source: libros/maquetacion/capitulo2/herramientasSeguridad.tex @ 8a1cf24

\section{Herramientas para la seguridad de la información}

\subsection{Cortafuegos}

Un cortafuegos es un sistema que permite filtrar las comunicaciones entre dos o más
redes (por ejemplo la red de una institución (red privada) e Internet) a 
partir de unas reglas definidas de acuerdos con las políticas de seguridad 
de la organización, en procura de proteger la red y los activos de información de 
ataques provenientes de una red que no es confiable como la internet.\\


\begin{figure}[ht!]
\begin{center}
\includegraphics[scale=1]
{imagenes/cortafuegoHardware.jpeg}
\end{center}
\caption{Cortafuegos por Hardware. \label{CortaFuegoHardware}}
\end{figure}


Existen cortafuegos por software (Figura \ref{CortraFuegoSoftware})
y por hardware (Figura \ref{CortaFuegoHardware}). La diferencia
entre ellos radica principalmente en que el segundo normalmente
incorpora dispositivos electrónicos especializados para el
filtrado de paquetes de datos. Un cortafuegos por software
normalmente utiliza dispositivos de propósito general y realiza
las operaciones de filtrado de paquetes mediante la ejecución
de algoritmos en sus procesadores centrales. Tiene la ventaja de
una gran flexibilidad para la especificación de su comportamiento
y de la disponilibilidad como software libre de una buena cantidad
de herramientas para su implementación, administración y supervisión.
Esas característas también hacen que su costo de instalación y
mantenimiento pueda ser bastante bajo. Por otro lado, tiene la
desventaja de que puede requerir una potencia de cómputo significativa
cuando el caudal de tráfico es muy elevado.

Un cortafuegos por hardware normalmente está basado en circuitos
integrados de propósito específico (ASIC, por sus siglas en inglés)
o dispositivos reconfigurables tales como arreglos de compuertas
programables en campo (FPGA, por sus siglas en inglés), los cuales
realizan el filtrado de paquetes de acuerdo a la configuración
que sea establecida a través de las interfaces correspondientes.
Tiene la ventaja de reducir la potencia de cómputo requerida para
manejar caudales de tráfico de gran magnitud. Sus desventajas
residen en la menor flexibilidad para la especificación
de su comportamiento y el que normalmente requieran software
propietario tanto para su funcionamiento interno como para su
administración y supervisión, lo cual es incongruente con las
buenas prácticas en la seguridad informática. Por otro lado,
los costos de instalación y mantenimiento pueden ser elevados.\\
\begin{comment}
%%Vaya! ¿Qué pasó aquí? Este texto pareciera parte de la publicidad
%%de una empresa vendedora de cortafuegos de hardware.
En el cortafuegos por software, hay que definir y probar la 
mayoría de las reglas, ocupa espacio y procesamiento en el servidor
donde este instalado, son mucho más baratos y por lo general son
utilizados en organizaciones pequeñas.
\end{comment}


\begin{figure}[ht!]
\begin{center}
\includegraphics[scale=1]
{imagenes/cortafuegoSoftware.jpeg}
\end{center}
\caption{Cortafuegos por Software. \label{CortraFuegoSoftware}}
\end{figure}


Todo el tráfico entrante y saliente de la institución debe pasar a través del 
cortafuegos por lo que el admi\-nis\-trador puede permitir o denegar el acceso
a la Internet y a los servicios de la institución a un segmento de la red
interna o una máquina en específico, de manera selectiva.\\

También se puede instalar un cortafuegos en un computador dentro de la red interna
$-$ \textit{cortafuegos personal} $-$ (Ver figuras \ref{CortafuegoPersonal}, 
\ref{CortafuegoPersonalCombinado} ) que sólo controle el tráfico 
que entra y sale desde y hacia esa computadora,
de esta manera se pueden implementar reglas de 
filtrado  según las necesidades de la usuaria o usuario.\\

\begin{figure}[ht!]
\begin{center}
\includegraphics[scale=1]
{imagenes/cortafuegoPersonal.jpeg}
\end{center}
\caption{Cortafuegos personal. \label{CortafuegoPersonal}}
\end{figure}

\begin{figure}[ht!]
\begin{center}
\includegraphics[scale=1]
{imagenes/cortafuegoPersonalCombinado.jpeg}
\end{center}
\caption{Cortafuegos personal combinado. \label{CortafuegoPersonalCombinado}}
\end{figure}

\textbf{Cortafuegos personal}: es el término utilizado para los casos donde 
el área protegida se limita sólo al computador donde está instalada
la protección contra atacantes.

