
FUNCIONAMIENTO
Lo importante al configurar la auditoria son los parámetros como el nombre del
host, dirección IP y puerto UDP, El requerimiento para incorporar una cabecera en
el SYSLOG.
Dentro de la configuración de la auditoria hay varias funciones importantes que se
pueden escoger a la hora de seleccionar el filtro, entre estas opciones están:
Identificar el nivel de evento a auditar
Logon o logoff (numero para identificarlo del 528 al 533)
Cuenta del administrador (numero para identificarlo del 624 al 633)
Cambio de las políticas de seguridad (516,517,608-615)
Accesos a archivos o directorios, (560-566,594,595)
Parar o iniciar procesos.(592-595)
Seleccionar el tipo de evento a capturar: información, peligro, error,
auditoria exitosa o fallada.
Seleccionar de donde capturará el evento: seguridad, servicio de directorio,
sistema, aplicación.
Seleccionar el nivel de alerta: crítica, prioridad, peligro, información.
192
3.57 Configuración de filtros
Ahora que ya se ha configurado se puede iniciar la auditoria. Los eventos que van
sucediendo se muestran a través del servicio Snarcore. Un evento en Snare es
una ocurrencia significativa importante a seguir, para el funcionamiento de la
seguridad.
3.58 Detalle de un evento
Básicamente ese es el funcionamiento del agente Snare, el cual se puede
complementar con el Servidor Snare que es una herramienta de administración
más completa que sirve para monitorear los sistemas de seguridad, detectar
intrusiones en la red, sacar estadísticas entre otros.
193
3.2.7.3 SNORT
Es un sistema Open Source de prevención y detección de intrusiones de red, su
sistema de detección esta basado en reglas y registrar los paquetes IP que
recibe. Se puede clasificar en el sistema basado en red, es decir captura y analiza
paquetes de red para luego buscar patrones que supongan algún tipo ataque.
Implementa un motor de detección de ataques y barrido de puertos que permite
registrar, alertar y responder ante cualquier anomalía (detección de usos indebidos
pattern matching) previamente definida como patrones que corresponden a
ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de
protocolos. Todo esto en tiempo real, incorporando mecanismos de alerta para
el syslog, los archivos específicos de uso, sockets de UNIX, o los mensajes
de WinPoup a los clientes de Windows.
Puede detectar una gran variedad de ataques, por ejemplo buffer overflows
(desbordamiento del almacenador), escaneo del puerto del stealth, ataques
CGI, prueba de SMB, tentativas de huella dactilar del sistema operativo,
finger, ftp, etc.
ASPECTOS GENERALES
Autor: Desarrollado por Martin Roesch en 1998.
La versión para win32 fue elaborada por Michael
Davis
Grupo: sourcefire.net
Versión: La versión actual es 2.4.3
Dirección electrónica: Su sitio oficial es www.snort.org
Tipo de Licencia: Distribuido bajo licencia GNU GPL.
Esquema de licencia: soporta indeterminadas IP.
Precio: Es una herramienta gratis.
Sistemas operativos: Windows y Linux.
Requisitos de sistemas: 6.3 Mb de espacio en disco duro.
194
FUNCIONAMIENTO
Snort puede ser configurado para trabajar en los modos:
1. Sniffer permite ver en la consola y en tiempo real todo el tráfico que esta en
la red.
Para ello el comando a utilizar será
c:\snort –v (para capturar paquetes de las cabeceras TCP, UDP, ICMP).
Si desea ver los campos que pasan por la interfaz de la red agregar la –d
Figura 3.59 Modo sniffer
2. El registro de paquetes permite guardar los archivos en disco para un
posterior análisis. Esto a través de formato binario del tcp dump o en
formato ASCII.
El comando utilizado para trabajar en modo de captura de paquetes es:
Snort -dev –l log
La instrucción –l log indica que debe guardar los logs en un directorio
determinado, se estructurarán una serie de directorios con el nombre de la
dirección IP del host que genere el tráfico o intrusión. También creará en
esta carpeta un archivo (alert.ids) donde registrará las alarmas que genere
así como un archivo de registro de escaneado de puertos (si se da el caso)
-dev imprime en pantalla la dirección IP y cabeceras TCP/UDP/ICMP, los
datos que pasan por la interfase de red con información bastante detallada.
195
3. Sistema de Detección de Intrusiones, la configuración más compleja,
permite analizar el tráfico de la red con reglas definidas para los usuarios y
realizando acciones basadas en lo que se ve.
Comando para activar: Snort -dev –l ./log –h
En el modo sistema de detección puede configurarse las opciones de
salida, estos a través del comando –A y hay siete tipos: full, fast, socket,
syslog, consola, cmg y none. Las alertas son almacenadas en el fichero
Alert.ids.
El modo de alerta FAST devuelve información sobre: tiempo, mensaje de la
alerta, clasificación, prioridad, IP, puerto de origen y de destino. El modo de
alerta FULL además de lo anterior genera información completa de las
cabeceras de los paquetes registrados.
4. Inline Mode, integra un sistema de prevención de intrusiones (IPS). Obtiene
los paquetes de Iptables y son usados para crear nuevas reglas.
CONFIGURACION
Para compilarlo correctamente es necesario configurar las librerías:
Winpcap, que funciona como un conductor para que aplicaciones Open
Source puedan instalarse y ejecutarse en ambientes Windows. Consiste en
un driver, para que en la red del sistema operativo pueda ingresarse a
capas de niveles bajos. Esta librería también contiene el libpcap. La
dirección electrónica es www.winpcap.org
libpcap, un interfaz para tratamiento de paquetes de red desde espacio de
usuario,
Libnet, librería para la construcción y el manejo de paquetes de red
196
Ya que snort trabaja en un ambiente de configuración a través del símbolo de
sistema, se puede utilizar la herramienta gráfica IDSCenter para poder configurar
las características de snort.
Con la herramienta gráfica se evita el estar configurando las opciones de
prevención, a continuación se muestra el archivo config de snort visto desde
IDSCenter. Este archivo se encuentra en la carpeta ETC de snort
Figura 3.60 Configuración de Snort en ambiente gráfico
En el menú de Wizard es para poder configurar manualmente las variables de
red, preprocesadores, plugins de salida, las reglas, y actualizaciones.
Figura 3.61 Menú Wizard
Un punto importante es el uso de los preprocesadores permiten que la
funcionalidad de Snort sea ampliada permitiendo que usuarios y programadores el
uso de plugins modulares en Snort fácilmente.
197
Frag3 preprocesador es un modulo para defragmentación de IP basado en
blanco. Es decir cuando las IP están escritas por diferentes sistemas operativos, al
leer el RFC puede interpretarse que contiene en el código.
El Stream 4 provee reemsable de TCP y análisis statuful, con opciones de
escaneos detectados.
El módulo sfPortscan, diseñado para detectar la primera fase de un ataque: el
reconocimiento. Aquí se determina que protocolos o servicios que un Huésped
soporta. Acá ocurre el escaneo de puertos. sfPortscan puede alerta escaneo de
puertos, trampas TCP, UDP, IP, ICMP, así como filtros.
Otros preprocesadores son:
Telnet, para normalizar caracteres de una sesión de datos.
RPC, normaliza múltiples fragmentos guardados en uno solo.
HTTP, decodificador para uso de aplicaciones. Obtenidos los datos del
buffer, HTTPInspect los decodifica, buscando campos HTTP y
normalizándolos
ASN.1, descifra paquetes o partes, y busca códigos maliciosos.
Figura 3.62 Uso de preprocesadores.
198
REGLAS
Snort viene con sus reglas incorporadas, basadas en una serie de normas. Las
reglas están divididas en 2 secciones:
1. Cabecera, que incluye la acción (define quien, donde, y que tipo de
paquete), protocolos involucrados, dirección IP, numero de puerto, dirección
de la operación.
2. Opciones, esta formado por mensaje y opciones de decisión.
Las reglas son escritas en una sola línea, ejemplo:
alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg:"mountd access";)
En la imagen siguiente se ve las reglas que se configuraron que puede activarse
de acuerdo a la necesidad de protección. También puede el usuario crear sus
propias reglas de protección.
Figura 3.63 Uso de reglas
Ya se habló de las alertas bajo el modo de Sistema de Detección, y en el
ambiente gráfico en el modulo de alertas esta las opciones de:
Detección de alertas, se puede configurar los archivos a monitorear, así como
dirección la base de datos que se va a proteger, y direccional al fichero alert.
Ids para su almacenamiento.
Notificación de alertas, se puede usar las configuraciones de Autoblock que
vienen implementadas en BlackICE. Sólo se marca en la casilla
199
correspondiente e indicar donde esta el archivo de configuración de BlackICE
(recordemos que este cortafuegos software no para la salida al exterior de
posibles troyanos, sólo detecta y para los intentos de entrada, como el
"cortafuegos" interno del XP).
