Por qué Existen los Problemas de Seguridad Informática. ¿Falta de
Protección o Protección Inadecuada? Soluciones en cada Caso. Antivirus, Encriptación, Criptografía, RADIUS, Contraseñas, VPN, Firewall...
Los lectores de este artículo también consultaron ...:
Necesidad Urgente: Barrera AntiVirus en toda nueva vía de Entrada a los Sistemas. VIRUS EN INTERNET/EXTRANET: Nuevos entornos abiertos = VULNERABILIDAD ANTE AMENAZAS DE
VIRUS. La difusión de Internet propicia entornos de trabajo abiertos para las
empresas haciendo sus datos más vulnerables a las amenazas de virus. Éstos
pueden llegar a través de archivos adjuntos, bajando archivos infectados de páginas
web (entre ellos, OCX) o incluso visitando sites con rutinas ActiveX que se
encuentren infectadas.
VIRUS EN E-MAILS: Se
difunden también a gran velocidad al transmitir por correo electrónico
archivos infectados.
FIREWALLS Y VIRUS: Los
firewalls son un método efectivo para proteger las comunicaciones de la empresa
con el exterior, pero si el firewall no tiene instalado un antivirus
actualizado puede dejar pasar nuevos virus.
Conclusión:
Es necesario tener instalado y actualizado un antivirus adecuado para firewall y correo electrónico.
ENCRIPTACIÓN
DÉBIL DE LA INFORMACIÓN ALMACENADA Y DE LAS COMUNICACIONES
1. ENCRIPTACIÓN
TERMINOLOGÍA BÁSICA
ENCRIPTACIÓN: Proceso de codificación que mediante algoritmos transforma
plaintext (texto legible)
en cibertexto (texto codificado).
CÓDIGO: Dato binario de longitud entre 40 y 2048 bits, no comprensible para las personas y difícil
de recordar. Por lo general se almacena en el sistema informático. Se protege del uso no autorizado mediante
una password o contraseña .
CONTRASEÑA o PASSWORD: Cadena de caracteres que pueden teclearse. El usuario debe recordarla y nunca dejarla
almacenada en el sistema informático.Es recomendable una longitud mínima de seis caracteres y que se mezclen letras y números y, si es posible, también otros símbolos como: ¿?!/
Codificadores de bloques sobre los que iteran operaciones como sustitución, transposición, suma/producto
modular y transformaciones lineales.
Los bloques son grupos de bits, cada algoritmo utiliza bloques de distintos tamaños.
ALGORITMO DE ENCRIPTACIÓN DES
Estándar de encriptación de datos del gobierno de USA (Data Encription Standard).
Codifica haciendo bloques de datos de 64 bits y utilizando una clave de 56 bits.
ALGORITMO DE ENCRIPTACIÓN 3DES
Opera con bloques de datos de 64 bits.
Existen diversos tipos, cada uno utiliza el algoritmo DES tres veces, unas ocasiones con 2 claves de 56 bits, y
otras con 3 claves de 56 bits.
ALGORITMO DE ENCRIPTACIÓN BLOWFISH
Codificador simétrico de bloques que se puede utilizar como sustituto de los algoritmos DES o IDEA.
Toma una clave de longitud variable, entre 32 y 448 bits.
Considerado como un sistema de encriptación fuerte.
CRIPTOGRAFÍA SIMÉTRICA
Emplea el mismo código para encriptar y desencriptar.
BENEFICIO: Los algoritmos simétricos son muy rápidos.
Los códigos son difíciles de mantener y distribuir ya que ambas partes deben conocerlos.
Se utiliza principalmente cuando encriptación y desencriptación se efectúan en el mismo PC.
También se emplea en sistemas de protección de telecomunicaciones.
CRIPTOGRAFÍA ASIMÉTRICA O DE "CÓDIGO PÚBLICO"
Los algortimos asimétricos funcionan con un código par: una parte secreta y una pública, que
se crean a la vez y tienen cierta relación matemática.
El código público del receptor se emplea para encriptar y el código privado del emisor se
utiliza para desencriptar.
BENEFICIO: Control y distribución sencillos porque sólo una parte del código es secreta.
