ndice 1. Introduccin 2. Metodologia dedesarrollo 3. Ejemplos de aplicacinde Polticas 4. Otros mtodos deAutenticacin. 5. Seguridad de los mdemsde acceso telefnico.

6. Conclusiones 7. Bibliografa 1. Introduccin Definicin de una INTRANET: Es una infraestructura basada en los estndares y tecnologas de Internet que soporta el compartir informacin dentro de un grupo bien definido y limitado. Problema: Aunque una INTRANET sea una red privada en la que se tengan grupos bien definidos y limitados sta no se encuentra exenta de ataques que pudiesen poner en riesgo la informacin que maneja, ya que la mayora de stos son provocados por sus mismos usuarios. Antecedentes: La mayora de las estadsticas de seguridad en cmputo indican que cerca del 80% de los fraudes relacionados con las computadoras provienen de los usuarios internos, por esto las intranets son las ms vulnerables a ataques de sta ndole. Segn el CSI (Computer security institute) de San Franciscoel 90 % de las empresas entrevistadas detectaron ataques a sus computadoras, el70 % reporto que los ms comunes fueron virus, robo de laptops y ataques deabuso de la red de sus empleados. Modelo de la Solucin:
a. b. c. d. e. f. g.

Polticas de Seguridad Control de Acceso Transacciones Seguras Virus Cantidad de Seguridad a Implementar Presentacin de la Solucin. Polticas de Seguridad

Qu son las polticas de seguridad? Polticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cmputo, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se esta tratando de proteger, stos documentos son el primer paso en la construccin de Firewalls efectivos. Las polticas son parte fundamental de cualquier esquema de seguridad eficiente. Cmo establecer polticas de seguridad para una INTRANET. 2. Metodologia de desarrollo Un esquema de polticas de seguridad debe llevar ciertos pasos, para garantizar su funcionalidad y permanencia en la institucin que .Nuestra propuesta es seguir los pasos detallamos a continuacin: Preparacin Es la recopilacin de todo tipo de material relacionado con cuestiones de seguridad en la organizacin: Qu quiero proteger? Mis recursos: Personal, informacin, hardware, software, documentacin, consumibles, etc. Hacer preguntas relacionadas con el uso externo: por ejemplo: Necesitar la intranet proteccin de acceso externo? Se conceder a usuarios autorizados el acceso remoto?

Cmo se determinar el acceso no autorizado cuanto ocurra? Existen restricciones de acceso a la informacin importante? Etc. Hacer preguntas relacionadas con el uso interno: por ejemplo A qu grupos, departamentos o usuarios se les restringir el acceso a informacin interna? Qu constituye una brecha de seguridad interna? El sistema de seguridad impide la productividad? Cmo determina cuando el acceso in autorizado ha ocurrido? Etc. Hacer preguntas concernientes a la administracin Se planea implementar diferentes niveles de acceso? Quin est autorizado para tomar decisiones acerca de la seguridad? Se tiene un sistema de rastreo confiable instalado? Se usar el cifrado?, Ser el adecuado? Etc. De quin necesito protegerlo? De cualquiera que constituya una amenaza, ya sea interna o externa en cualquiera de estos rubros:

Acceso no autorizado: Utilizar recursos de cmputo sin previa autorizacin

Dao a la informacin: Modificacin o eliminacin de la informacin en el sistema

Robo de informacin: Acceso a cierta informacin sin previa autorizacin

Divulgacin de la informacin: Publicar detalles del sistema, como podran ser las contraseas, secretos, investigaciones, etc.

Negacin del servicio: Obligar al sistema a negar recursos a usuarios legtimos

Qu tantos recursos estoy dispuesto a invertir? Cmo puedo / debo protegerlo? En general, se tiene que lograr que las polticas deseguridad cumplan con todos los servicios de seguridad:

Autenticacin Confidencialidad Integridad No repudio Disponibilidad de los recursos a personas autorizadas Control de Acceso

