Vista previa del material en texto
ESTADO DEL ARTE Y FUNDAMENTACIÓN DEL EJE TEMÁTICO DE TECNOLOGÍAS DE SEGURIDAD EN REDES PARA EL PLANTEAMIENTO DE LINEAS DE INVESTIGACION DIEGO ANDRÉS PRIETO CERÓN UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C., 2008 2 ESTADO DEL ARTE Y FUNDAMENTACIÓN DEL EJE TEMÁTICO DE TECNOLOGÍAS DE SEGURIDAD EN REDES PARA EL PLANTEAMIENTO DE LINEAS DE INVESTIGACION DIEGO ANDRÉS PRIETO CERÓN Trabajo de Grado presentado para el título de Ingeniero de Sistemas Director ING. JUAN FERNANDO VELASQUEZ UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C., 2008 3 UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD DE INGENIERIA INGENIERIA DE SISTEMAS DECANO Ing. Nelson Torres Medina DEPARTAMENTO DE INVESTIGACIÓN Director: Ing. René Silva Ingeniería de Sistemas Director: Ing. Álvaro Rojas Daza 4 Nota de Aceptación ______________________________________________________ ______________________________________________________ ______________________________________________________ ______________________________________________________ ______________________________________________________ ______________________________________________________ ________________________________________ Director del Proyecto ________________________________________ Jurado _________________________________ Jurado Octubre 2008 5 TABLA DE CONTENIDO Pg 1. Introducción 9 2. Problema 11 3. Hipótesis 15 4. Objetivo General 16 4.1 Objetivo Especifico 16 5. Justificación 17 6. Delimitación 17 7. Marco Referencial 18 7.1 Antecedentes 18 8. Marco Teórico – Conceptual 21 8.1 ¿Cuál es el Objetivo de la Tecnología asociada al Eje Temático? 21 8.2 ¿Cuál ha sido y cual es hoy el conocimiento medular asociado? 21 8.3 ¿Cómo ha sido su evolución paradigmática? Esto haciendo uso de la curva S y los conceptos de Diseño Dominante y Discontinuidad Tecnológica. 31 8.4 ¿Qué tipo de productos incorporan la tecnología? 33 8.5 ¿Quién esta utilizando dicha tecnología? 39 8.6 Aplicaciones de la tecnología: ¿Para que la están utilizando? ¿Que han logrado con su uso? 41 8.7 ¿Cómo se incorpora esta tecnología en la organización? 59 8.8 ¿Cuáles son las interrelaciones de esta tecnología de información con otras tecnologías? Diagrama 63 8.9 ¿Cuáles son las interrelaciones de esta tecnología de información con otras tecnologías de información? Diagrama. 64 8.10 Identificación de centros o grupos de investigación en el mundo, y en Colombia, que están trabajando sobre dicha tecnología. Datos generales del grupo. Líneas y áreas de investigación. Proyectos desarrollados o en curso. Producción del grupo. 65 6 8.11 Publicaciones especializadas en la tecnología. 73 8.12 Eventos especializados en la tecnología. 74 8.13 Prospectiva del desarrollo de la tecnología. 75 8.14 ¿Cuál puede ser el impacto de la tecnología? 77 Impacto en las 5 fuerzas competitivas en al menos dos sectores económicos. Impacto en la cadena de valor del negocio de al menos dos tipos de negocio. 9. Desarrollo del Proyecto. 81 9.1 Aspectos Problemicos. 81 9.2 Estado del arte de las tecnologías de seguridad en redes en Colombia. 101 9.3 Resultados Obtenidos. 117 9.3.1 Líneas de Investigación. 117 9.3.2 Proyectos Factibles. 125 10. Conclusiones. 131 11. Bibliografía. 133 12. Infografía. 134 13. Glosario. 135 14. Anexos 145 7 LISTA GRAFICOS Pg Gráfico 1: 2004 CSI/FBI Computer Crime and Security Survey 14 Gráfico 2: Análisis evolución paradigmática 31 Gráfico 3: Curso ACIS “Estrategias para el mejoramiento de seguridad en redes 36 Gráfico 4: Hispa Linux “Seguridad Informática y Software Libre” 37 Gráfico 5: ACIS Revista Sistemas Nº 105 Abril – Junio 2008 40 Gráfico 6: Sectores en Colombia interesados en las tecnologías de seguridad año 2002 -2008 41 Gráfico 7: Sectores en Colombia interesados en las tecnologías de seguridad año 2004 45 Gráfico 8: Firewall en Internet Autor: Daniel Ramón Elorreaga Madrigal Ing. Electrónico Universidad Nacional Autónoma de México 45 Gráfico 9: Estructura de una VPN 48 Gráfico 10: Arquitectura Típica de una Honeynet 50 Gráfico 11: Arquitectura Redes Autodefensivas 53 Gráfico 12: Tendencia anual de inversión en tecnologías de seguridad de la información 61 Grafico 13: Presupuesto previsto para seguridad en redes de datos 2008 62 Gráfico 14: Interacción entre tecnologías de información 63 Gráfico 15: Interacción con otras tecnologías 64 Gráfico 16: 5 Fuerzas competitivas 77 Gráfico 17: Relación entre vulnerabilidad y amenaza 83 8 Gráfico 18: Amenazas para la seguridad en la Red 84 Gráfico 19: Debilidades de un sistema 88 Gráfico 20: Inversión Per capital en tecnología en América Latina 102 Gráfico 21: Modelo de 6 capas para la seguridad en la red 104 Gráfico 22: Muestra demográfica encuesta ACIS 106 Gráfico 23: Años de experiencia requeridos para trabajar en seguridad 112 Gráfico 24: Inversión en seguridad 113 Gráfico 25: Fallas de seguridad 114 Gráfico 26: Mecanismos de seguridad 115 Gráfico 27: Buenas prácticas en seguridad 116 9 1. INTRODUCCION Una red es una colección de dispositivos, que interconectan a los equipos de procesamiento de información de una organización, como computadores de escritorio y servidores. La tecnología en nuestros días avanza muy rápidamente y con ello se incrementa la inseguridad en las redes, por ello surgen las tecnologías en software y hardware que nos proporcionan mayor seguridad para la información. Como podemos apreciar, el mundo está cambiando aceleradamente en las últimas décadas, de solo relacionarse simplemente con asuntos a nivel local o regional, ahora las empresas están pensando en mercados y negocios a nivel global. Muchas compañías tienen oficinas o instalaciones en distintos puntos del país o del mundo y hay una constante que todas ellas necesitan: comunicaciones rápidas, seguras y confiables donde quiera que estén sus oficinas, instalaciones o empleados. Los sistemas de información y de almacenamiento de datos son uno de los recursos más valiosos convirtiéndose en un activo para la organización. La necesidad imperante del flujo de información y el traslado de recursos de un sitio a otro hace que aparezcanvulnerabilidades que ponen en riesgo la seguridad de la infraestructura de comunicación y toda la información que contienen sus servidores. Proteger la información y los recursos tecnológicos informáticos es una tarea continua y de vital importancia que debe darse en la medida en que avanza la tecnología, ya que las técnicas empleadas por aquellos que usan dichos avances para fines delictivos aumentan y como resultado los atacantes son cada vez más numerosos, mejor organizados y con mejores capacidades. En este trabajo se busca analizar el amplio panorama de las tecnologías de seguridad de redes con énfasis en calidad, teniendo en cuenta publicación elaborada en el año 2000, de la Organización Internacional para la Estandarización (conocida como ISO, Internacional Organization for Standardization) dando a conocer el estándar internacional para prácticas de seguridad. El documento es conocido como “Information Technology – Code of Practice for Information Security Management”, ISO 17799 (disponible desde el sitio del American Nacional Atandards Institute en http://www.ansi.org1) y la ultima publicación del estándar del ISO/IEC 27000 (ISO – Organización Internacional de estandarización IEC – Comisión Electrotécnica Internacional) publicada en octubre del 2005; También su objeto de estudio, sus ejes 1 En la Web http://www.ansi.org 10 problémicos, sus tendencias hacia el futuro y como nosotros podemos aportar a ese futuro, determinando líneas de investigación, y proponiendo proyectos específicos. Todo esto basado en investigaciones, expertos en el tema, artículos especializados, libros, manuales y todo aquel documento que brinde una visión del estado del arte de las tecnologías de seguridad en redes. Este trabajo se centra, entre otros en: 1. ¿Cuál es el Objetivo de la Tecnología asociada al Eje Temático? 2. ¿Cuál ha sido y cual es hoy el conocimiento medular asociado? 3. ¿Cómo ha sido su evolución paradigmática? Esto haciendo uso de la curva S y los conceptos de Diseño Dominante y Discontinuidad Tecnológica. 4. ¿Qué tipo de productos incorporan la tecnología? 5. ¿Quién esta utilizando dicha tecnología? 6. Aplicaciones de la tecnología: ¿Para que la están utilizando? ¿Que han logrado con su uso? 7. ¿Cómo se incorpora esta tecnología en la organización? 8. ¿Cuáles son las interrelaciones de esta tecnología de información con otras tecnologías? Diagrama 9. ¿Cuáles son las interrelaciones de esta tecnología de información con otras tecnologías de información? Diagrama 10. Identificación de centros o grupos de investigación en el mundo, y en Colombia, que están trabajando sobre dicha tecnología. a. Datos generales del grupo. b. Líneas y áreas de investigación. c. Proyectos desarrollados o en curso. d. Producción del grupo. 11. Publicaciones especializadas en la tecnología. 12. Eventos especializados en la tecnología. 13. Prospectiva del desarrollo de la tecnología. 14. ¿Cuál puede ser el impacto de la tecnología? a. Impacto en las 5 fuerzas competitivas en al menos dos sectores económicos. b. Impacto en la cadena de valor del negocio de al menos dos tipos de negocio. 