Sistema de encriptación lento.
CRIPTOGRAFÍA BASADA EN FUNCIONES HASH
La función HASH produce una "firma" de cualquier dato, tomando un mensaje como entrada y produciendo
un número de salida de longitud fija y extensa.
Se utiliza para verificar que dos bloques de datos son idénticos o que un mensaje ha sido correctamente
transferido sin sufrir ninguna modificación.
Una firma digital normalmente es un hash de un mensaje, encriptado con el código privado del emisor.
Ofrece autenticación y protección de la integridad del mensaje .
Es un sistema lento.
Puede utilizar encriptación asimétrica: código privado para encriptar y código público
para verificar (desencriptar) la firma.
CREACIÓN Y VERIFICACIÓN DE UNA FIRMA DIGITAL
CREACIÓN
Cálculo del hash del mensaje.
Encriptación del hash con el código privado del emisor (= firma).
La firma se adjunta al mensaje.
VERIFICACIÓN
La firma se desencripta empleando el código público del remitente.
El hash resultante debe coincidir con un hash calculado directamente a partir del mensaje.
Si no coinciden, significa que: bien el mensaje ha sufrido alteraciones durante la transmisión o que puede
haber sido enviado por un emisor falso.
Un certificado es un código público firmado por el organismo correspondiente.
Se emplean para distribuir los códigos públicos.
Emitidos por la "Autoridad de Certificación" o AC.
Quien conozca el código público de la AC puede verificar un certificado.
ENCRIPTACIÓN FUERTE. REQUISITOS
Es un refuerzo estructural para sistemas vulnerables.
CONDICIONES PARA QUE UN ALGORITMO SE CONSIDERE "FUERTE":
Imposibilidad de resolver el algoritmo excepto con los valores del código.
Extensión suficiente como para que sea virtualmente imposible probar todos los códigos posibles:
90 bits o más de longitud de código para algoritmos simétricos, 1024 o más para algoritmos
asimétricos.
ENCRIPTACIÓN FUERTE FRENTE A ENCRIPTACIÓN DÉBIL
¿POR QUÉ NO UTILIZAR ENCRIPTACIÓN FUERTE?
La Encriptación FUERTE no es más lenta ni más cara que la Encriptación DÉBIL
y no puede romperse.
Los sistemas estadounidenses utilizan encriptación fuerte, que se debilita artificialmente antes de la exportación.
COSTES DE LA VULNERACIÓN DE MENSAJES ENCRIPTADOS
El tiempo de prueba con cada código posible se duplica por cada bit añadido a la extensión
del código.
Los códigos superiores a 100 bits hacen virtualmente imposible la ruptura del algoritmo de modo forzado.
Los desarrollos informáticos avanzan rápidamente, por tanto, para proteger datos por tiempo indefinido
se deben utilizar códigos extensos.
2. ENCRIPTACIÓN VPN'S: Encriptación
del tráfico en las redes
VPN (VIRTUAL PRIVATE NETWORK), PROTECCIÓN DE LAS COMUNICACIONES EN LA RED
Esta tecnología se utiliza para aislar un grupo de PC's del resto de la red mediante la criptografía.
Ofrece tanto privacidad como autenticación. CONFIGURACIONES:
VPN de Servidor a Workstation (End to End):
VPN instalado en todos los PC's.
La ruta completa desde el servidor al cliente está encriptada.
VPN de Sitio a Sitio (Site to Site):
VPN instalado en un Gateway de cada LAN.
El tráfico en redes públicas (entre las redes) está encriptado.
El tráfico dentro de la red está en PlainText (texto legible).
VPN de Servidor/Workstation a Gateway (End to Gateway)
VPN instalado en un Gateway de la red y en todas las estaciones remotas.
El tráfico en las redes públicas está encriptado (tráfico entre la red y las estaciones
remotas).
El tráfico en el interior de la red en PlainText (texto legible).
IPSEC, PROTOCOLO DE SEGURIDAD ESTÁNDAR EN INTERNET
Ofrece autenticación y confidencialidad a nivel IP.
Utiliza 2 protocolos de seguridad para el tráfico:
AH (Authentication Header).
