ELEMENTOS DE PROTECCION PARA REDES

Vulnerar para Proteger Administración de la Seguridad

Es posible dividir las tareas de administración de seguridad en tres grandes grupos:

• Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cómputo que cierto medio ambiente puede ofrecer.

• Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio.

• Auditoría: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos.

Por regla general, las políticas son el primer paso que dispone a una organización para entrar en un ambiente de seguridad, puesto que reflejan su "voluntad de hacer algo" que permita detener un posible ataque antes de que éste suceda (proactividad). A continuación se citan algunos de los métodos de protección más comúnmente empleados.

1. Sistemas de detección de intrusos: son sistemas que permiten analizar las bitácoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, sobre la base de la información con la que han sido previamente alimentados. Pueden considerarse como monitores.

2. Sistemas orientados a conexión de red: monitorizan las conexiones que se intentan establecer en una red o equipo en particular, siendo capaces de efectuar una acción sobre la base de métricas como: origen y destino de la conexión, servicio solicitado, permisos, etc. Las acciones que pueden emprender suelen ir desde el rechazo de la conexión hasta alerta al administrador. En esta categoría están los cortafuegos (Firewalls) y los Wrappers.

3. Sistemas de análisis de vulnerabilidades: analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La "desventaja" de estos sistemas es que pueden ser utilizados tanto por personas autorizadas como por personas que buscan acceso no autorizado al sistema.

4. Sistemas de protección a la integridad de información: sistemas que mediante criptografía o sumas de verificación tratan de asegurar que no ha habido alteraciones indeseadas en la información que se intenta

proteger. Algunos ejemplos son los programas que implementan algoritmos como Message Digest (MD5) o Secure Hash Algorithm (SHA), o bien sistemas que utilizan varios de ellos como PGP, Tripwire y DozeCrypt.

5. Sistemas de protección a la privacidad de la información: herramientas que utilizan criptografía para asegurar que la información sólo sea visible para quien tiene autorización. Su aplicación se realiza principalmente en las comunicaciones entre dos entidades. Dentro de este tipo de herramientas se pueden citar a Pretty Good Privacy (PGP), Secure Sockets Layer (SSL) y los Certificados Digitales.

Resumiendo, un modelo de seguridad debe estar formado por múltiples componentes o capas que pueden ser incorporadas de manera progresiva al modelo global de seguridad en la organización, logrando así el método más efectivo para disuadir el uso no autorizado de sistemas y servicios de red.

Podemos considerar que estas capas son:

1. Política de seguridad de la organización. 2. Auditoria. 3. Sistemas de seguridad a nivel de Router-Firewall. 4. Sistemas de detección de intrusos. 5. Plan de respuesta a incidentes. 6. Penetration Test.

Penetration Test, Ethical Hacking o Prueba de Vulnerabilidad

"El Penetration Test es un conjunto de metodologías y técnicas, para realizar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos." (1)

El objetivo general del Penetration Test es acceder a los equipos informáticos de la organización tratada e intentar obtener los privilegios del administrador del sistema, logrando así realizar cualquier tarea sobre dichos equipos. También se podrá definir otros objetivos secundarios que permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa.

El Penetration Test se compone de dos grandes fases de testeo:

1. Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna. Se compone de un elevado número de pruebas, entre las que se puede nombrar:

• Pruebas de usuarios y la "fuerza" de sus passwords. • Captura de tráfico.

• Detección de conexiones externas y sus rangos de direcciones. • Detección de protocolos utilizados. • canning de puertos TCP, UDP e ICMP. • Intentos de acceso vía accesos remotos, módems, Internet, etc. • Análisis de la seguridad de las conexiones con proveedores,

trabajadores remotos o entidades externas a la organización. • Pruebas de vulnerabilidades existentes y conocidas en el

momento de realización del Test. • Prueba de ataques de Denegación de Servicio.

2. Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos. Este Test también se compone de numerosas pruebas:

• Análisis de protocolos internos y sus vulnerabilidades. • Autenticación de usuarios. • Verificación de permisos y recursos compartidos. • Test de los servidores principales (WWW, DNS, FTP, SMTP, etc.). • Test de vulnerabilidad sobre las aplicaciones propietarias. • Nivel de detección de la intrusión de los sistemas. • Análisis de la seguridad de las estaciones de trabajo. • Seguridad de la red. • Verificación de reglas de acceso. • Ataques de Denegación de Servicio

HoneyPots-HoneyNets

Estas "Trampas de Red" son sistemas que se activan con la finalidad específica de que los expertos en seguridad puedan observar en secreto la actividad de los Hackers/Crackers en su hábitat natural.

