TAREA 4
Utilizando la siguiente información,
Realiza un resumen en el cual se dicten las pautas de como mantener seguro nuestro ordenador.
Realiza un resumen en el cual se dicten las pautas de como mantener seguro nuestro ordenador.
¿Cómo
están diseñadas las medidas de seguridad en nuestros ordenadores?
Remedios
Los protocolos TCP/IP se pueden
asegurar con métodos de encriptación y protocolos de seguridad.
Estos protocolos incluyen Secure Sockets Layer (SSL), seguido por
Transport Layer Security (TLS) para tráfico web, Pretty Good Privacy
(PGP) para email, e IPsec para la seguridad de la red.
Protocolo de Seguridad Internet (IPsec)
IPsec está diseñado
para proteger la comunicación TCP/IP de forma segura. Es un set de
extensiones de seguridad desarrolladas por el Grupo de trabajo de
ingeniería de Internet, en inglés Internet Engineering Task Force
(IETF). Proporciona seguridad y autentificación en la capa IP
transformando sus datos usando la encriptación. Hay dos tipos
principales de transformación que conforman las bases del IPsec: la
Authentication Header (AH) y el ESP. Estos dos protocolos
proporcionan integridad de datos, autentificación de su origen y
servicio anti-replay. Estos protocolos pueden ser utilizados solos o
combinados para proporcionar el set de servicios de seguridad deseado
para el Protocolo de Internet (IP). Los componentes básicos de la
arquitectura de la seguridad IPsec son descritos según las
siguientes funcionalidades:
- Protocolos de seguridad para AH y ESP.
- Asociación de seguridad para la política de gestión y procesamiento del tráfico.
- Gestión manual y automática para el Internet Key Exchange (IKE).
- Algoritmos para autentificación y encriptación.
El set de servicios de
seguridad proporcionado en la capa IP incluye acceso al control,
integridad del origen de datos, protección contra replays y
confidencialidad. El algoritmo permite a estos sets trabajar de forma
independiente sin afectar otras partes de la implementación. La
implementación IPsec es operada en un host o ambiente seguro para
darle protección al tráfico IP.
Técnicas
para asegurar el sistema
El activo más importante que se posee es la información
y, por lo tanto, deben existir técnicas que la aseguren, más allá
de la seguridad física que se establezca sobre los equipos en los
cuales se almacena. Estas técnicas las brinda la seguridad lógica
que consiste en la aplicación de barreras y procedimientos que
resguardan el acceso a los datos y solo permiten acceder a ellos a
las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio
de protección o más (en la mayoría de los casos es una combinación
de varios de ellos) A continuación se enumeran una serie de medidas
que se consideran básicas para asegurar un sistema tipo, si bien
para necesidades específicas se requieren medidas extraordinarias y
de mayor profundidad:
• Utilizar
técnicas de desarrollo que cumplan con los criterios de seguridad
al uso para todo el software que se implante en los sistemas,
partiendo de estándares y de personal suficientemente capacitado y
comprometido con la seguridad.
• Implantar
medidas de seguridad físicas: sistemas anti
incendios, vigilancia de los centros de proceso de datos, sistemas de
protección contra inundaciones, protecciones eléctricas contra
apagones y sobretensiones, sistemas de control de accesos, etc.
• Codificar
la información: criptología, criptografía y
criptociencia. Esto se debe realizar en todos aquellos trayectos por
los que circule la información que se quiere proteger, no solo en
aquellos más vulnerables. Por ejemplo, si los datos de una base muy
confidencial se han protegido con dos niveles de cortafuegos, se ha
cifrado todo el trayecto entre los clientes y los servidores y entre
los propios servidores, se utilizan certificados y sin embargo se
dejan sin cifrar las impresiones enviadas a la impresora de red,
tendríamos un punto de vulnerabilidad.
• Contraseñas
difíciles de averiguar que, por ejemplo, no puedan
ser deducidas a partir de los datos personales del individuo o por
comparación con un diccionario, y que se cambien con la suficiente
periodicidad. Las contraseñas, además, deben tener la suficiente
complejidad como para que un atacante no pueda deducirla por medio de
programas informáticos. El uso de certificados digitales mejora la
seguridad frente al simple uso de contraseñas.
