\section{Herramientas para la seguridad de la información} \subsection{Cortafuegos} Un cortafuegos es un sistema que permite filtrar las comunicaciones entre dos o más redes (por ejemplo la red de una institución (red privada) e Internet) a partir de unas reglas definidas de acuerdos con las políticas de seguridad de la organización, en procura de proteger la red y los activos de información de ataques provenientes de una red que no es confiable como la internet.\\ \begin{figure}[ht!] \begin{center} \includegraphics[scale=1] {imagenes/cortafuegoHardware.jpeg} \end{center} \caption{Cortafuegos por Hardware. \label{CortaFuegoHardware}} \end{figure} Existen cortafuegos por software (Figura \ref{CortraFuegoSoftware}) y por hardware (Figura \ref{CortaFuegoHardware}). En el cortafuegos por software, hay que definir y probar la mayoría de las reglas, ocupa espacio y procesamiento en el servidor donde esta instalado, son mucho más baratos y por lo general son utilizados en organizaciones pequeñas.\\ \begin{figure}[ht!] \begin{center} \includegraphics[scale=1] {imagenes/cortafuegoSoftware.jpeg} \end{center} \caption{Cortafuegos por Software. \label{CortraFuegoSoftware}} \end{figure} Todo el tráfico entrante y saliente de la institución debe pasar a través del cortafuegos por lo que el administrador puede permitir o denegar el acceso a la Internet y a los servicios de la institución: un segmento de la red interna, una máquina en específico, de manera selectiva.\\ También se puede instalar un cortafuegos en un computador dentro de la red interna $-$ \textit{cortafuegos personal} $-$ (Ver figuras \ref{CortafuegoPersonal}, \ref{CortafuegoPersonalCombinado} ) que sólo controle el tráfico que entra y sale desde y hacia esa computadora respectivamente, de esta manera se pueden agregar reglas de filtrados de acuerdo a la necesidad del usuario.\\ \begin{figure}[ht!] \begin{center} \includegraphics[scale=1] {imagenes/cortafuegoPersonal.jpeg} \end{center} \caption{Cortafuegos personal. \label{CortafuegoPersonal}} \end{figure} \begin{figure}[ht!] \begin{center} \includegraphics[scale=1] {imagenes/cortafuegoPersonalCombinado.jpeg} \end{center} \caption{Cortafuegos personal combinado. \label{CortafuegoPersonalCombinado}} \end{figure} \textbf{Cortafuegos personal}: es el término utilizado para los casos donde el área protegida se limita sólo al computador donde está instalada la protección contra atacantes. \subsection{Utilidad de un cortafuegos} Esuna herramienta de seguridad, que ofrece los siguientes servicios:\\ \begin{itemize} \item Restringir el acceso a determinados programas, segmento de red de la organización, servicios de internet, ciertas paginas web, bloqueando el tráfico no autorizado por la organización y no permitiendo ataques a las computadoras desde el exterior e interior de la red. \item Ocultar equipos internos de la organización, de forma que éstos no puedan ser detectados ante ataques que provengan del exterior. Asimismo pueden ocultar información sobre la topología de la red interna, los nombres de los equipos, tipo de protocolos utilizados, etcétera. \item Auditar y registrar el uso de la red de datos. \item Mejorar el aprovechamiento del ancho de banda utilizado en la organización. \item Coadyuvar en la supervisión sobre ataques e intentos de intrusión a la red de la institución. \end{itemize} \subsection{Consideraciones para la instalación y configuración de cortafuegos} Se deben tener las siguientes consideraciones para la instalación y la configuración de un sistema cortafuegos, ya sea éste en software o hardware: \begin{itemize} \item Conocer los protocolos y servicios de internet. \item El equipo debe encontrarse libre de virus \footnote{si se utiliza software libre la probabilidad de que el equipo se encuentre infectado será muy baja}, de programas espías (\textit{spyware}), programas maligno (\textit{malware}). \item Analizar los servicios requeridos de internet y de la información que se maneja en los puestos de trabajos o servidores. \item Clasificar o estructurar la red interna por zonas (de red) de acuerdo a las necesidades de seguridad. \item Mantener actualizado el software del cortafuegos. \end{itemize} Finalmente, las reglas de filtrado son difíciles de definir y de verificar, por lo que deberían ser revisadas frecuentemente por los administradores de la red. \subsection{Sistemas de detección de intrusiones (IDS)} Los IDS son sistemas que tienen el objetivo de detectar y reaccionar de forma automática antes los incidentes de seguridad que tienen lugar en las redes y computadoras de una organización. Los IDS funcionan en base a patrones que identifican comportamientos sospechosos o ataques que ya han sido establecidos por defecto. La mayoría de estos sistemas admiten agregar patrones definidos por el usuario, en este caso por el administrador del sistema, de manera que se evite o detenga la intrusión. %Un incidente de seguridad podría ser una intrusión, %que se define como un intento de comprometer la confidencialidad, la integridad, la %disponibilidad de los mecanismos de seguridad de un ordenador o red, que valiéndose de %la existencia de vulnerabilidades accede a los sistemas sin autorización.\\ Un IDS lo conforman los siguientes elementos: \begin{itemize} \item Una fuente de eventos del sistema. \item Una base de datos con los patrones de comportamiento que se consideran como normales, así como los perfiles de posibles ataques. \item Motor de análisis de los eventos para detectar las evidencias de intentos de intrusión. \item Módulo de respuesta que, de acuerdo al análisis de los eventos, realice determinadas acciones. \end{itemize} La figura \ref{fig:estructuraIDS} muestra la estructura funcional básica de un \textbf{IDS}. \begin{figure}[ht!] \begin{center} \includegraphics[scale=1] {imagenes/estructuraFuncionalBasicaIds.jpeg} \end{center} \caption{Estructura funcional básica del IDS. \label{fig:estructuraIDS}} \end{figure} Un \textbf{IDS} puede presentar problemas y limitaciones que podrían generar falsas alarmas tales como \textbf{falsos negativos} que se producen cuando no pueden detectar algunas actividades relacionadas con incidentes de seguridad que están ocurriendo en la red o en los equipos informáticos, o bien falsos positivos, que se presentan cuando los sistemas registran y generan alertas sobre determinadas actividades que no son problemáticas o no representan una amenaza.