En Alertas Mail se puede configurar Snort para que envíe un mensaje vía
correo electrónico.
Figura 3.64 Imagen del modo de alertar desde el IDSCenter.
Figura 3.65 Alerta
200
3.2.7.4 SYMANTEC HOST INSTRUSION DETECTION SYSTEM
Esta herramienta es propiedad de Symantec y ha sido desarrollada como un
sistema de detección de intrusiones basado en Host, Symantec Host IDS facilita
la tarea mediante un monitoreo basado en políticas capaz de determinar los
sistemas y actividades a monitorear y las acciones a tomar en caso de una
intrusión o mal uso. Capaz de detectar y prevenir peligros. Monitorea los sistemas
en tiempo real, si llega una amenaza toma las medidas preventivas establecidas
en las políticas de seguridad.
ASPECTOS GENERALES
Autor: Desarrollado por grupo Symantec Corporation.
Versión: La versión actual es 4.1.1
Dirección electrónica: Su sitio oficial es www.symantec.com
Tipo de Licencia: Es un software propietario con derechos de
Copyrigth
Esquema de licencia: Solamente para una PC por licencia por año.
Precio: US $ 495
Sistemas operativos: Windows, Linux, Unix, Solaris.
Requisitos de sistemas: 70 Mb de espacio en disco duro.
Memoria Ram de 256 mb.
Internet Explorer 5.5 ó mayor.
CARACTERÍSTICAS:
Detección de intrusos en tiempo real.
Creación de políticas de detección y respuesta personalizadas según las
necesidades administrativas.
Poderosas herramientas de administración centralizada que simplifican el
monitoreo y cumplimiento de las políticas.
Se integra sin problemas con Symantec Security Management System para
mejorar las actividades de asignación de prioridades, identificación,
contención y eliminación. Symantec Security Management System, un
201
nuevo marco de gestión que proporciona la recopilación, registro e informes
de datos consolidados para los productos Symantec y productos de
terceros.
Mantiene datos de auditoria para investigaciones para generar informes
gráficos de las actividades.
Protección superior de los activos de información con una biblioteca
completa de firmas de detección de intrusos.
ARQUITECTURA
Symantec Host IDS tiene los siguientes componentes:
Symantec Host IDS Agentes,
Agentes SESA, un java CIMOM que provee comunicación segura.
Administrador SESA
Consola SESA, basada en una interfaz Web que provee de vistas y
administración, donde se puede administrar eventos, configurar políticas de
seguridad.
FUNCIONAMIENTO
La instalación del Symantec Host IDS es una instalación amigable y fácil de
configurar. A continuación se muestra la pantalla de la consola de SESA
Figura 3.66 Consola principal de SESA
202
Lo primero que hay configurar son el uso de las políticas ya que están ayudan a
detectar eventos y tomar acciones. Las políticas se pueden crear de acuerdo a la
necesidad de protección o utilizar las que ya vienen por defaul.
Figura 3.68 configuración y uso de reglas
Una política contiene reglas. Las reglas contienen criterios. Las reglas consiste en
tres criterios: Ignorar (If), Selección (And) y la acción (Then).
Los agentes automáticamente monitorearán actividades en las aplicaciones,
seguridad y registros de sistema.
La consola de eventos puede desplegar eventos que son coleccionados por los
agentes y guardados en una base común. Asimismo notifica que alertas requieren
inmediata atención. Las alertas son creadas basadas en específicos eventos o
múltiples eventos en un periodo de tiempo.
Una acción se ejecuta en una regla cuando algunos criterios son verdaderos.
Hay 2 tipos de acciones:
1. Reactiva, provee información de que un evento a ocurrido. Esta acción se
usa con otra regla como un Lower Flag y cancelación de tiempo.
2. Preventiva, son procesos muertos, sesiones desconectadas y desactivar
usuarios.
203
CAPITULO IV
SELECCIÓN DE APLICACIONES
4.1 EVALUACION DE LAS APLICACIONES
En este capítulo se complementa el estudio, a través de una evaluación que
permita comparar las herramientas y poder utilizarlas dependiendo de las
necesidades particulares, tipo de información y transacciones que realiza cada
empresa para así protegerse adecuadamente.
Adicionalmente en el mismo cuadro se evalúan las herramientas propietarias vrs.
las herramientas Open Source, para determinar si las herramientas Open Source
son tan eficientes como las propietarias, así como también determinar las
diferencias entre ellas, las ventajas como las desventajas, entre otros.
4.1.1 CRITERIOS DE EVALUACION Y VALORES
Dentro de cada una de las áreas definidas en el capítulo 3, se analizaron de 2 a 4
software Open source, en los cuales, se detallaron las características principales,
así como también su funcionamiento y los aspectos generales que presentan, de
esto tres puntos de estudio se pudo determinar que existen aspectos comunes
dentro del funcionamiento de cada área, estos aspectos fueron retomados en este
capítulo como los criterio básicos o más representativos que deben poseer cada
área.
Otro aspecto que se consideró como punto para definir los criterios, dentro de éste
estudio fue, el identificar las características particulares y que le dan valor
agregado al software, las cuales se consideraron como aspectos principales o de
importancia para el mismo.
204
Como último punto para definir criterios fueron los aspectos considerados como
innovadores y de gran potencial tecnológico que hagan una diferencia marcada en
los software y que permitan brindar una protección más completa.
En todas las áreas se tomaron diez criterios de evaluación, asignándoles un valor
unitario de 1 punto a cada uno de ellos, haciendo un total a evaluar de 10 puntos;
de esta manera se estandariza los criterios y se crea una evaluación equitativa,
donde cada criterio posee el mismo valor y la misma oportunidad de evaluación,
evitando así la subjetividad.
Para ello se presentan en cuadros comparativos las herramientas open source,
con base a criterios de evaluación definidos de las características encontradas en
el estudio realizado. Dichos criterios son las características más representativas
que debe poseer cada área. Y de esa manera poder escoger la o las herramientas
que se consideren más completas y adecuadas para ser usadas dentro las
empresas.
205
4.2 CUADROS COMPARATIVOS
4.2.1 CUADRO COMPARATIVO ANTIVIRUS, SPAM
OPEN SOURCE PROPIETARIO CRITERIOS DE EVALUACION
CLAM AV –
WIN
MAILSCANNER SPAMASSASIN AVG NORTON
1. Actualización automática de
base de datos
X X X X
2. Programación de escaneos X X X X X
3. Detección de spam X X X X
4. Detección de phising X X X
5. Especificación de filtros X X X X
6. Alerta a través de correos X X
7. Análisis de correos entrantes y
salientes
X X X
8. Detección de archivos
comprimidos
X X X X
9. Generación de reportes X X X X
10. Cuarentena X X X X X
206
4.2.1 CUADRO COMPARATIVO ANTIVIRUS, SPAM
OTRAS CONSIDERACIONES
CLAM AV - WIN MAILSCANNER SPAMASSASIN AVG NORTON
PRECIO Gratis Gratis Gratis US $ 40 US $ 25
LICENCIA GNU GPL
Versión 2
GNU GPL Tipo Apache 2 años 1 año
SISTEMAS OPERATIVOS Windows,
Linux,
Linux Linux, Windows Windows
VENTAJAS Provee una
interfaz
gráfica.
Puede
instalarse en
Microsoft
Windows.
Es una de los más
utilizados dentro de
Unix y Linux.
Puede integrarse
con otras
herramientas
Presenta
descuentos
por compras
de licencias.
Detección en
tiempo real
Detección de
spyware.
reconocido a
nivel
mundial.
DESVENTAJAS No provee
protección en
tiempo real.
Funciona en línea
de comando
La versión
gratis no es
para usos
comerciales.
Tiempo de la
licencia.
207
EVALUACIÓN
Como puede apreciarse en el cuadro comparativo del área de antivirus, bajo los
criterios de evaluación definidos (diez en total), ninguna de las tres aplicaciones
cumple todos los criterios enumerados; ClamAV-WIN cumple 8 criterios,
Mailscanner 9 y spamassasin solamente 5 criterios.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que Clam AV-WIN obtuvo un 80%, ya que no cumple con los criterios
de detectar spam, ni phising.
Mailscanner obtuvo un 90% debido a que no genera alertas a través de correos,
obteniendo el mayor porcentaje de los antivirus evaluados.
Spamassasin por ser una herramienta creada para detección de spam es la que
menos criterios cumple, obteniendo una evaluación del 50%.
De acuerdo a los resultados de la evaluación mailscanner es la herramienta que
debe escogerse, ya que además de ser la mejor evaluada, de acuerdo a su página
oficial es una herramienta muy utilizada a nivel mundial, pero que debe
considerarse el sistema operativo que estén utilizando las empresas, ya que
solamente trabaja en ambientes Linux.