• Vigilancia
de red. Las redes transportan toda la información,
por lo que además de ser el medio habitual de acceso de los
atacantes, también son un buen lugar para obtener la información
sin tener que acceder a las fuentes de la misma. Por la red no solo
circula la información de ficheros informáticos como tal, también
se transportan por ella: correo electrónico, conversaciones
telefónicas (VoIP), mensajería instantánea, navegación por
Internet, lecturas y escrituras a bases de datos, etc. Por todo ello,
proteger la red es una de las principales tareas para evitar robo de
información. Existen medidas que abarcan desde la seguridad física
de los puntos de entrada hasta el control de equipos conectados, por
ejemplo 802.1x. En el caso de redes inalámbricas la posibilidad de
vulnerar la seguridad es mayor y deben adoptarse medidas adicionales.
• Redes
perimetrales de seguridad, o DMZ, permiten generar
reglas de acceso fuertes entre los usuarios y servidores no públicos
y los equipos publicados. De esta forma, las reglas más débiles
solo permiten el acceso a ciertos equipos y nunca a los datos, que
quedarán tras dos niveles de seguridad.
• Tecnologías
repelentes o protectoras: cortafuegos, sistema de
detección de intrusos - antispyware, antivirus, llaves para
protección de software, etc.
• Mantener
los sistemas de información con las
actualizaciones que más impacten en la seguridad.
• Copias
de seguridad e, incluso, sistemas de respaldo remoto
que permiten mantener la información en dos ubicaciones de forma
asíncrona.
• Controlar
el acceso a la información por medio de permisos
centralizados y mantenidos (tipo Active Directory, LDAP, listas de
control de acceso, etc.). Los medios para conseguirlo son:
- Restringir el
acceso (de personas de la organización y de las que no lo
son) a los programas y archivos.
- Asegurar
que los operadores puedan trabajar pero que no
puedan modificar los programas ni los archivos que no correspondan
(sin una supervisión minuciosa).
- Asegurar que
se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
- Asegurar que
la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro y que
existan sistemas y pasos de emergencia alternativos de transmisión
entre diferentes puntos.
- Organizar a
cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los
sistemas o aplicaciones empleadas.
- Actualizar
constantemente las contraseñas de accesos a los sistemas de cómputo,
como se ha indicado más arriba, e incluso utilizando programa que
ayuden a los usuarios a la gestión de la gran cantidad de
contraseñas que tienen gestionar en los entornos actuales, conocidos
habitualmente como gestores de identidad.
- Candado
Inteligente: USB inalámbrico utilizado para brindarle
seguridad a la computadora. La misma se bloquea cuando el usuario que
tiene este aparato se aleja más de tres metros. El kit contiene un
USB inalámbrico y un software para instalar que detecta cuando el
usuario está lejos y cuando está más cerca de los tres metros,
habilitando nuevamente la computadora.
Seguridad
de correo electrónico
Los correos electrónicos se componen, envían, y
guardan en un proceso de varios pasos que comienza con la composición
del mensaje. Cuando el usuario termina de redactar el correo y lo
envía, el mensaje es transformado a un formato estándar: un mensaje
RFC 2822. Después el mensaje puede ser transmitido. Usando una
conexión a internet, el cliente de correo electrónico, referido
como Mail User Agent (MUA), se conecta a un agente de transferencia
de correo (MTA) que opera en el servidor de correo. El cliente de
correo correo proporciona la identidad del remitente al servidor. A
continuación, usando los comandos del servidor de correo, el
remitente envía la lista de receptores al servidor. En ese momento
el cliente suministra el mensaje. Una vez que el servidor recibe y
procesa el correo, ocurren varias cosas: se identifica el servidor
del receptor, se establece la conexión y se transfiere el mensaje.
Usando servicios de Domain Name System (DNS), el servidor de correo
del remitente determina el servidor para el/los receptor(es).
Entonces el servidor abre una conexión con el servidor de correo del
destinatario y envía el mensaje empleando un proceso similar al
usado por el cliente del remitente, entregando el mensaje al
receptor.