Redaccin - Escribir las polticas de una manera clara, concisa y estructurada. Requiere de la labor de un equipo en el que participen abogados, directivos, usuarios y administradores. Edicin - Reproducir las polticas de manera formal para ser sometidas a revisin y aprobacin Aprobacin - Probablemente, la parte ms difcil del proceso, puesto que es comn que la gente afectada por las polticas se muestre renuente a aceptarlas. En esta etapa es fundamental contar con el apoyo de los directivos. Difusin - Dar a conocer las polticas a todo el personal de la organizacin mediante proyecciones de video, pginas Web, correo electrnico, cartas compromiso, memos, banners, etc. Revisin - Las polticas son sometidas a revisin por un comit, que discutir los comentarios emitidos por las personas involucradas. Aplicacin - Es peor tener polticas y no aplicarlas que carecer de ellas. Una poltica que no puede implementarse o hacerse cumplir, no tiene ninguna utilidad. Debe predicarse con el ejemplo. Actualizacin -En el momento requerido, las polticas debern ser revisadas y actualizadas, respondiendo a los cambios en las circunstancias. El momento ideal es justo despus de que ocurra un incidente de seguridad. Mientras las polticas indican el "qu", los procedimientos indican el "cmo". Los procedimientos son los que nos permiten llevar a cabo las polticas. Ejemplos que requieren la creacin de un procedimiento son:

y y

y y y y y y y y

Otorgar una cuenta Dar de alta a un usuario Conectar una computadora a la red Localizar una computadora Actualizar el sistema operativo Instalar software localmente o va red Actualizar software crtico Exportar sistemas de archivos

y y

Respaldar y restaurar informacin Manejar un incidente de seguridad Un punto muy importante dentro de las polticas es el que tienen que ir acompaadas de Sanciones, las cuales debern tambin ser redactadas, revisadas, autorizadas, aplicadas y actualizadas. 3. Ejemplos de aplicacin de Polticas

Polticas de contraseas: Son una de las polticas ms importantes, ya que por lo general, las contraseas constituyen la primera y tal vez nica manera de autenticacin y, por tanto, la nica lnea de defensa contra ataques. stas establecen quin asignar la contrasea, qu longitud debe tener, a qu formato deber apegarse, cmo ser comunicada, etc. Polticas de control de acceso: Especifican cmo deben los usuarios acceder al sistema, desde dnde y de qu manera deben autentificarse. Ejemplos: Todos los usuarios debern acceder al sistema utilizando algnprograma que permita una comunicacin segura y cifrada.

Polticas de uso adecuado: Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, as como lo que est permitido y lo que est prohibido dentro del sistema de cmputo. Est terminantemente prohibido ejecutar programas que intenten adivinar las contraseas alojadas en las tablas de usuarios de mquinas locales o remotas

Polticas de respaldos: Especifican qu informacin debe respaldarse, con qu periodicidad, qu medios de respaldo utilizar, cmo deber ser restaurada la informacin, dnde debern almacenarse los respaldos, etc. Ejemplos: El administrador del sistema es el responsable de realizar respaldos de la informacin peridicamente Cada treinta das deber efectuarse un respaldo completo del sistema y cada da debern ser respaldados todos los archivos que fueron modificados o creados La informacin respaldada deber ser almacenada en un lugar seguro y distante del sitio de trabajo

Polticas de correo electrnico: Establece tanto el uso adecuado como inadecuado del servicio de correo electrnico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto. Ejemplos: o El usuario es la nica persona autorizada para leer su propio correo, a menos que l mismo autorice explcitamente a otra persona para hacerlo, o bien, que su cuenta est involucrada en un incidente de seguridad de cmputo.

Control de Acceso Fsico Es uno de los controles principales para restringir el acceso fsico a los dispositivos (servidores y estaciones de trabajo) Los componentes a menudo encontrados son:

a.

Asegurar el edificio.- Asegurar todas las puertas no esenciales para que el acceso desde fuera requiera una llave o una tarjeta. Cmaras de seguridad.- Un sistema de cmaras de seguridad que permita el monitoreo de las entradas al edificio puede ser un efectivo impedimento as como la evidencia registrada de quien traspasa ilegalmente. Guardias de Seguridad.- Los guardias de seguridad que validen la entrada de todos los empleados y otros visitantes. Candados de computadoras.- Usar hardware especializado que restrinja el acceso a los teclados, monitores, drivers y ratones. Control de Acceso Interno:

b.

c.

d.