Otra opción en vista de que las tres herramientas open source lo permiten es
combinarlas entre ellas, logrando así cubrir mayores aspectos de seguridad.
COMPARACION CON SOFTWARE PROPIETARIO
Al mismo tiempo se realiza la comparación con software propietario. En el caso de
Norton cumple con el mismo número de criterios que mailscanner, y por simple
consideración se pudiera escoger cualquiera de la 2 opciones, pero existen
208
diferencias significativas que permiten decidirse por el uso del software open
source con respecto al propietario. A continuación se presentan dichas diferencias:
DIFERENCIAS OPEN SOURCE PROPIETARIO
Acepta programas terceros Las tres herramientas
pueden integrase para crear
una herramienta completa
No acepta otras
herramientas.
Licencia No presenta restricciones
de uso, ni ata a un tiempo
determinado,
Las herramientas
Propietarias presentan una
considerable restricción en
cuanto al tiempo de uso de
la licencia, ya que en su
mayoría las licencias tienen
un tiempo determinado de
un año.
Detección de spyware Ninguna de las tres
herramientas cumple con
esta característica pero esto
puede solucionarse
ocupando un programa de
tipo Freeware como
Spyware, que no presenta
restricciones de uso,
Esta característica Viene
incorporada solamente en
algunas herramientas; en el
caso de las dos
herramientas evaluadas
solo presenta esta
característica Norton, no así
AVG.
Precio Son herramientas gratis, y
que no tienen restricciones
de actualizaciones, ni de
limitaciones en el uso de
computadoras.
Su precio es de
aproximadamente US $25
por licencia para cada
computadora, y que debe
ser renovada anualmente.
En el caso de el área de antivirus, comercialmente hablando es la que más
desarrollo presenta, por lo que además de las herramientas estudiadas en el área
de propietarios se puede encontrar una extensa gama de software que brinda este
tipo de cobertura a las empresas y que pueden utilizarse si se le considera
adecuada.
209
4.2.2 CUADRO COMPARATIVO DE FIREWALL
OPEN SOURCE PROPIETARIO CRITERIOS DE EVALUACION
FIRESTARTER IPCOP NETFILTER/ IPTABLE
SMOOTHWALL EXPRESS
SYMANTEC ENTERPRISE
FIREWALL
1. Uso de port forwarding X X X
2. Filtro de paquetes X X X
3. Uso de NAT X X
4. Configuración de reglas X X X X X
5. Habilitan y deshabilitan
servicios
X X X
6. soporta DMZ X X X
7. Bloqueo ICMP X X
8. Generación de reportes de
tráfico
X X X
9. Interfaz gráfica X X X X
10. Configuración de proxies X X X
210
4.2.2 CUADRO COMPARATIVO DE FIREWALL
OTRAS CONSIDERACIONES
FIRESTARTER IPCOP NETFILTER/ IPTABLE
SMOOTHWALL EXPRESS
SYMANTEC ENTERPRISE
FIREWALL
PRECIO Gratis Gratis Gratis Gratis US $ 2,101.5
LICENCIA GNU GPL GNU GPL GNU GPL GNU GPL COPYRIGHT
SISTEMA OPERATIVO Linux Linux y
Windows
Linux Linux, Windows Linux,
Windows
VENTAJAS Puede detecta
intrusiones
Vista de
conexiones
activas
Provee
protección contra
ataques
Configurable
para uso de
VPN y proxy
Ha sido la base
para otros
programas.
Es una
herramienta
integrada con
VPN, uso de
Proxy.
DESVENTAJAS Esta en línea de
comando
211
EVALUACION
Se analiza que tres de las cuatro herramientas estudiadas cumplen con la mayoría
de los criterios, para tal caso IPCOP cumple con 7 criterios al igual que
SMOOTHWALL, le sigue Netfiler que es por excelencia el usado en el kernel de
Linux con 6 criterios y Firestarter es el que menos criterios cumple con 4.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que IPCOP obtuvo un 70%, al igual que Smoothwall, Netfilter obtuvo un
60% y Firestarter un 40%. Lo anterior indica que cualquiera de las tres primeras
herramientas que se utilice como firewall brindará una buena protección.
Por resultados se puede escoger IPCOP que es una herramienta que permitirá
manejar un buen nivel de seguridad. Sin embargo, para aprovechar las
características de las demás herramientas, dependiendo del tipo de empresa y de
lo que quiera proteger puede realizarse una combinación de dos o más de estas
herramientas. Para ejemplo, si se cuenta con servidores Windows, el uso de IPcop
y Smoothwall es una solución aceptable ya que combinadas cumplen el 100% de
los criterios.
Si se está trabajando con servidores Linux lo recomendable es el uso de netfilter
con Smoothwall.
212
COMPARACION CON SOFTWARE PROPIETARIO
Al analizar la herramienta de Symantec se puede ver que cumplió 7 criterios al
igual que las herramientas open source. Symantec no habla de zonas de DMZ, ni
de bloqueo ICMP, ya que trabaja bajo su propia tecnología para el filtrado como es
Webnot para controlar el tráfico. Dependiendo del tipo de versión de Symantec
viene integrado con otras áreas como antivirus, proxies y VPN lo que representa la
importancia de crear programas más completos de seguridad, pero que algunos
pierden el enfoque de su área de protección.
En vista de lo anterior cada aplicación estudiada presenta características propias,
con el uso de mecanismos comunes para brindar protección.
Con el resultado se puede escoger cualquiera de las herramientas, pero en el
ambiente de negocios el precio es lo que manda a la hora de seleccionar un
programa, por lo que las herramientas open source en este aspecto salen
ganadoras, ya que como se conoce toda aplicación propietaria requiere siempre
de un pago por adquisición y de firma de contratos por tiempos determinados.
También con el resultado anterior se demuestra que el software open source
puede brindar la mismas características de protección y funcionamiento que las de
un software propietario como Symantec Enterprise Firewall.
213
4.2.3 CUADRO COMPARATIVO PROXY
OPEN SOURCE PROPIETARIO CRITERIOS DE EVALUACION
PRIVOXY SQUID WEBCLEANER ABC PROXY SYMANTEC ENTERPRISE
FIREWALL
1. Aceleración de navegación X X
2. Filtro de contenido de páginas
Web
X X X X X
3. Administración de cookies X
4. Uso de listas de control de
accesos
X X X X
5. Bloqueo de gif animados y
publicidad
X X
6. Caché transparente X X X
7. Restricción en la descarga de
archivos por parte de los
clientes
X
X
X
8. Detección de fallas de
seguridad en HTML
X
9. Soporte de HTTP X X X X
10. Uso de reglas
X X X X
214
4.2.3 CUADRO COMPARATIVO PROXY
OTRAS CONSIDERACIONES
PRIVOXY SQUID WEBCLEANER ABC PROXY SYMANTEC ENTERPRISE
FIREWALL
PRECIO Gratis Gratis Gratis US $ 25 US $ 2,101.5
LICENCIA GNU GPL GNU GPL GNU GPL COPYRIGHT COPYRIGHT
SISTEMA OPERATIVO Linux, Windows Linux y Windows Linux Windows Windows
VENTAJAS Acelera la
navegación
Generación de
reportes.
Ambiente gráfico.
DESVENTAJAS En base a línea de
comandos
Requiere de
mucha memoria
RAM y disco duro
Presenta
pocas
opciones de
configuración.
215
EVALUACIÓN
Como puede apreciarse en el cuadro comparativo del área de proxys, bajo los
criterios de evaluación definidos (diez en total), ninguna de las tres aplicaciones
cumple todos los criterios enumerados; Privoxy cumple 6 criterios, Squid 7 y
Webcleaner 5 criterios.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que Squid obtuvo un 70% ya que su principal función es la de acelerar
el tráfico de Internet, pero no deshabilita publicidad, ni gif animados.
Privoxy obtuvo un 60%, ya que no cumple con los criterios de acelerar la
navegación, análisis de logs y detectar fallas en HTML.
Webcleaner obtuvo un 50% teniendo una característica particular que es la
detección de fallas de seguridad en HTML.
El análisis indica que debería escogerse la herramienta Squid ya que es el mejor
evaluado, sin embargo puede combinarse el uso de proxys, logrando así brindar
mayor cobertura en cuanto al uso de Internet por parte de los usuarios, está
combinación puede ser con Privoxy, cubriendo aspectos de navegación y de
bloquear publicidad o gif animados, que resultan ser molesto a la hora de navegar.
