source: libros/maquetacion/capitulo2/herramientasSeguridad.tex

\section{Herramientas para la seguridad de la información}

\subsection{Cortafuegos}

Un cortafuegos es un sistema que permite filtrar las comunicaciones entre dos o más redes (por ejemplo la red de una institución (red privada) e Internet) a partir de unas reglas definidas de acuerdos con las políticas de seguridad de la organización, en procura de proteger la red y los activos de información de ataques provenientes de una red que no es confiable como la internet.\\


\begin{figure}[ht!]
 \begin{center}
  \includegraphics[scale=1] {imagenes/cortafuegoHardware.jpeg}
 \end{center}
 \caption{Cortafuegos por Hardware.
  \label{CortaFuegoHardware}}
\end{figure}


Existen cortafuegos por software (Figura \ref{CortraFuegoSoftware}) y por hardware (Figura \ref{CortaFuegoHardware}).
La diferencia entre ellos radica principalmente en que el segundo normalmente incorpora dispositivos electrónicos especializados para el filtrado de paquetes de datos.
Un cortafuegos por software normalmente utiliza dispositivos de propósito general y realiza las operaciones de filtrado de paquetes mediante la ejecución de algoritmos en sus procesadores centrales.
Tiene la ventaja de una gran flexibilidad para la especificación de su comportamiento y de la disponilibilidad como software libre de una buena cantidad de herramientas para su implementación, administración y supervisión.
Esas característas también hacen que su costo de instalación y mantenimiento pueda ser bastante bajo.
Por otro lado, tiene la desventaja de que puede requerir una potencia de cómputo significativa cuando el caudal de tráfico es muy elevado.

Un cortafuegos por hardware normalmente está basado en circuitos integrados de propósito específico (ASIC, por sus siglas en inglés) o dispositivos reconfigurables tales como arreglos de compuertas programables en campo (FPGA, por sus siglas en inglés), los cuales realizan el filtrado de paquetes de acuerdo a la configuración que sea establecida a través de las interfaces correspondientes.
Tiene la ventaja de reducir la potencia de cómputo requerida para manejar caudales de tráfico de gran magnitud.
Sus desventajas residen en la menor flexibilidad para la especificación de su comportamiento y el que normalmente requieran software propietario tanto para su funcionamiento interno como para su administración y supervisión, lo cual es incongruente con las buenas prácticas en la seguridad informática.
Por otro lado, los costos de instalación y mantenimiento pueden ser elevados.\\
\begin{comment}
%%Vaya! ¿Qué pasó aquí? Este texto pareciera parte de la publicidad
%%de una empresa vendedora de cortafuegos de hardware.
 En el cortafuegos por software, hay que definir y probar la mayoría de las reglas, ocupa espacio y procesamiento en el servidor donde este instalado, son mucho más baratos y por lo general son utilizados en organizaciones pequeñas.
\end{comment}


\begin{figure}[ht!]
 \begin{center}
  \includegraphics[scale=1] {imagenes/cortafuegoSoftware.jpeg}
 \end{center}
 \caption{Cortafuegos por Software.
  \label{CortraFuegoSoftware}}
\end{figure}


Todo el tráfico entrante y saliente de la institución debe pasar a través del cortafuegos por lo que el admi\-nis\-trador puede permitir o denegar el acceso a la Internet y a los servicios de la institución a un segmento de la red interna o una máquina en específico, de manera selectiva.\\

También se puede instalar un cortafuegos en un computador dentro de la red interna
$-$ \textit{cortafuegos personal}
$-$ (Ver figuras \ref{CortafuegoPersonal}, \ref{CortafuegoPersonalCombinado} ) que sólo controle el tráfico que entra y sale desde y hacia esa computadora, de esta manera se pueden implementar reglas de filtrado según las necesidades de la usuaria o usuario.\\

\begin{figure}[ht!]
 \begin{center}
  \includegraphics[scale=1] {imagenes/cortafuegoPersonal.jpeg}
 \end{center}
 \caption{Cortafuegos personal.
  \label{CortafuegoPersonal}}
\end{figure}

\begin{figure}[ht!]
 \begin{center}
  \includegraphics[scale=1] {imagenes/cortafuegoPersonalCombinado.jpeg}
 \end{center}
 \caption{Cortafuegos personal combinado.
  \label{CortafuegoPersonalCombinado}}
\end{figure}

\textbf{Cortafuegos personal}: es el término utilizado para los casos donde el área protegida se limita sólo al computador donde está instalada la protección contra atacantes.