Autenticacin Bsica, basada en User names y Passwords Control de Acceso Global. Qu es? : El GACF se puede usar para establecer polticas de acceso de manera global para sus servidores web mediante el archivo de configuracin que en los servidores NCSA httpd y los derivados de l como los servidores apache, ste archivo es llamado access.conf localizado en el subdirectorio conf del servidor. Tambin se puede usar el GACF para segregar reas pblicas y privadas en el servidor web acordes con algn criterio, y solicitar un nombre de usuario y una contrasea para el acceso a reas privadas. Cmo se hace? Un ejemplo: #Cualquiera en el grupo personal puede llegar al nivel ms alto del rbol personal. <Directory /usr/local/web-docs/personal> AuthType Basic AuthName Slo personal AuthUserFile /usr/local/etc/httpd/userpw (ruta completa del archivo password) AuthGroupFile /usr/local/etc/httpd/ourgroup <Limit Get> Requiere group personal </Limit> </Directory> Control de Acceso Local. Qu es? El LACF permite aplicar diferentes controles de acceso por directorio o subdirectorio del rbol, normalmente el archivo es llamado. htaccess. Se puede negar el uso de los potencialmente peligrosos SSIlos cuales causan que el servidor pueda ejecutar comandos desde fuera cada vezque una pgina que los contiene es accesada, en las paginas del usuario. Se pueden prevenir problemas de seguridad potenciales causados por ligas simblicas. Cmo se hace? Un ejemplo: Un ejemplo: Un archivo nombrado .htaccess en el subdirectorio personal / ejecutivo. Esto limita el acceso al Subdirectorio Ejecutivo a un solousuario. El problema en la Autenticacin Bsica es que la informacinintercambiada entre el browser y el servidor no esta cifrada en ninguna forma.Este mtodo solamente codifica no cifra la sesin de autenticacin.Cualquiera que pueda interceptar su sesin pude decodificarla y usar lainformacin para accesar a su material. Para resolver este problema el mtodode Autentication Digest. ha sido introducido. Ref [1] pp. 181-209, [6] Autenticacin Avanzada: Direcciones IP

Qu es?: En el contexto de la programacin en cgi-bin,cada solicitud de un documento por un browser u otro recurso de la intranetcontiene la direccin IP de la computadora que hizo la requisicin, lo cual stapodra ser utilizada por alguna otra persona con fines nocivos para lainstitucin. Cmo se hace? El problema aqu es que algunos malhechores en la red pueden configurar suscomputadoras para pretender ser alguien conocido. Para mayor seguridad se es necesario habilitar -DMAXIMUM_DNSmientras compila el software del servidor. ( en Apache 1.1 Hostnamelookups hacelo mismo). el servidor har una bsqueda inversa en la direccin IP delcliente para obtener su nombre, despus de que el nombre es recibido, elservidor le preguntar el DNS para su IP address, si no coinciden el acceso esdenegado. Autenticacin Combinada Cmo se hace? Requiere group personal Aqu, las reglas de control de acceso de la IP address y delhostname son aplicadas primero. Una vez que stas reglas son satisfechas, seaplica la autenticacin basada en usernames/passwords al usuario. Ref [1] pp.181-209, [6] 4. Otros mtodos de Autenticacin. Funciones Hash Qu es? Usando el password que el usuario teclea, el browser crea unacadena usando el password y otra informacin incluyendo la AuthRealm(autenticacin de dominio) y la pasa a travs de la funcin MD5. Esta cadenaes entonces pasada a travs de la red hacia el servidor, el cual toma lainformacin almacenada en el archivo .htpasswd para crear la misma cadena ypasarla a travs de la funcin MD5 y luego compara los resultados; de stamanera no es posible obtener el password, porque el password no esta siendoenviado. Bajo MD5 se necesita informacin almacenada en el archivo.htpasswd y no se puede usar la funcin crypt() sobre l. Aunque se use lafuncin MD5 sobre el password antes de almacenarlo, si se tiene el cdigoalmacenado, y un pequeo conocimiento, se puede crear un programa para usarloen lugar del password y funcionar. La solucin es reforzar los permisos de archivos Cmo se hace? Sintaxis. AuthDigestFile /u/web/.htdigest stantdar AuthTypeDigest El AuthDigestFile es una nueva directriz que toma dosargumentos, la ruta completa del archivo en el cual los datos de la funcindigest de autenticacin son almacenados y el formato del archivo usualmente estndar. Para indicar que un directorio est protegido con MD5, seespecifica una Autenticacin del tipo Digest. Ref [1] pp. 181-209, [6] Control de Acceso Externo. Firewalls Para qu sirven? Son un tipo de seguridad muy efectiva en redes. Intentanprevenir los ataques de usuarios externos a la red interna. Tienen mltiplespropsitos:

a.