11 2. PROBLEMA La constante evolución de las tecnologías de cómputo y comunicaciones, acompañadas por la globalización de las economías internacionales, han llevado a las organizaciones a descubrir un sin numero de oportunidades y nuevos métodos de comercialización. Con el propósito de mantenerse competitivos y de generar valores agregados en sus productos y servicios, los empresarios exigen más resultados de sus departamentos de informática y de las tecnologías disponibles a estos para así soportar nuevas y revolucionarias estrategias. Gran parte de estas estrategias se basan en la capacidad de implementar negocios electrónicos, motivo por el cual muchas empresas han desarrollado proyectos para presentar sus productos y servicios en sitios Web a través de la Internet. Esto ha generado como consecuencia la necesidad de exponer la información de una forma más abierta al público en general, generando nuevos riesgos de seguridad antes inexistentes. El número de usuarios de la Internet, se ha venido incrementando a pasos exponenciales y Colombia no es la excepción. De acuerdo con estudios realizados en nuestro país, para 1998 ya contábamos con más de 130.000 usuarios, para el año 2000 esta cifra por lo menos creció tres veces y el incremento para el 2003 y los años venideros será aún mayor2. Hace solo algunos pocos años, los negocios electrónicos eran un asunto prácticamente desconocido en nuestro país. Hoy en Colombia como en el resto del mundo, se han convertido en una nueva alternativa para las empresas y han revolucionado las estrategias convencionales de mercadear e identificar nuevos clientes. Sin embargo existen temores por el alto índice de ataques a las redes. Estos temores están fundamentados. La aparición de los nuevos delincuentes informáticos (hackers y crackers3) y el permanente desarrollo y evolución de los virus, de los cuales actualmente se tienen identificados más de 64.000 activos, que no solo tienen la finalidad de destruir, también captan claves de acceso de las computadoras de sus víctimas, han generado una serie de amenazas permanentes al adecuado desempeño de las empresas que utilizan y se benefician de los avances tecnológicos en informática y de los clientes que desean hacer sus compras o negocios a través de la Internet. 2 En la Web : http://www.gobiernoelectronico.org/node/5056 3 Hackers: Experto en informática capaz de de entrar en sistemas cuyo acceso es restringido. No necesariamente con malas intenciones. Crackers: Experto que entra en los sistema informáticos de forma furtiva y con malas intenciones. suele contar con tecnologías avanzadas para cometer sus acciones y es capaz de deteriorar complejos sistemas. En la web: http://www.proyectosfindecarrera.com/definicion/cracker.htm 12 Lamentablemente, en Colombia aún no contamos con estadísticas locales relacionadas con este tema, primordialmente porque no existe una organización que realice esta clase de estudios, y segundo porque normalmente los delitos informáticos y otras eventualidades relacionadas con la seguridad no son denunciados debido a la posible perdida de imagen y reputación de las empresas ante sus clientes. Como referencia de la falta de fundamentación del eje temático de seguridad en redes comparto correo dirigido al Ministerio de Comunicaciones Nacional donde se solicita información de estudios o análisis que hayan hecho en seguridad en redes en el país. Como respuesta se obtuvo el siguiente comunicado vía e-mail: De: Margarita Díaz Leal mdiaz@mincomunicaciones.gov.co Estimado Señor Prieto: Por instrucciones de la Dra. Martha Castellanos Directora de la Dirección de Desarrollo del Sector, atentamente remito respuesta dada mediante oficio 000035 del 8 de febrero de 2007 a su requerimiento radicado 142336 del 31 de enero de 2007 Cordialmente, Margarita Díaz L. Ingeniera Dirección Desarrollo del Sector Ministerio de Comunicaciones Asunto: Radicado 142336 del 31 de enero de 2007 Respetado señor Prieto: En atención a su consulta vía e-mail de fecha 23 de enero del presente año, y radicada según el asunto, cordialmente me permito informarle que el Ministerio de Comunicaciones no cuenta por el momento con estudios referentes a seguridad en redes e informática. Esta consulta se resuelve en términos del artículo 25 del código contencioso administrativo. 13 Atentamente, MARTHA P. CASTELLANOS S Directora de Desarrollo del Sector Ministerio de Comunicaciones c.c. P.A.C.O Proyectó: Margarita Díaz L – Jaime A. Arango V.” -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.1.408 / Virus Database:268.13.14/501 - Release Date: 26/10/2006 Debido a esto tenemos que tomar y analizar las estadísticas generadas en otros países, las cuales nos muestran las tendencias globales. Por ejemplo, un estudio realizado por el CSI (Computer Security Institute –Instituto de Seguridad en Computadores) cuyos resultados presentó en su informe “2001 Computer Crime & Security Survey”, acerca de la Seguridad Informática en 538 compañías (Agencias de gobierno, instituciones financieras, institutos médicos y universidades), quienes contestaron una serie de cuestionarios presentó estos resultados4: - El 85% detectaron fallas de seguridad en sus sistemas de cómputo. En su mayoría se trata de grandes empresas y entidades gubernamentales. - El 64% reconoció perdidas financieras debido a fallas de seguridad. - La pérdida financiera más importante ocurrió por el robo de información, seguido por el fraude financiero. - Internet mantuvo el liderazgo durante 4 años como punto más frecuente de ataques (70%), seguido de ataques desde el interior de la propia empresa (31%). - 196 compañías cuantificaron sus perdidas en un año, en 378 millones de dólares. - El 90% de las compañías no reportaron a las autoridades incidentes o ataques recibidos debido a la posible pérdida de imagen y al uso de esta información por sus competidores para tomar ventaja. (Situación muy similar a la encontrada en Colombia). - El 40% de las empresas detectó penetración desde el exterior. - El 35% detectaron ataques de negación de servicios. - El 91% detecta abuso de sus empleados en los privilegios de acceso a Internet. - El 94% de los casos detectó virus. 4 En la Web : http://www.gocsi.com/ 14 - El 13% reportó robo de información transaccional. - En el 80% de los casos de fraude informático hay participación de alguien al interior de la empresa. De acuerdo con todo lo expuesto anteriormente y teniendo en cuenta el altísimo valor que presenta la Seguridad de Información para las organizaciones, de ser considerada un lujo, o un gasto innecesario, la Seguridad se ha convertido en un eslabón vital en las estrategias del negocio. Por eso se han desarrollado tecnologías de seguridad en redes que permitan a las organizaciones resguardar su información, las tecnologías mas utilizadas en la actualidad son las siguientes según un estudio realizado en Estados Unidos. Gráfico 1: 2004 CSI/FBI Computer Crime and Security Survey 5 Las empresas han comenzado a entender y medir los potenciales riesgos inherentes de una débil y vulnerable estructura de seguridad. Ya entendemos que esta en juego mucho más que pérdidas económicas: perdida de confiabilidad y confidencialidad en la información por accesos no autorizados, perdida de imagen y reputación de la empresa, responsabilidades legales, objetivos y planes futuros, posicionamiento desfavorable frente a la competencia. Todo esto puede poner en peligro la estabilidad y el futuro del negocio.6 5 En la Web : http://www.gocsi.com/ 6 HERNANDEZ VALENZUELA, Alejandro. En la Web: http://www.scientechsecurity.com/articulos.asp 15 Por consiguiente, debido a la trascendencia cada día mayor de las operaciones de negocio en las organizaciones, de la información digitalizada en nuestras sociedades y la creciente dependencia de éstas en los sistemas de información es evidente que no hay la suficiente claridad en la fundamentación de la temática en seguridad de redes en cuanto a tendencias, aspectos problemáticos y investigaciones en curso, que nos permita obtener una mejor identificación y claridad en el direccionamiento a líneas de investigación para nuevos proyectos aplicados a la temática. 3. HIPOTESIS La fundamentaciòn del eje temático en tecnologías de seguridad en redes se establecerá como un documento de apoyo para grupos de investigación interdisciplinarios y la creación de otros que busquen líneas de investigación definidas en constante actualización y proyectos específicos de la temática. Las líneas de investigación y los proyectos que en este documento se presentan, serán parte del comienzo de una ideología y pensamiento orientado a la seguridad de las redes de datos, que se debe inculcar en la formación de los futuros profesionales egresados de la Universidad Libre. 16 4. OBJETIVO GENERAL Presentar el estado del arte de las tecnologías de seguridad en redes de datos, describiendo su objeto de estudio, tendencias e investigaciones, para generar un fundamento que sirva al direccionamiento a líneas de investigación para nuevos proyectos aplicados a este campo. 