ESP (Encapsulating Security Payload).
Soporta actividades en host y gateway: "Tunnel" (host, gateway) y transporte (sólo host).
La protección ofrecida se basa en los requerimientos definidos por una base de datos de políticas
de seguridad.
CERTIFICADOS
Los Certificados están asociados a códigos públicos.
X.509 es el formato de código público:
Cuando se genera un código público se envía para su firma a la CA y se incluye en un Certificado
x.509.
La validez de los certificados se comprueba con Listas de Revocación y Verificación de Path
Las listas de revocación pueden guardarse en un archivo local o en el servidor.
La verificación de path sólo puede efectuarse cuando todo el proceso de certificación es accesible.
El protocolo de acceso a los servidores CA es normalmente LDAP:
Certificate Wizard, programa que utiliza el administrador para desarrollar tareas CA.
Autoridad de Certificación:
Decide quién puede participar en la VPN y gestiona las peticiones de certificación de los clientes.
CONTRASEÑAS
INSEGURAS
CARACTERÍSTICAS DE UNA CONTRASEÑA SEGURA
La Contraseña es como un cepillo de dientes: DEBE CAMBIARSE REGULARMENTE Y NO COMPARTIRSE CON NADIE.
UNA CONTRASEÑA APROPIADA Y SEGURA:
Debe tener más de 13 caracteres.
Contener caracteres especiales.
No encontrarse en ningún diccionario.
Fácil de recordar, se puede utilizar una frase como password.
Existe la necesidad de proveer de modo centralizado:
Autenticación
Autorización
Informes, de todo acceso remoto o intento de acceso a la red.
FUNDAMENTAL: El Server RADIUS debe permitir autenticar con los datos de identificación ya existentes
de Novell NDS o de los Dominios o Workgroups de NT.
Solución:
Estándar RADIUS (Remote Authentication Dial In User Service) aceptado y soportado por las empresas líderes
en acceso remoto y firewalls.
COMPONENTES DEL ENTORNO RADIUS
Cada usuario es un cliente del RAS.
Cada RAS es a la vez servidor para el usuario y cliente para RADIUS.
SERVIDOR DE ACCESO REMOTO (RAS). PRINCIPALES FUNCIONES
Dispositivo que:
Soporta llamadas SLIP o PPP, autentica casa usuario vía RADIUS Server y le da acceso a la red.
Soporta conexiones directas a la red a través del firewall, autenticando cada usuario vía RADIUS
Server y concediéndole acceso a la red con derechos específicos.
Soporta peticiones avanzadas de otro RAS mediante la utilidad "Proxy RADIUS".
Estándares RAS soportados por RADIUS: Ascend MAX, Bay Networks, Shina, Telebit NetBlazer, Robotics y Firewalls
PROCESO DE AUTENTICACIÓN
El usuario llama al RAS y le comunica nombre de usuario y password, iniciando las negociaciones PPP.
En esta etapa RAS actúa sólo como intermediario, pasando la información de autenticación
al RADIUS Server.
Si RADIUS puede autenticar al usuario emite una respuesta de aceptación, junto con la información
requerida por el RAS para dar vía libre a la conexión (IP, NetWare Network number). Si no puede autenticar
al usuario, le envía una notificación con el motivo.
Con la información remitida por RADIUS, RAS completa la negociación PPP, permitiendo la conexión
a la red o denegando el acceso.
ATRIBUTOS. PERFILES DE USUARIO
En el proceso de autenticación se intercambia también otro tipo de información muy útil
para las conexiones: es el LISTADO DE ATRIBUTOS, que define distintos PERFILES DE USUARIO.
Cada PERFIL DE USUARIO se caracteriza por 2 tipos de atributos:
Atributos CHECK-LIST: Requerimientos para la conexión que RAS debe enviar RADIUS. Si no se cumplen, el RADIUS
puede rechazar el acceso aunque el usuario sí pueda ser autenticado. Ej.: Sólo ciertos usuarios pueden
utilizar conexiones ISDN.