Restringir la entrada a usuarios.

b.

Prevenir los ataques.

c.

Restringir los permisos de los usuarios a puntos bien controlados.

Un Firewall es un sistema o grupo de sistemas que impone unapoltica de seguridad entre la organizacin de red privada y el Internet. Elfirewall determina cual de los servicios de red pueden ser accesados dentro desta por los que estn fuera, es decir, quien puede entrar para utilizar losrecursos de red pertenecientes a la organizacin. Para que un firewall seaefectivo, todo trfico de informacin a travs del Internet deber pasar atravs de l mismo donde podr ser inspeccionada la informacin. EL firewallpodr nicamente autorizar el paso del trfico, y el mismo podr ser inmunea la penetracin, desafortunadamente, este sistema no pude ofrecer proteccinalguna una vez que el agresor lo traspasa o permanece entorno a este. Un firewall es vulnerable, l no protege de la gente queesta dentro de la red interna, ste trabaja mejor si se complementa con unadefensa interna. Ref [13] 5. Seguridad de los mdems de acceso telefnico. La primera lnea de defensa es mantener el nmero de telfonofuera del alcance de personas no autorizadas, es decir, no publicarlo, nolistarlo en los sistemas, etc. Tambin se puede aadir una contrasea de mdem vlidaque sea independiente y distinta de la de inicio de sesin del sistema para quemantenga alejado a todo aquel que no la conozca, con el comando dpasswd en elarchivo /etc/d_passwd, se puede hacer esto. Mdems con retrollamada: No establecen inmediatamente unaconexin cuando reciban una llamada, solicitarn informacin de inicio desesin. Despus, el mdem cortar la conexin, y si la informacin escorrecta llamar de nuevo al usuario autorizado a un nmero almacenad en elsistema. Hay mdems que cifran la informacin que envan y reciben. Existen mdems silenciosos, los cuales no enviarn la sealcaracterstica de "conexin establecida" hasta que no se hayacompletado el inicio de sesin, esto ayudar a evitar a los que se dedican abuscar secuencias de nmeros de telfono de computadoras. Ref [3] Transacciones Seguras Cuando se usa el cifrado, cualquier informacin enviada porclientes (usernames, passwords, informacin confidencial.) a travs de unaforma puede ser transmitida seguramente hacia y desde el servidor web. Existen dos principales formas de efectuar transaccionesseguras: S-http soporta: Cifrado para asegurar la privacidad. Autenticacin para los clientes y para los servidores Firmas Digitales para la verificacin y el no repudio. Su pude controlar el acceso y la privacidad al asignar unamejora apropiada de seguridad para cada transaccin entre el servidor y losclientes. Las posibles mejoras pueden ser: Firma Cifrado Firma y Cifrado La mejora que se quiera aplicar depende de la cantidad deseguridad requerida. Se pueden aplicar mejoras a la seguridad de las siguientesformas: Al especificar atributos S-http en las Hiperligas Los browsers del cliente seguros necesitan saber cuandocifrar o firmar un documento, por lo que la presencia del protocolo shttp://alerta a un cliente para que todos los requerimientos usando sta liga debenconformar las mejoras de seguridad incluidas en la liga. Se usa el siguientemecanismo para especificar atributos de seguridad en hiperligas. Opciones Criptogrficas: CRIPTOPTS especifican las mejorasde seguridad que un cliente puede o debe aplicar a un requerimiento, y le diceal cliente que algoritmos de cifrado el servidor soporta.