4.1 OBJETIVOS ESPECÍFICOS 1. Mostrar referentes teóricos y conceptuales al eje temático de investigación de seguridad en redes. 2. Definir el momento actual de la seguridad en redes y panorama de la tecnología al futuro en Colombia. 3. Definir los ejes problémicos, líneas de trabajo y posibles proyectos específicos ligados al campo de la seguridad en redes de datos. 4. Referenciar las investigaciones y los investigadores de nuevas tecnologías y tendencias de seguridad en redes de datos. 17 5. JUSTIFICACIÓN Teniendo en cuenta que en Colombia son escasos los estudios relacionados a la temática de Seguridad en Redes, este proyecto nace por la necesidad de la Facultad de Ingeniería de Sistemas de la Universidad Libre de Colombia, en brindarle a los estudiantes de pregrado un mayor acercamiento a temas de interés global, abriendo un espacio de investigación, donde se busqué evaluar y fundamentar esta temática, dando soporte a otros investigadores interesados en el tema, que propongan y promuevan en base a esta fundamentación proyectos e investigaciones que ofrezcan soluciones e innovaciones para la aplicación de seguridad en las redes. 6. DELIMITACION La fundamentación del eje temático de las tecnologías en seguridad de redes inalámbricas y alámbricas de computadores, contemplara un estudio en fuentes bibliografías y la Internet, teniendo en cuenta, de que estas fuentes no sean mayores a 10 años. 18 7. MARCO REFERENCIAL 7.1 ANTECEDENTES La seguridad en redes después de la evolución de la infraestructura tecnológica en el mundo que dio lugar a la interconexión global, ha mantenido un puesto primordial en los temas de investigación de muchos grupos en el mundo, que buscan desarrollar nuevas técnicas y tecnologías en la protección de la información. Sin embargo, en Colombia este tema es poco referenciado, hasta este momento se deslumbran destellos de interés en este tema. Los egresados del programa de Ingeniería de Sistemas y Computación de la Pontificia Universidad Javeriana, seccional Cali, Andrés Aristizábal y Hugo Andrés López, obtuvieron la Mención de Honor al Trabajo de Tesis 2006 otorgado por el Consejo de la Facultad de Ingeniería de dicha universidad, por su proyecto “Using Process Calculi to model and verify security properties in real life communication protocols” “Modelo de calculo para planear y verificar las propiedades de seguridad en los protocolos de comunicación de vida real”7 . El proyecto fue desarrollado en forma conjunta con el Ecole Polytechnique de París, en donde los autores tuvieron la oportunidad de trabajar con uno de los grupos más reconocidos en el área de la seguridad informática. Además, el informe de resultados de esta investigación fue seleccionado para presentarlos en un congreso internacional de tecnologías de información a desarrollarse próximamente en Nancy, Francia. Ellos contextualizaron su proyecto en la seguridad informática que puede considerarse como una de las características más importantes en las comunicaciones actuales. La necesidad de transmitir informacióncrítica de manera segura utilizando canales públicos ha cobrado especial importancia en el contexto de los sistemas de cómputo globales como Internet. Uno de sus autores, Hugo Andrés López, relata: “Este trabajo explora el uso de un cálculo de procesos concurrente en el análisis, diseño y especificación de protocolos de comunicación. En concreto, este trabajo propone SPL8 como un cálculo de procesos adecuado para la verificación de propiedades de sistemas Peer-to-Peer (P2P) Punto a Punto. 7 En la Web: http://www.universia.net.co - Universia Colombia Generado: 20 Agosto, 2006, 22:27 8 SPL: Lenguaje protocolo de Seguridad. Peer to Peer : Punto a punto 19 Se trata de esquemas de comunicación ampliamente relevantes en la actualidad: mientras que el primero representa un esquema general para compartir recursos en una red dinámica, el segundo está orientado a la reconfiguración de aplicaciones en ambientes colaborativos. Las propiedades de seguridad más relevantes para cada uno de estos protocolos son identificadas y analizadas. Este estudio se ve complementado con nuevas versiones de los protocolos que corrigen falencias de seguridad. Una contribución adicional consiste en una serie de codificaciones (encodings) que facilitan la descripción de ciertos tipos de protocolos de comunicaciones concurrentes dentro del cálculo de procesos; estos encodings se mantienen conservativos con respecto a los elementos existentes en SPL. De esta forma, este trabajo presenta resultados positivos en el campo de la verificación formal de protocolos de seguridad utilizando cálculos de procesos. El presente trabajo da fe tanto de la aplicabilidad de estos formalismos en el modelamiento de sistemas de comunicación concurrente de la vida real, como en el hallazgo de falencias de seguridad asociadas a los protocolos estudiados”. La motivación para desarrollar esta temática nació en el intercambio de ideas con algunos investigadores en el área de la computación y concurrencia, especialmente con el Dr. Frank Valencia– Ecole Polytechnique de París y el Dr. Camilo Rueda, director del programa de Ingeniería de Sistemas y Computación. Previamente se habían realizado investigaciones sobre cálculos de procesos de seguridad, sin embargo, los resultados obtenidos eran modelos incipientes en casos de estudio pequeños y ampliamente profundizados. Con la propuesta de esta investigación se amplió el área de aplicación, verificando que pese a la simplicidad de los formalismos teóricos, aplicaciones tan importantes y actuales como las redes P2P (peer to peer) podrían verse beneficiados del enfoque utilizado, cálculos de procesos. Lo más interesante de esta iniciativa radica en que después de graduados, sus autores han continuado trabajando en el proyecto ahora como parte del grupo de investigación AVISPA de la Pontificia Universidad Javeriana, seccional Cali, desarrollando algunas de las ideas originales contempladas en la tesis, como por ejemplo, programación concurrente por restricciones CCP, donde el grupo de investigación tiene gran experiencia. El interés de los autores en el área de la seguridad ha sido despertado y tal como comenta Hugo Andrés López “…nuestro proyecto implica continuar estas 20 investigaciones, con miras a consolidarlas en el desarrollo de nuevas teorías para el análisis de protocolos de seguridad…”.9 “De igual manera la Universidad Industrial de Santander, González Edilberto, Quintero Juan Gabriel, adelantaron un estudio de Firma Digital10 basada en Redes en el cual se describe la secuencia de pasos necesaria para firmar digitalmente mediante Redes (Lattice)11 un mensaje, basado en la conjetura computacional de la dificultad que implica el problema de reducción SVP1 y CVP2. El objetivo es brindar una alternativa al momento de utilizar algoritmos de cifrado de clave pública12 y firmas digitales”13. Por otro lado podemos tener en cuenta según correo de la lista de seguridad informática de ACIS (Asociación Colombiana de Ingeniería de Sistemas) el trabajo en conjunto de la comunidad académica de la Universidad del Cauca y la Universidad Cooperativa de Popayán en el planteamiento de un prototipo funcional de un sistema antivirus basado en agentes inteligentes. Según documento de su anteproyecto su objetivo es : “Analizar y diseñar mediante el uso de las técnicas apropiadas de Inteligencia Artificial, un prototipo de antivirus basado en agentes inteligentes que permita prevenir el ataque de virus gusanos en la plataforma de Windows”14. 9 En la Web: http://www.universia.net.co - Universia Colombia Generado: 20 Agosto, 2006, 22:27 10 Entiéndase por: método criptográfico que asegura la identidad del remitente. 11 Entiéndase por: Redes Lattice: Son objetos geométricos usados para resolver muchos problemas en matemáticas y en ciencias de la computación. Conjunto de intersecciones de puntos de una cuadricula regular. 12 Entiéndase por: El algoritmo de clave pública RSA fue creado en 1978 por Rivest, Shamir y Adlman, y es el sistema criptográfico asimétrico más conocido y usado. 13 Archivo Digital: VI Jornada Nacional de Seguridad Informática ACIS 2006. 14 Segurinfo mailing list Segurinfo@acis.org.co http://servidor.acis.org.co/mailman/listinfo/segurinfo Antivirus Inteligente. 21 8. MARCO TEORICO - CONCEPTUAL Para la ejecución del proyecto tendremos en cuenta las siguientes preguntas orientadoras que darán curso al desarrollo de la fundamentación del eje temático entre otras. 8.1 ¿Cuál es el Objetivo de la Tecnología asociada al Eje Temático? Las empresas de hoy están comprendiendo que uno de los activos más valiosos con que cuentan es la información. A partir de este entendimiento, han visto la importancia de proteger dichos activos contra los ataques de aquellos que buscan aprovechar las múltiples vulnerabilidades que los sistemas e infraestructuras de red presentan. El objetivo de estudio de las tecnologías de Seguridad en redes es mantener bajo protección con integridad, confiabilidad, confidencialidad, autenticidad y disponibilidad la información que circula por la red inalámbrica o alámbrica entendiendo que estos controles son manifestación de las políticas y procedimientos de la organización. Hay que comprender que los controles tecnológicos para la proteger la información, no proporcionan seguridad total. Todo depende de cómo la organización sepa definir, identificar y evaluar los riesgos para su información, ya que por si sola la tecnología no puede cumplir con su objetivo. 