\subsection{Utilidad de un cortafuegos}

Es una herramienta de seguridad, que ofrece los siguientes servicios:\\

\begin{itemize}
\item Restringir el acceso a determinados programas, segmentos de red de 
la organización, servicios de internet o páginas web específicas, 
bloqueando el tráfico no autorizado por la organización y no permitiendo
ataques a las computadoras desde el exterior e interior de la red.  

\item Ocultar  equipos internos de la organización, de forma que 
éstos no puedan ser detectados ante ataques que provengan del exterior. 
Asimismo pueden ocultar información sobre la topología de la red interna, 
los nombres de los equipos, tipo de protocolos utilizados, etcétera.

\item Auditar y registrar el uso de la red de datos.

\item Mejorar el aprovechamiento del ancho de banda utilizado en la organización.

\item Coadyuvar en la detección y prevención de ataques e intentos
de intrusión a la red de la institución.
\end{itemize}

\subsection{Consideraciones para la instalación y configuración de cortafuegos}


Se deben tener las siguientes consideraciones para la instalación
y la configuración de un sistema cortafuegos, ya sea éste en
software o hardware:

\begin{itemize}

\item Conocer los protocolos y servicios de internet.

\item El equipo debe encontrarse 
libre de virus \footnote{si se utiliza software libre la probabilidad
de que el equipo se encuentre infectado será muy baja},
de programas espías (\textit{spyware}) o programas malignos (\textit{malware}).

\item Analizar los servicios requeridos de internet y de la información 
que se maneja en los puestos de trabajos o servidores.

\item Clasificar o estructurar la red interna por zonas (de red) de acuerdo a las 
necesidades de seguridad.

\item Mantener actualizado el software del cortafuegos.
\end{itemize}

Finalmente, las reglas de filtrado pueden resultar difíciles de definir
y de verificar, por lo que deben
ser revisadas frecuentemente por las administradoras o administradores
de la red.

\subsection{Sistemas de detección de intrusiones (IDS)}

Los IDS son sistemas que tienen el objetivo de  detectar y reaccionar
de forma automática antes los 
incidentes de seguridad que tienen lugar en las redes y computadoras de una
organización. Los IDS funcionan inicialmente en base a  patrones que han sido
establecidos  de antemano para identificar comportamientos  sospechosos o ataques.
La mayoría de estos sistemas admiten agregar patrones  definidos por la usuaria o
usuario, en este caso por la administradora o administrador del sistema,
de manera  que se evite o detenga la intrusión.

\begin{comment}
%Un incidente de seguridad podría ser una intrusión, 
%que se define como un intento de comprometer la confidencialidad, la integridad, la 
%disponibilidad de los mecanismos de seguridad de un ordenador o red, que valiéndose de 
%la existencia de vulnerabilidades accede a los sistemas sin autorización.\\
\end{comment}

Un IDS lo conforman los siguientes elementos: 

\begin{itemize}

\item Una fuente de eventos del sistema.

\item Una base de datos con los patrones de comportamiento que se consideran como 
normales, así como los perfiles de posibles ataques.

\item Motor de análisis de los eventos para detectar las evidencias de 
intentos de intrusión.

\item Módulo de respuesta que, de acuerdo al análisis de los eventos, realice 
determinadas acciones.
\end{itemize}

La figura \ref{fig:estructuraIDS} muestra la estructura funcional
básica de un \textbf{IDS}.

\begin{figure}[ht!]
\begin{center}
\includegraphics[scale=1]
{imagenes/estructuraFuncionalBasicaIds.jpeg}
\end{center}
\caption{Estructura funcional básica del IDS. \label{fig:estructuraIDS}}
\end{figure}



Un \textbf{IDS} puede presentar problemas y limitaciones que  podrían generar 
falsas alarmas tales como \textbf{falsos negativos} que se producen
cuando no pueden 
detectar algunas actividades relacionadas con incidentes de seguridad  que están 
ocurriendo en la red o en los equipos informáticos, o bien falsos positivos, que 
se presentan cuando los sistemas registran y generan
alertas sobre determinadas actividades que 
no son problemáticas o no representan una amenaza.