216
COMPARACION CON SOFTWARE PROPIETARIO
De acuerdo a los resultados anteriores tanto como ABC Proxy como la opción de
configuración del Proxy incorporado en Symantec Enterprise Firewall, obtuvieron
las puntuaciones de 5 y 6 criterios respectivamente. Ya que no cumplen con
aspectos como el bloqueo de gif animados y bloqueo de publicidad, Estas
herramientas están más enfocados al uso de conexiones. Por ejemplo ABC proxy
permite compartir conexiones múltiples y accesos a través de él. El Proxy de
symantec esta más dedicado a manejar y activar servicios, su complemento lo
realiza a través del Firewall para manejar un control de tráfico.
Como se concluyo en la evaluación de los proxies open source se pueden crear
combinaciones de estos, y que no representan un gasto económico ya que las tres
herramientas son gratis, y pueden trabajar igual o mejor que un software
propietario, sin restricciones de uso, de licencia, de actualizaciones, o contratos de
mantenimiento.
217
4.2.4 CUADRO COMPARATIVO DE CRIPTOGRAFIA
OPEN SOURCE PROPIETARIO CRITERIOS DE EVALUACION
OPEN SSH OPEN SSL OPEN VPN SSL EXPLORER
ADVANCED ENCRYTION PACKAGE
2006
SYMANTEC ENTERPRISE
FIREWALL
1. Creación de llaves publicas X X X X X X
2. Creación de llaves privadas X X X X X
3. Creación de certificados RSA,
DSA
X X X X X
4. Uso de autenticación X X X X X X
5. Creación de túneles X X X
6. Uso de algoritmos X X X X X
7. Políticas de acceso X X
8. Soporte de protocolo SSL X X X
9. Soporte de protocolo TSL X X
10. Administración de roles X
218
4.2.4 CUADRO COMPARATIVO DE CRIPTOGRAFIA
OTRAS CONSIDERACIONES
OPEN SSH OPEN SSL OPEN VPN SSL EXPLORER
ADVANCED ENCRYTION
PACKAGE 2006
SYMANTEC ENTERPRISE
FIREWALL
PRECIO Gratis Gratis Gratis Gratis US $ 49.95 US $ 2,101.5
LICENCIA Licencia tipo
BSD
Tipo Apache GNU GPL y
otras más
GNU GPL COPYRIGHT COPYRIGHT
SISTEMAS OPERATIVOS Linux,
Windows
Linux,
Windows
Linux,
Windows
Linux,
Windows
Windows. Windows.
VENTAJAS Basado en
el protocolo
SSH
Basado en
SSL,
Soporte de
comercio
electrónico.
Uso de
interfaz
gráfica.
Está
formado por
múltiples
licencias
open source.
Es un
explorador
basado en
SSL
Viene
integrado en el
Firewall.
DESVENTAJAS Basado en
línea de
comandos
Requiere la
instalación
de otras
librerías.
Diseñada para
cifrar archivos y
texto.
219
EVALUACIÓN
Como puede apreciarse en el cuadro comparativo del área de criptografía, bajo los
criterios de evaluación definidos (diez en total), ninguna de las cuatro aplicaciones
cumple todos los criterios enumerados; ya que Open SSL cumple con 7 criterios,
Open VPN cumplen con 9 criterios; Open SSH y SSL Explorer cumplen 5 criterios
cada uno.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que Open VPN obtuvo un 90%, ya que no tiene administración basada
en roles.
Open SSL no cumple con los requisitos de políticas de acceso, creación de
túneles y administración de roles, por lo que obtuvo un 70%.
Las otras dos herramientas obtuvieron cada una un 50%, ya que cumplen solo la
mitad de los criterios establecidos.
Por lo que la herramienta que más cumple con los criterios y que cubre las
características de las demás herramientas open source es OPEN VPN, se
considera que se debería utilizar para: encriptación, uso de VPN y brindar
seguridad tanto en transacciones como en dirección de tráfico.
220
COMPARACION CON SOFTWARE PROPIETARIO
Las dos herramientas que se estudiaron y utilizaron para comparar con el software
open source fueron Advanced Encrytion Package 2006 y Symantec Enterprise
Firewall cumpliendo un total de 5 y 7 criterios respectivamente.
Advanced Encrytion Package 2006 es una herramienta orientada a la encriptación
de archivos y textos para envió ya sea a través de Internet o correo. Symantec
incorpora en su herramienta el uso de criptografía y VPN, a través de una
administración centralizada.
Al igual que en otras herramientas estudiadas las de criptografía son distribuidas
bajo licencias soportadas por open source y que no presentan restricciones de
uso, ni exigen el pago por su adquisición, ya que están disponibles en Internet.
También están desarrolladas para trabajar en diferentes plataformas de sistemas
operativos, ya sea Linux o Window, por lo que Open VPN es una buena
herramienta para utilizarse en las empresas para brindar seguridad de criptografía.
Además las herramientas open source pueden integrarse con otras herramientas
ya sean open source o propietarias para brindar una mayor seguridad.
221
4.2.5 CUADRO COMPARATIVO DE ESCANERES DE VULNERABILIDADES
Propietario
Open source
CRITERIOS DE EVALUACION
NMAP Nessus
GFI LANGUARD NETWORK SECURE
SCANER
1. Escaneo de puertos X X X
2. Sistemas basados en plugins X
3. Pruebas de ataques X X X
4. Uso de lenguaje NASL X
5. Detección de puertas trasera X X X
6. Detección de sistemas operativos X X X
7. Determinar Host disponibles X X
8. Detección de servicios X X X
9. Soporta SSL X
10. Generación de reportes X X X
222
4.2.5 CUADRO COMPARATIVO DE ESCANERES DE VULNERABILIDADES
OTRAS CONSIDERACIONES
NMAP Nessus GFI LANGUARD NETWORK SECURE
SCANER
PRECIO Gratis. El cliente es gratis. US $ 375
LICENCIA GNU GPL Hasta la versión 2,
bajo la licencia GNU.
COPYRIGHT
SISTEMAS OPERATIVOS Windows, Linux Windows, Linux Windows
VENTAJAS Es utilizado por Nessus.
Es un programa a gran
escala.
Tiene su propio
lenguaje para
detección.
Uso de terceros.
Detecta dispositivos
inalámbricos
Ejecución de escrituras para
crear nuevas protecciones.
DESVENTAJAS A partir de la versión 3
dejara de ser open
source.
223
EVALUACIÓN
Como puede apreciarse en el cuadro comparativo del área de escáner de
vulnerabilidades, bajo los criterios de evaluación definidos (diez en total), ninguna
de las dos aplicaciones cumple todos los criterios enumerados; Nessus cumple 9
criterios, y NMAP 7 criterios.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que Nessus obtuvo un 90%, que es un porcentaje aceptable, sin
embargo no cumple con el criterio de determinar host disponibles.
Nmap obtuvo un 70% ya que no está basado en el lenguaje NASL, soporte de
SSL, ni en plugins.
Cabe recalcar que Nessus utiliza programas de terceros para poder realizar sus
funciones, como es el caso de Nmap, que Nessus lo utiliza para realizar escaneo
de puertos, entre otros; Nessus por si solo no cumpliría las expectativas de
evaluación.
Una desventaja que debe considerarse al momento de escoger Nessus es que el
programa a partir de la versión 3 dejará de ser open source, para convertirse en
software propietario, por lo tanto no se conoce que tipo de restricciones conllevará
el cambio. Nmap es una herramienta open source bajo los términos de licencia
GNU GPL, es la herramienta que puede utilizarse para detectar vulnerabilidades y
224
prueba de ataques. Por lo tanto se puede concluir que Nmap es una herramienta
completa y se encuentra al mismo nivel de Nessus.
COMPARACION CON SOFTWARE PROPIETARIO
La herramienta escogida de software propietario GFI languard Network Secure
Scanner cumple un total de 7 criterios al igual que Nmap. Considerando los
resultados de los criterios de evaluación se pudiera escoger cualquiera de las
herramientas ya sea open source o propietario, ya que ambas cumplen con las
mismas características, pero al tomar en cuenta las otras consideraciones en el
cuadro siguiente, como son su precio y licencia, que juegan un papel importante al
momento de adquirir un software, se puede decir que las herramientas open
source brindan la mejor opción en esta área, debido a que no tienen ningún tipo de
restricción en cuanto al uso de licencia y no se tiene que efectuar pago alguno por
su uso.
En el caso de que Nessus al pasar a ser propietario mantuviera sus características
de funcionabilidad y no presentará cambios en la licencia como uso de restricción,
ni de precio; la opción escogida y recomendada para usar como un escaneador
de vulnerabilidades sería Nessus por su mayor cobertura de criterios.
225
4.2.6 CUADRO COMPARATIVO DE MONITOREO DE RED
OPEN SOURCE PROPIETARIO CRITERIOS DE EVALUACION
NAGIOS MRTG NTOP WHATS UP 1. Estadísticas globales de tráfico X X X
2. Monitoreo de servicio y host de Red. X X
3. Estadísticas para cada Terminal de
Red.