8. 2 ¿Cuál ha sido y cuál es hoy el conocimiento medular asociado? La tecnología en la seguridad de las redes tiene su origen en los mismos principios de la humanidad cuando las personas o los grupos sociales intentaban proteger sus intereses ya sean alimentos, dinero o información; Todo esto genero el interés por crear formas de protección a eso tan valioso que tenían. Estas formas de protección se conocen hoy como tecnologías (Criptografía, Protección Perimetral y sistemas de acceso seguro). La primera aplicación conocida es la criptografía15: Se remonta a 4000 años atrás, cuando los egipcios utilizaban jeroglíficos crípticos para narrar la vida y hazañas de sus faraones. La encriptación no se empleaba para esconder el significado del texto sino para darle un carácter más solemne. 15 LUCENA LOPEZ, Manuel José. Criptografía y Seguridad en Computadores. Tercera Edición (Versión 2.10). Madrid, Mayo de 2003. 22 En la antigua China, el carácter ideográfico del idioma servía para esconder el significado de las palabras, aunque no parece que esta particularidad se hubiera empleado para encriptar /desencriptar mensajes. Varios pueblos de la antigüedad emplearondiversos métodos de encriptación/ desencriptación de escritos, como los Griegos, los Espartanos y los Hebreos, pero los Árabes y los Indios fueron los que mayor desarrollo lograron en este campo, destacándose un Árabe, Muhammad al-Qalqashandi, quien inventó una técnica para descifrar mensajes que todavía se usa en la actualidad. La criptografía se tornó importante durante la Edad Media, cuando los gobiernos se comunicaban con sus embajadores por medio de mensajes cifrados. En 1453, el gobierno Italiano establece un grupo dedicado exclusivamente al estudio de la criptografía, con el fin de perfeccionar los métodos de encriptación de sus mensajes, así como para descifrar los de sus enemigos. Con el tiempo, además de los métodos manuales aparecieron máquinas simples, como la rueda de Thomas Jefferson. La llegada del telégrafo significó un importante avance en la criptografía, al generalizarse el uso de máquinas electromecánicas para la encriptación de mensajes. Las dos guerras mundiales también impulsaron significativamente el avance de la criptografía y del criptoanálisis. El desarrollo de los computadores marcó otro hito en el desarrollo de la criptografía, al permitir efectuar complejos cálculos matemáticos en corto tiempo, tanto para encriptar, como para descifrar mensajes. En el presente: El fruto de las funciones criptográficas inventadas en las últimas tres décadas se observa a diario en el desarrollo de las firmas digitales, los certificados digitales, los sistemas de autenticación y el correo electrónico seguro. En la actualidad se emplean dos tipos de criptografía: La criptografía simétrica, en la cual se usa la misma contraseña o llave para encriptar y para desencriptar la información. Entre los sistemas de criptografía simétrica, podemos mencionar Blowfish, IDEA (International Data Encryption Algorithm – Algoritmo Internacional de Encriptación de Datos), FEAL (Fast Data Encipherment Algorithm – Algoritmo Rápido de encriptación de Datos), DES (Data Encryption Standard) y los más comunes que son el 3-DES, y el Rijndael-AES, adoptado en 2000. 23 El usar la misma llave para encriptar y para desencriptar es un problema a la hora de enviar datos, ya que el remitente debe enviar previamente la llave al destinatario para que éste pueda desencriptar la información, y debe hacerlo por un canal seguro. Por lo tanto la criptografía simétrica se emplea especialmente para almacenamiento seguro de datos (solamente una persona necesita la llave). Para envío de datos es preferible la criptografía asimétrica. La criptografía asimétrica, que emplea un esquema de llave pública y llave privada. La información se encripta con la llave pública, y se desencripta con la llave privada. No presenta el problema de transmisión de la llave que tiene la criptografía simétrica, ya que la llave pública no sirve para desencriptar la información. Tanto la criptografía simétrica como la asimétrica basan su fortaleza en problemas matemáticos difíciles de resolver, como por ejemplo la factorización de números enteros grandes. Sin embargo y debido al avance en la potencia de computación, se estima hoy en día que solamente ofrecen muy buena seguridad las llaves de 2048 bits en el caso de RSA y 256 bits para AES. En el futuro: Los actuales sistemas de llave pública/llave privada son lo suficientemente seguros (si las llaves tienen una longitud adecuada) para el estado actual de la tecnología computacional. Pero en los últimos años se han dado pasos hacia una nueva generación de computadoras: las computadoras cuánticas, todavía en pañales, pero que muy probablemente serán una realidad en el 2020 o antes. ¿La diferencia con las computadoras actuales? A modo de ejemplo, romper un mensaje (descifrarlo sin la llave privada) encriptado con RSA a 2048 bits demoraría miles de años con un gran número de supercomputadoras de la actual tecnología interconectadas en paralelo. Este mismo mensaje se descifraría en cuestión de segundos con una computadora cuántica. Para adelantarse a estos hechos, se ha venido desarrollando la criptografía cuántica, que está en una etapa de desarrollo más avanzada que las computadoras cuánticas: ya existen varios prototipos funcionales de sistemas basados en criptografía cuántica, cuando todavía existen importantes barreras para la realización de una computadora cuántica funcional. 24 Para tener una idea de la velocidad con la cual se está desarrollando la criptografía cuántica, en 1991 se construyó un prototipo que podía operar con una distancia máxima de 32 centímetros entre el emisor y el receptor. A mediados del 2003, esta distancia máxima ya era de 100 kilómetros. En la actualidad todavía existen problemas prácticos para su implementación, que muy seguramente se irán solucionando en los próximos años. Para romper los sistemas actuales de encriptación solamente se requiere la potencia de computación necesaria para resolver complejos problemas matemáticos. Romper un mensaje encriptado con criptografía cuántica requeriría alterar las leyes de la naturaleza16. Otras de las tecnologías desarrolladas para la protección, integridad, confiabilidad, confidencialidad, autenticidad y no repudio: Son los sistemas de accesos remoto seguro (VPN, certificación digital (SSL, SSH, IPsec)), Técnicas biométricas, Protección perimetral Firewalls y sistemas de detección de intrusos IPS/IDS. En su evolución las tecnologías de seguridad cambian según el medio por donde transita la información y el tipo de información. Después de las dos grandes guerras se inicia una carrera tecnología en el desarrollo de la protección de la información, nace la guerra fría. La guerra fría es el punto histórico de la humanidad donde las dos grandes potencias después de la segunda guerra mundial desafían el futuro del mundo al construir y desarrollar tecnologías de destrucción masiva, después de 1945 las distancias se acortaron, las comunicaciones entre puntos distantes se volvieron inmediatas, se utilizaba pues esta comunicación para el creciente desarrollo de nuevas tecnologías, se crearon entonces redes de comunicaciones que abarcan hoy todo el mundo. Para entonces el espionaje siendo una antigua práctica en la guerra donde se buscaba capturar información que diera la ventaja sobre el enemigo se convirtió en uno de los principales objetivos en el desarrollo de la guerra fría. Fueron cada dia mas sofisticados los métodos de espionaje, se escuchaban y leían comunicaciones que transitaban por las entonces redes. Así como evolucionaban las técnicas y métodos para obtener información, así también se empezaron a 16 LUCENA LOPEZ, Manuel José. Criptografía y Seguridad en Computadores. Tercera Edición (Versión 2.10). Madrid, Mayo de 2003. 