Atributos RETURN-LIST: Atributos que RADIUS devuelve al RAS una vez que ha confirmado la autenticación,
definiendo parámetros adicionales que el RAS podría incluir en la conexión, normalmente en
las negociaciones PPP.
Ejs.: asignar a determinados usuarios una dirección IP específica, establecer un tiempo límite
permitido de conexión,...
DICTIONARY FILES: Establece los valores de los atributos tanto para Check-List como para Return-List.
ACCOUNTING
Característica y utilidad muy importante del estándar RADIUS para obtener todo tipo de estadísticas
e informes sobre los accesos remotos e intentos de acceso a la red.
Permite conocer:
Hora de inicio de la conexión.
Hora de desconexión.
Listado de usuarios conectados en cada momento.
FRAGMENTACIÓN
¿Qué es la Fragmentación?
La fragmentación de los archivos es consecuencia del modo habitual en que se van guardando los archivos
en Windows, ya que éstos y sus modificaciones sucesivas se van almacenando en distintos sectores del
disco según los espacios libres disponibles. Este hecho supone un grave cuello de botella que impide obtener
un rendimiento óptimo de los sistemas. El resultado de la fragmentación es que nos encontramos los
archivos y el espacio libre divididos en fragmentos, esparcidos por todo el disco. Esta situación se genera
día a día por la actividad normal del disco – grabar archivos, comprimirlos, borrarlos, instalar
aplicaciones, navegar por internet, etc.- y reduce cada vez más la eficiencia de las aplicaciones y del trabajo en la organización.
¿Cuánto tiempo puede llevar leer un documento fragmentado?
El tiempo de lectura de un archivo fragmentado, respecto a cuando no lo está, es muchísimo mayor.
Por ello la fragmentación afecta de forma tan directa al rendimiento de los sistemas.
El problema de la fragmentación en Windows Servidor - Master File Table / MFT
NTFS (Windows NT File System) fue desarrollado específicamente para Windows . Se trata de un
sistema de archivos seguro y eficiente que soporta la arquitectura cliente-servidor.
Pero NTFS, contrariamente a lo que se cree, es vulnerable a la fragmentación. Cuando NTFS escribe un archivo
en un disco, deja un espacio libre a continuación para poder seguir escribiendo en ese mismo archivo en
el futuro sin tener que fragmentarlo. Esto es así hasta que el espacio en disco se agota y es necesario
escribir los nuevos archivos en esos huecos que se fueron dejando previamente.
Por otro lado, NTFS registra todos los contenidos de un volumen en un archivo llamado Master File Table (MFT).
Éste se compone exclusivamente de registros sobre los archivos, asignando un puntero a cada archivo. Si
un archivo tiene un gran número de atributos o se encuentra altamente fragmentado, puede que necesite más
de un puntero en MFT. Al añadir más archivos y registros a un volumen, MFT se va expandiendo, lo
que permite a NTFS soportar discos enormes con gran número de archivos. Esto hace que MTF también
pueda fragmentarse en el disco. Hay que destacar que una vez que MFT se expande para incorporar más datos
sobre archivos, jamás volverá a su tamaño anterior, aunque sí aprovecha los huecos
dejados por los datos de archivos borrados para registrar otros nuevos. Un MFT fragmentado necesita lecturas adicionales
del volumen. Por esta razón todo volumen debe defragmentarse regularmente para asegurar que MFT no crezca
desproporcionadamente.
Archivo de Paginación (Windows Paging File)
Se trata de un espacio de memoria virtual en el disco que se utiliza para intercambiar páginas. Es un suplemento
de la memoria física RAM. No obstante, puesto que la velocidad de la memoria basada en el disco se mide en milisegundos
y la memoria física RAM en nanosegundos, el Archivo de Paginación es 100.000 veces más lento
que la RAM real y se puede convertir en el cuello de botella más importante para el rendimiento del sistema
Windows . Además, si el Archivo de Paginación está fragmentado en múltiples piezas
ocupa más espacio en disco y puede reducir la velocidad con la que se abren y cierran las aplicaciones.
Defragmentar el Archivo de Paginación al arrancar el equipo no sólo aumenta la velocidad en la ejecución
de páginas sino que además ofrece más espacio libre consolidado.