Access Control Lists Una Lista de Control de Acceso o ACL (Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.

ACLs en redes de computadoras

En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.

Existen dos tipos de ACLs:

• ACL estándar, donde solo tenemos que especificar una dirección de origen;

• ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.

Wrappers

Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un más alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que modificar su funcionamiento.

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de seguridad por las siguientes razones: * Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar. * Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper. * Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger. * Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no. El paquete Wrapper más ampliamente utilizado es el TCP-Wrappers, el cual es un conjunto de utilidades de distribución libre, escrito por Wietse Venema (co-autor de SATAN, con Dan Farmer, y considerado el padre de los sistemas Firewalls) en 1990. Consiste en un programa que es ejecutado cuando llega una petición a un puerto específico. Este, una vez comprobada la dirección de origen de la petición, la verifica contra las reglas almacenadas, y en función de ellas, decide o no dar paso al servicio. Adicionalmente, registra estas actividades del sistema, su petición y su resolución. Algunas configuraciones avanzadas de este paquete, permiten también ejecutar comandos en el propio sistema operativo, en función de la resolución de la petición. Por ejemplo, es posible que interese detectar una posible máquina atacante, en el caso de un intento de conexión, para tener más datos a la hora de una posible investigación. Este tipo de comportamiento raya en la estrategia paranoica, ya vista cuando se definió la política de seguridad del firewall. Con lo mencionado hasta aquí, puede pensarse que los Wrappers son Firewall ya que muchos de los servicios brindados son los mismos o causan los mismos efectos: u sando Wrappers, se puede controlar el acceso a cada máquina y los servicios accedidos. Así, estos controles son el complemento perfecto de un Firewall y la instalación de uno no está supeditada a la del otro.

Detección de Intrusos en Tiempo Real

Intrusión Detection Systems (IDS) Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior-interior de un sistema informático. Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en: * Host-Based IDS: operan en un host para detectar actividad maliciosa en el mismo. * Network-Based IDS: operan sobre los flujos de información intercambiados en una red. * Knowledge-Based IDS: sistemas basados en Conocimiento. * Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema. La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un usuario comprometido; su comportamiento se alejará del de un usuario normal. Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agregado de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún tipo. Así las intrusiones pueden clasificarse en:

* Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema. * No intrusivas pero anómalas:denominados Falsos Positivos (el sistema erróneamente indica la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso cuando sean acertados. * No intrusiva ni anómala:son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal. * Intrusiva y anómala:se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada. Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera comportamiento normal. Características de IDS Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté basado, debería contar con las siguientes características: * Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin embargo, no debe ser una "caja negra" (debe ser examinable desde el exterior). * Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del sistema. * En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado. * Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina, simplemente no será utilizado. * Debe observar desviaciones sobre el comportamiento estándar. * Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones. * Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas aplicaciones al mismo. * Debe ser difícil de "engañar". Fortalezas de IDS * Suministra información muy interesante sobre el tráfico malicioso de la red. * Poder de reacción para prevenir el daño. * Es una herramienta útil como arma de seguridad de la red. * Ayuda a identificar de dónde provienen los ataques que se sufren.

* Recoge evidencias que pueden ser usadas para identificar intrusos. * Es una "cámara" de seguridad y una "alarma" contra ladrones. * Funciona como "disuasor de intrusos". * Alerta al personal de seguridad de que alguien está tratando de entrar. * Protege contra la invasión de la red. * Suministra cierta tranquilidad. * Es una parte de la infraestructura para la estrategia global de defensa. * La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automático de esos nuevos ataques. * Son menos dependientes de los mecanismos específicos de cada sistema operativo. * Pueden ayudar a detectar ataques del tipo "abuso de privilegios" que no implica realmente ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximación a la paranoia: "todo aquello que no se ha visto previamente es peligroso". * Menor costo de implementación y mantenimiento al ubicarse en puntos estratégicos de la red. * Dificulta el trabajo del intruso de eliminar sus huellas. Debilidades de IDS * No existe un parche para la mayoría de bugs de seguridad. * Se producen falsas alarmas. * Se producen fallos en las alarmas. * No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta política de seguridad. Inconvenientes de IDS * La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del comportamiento de un sistema de información durante la fase de aprendizaje. * El comportamiento puede cambiar con el tiempo, haciendo necesario un re-entrenamiento periódico del perfil, lo que da lugar a la no disponibilidad del sistema o la generación de falsas alarmas adicionales. * El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de comportamiento contendrá un comportamiento intrusivo el cual no será considerado anómalo.