25 desarrollar tecnologías para proteger y dar seguridad a estas redes de comunicación. Para el inicio de la Internet: Remontándonos a los años 60 cuando en los EU. Se estaba buscando una forma de mantener las comunicaciones vitales del país en el posible caso de una Guerra Nuclear. Se marca el inicio de la evolución y expansión de las redes en el mundo. Los rasgos fundamentales del entonces proyecto se hallan presentes en lo que hoy conocemos como Internet. En primer lugar, el proyecto contemplaba la eliminación de cualquier "autoridad central", ya que sería el primer blanco en caso de un ataque; en este sentido, se pensó en una red descentralizada y diseñada para operar en situaciones difíciles. Cada máquina conectada debería tener el mismo status y la misma capacidad para mandar y recibir información. El envío de los datos debería descansar en un mecanismo que pudiera manejar la destrucción parcial de la Red. Se decidió entonces que los mensajes deberían de dividirse en pequeñas porciones de información o paquetes, los cuales contendríanla dirección de destino pero sin especificar una ruta específica para su arribo; por el contrario, cada paquete buscaría la manera de llegar al destinatario por las rutas disponibles y el destinatario reensamblaría los paquetes individuales para reconstruir el mensaje original. La ruta que siguieran los paquetes no era importante; lo importante era que llegaran a su destino. Curiosamente fue en Inglaterra donde se experimentó primero con estos conceptos; y así en 1968, el Laboratorio Nacional de Física de la Gran Bretaña estableció la primera red experimental. Al año siguiente, el Pentágono de los E.U. decidió financiar su propio proyecto, y en 1969 se establece la primera red en la Universidad de California (UCLA) y poco después aparecen tres redes adicionales. Nacía así ARPANET (Advanced Research Projects Agency NETwork – Agencia de Investigación de Proyectos de Red Avanzada), antecedente de la actual Internet. Gracias a ARPANET, científicos e investigadores pudieron compartir recursos informáticos en forma remota; este era una gran ayuda ya que hay que recordar que en los años 70's el tiempo de procesamiento por computadora era un recurso realmente escaso. ARPANET en sí misma también creció y ya para 1972 agrupaba a 37 redes. 26 El Protocolo utilizado en ese entonces por las máquinas conectadas a ARPANET se llamaba NCP (Network Control Protocol ó Protocolo de Control de Red), pero con el tiempo dio paso a un protocolo más sofisticado: TCP/IP, que de hecho está formado no por uno, sino por varios protocolos, siendo los más importantes el protocolo TCP (Transmission Control Protocol ó Protocolo de Control de Transmisión) y el Protocolo IP (Internet Protocol ó Protocolo de Internet). TCP convierte los mensajes en paquetes en la maquina emisora, y los reensambla en la máquina destino para obtener el mensaje original, mientras que IP es el encargado de encontrar la ruta al destino. La naturaleza descentralizada de ARPANET y la disponibilidad sin costo de programas basados en TCP/IP permitió que ya en 1977, otro tipo de redes no necesariamente vinculadas al proyecto original, empezaran a conectarse. En 1983, el segmento militar de ARPANET decide separarse y formar su propia red que se conoció como MILNET. ARPANET, y sus "redes asociadas" empezaron a ser conocidas como Internet. La siguiente fecha importante es 1984. Ese año, la Fundación Nacional para la Ciencia (National Science Foundation) inicia una nueva "red de redes" vinculando en una primera etapa a los centros de súper computo en los EE.UU. (6 grandes centros de procesamiento de datos distribuidos en el territorio de los EE.UU.) a través de nuevas y más rápidas conexiones. Esta red se le conoció como NSFNET (Fundación Nacional de Ciencia de la Red) y adoptó también como protocolo de comunicación a TCP/IP (Protocolo de Control de Transmisión / Protocolo de Internet). Eventualmente, a NSFNET empezaron a conectarse no solamente centros de súper cómputo, sino también instituciones educativas con redes más pequeñas. El crecimiento exponencial que experimentó NSFNET así como el incremento continuo de su capacidad de transmisión de datos, determinó que la mayoría de los miembros de ARPANET terminaran conectándose a esta nueva red y en 1989, ARPANET se declara disuelta. En 1989, México tuvo su primera conexión a Internet a través del Instituto Tecnológico de Estudios Superiores de Monterrey, el cual utilizó una línea privada analógica de 4 hilos para conectarse a la Universidad de Texas a una velocidad de ¡9600 bits por segundo!. Algo similar sucedía en otros países por lo que se determinó que era necesaria una división en categorías de las computadoras conectadas. Las redes fuera de los E.U., aunque también algunas dentro de ese país, escogieron identificarse por su localización geográfica, mientras que los demás integrantes de NSFNET se 27 agruparon bajo seis categorías básicas o dominios : "gov", "mil", "edu", "com", "org" y "net". Los prefijos gov, mil y edu, se reservaron para instituciones de gobierno, instituciones de carácter militar e instituciones educativas respectivamente. El sufijo "com" empezó a ser utilizado por instituciones comerciales que comenzaron a conectarse a Internet en forma exponencial, seguidos de cerca por instituciones de carácter no lucrativo, las cuales utilizaron el sufijo "org". Por lo que respecta al sufijo "net", este se utilizó en un principio para las computadoras que servían de enlace entre las diferentes sub-redes (compuertas o gateways). En 1988 se agregó el sufijo "int" para instituciones internacionales derivadas de tratados entre gobiernos17. En el entorno de las nuevas redes y pasada la guerra fría, la Internet se constituyo como la red de redes mediante la cual se conectan subredes las cuales representan organizaciones, personas, etc. Estas redes se dividen en: • LAN = Local Area Network • MAN = Metropolitan Area Network • WAN = Wide Área Network LAN: Red de Área Local (Red pequeña oficinas, edificios) Red compuesta por servidores y recursos que sólo pueden ser accedidos desde una oficina. También denominada Red Privada. MAN: Red de Área Metropolitana (Red mediana, Ciudades) Red que une edificios o redes LAN dentro de la misma ciudad. WAM: Red de Área Global (Red Extensa, Entre continentes) Red de grandes distancias que para poder usar sus recursos usamos resolución de dirección DNS (www.dominio.com.ar) Red utilizada para interconectar redes LAN Y MAN.18 A partir de los años 80 el uso del computador personal comienza a ser común. Asoma ya la preocupación por la integridad de los datos. En la década de los años 90 proliferan los ataques a sistemas informáticos, aparecen los virus y se toma conciencia del peligro que nos acecha como usuarios de PCs y equipos conectados a la Internet. Las amenazas se generalizan a finales de los 90. 17 En la Web: http://www.albanet.com.mx/articulos/HISTORIA.htm 18 Documento Digital: Redes Seguras Autor Enrique G. Dutra Analista de Sistemas (Mat. 02642) 28 El antiguo fantasma del espionaje en las redes de comunicaciones renacía, ya no tal cual, si no ya como una practica de nuevos propósitos y metas. Estas prácticas tenían como objetivo robar, traficar, suplantar y dañar la información que transitaba por las nacientes redes, así como los equipos servidores y PCS personales. Todo esto por lucro propio o por el simple hecho de probar que podían hacerlo. Su innovación nacía con el concepto de virus informático, el cual como su semejante en los humanos su propósito es infectar y enfermar al huésped, en este caso al computador. Uno de los primeros virus en Internet, el gusano Morris, golpeó a un número elevado de instituciones educativas en 1988. Esto hace a las empresas y usuarios individuales más conscientes de los peligros de la información que entra en la red desde el exterior. La necesidad dio pronto a luz la invención de los cortafuegos. Los primeros cortafuegos eran enrutadores. Un enrutador conecta dos redes, y es la ubicación lógica para establecer un control de paso donde la información puede ser comprobada y bloqueada o permitida, en su caso. Fueron diseñados más para el propósito de vigilar la entrada que la salida. Los enrutadores dividen las redes en segmentos denominados subredes. Hay muchas ventajas en hacerlo así, una de ellas es que si un problema afecta a un segmento no tiene porque afectar al resto. Los enrutadores IP con capacidades de filtrado diseñados para mantener intrusos o usuarios no autorizados fuera, se destacaron por ser muy rudimentarios según los estándares actuales. Sólo podían bloquear o permitir paquetes según la dirección IP o puertos TCP/UDP, no tenía forma de comprobar el contenido de los datos porque trabajaban en la capa de red del modelo OSI (Interconexión de Sistemas Abiertos). Durante esta década se consolido uninterés por desarrollar tecnologías de seguridad en las redes, ejemplo de esto es el firewall (cortafuegos) y los sistemas de detección de intrusos (IDS). “..Estos últimos desarrollados por Dening y Neummann. Los IDS recolectan y analizan información procedente de distintas áreas de un computador o red de computadores con el objetivo de identificar posibles fallos de seguridad. Este análisis en busca de intrusiones incluye tanto los posibles ataques externos (desde fuera de nuestra organización) como los internos (debidos a un uso abusivo o fraudulento de los recursos)...19”. 