X
4. Estadísticas en tiempo real e
históricas
X X X X
5. Determina protocolos innecesarios X X
6. Notificación de alarmas a contactos X X
7. Interfaz Web par monitoreo remoto X X X X
8. Determinar el ancho de banda X X X
9. Monitoreo de factores ambientales X
10. Herramientas de reportes X X X
226
4.2.6 CUADRO COMPARATIVO DE MONITOREO DE RED
OTRAS CONSIDERACIONES
NAGIOS MRTG NTOP WHATS UP PRECIO Gratis Gratis Gratis US $ 2,195
LICENCIA GNU GPL GNU GPL GNU GPL COPYRIGHT
SISTEMAS OPERATIVOS Linux Windows, Linux Windows, Linux Windows
VENTAJAS Brinda información
detallada de todos sus
movimientos
Guarda
estadísticas hasta
por 2 años.
Muestra el uso de la
red en tiempo real.
DESVENTAJAS Actualmente solo
trabajar en Linux.
Genera solamente
estadísticas
globales.
Necesita instalación
previa de varias
librerías
Su precio.
227
EVALUACIÓN
Como puede apreciarse en el cuadro comparativo del área de monitoreo de red,
bajo los criterios de evaluación definidos (diez en total), ninguna de las tres
aplicaciones cumple todos los criterios enumerados; Nagios cumple 6 criterios,
MRTG 4 y NTOP 7 criterios.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que NTOP obtuvo un 70%, ya que no cumple con los criterios de:
Monitoreo de servicio y host de Red, Notificación de alarmas a contactos ni con
Monitoreo de factores ambientales.
Nagios obtuvo un 60%, ya que no cumple con los criterios de generar estadísticas
globales, determinar el ancho de banda y protocolos innecesarios.
MRTG solamente obtuvo un 40% ya que se basa más en generar estadísticas
generales a través de barras.
Como solución se plantea una combinación de las herramientas NTOP con
Nagios, ya que ambas se complementan y logran cubrir todos los criterios para
tener una herramienta completa de monitoreo. Debe tomarse en cuenta que para
realizar esta combinación es necesario que los servidores trabajen en Linux, ya
Nagious actualmente no trabajan en ambientes Windows.
228
COMPARACION CON SOFTWARE PROPIETARIO
La herramienta seleccionada de software propietario Whats up Gold 8.0 cumple
con 8 criterios, comparado con el software open source es la que obtiene mejor
evaluación con un total de un 80%, solo que no cumple con los requisitos de
presentar estadísticas por host, ni monitoreo de factores ambientales.
Si se compara económicamente, el costo de adquisición de Whats up Gold 8.0 es
de US $ 2,195, y al utilizar el software open source combinando Nagios con Ntop
el costo de adquisición de ambos es US $0.0, se puede ver que económicamente
es más beneficioso utilizar las herramientas open source, ya que al combinarlas
brindan la misma protección que el software propietario, y con la ventaja que no
presentan restricciones de uso en sus licencias.
229
4.2.7 CUADRO COMPARATIVO SISTEMAS DE DETECCION DE INTRUSIONES
Open source Propietario CRITERIOS DE EVALUACION
PRELUDE SNARE SNORT SYMANTEC HOST
Basado en Host o NIDS AMBOS HOST NIDS HOST
1. Escaneo de puertos de comunicación X X
2. Captura de paquetes de red X X
3. Detección basada en reglas X X X
4. Análisis en tiempo Real X X X X
5. Generación de alertas X X X X
6. Análisis de registros X X X
7. uso de sensores. X X X
8. Uso de interfaz grafica X X X X
9. Trabaja en modo sniffer X
10. Integra un sistema de prevención X
230
4.2.7 CUADRO COMPARATIVO SISTEMAS DE DETECCION DE INTRUSIONES
OTRAS CONSIDERACIONES
PRELUDE SNARE SNORT SYMANTEC HOST
Precio Gratis El sensor es gratis, Gratis US $ 495
Licencia GPL GNU GPL GNU GPL COPYRIGHT
Sistemas operativos Linux, Unix Windows, Linux Windows, Linux. Windows, Linux.
VENTAJAS Es un programa
híbrido.
Uso del estándar
IDMEF que le
permite detectar
variedad de
sensores.
Se pueden
generar
estadísticas con la
consola
Se pueden generar
estadísticas con la
consola
Puede utilizar
interfaz gráfica
sin costo.
A nivel de Linux
es una de las
herramientas
más utilizadas.
Tiene el soporte
de una empresa
reconocida a nivel
mundial.
DESVENTAJAS La consola para
generar estadísticas
y alertas es pagada
La consola para
generar estadísticas
y alertas es pagada
231
EVALUACIÓN
Como puede apreciarse en el cuadro comparativo, bajo los criterios de evaluación
definidos (diez en total), ninguna de las aplicaciones cumple todos los criterios
enumerados; Prelude y Snort cumplen 8, y Snare 5 criterios.
Si se evalúan los 10 criterios con base a un porcentaje total del 100%, se
determina que Prelude obtuvo un 80% al igual que SNORT, con la diferencia que
el primero no trabaja en modo sniffer y no trabaja como un IPS, y el segundo no
realiza análisis de registros ni hace uso de sensores; y por ultimo Snare obtuvo un
50%.
Las herramientas mejor evaluadas son Prelude y Snort con un 80%, siendo estas
bastante aceptable para la detección de intrusiones, la ventaja que presenta
Prelude es que usa los 2 tipos de IDS en que se clasifican; pero como no cubre el
100% de los criterios se puede combinar con Snort en el caso de que se esté
trabajando con servidores Linux. Si se trabaja con servidores Windows sería
recomendable el uso de Snare con Snort, cubriendo así los sistemas de detección
de intrusiones basados en host y en redes.
Para obtener una mejor funcionalidad también se recomienda considerar el pago
para utilizar las consolas de Prelude o Snare que permitirán brindar una mejor
administración, generación de reportes y estadísticas en sus empresas.
232
COMPARACION CON SOFTWARE PROPIETARO
Symantec Host es una herramienta basada en host para monitoreo de maquinas
locales lo que al evaluarla resultó que cumple con 6 criterios, y que al compararlos
con el software open source demuestra que estas herramientas brindan una mejor
protección de lo que lo hace Symantec Host, a pesar del respaldo de tener una
gran compañía.
Hay que recordar que Prelude también trabaja como un software propietario ya
que sus librerías pueden utilizarse para la creación de otros programas, así como
la utilización de prewikka que es la consola de administración para uso comercial
de las librerías y otras utilidades. En la evaluación resultó ser una de las que
mejores funcionalidades presentaba, sería recomendable su uso para brindar así
una mejor protección.
También como punto final es de recalcar que el software open source no se refiere
a software gratis, sino a la libertad del uso y de la obtención de código fuente para
modificarlo de acuerdo a las necesidades particulares de protección, por lo que en
un momento determinado se puede cobrar por el uso de software. Durante el
estudio del software escogido no presentó esta peculiaridad ya que todos eran
gratis y no presentaron restricciones de pago, ni de utilización de terceros como
ambientes gráficos para los programas a excepción de Prelude y Snare.
233
4.3 COMPARACION ECONOMICA
En mundo de los negocios las empresas fijan sus intereses en productos de buena
calidad y de costos razonables, conociendo esto se presenta a continuación un
cuadro comparativo que muestra los beneficios del software open source en
términos económicos.
En los siguientes cuadros se presentan las alternativas Open source de cada área
seleccionadas como las mejores de acuerdo al estudio realizado, y sus
respectivos precios de adquisición, al mismo tiempo se hace una comparación
entre los precios de aplicaciones Open source contra los precios de aplicaciones
propietarias.
Para realizar un análisis económico de las aplicaciones, se presentará el siguiente
escenario: la empresa “XYZ” posee una red de 25 computadoras y ésta desea
proteger su red para lo cual decide implementar una herramienta de cada una de
las áreas estudiada.
Supuesto 1: La empresa “XYZ” trabaja bajo plataforma de servidores Windows.
Supuesto 2: La empresa “XYZ” trabaja bajo plataforma de servidores Linux.
234
CUADRO COMPARATIVO ECONÓMICO 1: BAJO SERVIDORES WINDOWS.