Call Back

Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que en teoría pertenece al usuario. La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolverá al usuario legal y no al del intruso, siendo este desconectado. Como precaución adicional, el usuario deberá verificar que la llamada-retorno proceda del número a donde llamó previamente.

Sistemas Anti-Sniffers

Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se basan en verificar el estado de la placa de red, para detectar el modo en el cual está actuando (recordar que un Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.

Gestión de Claves Seguras

Como puede verse en la siguiente tabla, si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 96^8 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Cantidad de Caracteres

26 Letras

Minúsculas

36 Letras y Dígitos

52 Mayúsculas y minúsculas

96 Todos los

Caracteres 6

51 minutos 6 horas 2,3 dias 3 meses 7 22,3 horas 9 días 4 meses 24 años

8 24 días 10,5 meses 17 años 2.288 años

9 21 meses 32,6 años 890 años 219.601 años

10 45 años 1.160 años 45.840 años 21.081.705 años

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.

Según demuestra el análisis de +NetBuL (1) realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:

• Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).

• Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio (2) muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas:

• En un año se obtuvieron 3.340 contraseñas (24,22%). • En la primera semana se descubrieron 3.000 claves (21,74%). • En los primeros 15 minutos se descubrieron 368 palabras claves

(2,66%).

Según los grandes números vistos, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana.

Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a secuencias alfabéticas tipo "abcd"; a secuencias numéricas tipo "1234"; a secuencias observadas en el teclado tipo "qwer"; a palabras que existen en un diccionario del lenguaje del usuario. Sí, estas claves (las más débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la hipótesis.

Normas de Elección de Claves

Se debe tener en cuenta los siguientes consejos:

1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).

2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).

3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.

4. Deben ser largas, de 8 caracteres o más. 5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar

una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.

6. Deben ser fáciles de recordar para no verse obligado a escribirlas. Algunos ejemplos son:

• Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3

• Usar un acrónimo de alguna frase fácil de recordar: A r io R evuelto G anancia d e P escadores -> ArRGdP

• Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P

• Mejor incluso si la frase no es conocida: H a sta A h ora n o h e O l vidado m i C o ntraseña -> aHoelIo

• Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar

• Realizar reemplazos de letras por signos o números: E n S eguridad M ás V ale P revenir q ue C urar -> 35M\/Pq<

Normas para Proteger una Clave

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario. Al comprometer una cuenta se puede estar comprometiendo todo el sistema.

La siguiente frase difundida en UseNet resume algunas de las reglas básicas de uso de la contraseña: "Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos".

Algunos consejos a seguir:

1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente.

2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Root, System, Test, Demo, Guest, etc.

3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.

4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.

5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.

6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...".

7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).

Muchos sistemas incorporan ya algunas medidas de gestión y protección de las contraseñas. Entre ellas podemos citar las siguientes:

1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas:

o Obligar a reescribir el nombre de usuario (lo más común). o Bloquear el acceso durante un tiempo. o Enviar un mensaje al administrador y/o mantener un registro

especial. 2. Longitud mínima. Las contraseñas deben tener un número mínimo de

caracteres (se recomienda 7 u 8 como mínimo). 3. Restricciones de formato. Las contraseñas deben combinar un mínimo de

letras y números, no pueden contener el nombre del usuario ni ser un blanco.

4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidades de las anteriores. Se mantiene un periodo forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.

5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las contraseñas de su propio sistema en busca de debilidades.

Contraseñas de un Sólo Uso

Las contraseñas de un solo uso (One-Time Passwords) son uno de los mecanismos de autentificación más seguros, debido a que su descubrimiento tan solo permite acceder al sistema una vez. Además, en muchas ocasiones se

suelen utilizar dispositivos hardware para su generación, lo que las hace mucho más difíciles de descubrir.

Ejemplos de este tipo de contraseñas serian las basadas en funciones unidireccionales (sencillas de evaluar en un sentido pero imposible o muy costoso de evaluar en sentido contrario) y en listas de contraseñas.

Se distinguen tres tipos de contraseñas de un solo uso:

1. Las que requieren algún dispositivo hardware para su generación, tales como calculadoras especiales o tarjetas inteligentes (Token Cards).

2. Las que requieren algún tipo de software de cifrado especial. 3. Las que se basan en una lista de contraseñas sobre papel.

Seguridad en Protocolos y Servicios Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más comunes y sus formas de prevención. Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se ofrecerán las potenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qué proporcionar acceso a la máquina (como las DoS por ejemplo).