\subsection{Utilidad de un cortafuegos}

Es una herramienta de seguridad, que ofrece los siguientes servicios:\\

\begin{itemize}
\item
 Restringir el acceso a determinados programas, segmentos de red de la organización, servicios de internet o páginas web específicas, bloqueando el tráfico no autorizado por la organización y no permitiendo ataques a las computadoras desde el exterior e interior de la red.

\item
 Ocultar equipos internos de la organización, de forma que éstos no puedan ser detectados ante ataques que provengan del exterior.
 Asimismo pueden ocultar información sobre la topología de la red interna, los nombres de los equipos, tipo de protocolos utilizados, etcétera.

\item
 Auditar y registrar el uso de la red de datos.

\item
 Mejorar el aprovechamiento del ancho de banda utilizado en la organización.

\item
 Coadyuvar en la detección y prevención de ataques e intentos de intrusión a la red de la institución.
\end{itemize}

\subsection{Consideraciones para la instalación y configuración de cortafuegos}


Se deben tener las siguientes consideraciones para la instalación y la configuración de un sistema cortafuegos, ya sea éste en software o hardware:

\begin{itemize}

\item
 Conocer los protocolos y servicios de internet.

\item
 El equipo debe encontrarse libre de virus \footnote{si se utiliza software libre la probabilidad de que el equipo se encuentre infectado será muy baja}, de programas espías (\textit{spyware}) o programas malignos (\textit{malware}).

\item
 Analizar los servicios requeridos de internet y de la información que se maneja en los puestos de trabajos o servidores.

\item
 Clasificar o estructurar la red interna por zonas (de red) de acuerdo a las necesidades de seguridad.

\item
 Mantener actualizado el software del cortafuegos.
\end{itemize}

Finalmente, las reglas de filtrado pueden resultar difíciles de definir y de verificar, por lo que deben ser revisadas frecuentemente por las administradoras o administradores de la red.

\subsection{Sistemas de detección de intrusiones (IDS)}

Los IDS son sistemas que tienen el objetivo de detectar y reaccionar de forma automática antes los incidentes de seguridad que tienen lugar en las redes y computadoras de una organización.
Los IDS funcionan inicialmente en base a patrones que han sido establecidos de antemano para identificar comportamientos sospechosos o ataques.
La mayoría de estos sistemas admiten agregar patrones definidos por la usuaria o usuario, en este caso por la administradora o administrador del sistema, de manera que se evite o detenga la intrusión.

\begin{comment}
%Un incidente de seguridad podría ser una intrusión, 
%que se define como un intento de comprometer la confidencialidad, la integridad, la 
%disponibilidad de los mecanismos de seguridad de un ordenador o red, que valiéndose de 
%la existencia de vulnerabilidades accede a los sistemas sin autorización.\\
\end{comment}

Un IDS lo conforman los siguientes elementos: 

\begin{itemize}

\item
 Una fuente de eventos del sistema.

\item
 Una base de datos con los patrones de comportamiento que se consideran como normales, así como los perfiles de posibles ataques.

\item
 Motor de análisis de los eventos para detectar las evidencias de intentos de intrusión.

\item
 Módulo de respuesta que, de acuerdo al análisis de los eventos, realice determinadas acciones.
\end{itemize}

La figura \ref{fig:estructuraIDS} muestra la estructura funcional básica de un \textbf{IDS}.

\begin{figure}[ht!]
 \begin{center}
  \includegraphics[scale=1] {imagenes/estructuraFuncionalBasicaIds.jpeg}
 \end{center}
 \caption{Estructura funcional básica del IDS. \label{fig:estructuraIDS}}
\end{figure}



Un \textbf{IDS} puede presentar problemas y limitaciones que podrían generar falsas alarmas tales como \textbf{falsos negativos} que se producen cuando no pueden detectar algunas actividades relacionadas con incidentes de seguridad que están ocurriendo en la red o en los equipos informáticos, o bien falsos positivos, que se presentan cuando los sistemas registran y generan alertas sobre determinadas actividades que no son problemáticas o no representan una amenaza.