148

Academia

Qu es y para qu sirven un firewall y una VPN?

PRESENTAMOS AQU UNAS BREVES NOCIONES DE UNO DE LOS SISTEMAS DE SEGURIDAD MS FRECUENTES Y CLSICOS

Ignacio Corts Delgado

DIRECTOR DE DESARROLLO DE NEGOCIO Y NUEVAS TECNOLOGAS APLICADAS A LA SEGURIDAD Belt Ibrica S.A.

Como vemos, el punto clave es definir esas reglas que debe seguir para poder decidir y funcionar automticamente. El problema principal es que los parmetros sobre los que podemos decidir no son demasiados. Bsicamente son:

Parece un peln complicado, pero pensemos en una carta de correo postal: en el registro de entrada de nuestra organizacin podramos poner unas reglas del tipo de las comentadas anteriormente: Todas las cartas que vengan de Pernambuco, a la basura directamente Todas las cartas que vayan hacia el

a seguridad de la informacin es cada da ms importante en nuestras organizaciones.

Muchos directores de seguridad se preocupan porque hay amenazas que no vienen por el lado de la presencia fsica, con lo que deben saber realizar las preguntas adecuadas para comprobar que la organizacin es segura en su conjunto. As pues, presentamos aqu unas breves nociones de uno de los sistemas de seguridad ms frecuentes y clsicos: los firewalls. Un firewall es un sistema encargado de separar un entorno seguro de uno inseguro. Su trabajo se separa en tres tareas principales: 1. Analizar la informacin que entra o sale de la organizacin. 2. Decidir, segn unas reglas que nosotros establecemos, si dicha informacin se elimina, se retiene o si se permite el paso. 3. Informar de lo sucedido, ya sea rellenando un registro, enviando un email o activando una alarma.

Los directores de seguridad deben saber realizar las preguntas adecuadas para comprobar que la organizacin es segura
Origen Destino Antigedad o caducidad de la informacin Ruta predeterminada desde origen Servicio de destino.

Presidente, enviadlas a seguridad Todos los envos fechados antes de 1998 que lleguen ahora, que sean devueltos Todos los envos que sean paquetes de mano, que pasen por el escner. Verdad que no es muy complicado? Pues en el caso de la seguridad de la informacin es algo similar. Como vemos, disponer de un firewall nos asegura tener un determinado control de accesos: todo eso y slo eso. Por tanto, un firewall no es la panacea, ni la nica solucin a nuestros problemas. Un problema asociado es que los

En espaol se llaman cortafuegos y son -o deben ser- algo similar al control de entrada y salida de la informacin a nuestra organizacin. Es como el cerramiento perimetral, ms la barrera de accesos, ms el servicio de vigilancia, todo en uno.

n 14

octubre 2007

149

Academia
responsables de la seguridad de los equipos parecen quedarse muy tranquilos cuando tienen un sistema de este tipo. Veamos qu hace un firewall y qu no hace. Un sistema firewall tiene un coste muy variable, dependiente principalmente del tamao de la organizacin a proteger. Los dos extremos opuestos en cuanto a soluciones son: A. Para una pequea organizacin: bastara con emplear una mquina en segunda actividad, instalar un sistema Linux y un software gratuito tipo iptables. Este equipamiento ms unas horas de un tcnico con unas indicaciones claras para implantar las reglas del firewall son suficientes. B. Para una gran organizacin: la existencia de mltiples usuarios requiere una consola de gestin flexible y un equipo diseado especficamente para ello. Sera pues un hardware especfico y propietario con sus correspondientes licencias y contratos de mantenimiento y actualizacin, as como la consultora apropiada por parte del fabricante o algn partner tecnolgico. Los puntos que son importantes recordar son los siguientes: Un firewall no es la solucin a toda la seguridad de la informacin. Por ejemplo, hemos de saber que el 80% de las amenazas (intencionadas o no) de seguridad de la informacin proceden de nuestra organizacin. No nos podemos quedar tranquilos slo con la instalacin de un sistema de estas caractersticas. El sistema firewall est expuesto a la red insegura, con lo que debe ser lo ms sencillo posible. Si este elemento es comprometido (secuestrado o alterado), estar expuesta la red completa. Tener el equipamiento es lo menos complicado. Es necesario definir claramente qu es lo que el equiQU PUEDE HACER QU NO PUEDE HACER

Networks (VPN) nacen como solucin tecnolgica para reducir este coste. Veamos. Podramos clasificar las comunicaciones de muchas maneras. En este caso nos interesa clasificarlas por la propiedad del medio de transmisin: 1. Lneas propias: no es especialmente comn, principalmente porque requieren una inversin inicial muy alta en equipos, obras, instalaciones, permisos, etc.