19 En al Web: http://tau.uab.es/~gaby Autor: Gabriel Verdejo Álvarez 29 Pasó el tiempo y la Internet se evoluciono, ya no solo era la red global para comunicar dos puntos distantes, ahora la Internet aloja sitios que ofrecen servicios bancarios, compras, ventas y entre otros. En el desarrollo de estos servicios nace el concepto de comercio electrónico que constituye una compleja operación en la que uno de los principales elementos es dar seguridad a vendedor y comprador de que la transacción comercial que están realizando se realiza sin intromisiones de ningún tipo y sin posibilidad de fraudes o engaños entre ninguna de ambas partes. Durante los últimos 10 años han ido surgiendo un número considerable de tecnologías y sistemas de pago electrónico que ofrecen las garantías de seguridad e integridad necesarias para realizar estas transacciones de una forma fiable. No obstante, este sigue siendo el mayor obstáculo (tanto técnico como psicológico) a vencer para que se produzca el definitivo despegue del comercio electrónico. Mientras no exista confianza, mientras los usuarios teman al fraude, mientras se desconozcan los sistemas de pago empleados y su fiabilidad, es difícil que esta oportunidad de negocio prospere. Para aumentar la confianza en las transacciones en la Internet se desarrollo el SSL, Secure Sockets Layer (Protocolo para transmisión de información en forma segura a través de Internet), fue diseñado y propuesto por Netscape Communications Corporation en 1994 junto con su primera versión de Netscape Navigator. Tras una accidentada historia inicial de revisiones alcanzó su madurez en 1995 con la versión 3.0, convirtiéndose hoy en día en la solución más extendida en los servidores que ofrecen servicios de comercio electrónico y dejando virtualmente en la cuneta a todos sus competidores a pesar de que no es ni el método más seguro ni el más idóneo para implantar este tipo de soluciones, puesto que fue diseñado como un protocolo seguro de propósito general. Otra solución de seguridad es la VPN (Red Privada Virtual), que es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet. El protocolo estándar para el uso de las VPNs es el IPSec (Protocolo de Seguridad en Internet): Suministra seguridad a nivel de red, proporcionando seguridad para IP y los protocolos de capas superiores 30 • Provee: – Control de accesos – Integridad no orientada a la conexión – Autenticación del origen de datos – Rechazo o reenvío de paquetes – Confidencialidad – Negociación de compresión IP. Por otro lado, una de las tecnologías más particulares es la que se refiere a las técnicas biométricas. La biometría es la disciplina que permite identificar y/o obtener rasgos de la persona basándose en sus características físicas y/o en sus pautas de comportamiento. De esta forma estas tecnologías permiten establecer una relación entre una persona y un determinado patrón asociado a ella de forma segura e intransferible. Esta tecnología de seguridad para las redes de hoy busca el reconocimiento de una persona por medio de características que le son prácticamente únicas: impresiones digitales o huellas dactilares, iris, retina, geometría de las manos, cara, voz, firma, etc. “Siguiendo con un orden cronológico vemos el inicio de las redes inalámbricas a finales de los 90 y comienzos del 2000. Estas redes han cobrado cada vez mayor extensión en todas las organizaciones. Esto es debido a que son económicas, fáciles de configurar y es sencillo hacerlas funcionar. Algunas organizaciones están examinando sus costos para actualizar el cableado en sus edificios y cambiar a las redes inalámbricas como una medida de economía. Desgraciadamente, mientras que la tecnología inalámbrica puede proporcionar ahorros en los costos, deja la puerta abierta para algunas cuestiones de seguridad bastante serias para aquellas organizaciones que las utilizan. Se han propuesto diversos mecanismos de seguridad para manejar las cuestiones de la escucha furtiva y la autenticación, pero hasta ahora, los estándares que han sido propuestos y muchas de las implementaciones de estos estándares en los productos han tenido serias vulnerabilidades en cuanto la seguridad20 “. 20 Libro Fundamentos de Seguridad en Redes Segunda Edición; Autor Eric Maiwald 31 8.3 ¿Cómo ha sido su evolución paradigmática? Esto haciendo uso de la curva S y los conceptos de diseño dominante y discontinuidad tecnológica. Gráfico 2: Análisis evolución paradigmática 32 Evolución Paradigmática y Discontinuidad Tecnológica. Época - Años Avances Tecnológicos Discontinuidad Tecnológica Herramientas Tecnología Dominante 28.000 años 17.000 años AC • Tallas en piedra • Escritura en papel • Políticas de Seguridad • La información era fácilmente interceptada y robada. • En la mayor parte de los casos, si la información era robada, el propietario original de la información quedaba privado de ella. Paredes, fosas, mensajeros y guardias Seguridad Física 60 AC - 1945 • Códigos de Encriptación • Los operadores no cumplían con el reglamento de uso de los mecanismos y maquinas de encriptación, por estos errores el enemigo descifro el código. • Código Cesar. • Maquinas de encriptación. • Algoritmos de encriptación. • Libretas de un solo uso. Seguridad en Comunicaciones 1950 • La información viaja a través de medios electrónicos. • Reducción de emisiones electrónicas Tempest. • Siendo el medio electrónico por donde viaja la información, de igual manera era robada con equipos electrónicos diseñados con este fin. • Algoritmos de encriptación. • Dispositivo Tempest. • Teletipo. Seguridad de Emisiones 1970 - 1989 • Modelo: Sistema protección de computo (Libro Naranja). • Evaluación de Seguridad • Programas de certificación en seguridad. • Control de acceso por perfiles de usuario. • Violación de acceso físico a centros de cómputo. • Avance acelerado de S.O y hardware, antes que pudieran ser certificados. • Libro Naranja. • Encriptación. • Libro Verde. Seguridad Computacional 1990 • Protocolos para la conexión de computadores en red. • TCSEC (Libro Rojo). • Control de acceso a la red. • Autenticación. • Protección contra código mal intencionado que viaja por la red. • Faltade comprensión de que es una red. • El libro naranja no contempla la seguridad en red. • Velocidades más altas y muchas conexiones a un medio en común. • S.O de red. • Libro Rojo. • Nuevos sistemas de encriptación y autenticación en red. Seguridad en Red 1992 - 2007 • Sistemas de seguridad Híbridos. • Sistemas de seguridad basados en inteligencia artificial. • Políticas de seguridad. • Cada tecnología por separado es vulnerable. • Se priorizan las soluciones tecnológicas sobre los controles internos. • Firewall, antivirus, IDS. • Biometría, Criptografía. • Tarjetas Inteligentes. • VPN, Protocolos de seguridad. Seguridad de la Información 33 Durante toda la evolución paradigmática de la tecnología, siempre se ha enfocado en proteger a toda costa el activo que es la información, pero siempre priorizando los soluciones de afuera hacia adentro de la organización, y no, en controles internos. Por otro lado, las áreas de negocio no participan activamente en la definición de una estrategia de seguridad. En la actualidad este es el paradigma que marca la evolución de la tecnología, en el cual, el área de negocio sea participe en la toma de decisiones en una estrategia de seguridad que convenga a la organización. 8.4 ¿Qué tipo de productos incorporan la tecnología? En la actualidad se maneja en el mercado una gran variedad de productos que satisfacen las necesidades del cliente final. Claro está, que estos productos atribuyen su efectividad dependiendo del cliente, cada producto de seguridad en redes es diseñado tecnológicamente según la magnitud de la información que va a proteger, como también la velocidad de conexión entre redes, el número de equipos o servidores que contiene la información y la cantidad de usuarios que tienen acceso a la información. Todos estos parámetros hacen que la gran industria en el desarrollo de nuevas tecnologías de seguridad en redes sea tan variada, como la vulnerabilidad por la cual fue creada. Un solo producto no puede brindad el 100% de la seguridad que se requiere, es necesario establecer arquitecturas de seguridad compuestas, es decir, con varios controles de seguridad que trabajen en conjunto para un mejor desempeño. Los productos de la tecnología de seguridad se componen de dos elementos claves: Software. Hardware - Software. Que a su vez pueden ser productos Propietario o No Propietario (Software Libre). Entiéndase a software libre como “una vez obtenido, puede ser usado, copiado, estudiado, modificado y redistribuido libremente. El software libre suele estar disponible gratuitamente en Internet, o a precio del coste de la distribución a través de otros medios”21. En la gama de productos ya sea propietario o no propietario, cada uno tiene sus pros y contras, para tener en cuenta a la hora de la implementación de una solución de seguridad. Estos pros y contras pueden variar dependiendo del perfil del cliente que requiere la solución de seguridad. 