AREA
OPEN SOURCE
SOFTWARE PRECIO
PROPIETARIO
SOFTWARE PRECIO
ANTIVIRUS, SPAM Clam Av/Win $ 0.00 AVG US $ 625
(25 PC X US $ 25)
FIREWALL Solo IPCOP, o la
combinación con
Smoothwall
$ 0.00
PROXY Combinación de: Squid
y Privoxy
$ 0.00
CRIPTOGRAFIA Open VPN $ 0.00
Symantec
Enterprise
Firewall
US $ 2,101.50
ESCANER DE
VULNERABILIDADES
Nmap
$ 0.00
Gfi Languard
US $ 375
MONITOREO DE RED Ntop $ 0.00 Whats up US $2,195
SISTEMA DE DETECCION DE
INTRUSOS
La combinación de
Snort con Snare
$ 0.00
Symantec Host
US $ 495
TOTAL US $ 0.00 US $ 5, 791.50 COSTO CAPACITACION* US$ 1,080
COSTO DE SERVICIO (INSTALACION
O MANTENIMIENTO) US $ 800
235
CUADRO COMPARATIVO ECONOMICO 2: BAJO SERVIDORES LINUX
AREA
OPEN SOURCE
SOFTWARE PRECIO
PROPIETARIO
SOFTWARE PRECIO
ANTIVIRUS, SPAM Mailscanner $ 0.00 Norton Antivirus de
Symantec
US $ 1000
FIREWALL Netfilter/IPCOP $ 0.00
PROXY Combinación de:
Squid y Privoxy
$ 0.00
CRIPTOGRAFIA Open VPN $ 0.00
Symantec
Enterprise
Firewall
US $ 2,101.50
ESCANER DE
VULNERABILIDADES
Nmap
$ 0.00
Gfi Languard
US $ 375
MONITOREO DE RED
Combinación de:
Ntop y Nagios
$ 0.00
Whats up US $2,195
SISTEMA DE DETECCION DE
INTRUSOS
Prelude o con la
combinación de
Snort
$ 0.00
Symantec Host
US $ 495
TOTAL US $ 0.00 US $ 6,166.50 COSTO DE CAPACITACION ó US $ 1,080
COSTO DE SERVICIO (INSTALACION
O MANTENIMIENTO)
US $ 800
236
CONSIDERACIONES0 FINALES DE AMBOS CUADROS
Realizado las comparaciones económicas hay que considerar varios que se
detallan a continuación:
El costo de servicio, mantenimiento o capacitación es tomado con base a
los cursos impartidos por la empresa Novatec, está ofrece 3 módulos como
son: usuario/operador, Administrador de sistemas y Administrador de redes,
lo que representa un valor total de US$ 1,080. Los módulos son para
usuarios que deseen aprender a trabajar en ambientes Linux, para las
áreas de Firewall, Proxys y Criptografía, tomando software como:
netfilter/iptable, Squid, servidores apache, uso de los protocolos SSL y
SSH. Para las otras áreas como son monitoreo de redes, escáneres de
vulnerabilidades y sistema de detección de intrusos no se encontraron
empresas que brinden capacitación en estas áreas de open source.
En el caso que la empresa no cuente con personal fijo, puede utilizarse el
servicio de configuración y mantenimiento proporcionado por Novatec. El
costo exacto de servicio o mantenimiento no fue posible obtenerlo pro parte
de la empresa Novatec, ya que depende del tipo de servidor o tecnología
con que cuenta la empresa y del software que desee instalar, pero un valor
promedio por este servicio es de US$ 800.
Las consolas complementarias de Prelude y Snare pueden considerarse
como una adquisición a futuro para que así se mejoren los aspectos de
seguridad se tienen en cuanto a Sistemas de Detección de Intrusos.
237
OTROS ASPECTOS
Para finalizar hay que aclarar puntos que se han encontrado durante la
investigación, y que se consideran importantes dejarlos plasmados, como lo son:
Para utilizar las herramientas requiere la actualización del servidor referente
a la capacidad de disco duro y memoria RAM, ya que la configuración e
instalación de cada herramienta genera ocupar espacio en disco duro, lo
que si no se actualiza podría volver más lento el servidor a través de sus
tiempos de respuestas.
Las áreas de escáner de vulnerabilidades y monitoreo de red se consideran
herramientas complementarias que ayudan a crear un ambiente de trabajo
más seguro para los administradores y usuarios de los sistemas, pero que
al no utilizarla, no afecta el funcionamiento de la empresa, pero que si
pueden contribuir a optimizar la utilización de los recursos a través de sus
controles.
El uso de criptografía podría suprimirse si una empresa no tiene comercio
electrónico, ya que está más orientada a proteger datos realizados por
compra y transacciones por Internet.
238
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES 5.1 CONCLUSIONES
Los resultados de la encuesta arrogaron que un 54% de las empresas no
utilizan seguridad en sus redes, esto es debido a ciertas variantes tales
como: consideran innecesario la seguridad, piensan que poseen un costo
muy elevado, o simplemente por desconocer de la importancia de la
seguridad en sus redes; dejando a la intemperie de cualquier tipo de
ataques sus equipos e información, que pudiera significar en un futuro
perdidas económicas, de operación y hasta el cierre del negocio.
Se concluye que existe en el mercado un software Open source que
permite a medianas y pequeñas empresas, que no cuentan con suficientes
recursos económicos, y que desean proteger su red informática, adquirir y
utilizar este tipo de software que cumple con las mismas características y
funcionabilidad de protección que un software propietario.
Se concluye que es necesario que las empresas posean seguridad en sus
redes y las áreas básicas a considerar deberían ser: Antivirus/spam,
Firewall, Proxy, Criptografía, Escáneres de vulnerabilidades, Monitoreo de
red, y Sistema de detección de intrusiones; sin embargo el uso de uno o
más de ellos dependerá del giro de la empresa y del tipo de información
que desea proteger.
Se comprobó que en cada área de seguridad estudiada, una sola
herramienta no puede cumplir con todos los criterio de evaluación, por ello
es necesario utilizar más de una herramienta y así brindar un alto nivel de
seguridad.
239
Se concluye que el software open source brinda ventajas considerables
para las empresas que deseen implementarlo, ya que no representa ningún
obstáculo al momento de utilizarlo en grandes redes, su licencia no
presenta restricciones de uso ni de tiempo y puede ser instalado en un
número ilimitados de equipos; sin embargo es a bien recalcar que las
aplicaciones Open source actualmente no proporcionan garantía ni sopote
técnico, pero a medida que estas aplicaciones tomen auge estos aspectos
pueden convertirse en ventajas.
Las aplicaciones propietarias poseen uso exclusivo, ya que no permiten
trabajar en otros ambientes que no sean los recomendados; sin embargo
las aplicaciones Open source están desarrolladas para trabajar en
diferentes ambientes, siendo compatibles con el software propietario, por lo
que no tendrá ninguna repercusión de conflictos, ni de uso.
Se concluye que las herramientas Open source individualmente, no
presentan mayores requerimientos de instalación y uso de Hardware, por lo
que no afectarían los recursos y funcionamiento de la red, a excepción de
los Proxys, que consumen un alto índice de memoria RAM. Al configurar
todas las herramientas propuestas de cada área, debería de hacerse una
evaluación del funcionamiento en general de la red.
Se concluye que para brindar una seguridad completa, adicionalmente al
software open source las empresas deben complementarse con seguridad
física y lógica para mantener la integridad, confidencialidad y disponibilidad
de su información.
Las herramientas estudiadas de seguridad sufren avances tecnológicos, es
decir, que están en constante cambio por lo que es necesario mantenerse
actualizado.
240
5.2 RECOMENDACIONES
Se recomienda que las empresas que no tienen seguridad dentro de sus
redes, deben de proteger sus equipos e información, para evitar así
pérdidas económicas o de información que puedan generar grandes
repercusiones. La protección se puede lograr a través del uso de software
Open source el cual permite asegurar sus redes, y al mismo tiempo
presenta beneficios como: no se efectúa pago de adquisición, viene consigo
el código fuente, lo que permite configurar el software a las necesidades
particulares de protección.
La prueba e implementación de herramientas open source brindan ventajas
de licencia, precio y estabilidad, por lo que las empresas pueden proteger
sus redes con este tipo de software, donde su funcionamiento es igual o
mejor que una herramienta propietaria, y que adicionalmente representa
una opción económicamente factible para que las empresas puedan
proteger sus redes informáticas.
Se recomienda que las empresas instalen y configuren herramientas en
cada una de las siguientes áreas: Antivirus/spam, Firewall, Proxy,
Criptografía, Escáneres de vulnerabilidades, Monitoreo de red, y Sistema
de detección de intrusiones, sin embargo el uso de todas las herramientas
dependerá de lo que cada empresa quiera proteger según el giro de
negocio.
Las herramientas open source analizadas individualmente logran cumplir un
buen nivel de seguridad, Sin embargo las empresas pueden utilizar
combinaciones de software que les permita lograr un grado más alto de
protección. Se recomienda las combinaciones presentadas en el capítulo
IV, apartado 4.3. Evaluación Económica.