Nombres Distinguidos: Un DN identifica una llave pblica delservidor. El cliente usa un nombre distinguido del servidor para seleccionar lallave apropiada para el cifrar los mensajes que ste le enva al servidor. Al especificar comandos de regin en la configuracin delarchivo. Se usan para controlar las respuestas del servidor a losrequerimientos de los clientes. Comandos: Require SHTTP: Este comando puede especificar una o ms delas siguientes mejoras: Cifrar, Firmar y Autenticacin. Require Encryption: Se usa para que todos los requerimientossean cifrados bajo cualquiera S-http, SSL o PCT. Se usa ste comando cuando sedesea recibir requerimientos bajo cualquier protocolo. Enhance SHTTP: Con este comando se pueden implementarcualquiera de las siguientes mejoras: Firmar, Cifrar, Autenticar. Ref [1] pp.181-209. SSL Para establecer una comunicacin segura utilizando SSL setienen que seguir una serie de pasos. Primero se debe hacer una solicitud deseguridad. Despus de haberla hecho, se deben establecer los parmetros que seutilizarn para SSL. Esta parte se conoce como SSL Handshake: Durante el hanshake se cumplen varios propsitos. Se haceautenticacin del servidor y opcionalmente del cliente, se determina quealgoritmos de criptografa sern utilizados y se genera una llave secreta paraser utilizada durante el intercambio de mensajes subsiguientes durante lacomunicacin SSL. Intercambio de datos: Ahora que se ha establecido un canal de transmisin seguroSSL, es posible el intercambio de datos. Cuando el servidor o el cliente deseaenviar un mensaje al otro, se genera un digest (utilizando un algoritmo de hashde una va acordado durante el handshake), cifran el mensaje y el digest y seenva, cada mensaje es verificado utilizando el digest. Terminacin de una sesin SSL: Cuando el cliente deja una sesin SSL, generalmente laaplicacin presenta un mensaje advirtiendo que la comunicacin no es segura yconfirma que el cliente efectivamente desea abandonar la sesin SSL. Ref [1]181-209. Virus Fuentes de Riesgo de los virus. Los virus pueden ser ingresados al sistema por un dispositivo externo(diskettes) o a travs de la red (e-mails) sin intervencin directa delatacante. Tienen diferentes finalidades, slo infectan, alteran datos, eliminan datos,algunos slo muestran mensajes, pero el fin nico es el de PROPAGARSE. Se pueden distinguir mdulos principales de un virus informtico: Mdulo de reproduccin Mdulo de Ataque Mdulo de Defensa Cmo protegerse de ellos? Los usuarios debern conocer los sntomas que pueden observarse en unacomputadora de la que se sospeche est infectada: Operaciones de procesamiento ms lentas Los programas tardan ms tiempo en cargarse Los programas comienzan a acceder por momentos al drive o al disco duro Disminucin del espacio disponible en el disco duro y de la memoria Ram enforma constante o repentina. Aparicin de programas residentes en memoria desconocidos. La primera medida de prevencin es contar con un sistema antivirus yutilizarlo correctamente. La nica forma de que se constituya un bloqueo eficazpara un virus es que se utilice con determinadas normas y procedimientos, lascuales deberan verificar los siguientes aspectos: o Un disco de sistema, protegido contra escritura y libre de virus.

o o o o o o o o o o o o o o

Por lo menos un programa de Antivirus actualizado. Una fuente de informacin sobre virus especficos. Un programa de respaldo de reas crticas Lista de lugares donde acudir. Un sistema de proteccin residente. Tener respaldos. Revisar todos los discos nuevos antes de utilizarlos. Revisar todos los discos que se hayan prestado. Revisar todos los programas que se obtengan va red. Revisar peridicamente la computadora. Procedimiento para revisar o desinfectar la computadora Procedimiento para desinfectar el sector de arranque Procedimiento para restaurar los respaldos. Procedimientos para formatear discos duros en caso de que estn infectados. Reportar a alguna autoridad la infeccin. Ref [8]

Al combinar stos mtodos como mejor convenga provee lamejor y ms completa seguridad. Cantidad de seguridad a Implementar. La seguridad por s misma hace ms difcil el acceso a unsistema al tener que proveer seguros adicionales que los usuarios deben pasar.Por otro lado si ningn tipo de seguridad es implementada no hay problemas paralos usuarios, sino que stos ocurren cuando la seguridad aumenta.

Pero sin seguridad el problema de intrusin aumenta considerablemente, lo cual se puede reducir con algunas medidas de seguridad.

El punto de equilibrio muestra el punto en el cual la compaa trabaja ms eficientemente.

6. Conclusiones Como se puede ver existen varios y diversos mtodos para implementar una INTRANET segura, pero ninguno por s slo puede brindarnos la suficiente seguridad, sino que es la combinacin de todos estos elementos junto con una acertada planeacin de polticas de seguridad, unos requerimientos especficos y las caractersticas propias de la empresa, son los que podran ayudarnos a definir una eficiente estrategia de seguridad sin que todo esto interrumpa o entorpezca las actividades de los usuarios que son para los que finalmente la INTRANET se construy.