21 En la Web http://es.wikipedia.org/wiki/Software_libre 34 En la mayoría de portafolios de servicios del mercado, que ofrecen productos de seguridad, discriminan al tipo de cliente de la siguiente manera: Hogares y oficinas domesticas. Pequeñas y medianas empresas. Empresas y sectores. Esta clasificación propone productos tecnológicos de seguridad acordes para la necesidad del tipo de cliente que la requiera. Ya que no es lo mismo una solución para un cliente hogares, que para un cliente de un sector empresarial, la seguridad es más compleja para el cliente empresarial. Por esta razón y en esa medida se presentan los productos por tipo de cliente22. Hogares y oficinas domesticas: Sistemas Operativos Seguros. Antivirus. Antispyware. AntiSpam. Antidialers. Firewall Personal. Protección contra fraudes online. Control parental (Contenidos). Protección de Wireless. Gestión Segura de Correo Electrónico. Protección de Aplicaciones. IDS - IPS Pequeñas y medianas empresas: Tecnologías integradas de antivirus, protección antisoftware espía, cortafuegos, antispam, antiphishing y de copias de seguridad. Sistemas Biométricos. Tarjetas Inteligentes. Sistemas de encriptación. Firmas Digitales. Protección Perimetral (IDS, IPS Firewall). Monitorización de la red. 22 En la Web http://www.pandasecurity.com/spain/homeusers/solutions/activescan/ 35 Cliente VPN. Discos Autocifrables. Empresas y sectores: Sistemas Operativos seguros independientes en cada dispositivo de seguridad. Antivirus Tecnologías Integradas de todo tipo de protección contra código maligno. Encriptación trafico encriptado SSL. Sistemas Biométricos. Certificación y autenticación segura para E-business y E-Commerce. Administrador de políticas. Autenticación para redes inalámbricas. Protección Perimetral (IDS, IPS Firewall) de nueva generación. Consolas de administración de tráfico en red. Dispositivos híbridos de seguridad. Herramientas de auditoria externa e interna. Cliente VPN. Redes Autodefensitas. Discos Autocifrables23. Para desarrollo de los productos tecnológicos en seguridad y sus avances, se presenta la tendencia a la integración de tecnologías (híbridos tecnológicos), donde se mantiene una base tecnológica. Esta base la conforman la criptográfica, antivirus, firewall (software-Hardware), IDS, IPS, VPN, protocolos SSL- IPSEC, sistemas biométricos y administrador de políticas. Estos productos en el mercado se ofrecen en paquetes software o dispositivos hardware. Es importante entender que el dispositivo hardware tiene instalo un software de administración y de configuración “Sistema Operativo” el cual puede ser propietario o no propietario. Los dispositivos en su calidad de tecnologías de seguridad en redes aparte de su labor de enrrutar el paquete de información a su destino, deben analizarlo, este trabajo lo realizaba recurso del sistema del servidor, con software especializado para ese proceso, esto retardaba el trabajo de la petición al servidor. Por ello los productos de seguridad en la actualidad contienen procesadores para aplicaciones especificas los “ASIC” (Circuito Integrado para Aplicaciones Específicas) los 23 En la Web: http://www.symantec.com/es/es/product/index.jsp 36 cuales procesan con la ayuda de sistemas operativos en tiempo real, esto da eficiencia a la red y al proceso de mantener la seguridad. Las tareas que ejecutan los sistemas operativos en los dispositivos de seguridad son las siguientes: Contención de Seguridad - Antivirus/Spyware/Phishing - Antispam - Filtrado Web - IPS(Sistema Prevención Intrusos) Protección de Red - Firewall - DoS - IPSEC VPN - Autenticación de Usuarios Arquitectura de Red Segura - Virtualización - WAN Encapsulación - Ruteo de LAN Gráfico 3: Curso ACIS “Estrategias para el mejoramiento de seguridad en redes”, 2006. Para entender más a fondo el tipo de producto software propietario o no propietario del cual se desprende el desarrollo de sistemas operativos, revisamos un estudio comparativo del software propietario y no propietario para los productos de seguridad. Es posible hacer un análisis de los distintos productos y tecnologías de seguridad disponiblesactualmente. Este análisis, realizado en “El sistema operativo GNU/Linux y sus herramientas libres en el mundo de la seguridad: estudio del estado del arte”, se muestra en la tabla adjunta. En ésta se muestra, de forma resumida, las distintas áreas estudiadas en el estudio indicado y la valoración que pueden recibir las soluciones dividiendo en software libre y software propietario. La calificación se ha hecho de una forma, en gran medida, subjetiva, basándose en la apreciación de los autores. Para esta calificación se ha utilizado una nota expresada de la A (mejor) a C (peor). Una A significa que un área está muy desarrollada, una B que implementa la funcionalidad suficiente para ser operativa (pero no capacidades que la puedan convertir en una tecnología plenamente desarrollada) y una C que aún está en desarrollo. Para tener una mayor flexibilidad en la calificación se han añadido ‟+‟ y ‟-‟ indicando una mejora, o degradación, dentro de una misma calificación”.24 24 Hispa Linux “Seguridad Informática y Software Libre” 37 Gráfico 4: Hispa Linux “Seguridad Informática y Software Libre” En vista de estos resultados ¿es mejor utilizar software libre para los productos de seguridad? La respuesta es... depende. Que, aunque pueda parecer una respuesta ambigua, está en realidad suficientemente fundamentada. Se ha presentado, en este documento, las distintas capacidades, ventajas y desventajas del software libre frente al software propietario. En la tabla, sin embargo, se puede ver que, en determinadas áreas, hoy por hoy, no es viable basar una solución de seguridad en software libre y va a ser necesario acudir a soluciones propietarias por estar el primero en una etapa aún inmadura de desarrollo. Sin embargo, sí que es posible adivinar que el software libre está, en determinadas áreas, compitiendo codo con codo con las soluciones propietarias existentes. La situación ha ido cambiando a medida que las distintas soluciones desarrolladas se han demostrado competitivas y han ido siendo aceptadas por el público general. Esta aceptación ha dado lugar a un desarrollo exponencial en el que se pueda esperar que, en aquellas áreas en las que el software libre aún no alcanza al software propietario, la situación llegue a igualarse (e incluso invertirse) pasado un cierto tiempo. Por otro lado, independientemente del ritmo de crecimiento del software, del lado de la seguridad, las ventajas ofrecidas por el software libre son evidentes frente a las alternativas propietarias. Máxime en determinados entornos en los que una persona no se puede “fiar” de aquella compañía que le vende la solución o no puede depender de la seguridad “garantizada” por un determinado producto que no tiene forma de demostrar. 38 Por tanto, si bien el software libre en la actualidad tiene una cobertura desigual de las distintas necesidades de seguridad de una empresa o corporación, éste es, definitivamente, una apuesta de futuro provechosa en aquellas áreas aún no desarrolladas y una oportunidad real e inmediata en las demás áreas para utilizar soluciones equivalentes a las propietarias con: Un menor costo Unas mayores garantías de seguridad, debido a la posibilidad de auditar el código en uso. Una mayor flexibilidad en la adaptación e integración, gracias a la posibilidad de modificar dicho código La posibilidad del mantenimiento asegurado de una solución de seguridad con independencia del origen del producto en sí. 25 25 Hispa Linux “Seguridad Informática y Software Libre” En la web es.tldp.org/Informes/informe-seguridad-SL/informe-seguridad-SL-html/ - 4k - 39 8.5 ¿Quién esta utilizando dicha tecnología? En la actualidad con la expansión de las redes de comunicación como la Internet, donde todo el mundo esta conectado, desde el niño que en casa necesita hacer su tarea, hasta las mas importantes empresas del mundo, todos con intereses y propósitos distintos, cada día somos atacados y vulnerados en nuestra seguridad mientras navegamos consultando, comprando, vendiendo, descargando o haciendo cualquier tipo de transacción. Sin lugar a duda los atacantes no diferencian el tipo de usuario que están perjudicando, solo les importa sus intereses, por consiguiente nadie esta exento. Las tecnologías de seguridad en redes están diseñadas para que todo tipo de usuario que haga uso de la red. En referencia al mercado el tipo de usuario, esta catalogado de la siguiente manera: Hogares y oficinas domesticas. Pequeñas y medianas empresas. Empresas y sectores. Para tener una ideal de la magnitud en el uso de tecnologías en seguridad, se presenta el siguiente informe26: “Más de 1.000 millones de personas en el mundo tienen acceso a Internet, y el 25% de ellos tiene banda ancha o conexiones de alta velocidad, según una encuesta de la empresa eMarketer. El informe señala que la marca de los 1.000 millones fue alcanzada a fines de 2005, y cerca de 250 millones de hogares tienen conexiones de banda ancha. La empresa estimó que, de esas personas, 845 millones usan Internet de forma regular. Estados Unidos sigue siendo el número uno en cuanto a los usuarios de la red, con 175 millones, y con 43,7 millones de hogares con banda ancha. Latinoamérica es la región con mayor crecimiento en cuanto al acceso a la banda ancha, con un 70% de incremento en los usuarios. Pero tiene sólo 70 millones de personas con acceso a la red. Asia-Pacífico es la región con más usuarios (315 millones) y con más acceso a banda ancha, con cerca del 40% de los hogares del mundo que usan esa conexión. 