241
Se recomienda el uso de las aplicaciones Open source como una
herramienta que brinda múltiples ventajas, sobre todo para las pequeñas y
medianas empresas de El Salvador que cuentan con recursos limitados ya
que estas aplicaciones tienen costos de adquisición accesibles; Sin
embargo se recomienda evaluar el riesgo que genera el uso de las
aplicaciones ya que no ofrecen garantía de soporte.
Se recomienda que cada empresa evalué las aplicaciones con las cuales le
sea más factible trabajar, estas pueden ser software Open source o
combinaciones entre este y software propietario.
Se recomienda que las empresas evalúen la capacidad de funcionamiento
de sus equipos, debido a que el uso de todas las herramientas puede
generar que los sistemas sean lentos, por lo que será necesario actualizar
el hardware, capacidad de almacenamiento de disco duro y memoria RAM
de los servidores para soportar la carga instalada y permitir el
funcionamiento eficiente de la red.
Acompañado a la instalación de software para seguridad, se recomienda
que las empresas creen una política de seguridad que permita definir
usuarios, privilegios, accesos, uso de información, definición de políticas,
soportes, medidas preventivas y reactivas, incluyendo medidas de
seguridad física como protección de servidores, protección de equipos, y
todo aspecto que contribuya a mantener la integridad de la información.
Se recomienda mantener actualizados los software de seguridad, se debe
mantener en constante monitoreo ya sea a través de suscripciones a
revistas, páginas Web como sourceforge.net, donde se puede encontrar
una variedad de software para seguridad.
242
GLOSARIO
ACK (acknowledgement). Acuse de recibo, en comunicaciones entre
computadoras, es un mensaje que se envía para confirmar que un mensaje o un
conjunto de mensajes han llegado.
ACL: Lista de control de acceso.
ADSL (Asymmetric Digital Subscriber Line). Línea de Abonado Digital
Asimétrica, Consiste en una línea digital de alta velocidad, apoyada en el par
trenzado de cobre que lleva la línea telefónica convencional o línea de abonado.
Adware: es software que durante su funcionamiento despliega publicidad de
distintos productos o servicios.
Análisis en tiempo real: Análisis realizado de forma continua, con resultados
obtenidos en un tiempo en que permita alterar el estado actual sistema.
Ancho de banda: 1. Diferencia en hertzios (Hz) entre la frecuencia más alta y la
más baja de un canal de transmisión. 2. Datos que puede ser enviados en un
periodo de tiempo determinado a través de un circuito de comunicación. Se mide
en bits por segundo (bps)
Agente: una entidad independiente que realiza labores de monitorización y
análisis de bajo nivel y envía sus resultados a un coordinador o un transmisor-
receptor.
ARCERT: Coordinación de Emergencia en Redes Teleinformáticas de la
Administración Pública Argentina.
243
ARP (Address Resolution Protocol). Protocolo de resolución de direcciones. Es
un protocolo de nivel de red responsable de encontrar la dirección hardware
(Ethernet MAC) que corresponde a una determinada dirección IP
Autenticación: Proceso de confirmar la identidad de una entidad de sistema (un
usuario, un proceso, etc.).
Backdoor – (Puerta trasera): Mecanismo que permite a un atacante entrar y
controlar un sistema de forma oculta. Suelen instalarse justo después de
comprometer un sistema.
BIT: (Binary digit). Dígito binario, Basta con asignar uno de esos valores al
estado de "apagado" (0), y el otro al estado de "encendido" (1).
BYTE: Se describe como la unidad básica de almacenamiento de información,
generalmente equivalente a ocho bits,
Buffer: Área de memoria de un sistema reservada para almacenar información de
forma temporal.
Buffer Overflow: Técnica que consiste en almacenar más datos en un búfer de
los que puede contener. Los datos que no caben pueden invadir zonas
adyacentes a la del búfer, corrompiéndolas o sobrescribiéndolas.
Cable de par trenzado es uno de los tipos de cables de pares compuesto por hilos,
normalmente de cobre, trenzados entre sí.
Caché: Mecanismo especial de almacenamiento de alta velocidad. Puede ser una
zona reservada de la memoria principal, o un dispositivo independiente de
almacenamiento de alta velocidad.
244
CERT: (Computer Emergency Response Team). Equipo de Respuesta a
Incidentes de Seguridad en Cómputo.
Cookies: es la palabra que se usa para unos trozos de información que los
servidores en la Web Mundial pueden grabar en el disco duro.
CSI: Computer Security Institute.
Cygwin: es una colección de herramientas desarrollada por Cygnus Solutions
para proporcionar un comportamiento similar a los sistemas Unix en Windows. Su
objetivo es portar software que ejecuta en sistemas POSIX a Windows con una
recompilación a partir de sus fuentes.
DARPA: Defense Advanced Research Projects Agency)
Datagrama: es un fragmento de paquete que es enviado con la suficiente
información como para que la red pueda simplemente encaminar el fragmento
hacia el ordenador receptor, de manera independiente a los fragmentos restantes.
Debug: Depuración de programas es el proceso de identificar y corregir errores de
programación.
Detección de anomalías: Detección basada en la actividad de sistema que
coincide con la definida como anormal.
Denial of Service (DoS): Estrategia de ataque que consiste en saturar de
información a la víctima con información inútil para detener los servicios que
ofrece.
DHCP (Dynamic Host Configuration Protocol) Protocolo de configuración
dinámica de servidores. Es un protocolo de red en el que un servidor provee los
245
parámetros de configuración a las computadoras conectadas a la red informática
que los requieran y también incluye un mecanismo de asignación de direcciones
de IP.
(DMZ) Zona desmilitarizada: Máquina o pequeña subred situada entre una red
interna de confianza (como una red local privada) y una red externa no confiable
(como Internet). Normalmente en esta zona se sitúan los dispositivos accesibles
desde Internet, como servidores Web, FTP, SMTP o DNS, evitando la necesidad
de acceso desde el exterior a la red privada.
DLL (Dynamic Linking Library). Bibliotecas de Enlace Dinámico, término con el
que se refiere a los archivos con código ejecutable que se cargan bajo demanda
del programa por parte del sistema operativo.
Dominio es la parte de una URL (dirección de una página o recurso en Internet)
por la que se identifica al servidor en el que se aloja
DNS (Domain Name System), es una base de datos distribuida y jerárquica que
almacena información asociada a nombres de dominio en redes como Internet.
DSL (Digital Subscriber Line). Línea de abonado digital es un término utilizado
para referirse de forma global a todas las tecnologías que proveen una conexión
digital sobre línea de abonado de la red telefónica local: ADSL.
Exploit: Implementación de un fallo de seguridad, utilizado bien para comprobar y
demostrar la existencia del fallo, o bien para comprometer el sistema de forma
ilícita.
Firewall (Cortafuego): Herramienta de seguridad que proporciona un límite entre
redes de distinta confianza o nivel de seguridad mediante el uso de políticas de
control de acceso de nivel de red.
246
FSF (Free Software Foundation) Organización creada a partir del esfuerzo de
Richard Stallman y otros entusiastas del software libre con el propósito de difundir
este movimiento.
FTP (File Transfer Protocol). Protocolo de Transferencia de Archivos) y es el
ideal para transferir grandes bloques de datos por la red.
Gateway: puerta de enlace.
GUI: Interfaz gráfica de usuario es un método para facilitar la interacción del
usuario con el ordenador o la computadora a través de la utilización de un
conjunto de imágenes y objetos pictóricos (iconos, ventanas) además de texto.
HIDS: Sistema de detección de intrusos en un Host. Busca detectar anomalías
que indican un riesgo potencial, revisando las actividades en la máquina (host).
Puede tomar medidas protectoras.
Hook: Anzuelo, gancho.
Host: en informática o computación hace referencia a cualquier máquina
conectada a una red de ordenadores, un nodo con nombre de dominio.
IANA (Internet Assigned Number Authority) La Agencia de Asignación de
Números Internet era el antiguo registro central de los protocolos Internet, como
puertos, números de protocolo y empresa, opciones y códigos
ICANN (Internet Corporation for Assigned Names and Numbers) o
Corporación de Internet para la Asignación de Nombres y Números. Fue creada el
18 de septiembre de 1998 con objeto de encargarse de cierto número de tareas
realizadas con anterioridad a esa fecha por otra organización, la IANA.
247
ICMP Protocolo de Control de Mensajes de Internet es uno de los protocolos
centrales de la suite de protocolos de Internet. Es usado principalmente por los
Sistemas operativos de las computadoras en una red para enviar mensajes de
error, indicando por ejemplo que un servicio determinado no está disponible ó que
un router ó host no puede ser localizado.
Internet Protocol Security - Seguridad de Protocolo Internet (IPSec): Conjunto de
protocolos desarrollados por IETF para soportar el intercambio seguro de
paquetes en el nivel IP.