Un firewall es un sistema encargado de separar un entorno seguro de uno inseguro

po debe hacer: servicios de comunicaciones permitidas a los usuarios, redes consideradas inseguras cuyo trfico hay que bloquear, etc. Sin embargo, hemos de tener en cuenta que nuestras organizaciones estn con frecuencia geogrficamente disgregadas y es necesario compartir informacin y tener acceso a recursos tecnolgicos para el desarrollo de nuestra actividad de forma segura, independientemente de dnde nos encontremos fsicamente. Esto quiere decir que si todos tenemos sillas para sentarnos y mesas para trabajar, todos debemos tener acceso a la determinada informacin. Esto plantea un problema fundamental: todos deben tener comunicaciones seguras para lograr este objetivo. Y esto tiene un coste asociado. Las Redes Privadas Virtuales (RPV) o, en ingls, Virtual Private 2. Lneas alquiladas: no son propiedad de la organizacin, sino que son alquiladas a operadores de comunicaciones. No tienen un elevado coste inicial, pero el precio mensual por lnea no es despreciable, especialmente si se tienen muchas lneas alquiladas. 3. Lneas pblicas: se trata de comunicaciones por lneas de acceso pblico, lo que significa para nuestro caso Internet. Esto es bastante ms econmico que las opciones anteriores pero, a menos que nos propongamos lo contrario, la informacin viaja en claro, lo que implica que cualquiera que pueda interceptarla -y, cranme, esto no es especialmente complicado-, puede interpretarla, es decir, leerla. Las VPN nacen como soluciones tecnolgicas que permiten disponer de comunicaciones econmicas y con una seguridad ms que aceptable.

Proteger de ataques que no pasen a travs de l Impedir el acceso de (otras puertas de usuarios no autorizados entrada: mdems, otras lneas de comunicaciones)

Impedir el paso de cierto tipo de informacin

Proteger de ataques a travs de archivos ejecutables

Que la informacin llegue a un destino

Proteger de ataques fsicos a los sistemas

Que la informacin salga de un origen

Proteger de ataques procedentes de dentro de la organizacin

Proteger de virus Que ciertos usuarios contenidos en la puedan emplear ciertas informacin que pasa a comunicaciones (e-mail, travs de l (no mira el acceso Internet, servicio contenido de la de news, ftp, etc.) informacin)

n 14

octubre 2007

150

Academia
Est claro que en las dos primeras opciones, la seguridad est garantizada, ya que nadie debera poder acceder a las mismas, a excepcin del operador de comunicaciones en el caso 2 -pero esto es algo que no suele ocurrir-. Es decir, que nadie piense que una VPN es ms segura que una lnea alquilada o una propia, pero s que es mucho ms econmica. Para establecer una VPN, se precisan 3 requisitos: Establecer un tnel de comunicaciones, es decir, establecimiento de los dos extremos entre los que se establecer la transferencia de informacin segura y la forma en que se comunicarn. Encriptar la informacin que se enva por dicho tnel, de forma que si alguien consigue interceptar la comunicacin no pueda interpretarla, es decir, no pueda leerla. Ningn sistema de encripcin es eterno, ya que las claves de encriptacin siempre se pueden crackear -probar y probar hasta adivinar-. La cuestin es que el tiempo que se tarde en conseguir sea suficiente como para que la informacin haya caducado o dejar de ser importante o relevante. Y este tiempo disminuye conforme aumenta la potencia de computacin de los ordenadores. Identificar de forma vlida y unvoca al otro extremo de la comunicacin, para evitar establecer una comunicacin con alguien no deseado o no seguro. Las VPN se pueden implantar de variar formas: Entre dos equipos personales, de forma que la comunicacin queda asegurada entre ambos. Entre un equipo remoto y un servidor de una organizacin, con lo que quedara asegurada la comunicacin entre cualquier equipo de la organizacin y el equipo remoto. Entre dos servidores remotos de dos sedes de la organizacin, con lo que quedara garantizada la seguridad de la comunicacin entre dos equipos personales cualquiera de la organizacin. El resultado es bsicamente lo que vemos en la fotografa adjunta: sistemas geogrficamente alejados aparecen lgica o virtualmente unidos. Tambin se pueden emplear para la realizacin de procesos especiales dentro de una red que entendemos confiable -como una red de rea local-, ya que podemos tener a los malos dentro de nuestra propia organizacin. Evidentemente, no todo es de color de rosa. Qu estamos perdiendo frente a esas otras opciones de lneas propias o lneas alquiladas? Fiabilidad de la comunicacin: la comunicacin por una red pblica

Las VPN permiten disponer de comunicaciones econmicas y con una seguridad ms que aceptable

puede no estar disponible y no podremos ni tendremos a quin quejarnos. Esto puede ser por varios motivos. Tambin se puede caer la comunicacin mientras est establecida. El caudal de comunicaciones o ancho de banda no est garantizado, ni probablemente sea constante. Podemos sufrir ataques de denegacin de servicio, quedando indisponibles cualquiera de los extremos de la comunicacin. Si la comunicacin es imprescindible, debern existir lneas alternativas de comunicaciones. Si disponemos de muchas VPN, la gestin de las claves de acceso puede ser laboriosa y complicada. Una VPN puede ser casi gratuita, siempre y cuando los extremos de la comunicacin ya dispongan de conexin a Internet. Los sistemas operativos actuales suelen traer una funcionalidad para implantar las VPN y es relativamente sencillo. Tambin existen paquetes comerciales, por precios mdicos pueden no llegar a los 100 -. En una tarde, un tcnico implanta sin problemas una VPN. As que, por qu no hacerlo?

n 14

octubre 2007