26 En la Web. http://www.mundoenlinea.cl/noticia.php?noticia_id=6542&categoria_id=29 40 Europa tiene 233 millones de usuarios de la red y 55,2 millones de hogares con banda de ancha. En comparación, China registró 111 millones de usuarios y 34,1 millones de hogares con conexiones de alta velocidad. El informe se basó en varias encuestas del sector y datos de la Unión Internacional de Telecomunicaciones y la Organización de Cooperación Económica y Desarrollo.27” Otra fuente de datos, que refleja la participación en las tecnologías de seguridad para el escenario Colombiano, es la VIII Encuesta Nacional, Tendencias 2002 – 2008 de ACIS Asociación Colombiana de Ingenieros de Sistemas Este cuadro presenta el porcentaje a partir del año 2002 al 2008, de la participación en la temática de seguridad de la información, de los diversos sectores del ámbito Colombiano. 2002 2003 2004 2005 2007 2008 Banca 10,4 12,5 9,6 13 16,1 16,26 Ingenieria 6,5 2,3 6,4 4 7,3 6,9 Industria Informatica 23,4 13,6 15,1 15 10,8 0 Educación 19,5 19,3 14,2 24 17,6 14,78 Servicios Publicos 3,9 5,7 1,8 3 1,5 0 Gobierno 16,9 25 10,5 9 16,1 9,85 Seguros 2,6 8 2,7 8 0 0 Petroleo 0,0 0 1,4 0 0 0,49 Transporte 3,9 2,3 0,5 2 1,5 0 Telecomunicaciones 6,5 10,2 10 5 2,5 8,37 Farmaceutico 1,3 0 1,4 2 0 0 Sin ánimo de lucro 5,2 1,1 3,7 1 0 0 Manufacturera - - - - - 3,45 Salud - - - - - 2,46 Alimentos - - - - - 0,99 Otros 33,8 22,7 22,8 20 35,8 36,45 Gráfico 5: ACIS Revista Sistemas Nº 105 Abril – Junio 2008 “Los resultados muestran una variación en el perfil de los participantes en la encuesta en el año 2008. Se observa que la Banca y el sector educativo tienen una presencia más significativa...28”. 27 En la Web. http://www.mundoenlinea.cl/noticia.php?noticia_id=6542&categoria_id=29 28 ACIS Revista Sistemas Nº 105 Abril – Junio 2008 41 0,00% 5,00% 10,00% 15,00% 20,00% 25,00% 30,00% 35,00% 40,00% 2002 2003 2004 2005 2007 2008 VIII Encuesta Nacional, Tendencias 2002 – 2008 Banca Ingenieria Industria Informatica Educaión Servicios PublicosGobierno Seguros Petroleo Transporte Telecomunicaciones Farmaceutico Sin ánimo de Lucro Manufacturera Salud Alimentos Otros Gráfico 6: Sectores en Colombia interesados en las tecnologías de seguridad año 2002 -2008 29 En el avance de la inseguridad en redes, todos los sectores de la sociedad ya sea hogar o cualquier tipo de organización, usan una tecnología que proteja su sistema de ataques. 8.6 Aplicaciones de la tecnología: ¿Para qué la están utilizando?, ¿Qué han logrado con su uso? (Usos específicos). Las aplicaciones de la tecnología brindan seguridad en las transacciones en cualquier tipo de red, proporcionar soluciones de protección al acceso y ofrecer mecanismos de transporte de datos de manera segura. Las aplicaciones de la tecnología difieren del hecho de determinar qué se esta protegiendo, la evolución del mundo con la globalización y la tendencia en acortar distancias con la tecnología, formulan una variedad de usos y aplicaciones para los distintos sectores de nuestra sociedad. 29 ACIS Revista Sistemas Nº 105 Abril – Junio 2008 42 Aplicación: Sistemas de Informes de Seguridad (Log). Uso: Cumplimiento de políticas y procedimientos de seguridad dentro de la organización. Logro: Pista del estado total de las vulnerabilidades dentro de la organización. Aplicación: Sistemas de Informes de Seguridad (Monitoreo). Uso: Monitoreo de las políticas para el uso de computadores por parte de los empleados. Logro: Identificación de los empleados que violan constantemente la política de la organización. El sistema es capas de bloquear el acceso al empleado y registra el intento de intrusión en las bitácoras. Aplicación: Sistemas de Autenticación. Uso: Probar la identidad de los usuarios que deseen hacer uso de un sistema u obtener acceso a una red. Tales mecanismos también pueden emplearse para probar la identidad de los individuos que deseen obtener acceso físico a una instalación. Logro: Niega el acceso a la red de los usuarios no autenticados y asegura que ningún “individuo”, tenga acceso a instalaciones sin plena verificación de su identidad. Aplicación: Sistemas de Autenticación (Contraseñas). Usos Específicos: Acceso a sistemas operativos. (Secciones, archivos y administración). Correo Electrónico. Banco Virtual. Acceso a redes (Wireless, LAN, MAN y WAN). Acceso a servidores en la Web (Administración de páginas, Comercio Electrónico)30. 30 Libro Fundamentos de Seguridad en Redes Segunda Edición; Autor Eric Maiwald 43 Aplicación: Sistemas de Autenticación (Firma Digital). Usos Específicos: Transacciones de documentos legales u oficiales de forma digitalizada. Facilita el intercambio de mensajes de todo tipo, incluidos aquellos de contenido contractual y administrativo, entre personas distantes geográficamente. Atribuyen de forma irrefutable la identidad del signatario. Aseguran la integridad absoluta del mensaje, es decir, que el documento recibido sea exactamente el mismo que el emitido, sin que haya sufrido alteración alguna durante su transmisión. Garantizan su origen de forma que el emisor del mensaje no pueda repudiarlo o negar en ningún caso que el mensaje ha sido enviado por él. Por último, son confidenciales (el mensaje no ha podido ser leído por terceras personas). Aplicación: Sistemas de Autenticación (Certificados Digitales). Usos Específicos: Para los usuarios proporcionan un mecanismo para verificar la autenticidad de programas y documentos obtenidos a través de la red, el envío de correo encriptado y/o firmado digitalmente, el control de acceso a recursos etc. Puede acreditar la existencia de una empresa o persona en el mundo virtual, además de asegurar la identidad digital de sitios Web. Lo anterior permite reducir al mínimo los fraudes virtuales originados por la suplantación virtual de personas y empresas, y por la existencia de sitios fantasmas. Se usa para que la transmisión de mensajes, documentos y transacciones comerciales navegan en Internet en un contexto de absoluta seguridad y confidencialidad. Aplicación: Sistemas de Autenticación (Tarjetas Inteligentes). Usos Específicos: Comprobación para el acceso al sistema de cómputo. Validación para acceso a la red. Acceso a sistemas operativos. (Secciones, archivos y administración). Acceso Físico a Centros de Cómputo31. 31 Libro Fundamentos de Seguridad en Redes Segunda Edición; Autor Eric Maiwald 44 Aplicación: Sistemas de Autenticación (Biometría). Usos Específicos: Huellas Digitales. Retina/Iris. Huellas de las Palmas. Geometría de las Manos. Geometría Facial. Voz. Identificación para transacciones Bancarias. Acceso Físico a Centros de Cómputo. Acceso a sistemas operativos. (Secciones, archivos y administración). Aplicación: Sistemas de Protección Perimetral. Uso: Previene que usuarios no autorizados penetren en la red interna a través de Internet; posibilita también aislar ciertos entornos de trabajo internos (laboratorios, servidores,...) del resto de la organización. Proporciona un control exhaustivo sobre el uso de Internet en su empresa, según servicios (Web, P2P, e-Mail,...) y contenidos accedidos (ocio, juegos, descargas, contenidos obscenos...). Prevenir y controlar daños y accesos no permitidos a usuarios hogares. Logro: Garantizar la integridad de los datos almacenados en sus sistemas de información (Hogares o Empresas); analizar todo el tráfico de la red interna y externa para detectar actividades sospechosas e interceptar éstas antes de que causen daños irreversibles. Aplicación: Sistemas de Protección Perimetral. (Antivirus)32. Usos Específicos: Escaneo de los dispositivos externos como (Memorias USB, Diskette y CD). Análisis de los datos adjuntos de correos electrónicos. Análisis de archivos que se descargan de Internet o de otra red de la organización. Subir la seguridad del navegador o simplemente no aceptar cualquier cartel que aparezca; usar el monitor del antivirus cuando se navega por esos sitios. Análisis de las actualizaciones del sistema. Control de software maligno que circula por la Web: Antispam, Antispyware, troyanos y Antidialers. 32 En la web http://www.pandaantivirus.com.ar/gatedefender/ 45 Control y análisis de contenidos de los archivos que envían en salas de Chat. Detección Proactiva: detecta actividades sospechosas, antes de que causen daños irreversibles. Aplicación: Sistemas de Protección Perimetral. (Firewall)33. Usos Específicos: Gráfico 7: Perímetro De Defensa Autor: Daniel Ramón Elorriaga Madrigal Ing. Electrónico Universidad Nacional Autónoma de México El firewall es parte de una política de seguridad completa que crea un perímetro de defensa diseñada para proteger las fuentes de información. Concentra la seguridad Gráfico 8: Firewall en Internet Autor: Daniel Ramón Elorriaga Madrigal Ing. Electrónico Universidad Nacional Autónoma de México 33 En la Web http://www.monografias.com/trabajos3/firewalls/firewalls.shtmlb 46 Genera alarmas de seguridad. Traduce direcciones (NAT - Traducción de Dirección de Red). Monitorea y registra el uso de Servicios de WWW y FTP. Filtra contenidos no admitidos de la Internet para los empleados o usuarios de la red. Proteger la red interna de una organización contra ataques externos. Filtrado de Paquetes: Estático, Dinámico y Stateful34. Stateful Packet Inspection Gateways de Circuito. Gateways de Aplicación.