Intrusión: Violación intencionada de las políticas de seguridad de un sistema.
Intrusion Prevention System - Sistema de prevención de intrusiones (IPS):
Sistema que combina las capacidades de bloqueo de un cortafuegos y las de
análisis de un IDS
IPX (Internetwork Packet Exchang): Intercambio de paquetes interred, Protocolo
de nivel de red de Netware. Se utiliza para transferir datos entre el servidor y los
programas de las estaciones de trabajo. Los datos se transmiten en datagramas.
IRC (Internet Relay Chat): es un protocolo de comunicación en tiempo real
basado en texto, que permite debates en grupo o entre dos personas.
ISP (Internet Service Provider). (Proveedor de Servicios de Internet, empresa
dedicada a conectar a Internet la línea telefónica de los usuarios, redes distintas e
independientes, ambas.
JRE o Java Runtime Environment: proporciona únicamente un subconjunto del
lenguaje de programación Java sólo para ejecución.
248
Kernel (también conocido como núcleo) es la parte fundamental de un sistema
operativo. Es el software responsable de facilitar a los distintos programas acceso
seguro al hardware de la computadora o en forma más básica, es el encargado de
gestionar recursos, a través de servicios de llamada al sistema.
LAN (Local Area Network) Red de Área Local, se refiere a las redes locales de
ordenadores.
Libpcap: Interfaz independiente del sistema, para la captura de paquetes de nivel
de usuario, escrito en el "Lawrence Berkeley National Laboratory".
LLC: Control de enlace lógico.
MAC: Control de acceso al medio. es el nivel que depende del medio físico y hace
a los niveles superiores, incluido el subnivel LLC, independientes de dicho medio
físico.
Malware proviene de una agrupación de las palabras malicioso software. Este
programa o archivo, que es dañino para el ordenador, está diseñado para insertar
virus, gusanos, troyanos, spyware o incluso los bots, intentando conseguir algún
objetivo, como podría ser el de recoger información sobre el usuario o sobre el
ordenador en sí.
MAN: Una red MAN es una red que se expande por pueblos o ciudades y se
interconecta mediante diversas instalaciones públicas o privadas, como el sistema
telefónico o los suplidores de sistemas de comunicación por microondas o medios
ópticos.
NAT (Network Address Translation). Traducción de Dirección de Red, es un
estándar el cual utiliza una o más direcciones IP para conectar varios
computadores a otra red (normalmente a Internet), los cuales tiene una dirección
249
IP completamente distinta. Por lo tanto, se puede utilizar para dar salida a redes
públicas a computadores que se encuentran con direccionamiento privado o para
proteger máquinas públicas.
NIDS, Sistema de detección de intrusos en una Red. Busca detectar anomalías
que inicien un riesgo potencial, tales como ataques de denegación de servicio,
escaneadores de puertos o intentos de entrar en un ordenador, analizando el
tráfico en la red en tiempo real.
NNTP (Network News Transport Protocol) Protocolo de transferencia de noticias.
Es el Protocolo de red utilizado por el Usenet internet service.
Open Systems Interconnection - Interconexión de Sistemas Abiertos (OSI):
Estructura de protocolos en siete niveles propuesta por ISO (International
Standardisation Organisation)
OSI: Open Source Initiative.
Paquete: Estructura de datos con una cabecera que puede estar o no lógicamente
completa. Más a menudo, se refiere a un empaquetamiento físico de datos que
lógico. Se utiliza para enviar datos a través de una red conmutada de paquetes.
Password: Clave, contraseña.
PERL: Lenguaje de programación basado en scripts portable a casi cualquier
plataforma.
Phishing: es un término utilizado en informática con el cual se denomina el uso de
un tipo de ingeniería social, caracterizado por intentar adquirir información
confidencial de forma fraudulenta, como puede ser una contraseña o información
detallada sobre tarjetas de crédito u otra información bancaria.
250
PING: Se trata de una utilidad que comprueba el estado de la conexión con uno o
varios equipos remotos, por medio de los paquetes de solicitud de eco y de
respuesta de eco para determinar si un sistema IP específico es accesible en una
red.
Plugin (o plug-in): es un programa de ordenador que interactúa con otro
programa para aportarle una función o utilidad específica, generalmente muy
específica.
Portscan (escaneo de puertos): Barrido de puertos generalmente para determinar
qué servicios ofrece un sistema.
POSIX (Portable Operating System Interface, viniendo la X de UNIX) Persigue
generalizar las interfaces de los sistemas operativos para que las aplicaciones se
ejecuten en distintas plataformas.
Python es un lenguaje de programación interpretado e interactivo, capaz de
ejecutarse en una gran cantidad de plataformas
RAR es un algoritmo de compresión sin pérdida utiliazado para la compresión de
datos.
RARP (Reverse Address Resolution Protocol) Protocolo de resolución de
direcciones inverso).Es un protocolo utilizado para resolver la dirección IP de una
dirección hardware dada (como una dirección Ethernet)
RDSI. (Integrated Services Digital Network) Red Digital de Servicios Integrados.
Es una red que procede por evolución de la Red Digital Integrada (RDI) y que
facilita conexiones digitales extremo a extremo para proporcionar una amplia
gama de servicios, tanto de voz como de otros tipos, y a la que los usuarios
acceden a través de un conjunto de interfaces normalizados.
251
RPC (Remote Procedure Call). Llamada a Procedimiento Remoto es un
protocolo que permite a un programa de ordenador ejecutar código en otra
máquina remota sin tener que preocuparse por las comunicaciones entre ambos.
SCR (Sustained Cell Rate) Cadencia sostenida de celdas, define la velocidad
máxima en promedio a la que se pueden general celdas para su transmisión en el
origen.
Script (Guión): Lista de comandos que puede ser ejecutada sin interacción por
parte del usuario. Un lenguaje de "script" es un lenguaje de programación sencillo
que puede ser utilizado para escribir guiones.
Secure Shell(SSH) Interfaz de comandos segura: También conocida como
"Secure Socket Shell", es una interfaz de comandos basada en UNIX y un
protocolo para acceder de forma segura a una máquina remota.
Sensor: Una entidad que realiza labores de monitorización y obtención de datos
de las fuentes de información. También conocido como agente.
Signatura: (Firma) En detección de intrusiones, patrones que indican los usos
indebidos de un sistema.
SMTP (Simple Mail Transfer Protocol). Protocolo simple de transferencia de
correo electrónico. Protocolo de red basado en texto utilizado para el intercambio
de mensajes de correo electrónico entre computadoras.
Sniffer: Dispositivo capaz de capturar todos los paquetes de datos que viajan por
el segmento de red al que está conectado.
SNMP (Simple Network Management Protocol) Protocolo simple de gestión de
redes.
252
Spoofing, en términos de seguridad informática hace referencia al uso de técnicas
de suplantación de identidad generalmente con usos maliciosos o de
investigación.
SSL (Secure Sockets Layer) es un protocolo diseñado por la empresa Netscape
Communications, que permite cifrar la conexión, incluso garantiza la autenticación.
Se basa en la criptografía asimétrica y en el concepto de los certificados.
Stateful: A diferencia del anterior el Stateful Application permite abrir "Puertas" a
cierto tipo de tráfico basado en una conexión y volver a cerrar la puerta cuando la
conexión termina. El Stateful Firewall mantiene un registro de las conexiones, las
sesiones y su contexto.
Stream: Corriente, flujo.
SYN es un bit de control dentro del segmento TCP, que se utiliza para sincronizar
los números de secuencia iniciales ISN de una conexión en el procedimiento de
establecimiento de tres fases.
Target (objetivo): Que monitoriza información de determinados objetos,
generalmente utilizando métodos de cifrado como funciones resumen para permitir
la detección de cambios.
TELNET: es el nombre de un protocolo que sirve para acceder mediante una red a
otra máquina, para manejarla como si estuviéramos sentados delante de ella.
TLS (Transport Layer Security). Capa de Transporte Segura) es una versión
estandarizada por el IETF del protocolo SSL que pretende abarcar toda la capa de
transporte de la pila OSI.
253
UDP (User Datagram Protocol). Es un protocolo del nivel de transporte basado
en el intercambio de datagramas.
Virtual Private Network (VPN): Red generalmente construida sobre
infraestructura pública, que utiliza métodos de cifrado y otros mecanismos de
seguridad para proteger el acceso y la privacidad de sus comunicaciones.
Vulnerabilidades: Debilidades en un sistema que pueden ser utilizadas para
violar las políticas de seguridad.
WAN (Wide Area Network) Red de área amplia. esta red abarca desde unos
100km (País) hasta llegar incluso a 1000km (Continente).
Zip: en informática son un formato de almacenamiento, muy utilizado en el mundo
de los PC, para la compresión de datos como imágenes, música, programas o
documentos.