Criptología La criptología es el estudio de los criptosistemas: sistemas que ofrecen medios seguros de comunicación en los que el emisor oculta o cifra el mensaje antes de transmitirlo para que sólo un receptor autorizado (o nadie) pueda descifrarlo. Sus áreas principales de interés son la criptografía y el criptoanálisis, pero también se incluye la esteganografía como parte de esta ciencia aplicada. En tiempos recientes, el interés por la criptología se ha extendido también a otras aplicaciones aparte de la comunicación segura de información y, actualmente, una de las aplicaciones más extendidas de las técnicas y métodos estudiados por la criptología es la autenticación de información digital (también llamada firma digital). El mensaje cifrado recibe el nombre Criptograma

La importancia de la Criptografía radica en que es el único método actual capaz de hacer cumplir el objetivo de la Seguridad Informática: "mantener la Privacidad, Integridad, Autenticidad..." y hacer cumplir con el No Rechazo, relacionado a no poder negar la autoría y recepción de un mensaje enviado.

Inversión Los costos de las diferentes herramientas de protección se están haciendo accesibles, en general, incluso para las organizaciones más pequeñas. Esto hace que la implementación de mecanismos de seguridad se dé prácticamente en todos los niveles: empresas grandes, medianas, chicas y usuarios finales. Todos pueden acceder a las herramientas que necesitan y los costos (la inversión que cada uno debe realizar) va de acuerdo con el tamaño y potencialidades de la herramienta. Pero no es sólo una cuestión de costos, los constantes cambios de la tecnología hacen que para mantener un nivel parejo de seguridad, se deba actualizar permanentemente las herramientas con las que se cuenta. Como los intrusos mejoran sus armas y metodologías de penetración de forma incesante, el recambio y la revisión constantes en los mecanismos de seguridad se convierten en imprescindibles. Y éste es un verdadero punto crítico.

Según Testers, "esto es tan importante como el tipo de elementos que se usen". Sin duda, éstos deben ser las que mejor se adapten al tipo de organización. Pero tan importante como eso es el hecho de conocer exactamente cómo funcionan y qué se puede hacer con ellos. "Es prioritario saber los riesgos que una nueva tecnología trae aparejados".

Seguridad Física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Crackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Seguridad Lógica - Control de Acceso Interno Palabras Claves (Passwords) Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica.

Se podrá, por años, seguir creando sistemas altamente seguros, pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de passwords débiles. Es mi deseo que después de la lectura del presente quede la idea útil de usar passwords seguras ya que aquí radican entre el 90% y 99% de los problemas de seguridad planteados. * Sincronización de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada. Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad. * Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen. Encriptación La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La encriptación puede proveer de una potente medida de control de acceso. Este tema será abordado con profundidad en el Capítulo sobre Protección del presente. Listas de Control de Accesos Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad. Límites sobre la Interfase de Usuario Esto límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interfase de usuario. Por ejemplo los cajeros automáticos donde el usuario sólo puede ejecutar ciertas funciones presionando teclas específicas. Etiquetas de Seguridad

Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de protección, etc. Estas etiquetas no son modificables.

Control de Accesos El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. 1. Utilización de Guardias 2. Utilización de Detectores de Metales El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. 3. Utilización de Sistemas Biométricos 4. Verificación Automática de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada. El equipamiento de colección de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata. 5. Seguridad con Animales

Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado. 6. Protección Electrónica (leer más) Conclusiones Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso físico permite: * disminuir siniestros * trabajar mejor manteniendo la sensación de seguridad * descartar falsas hipótesis si se produjeran incidentes * tener los medios para luchar contra accidentes Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados. Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.

Niveles de seguridad informatica Protección total para la pequeña empresa

Aún la más pequeña de las empresas no es inmune a las amenazas en Internet. Una sola brecha de seguridad puede detener las operaciones, disminuir la productividad y posiblemente comprometer la integridad de la información, la confianza de los clientes y el flujo de los ingresos. Las amenazas actuales pueden venir de cualquier parte: redes conectadas o inalámbricas, interna o externamente. Pasaron los tiempos cuando se identificaba fácilmente el perímetro de las redes y se protegía con sólo aplicar algunos dispositivos sencillos de seguridad. La introducción de nuevas tecnologías, junto con la creciente sofisticación de las amenazas en Internet, exige una solución completa de protección. Los desafíos de la nueva tecnología Aparte del creciente uso de Internet y el correo electrónico, actualmente las pequeñas empresas también están adoptando la movilidad inalámbrica, la mensajería instantánea y las aplicaciones de empresa a empresa. Estas tecnologías son muy útiles para las compañías porque pueden mejorar radicalmente sus operaciones comerciales, pero hay que saber que existen ciertos elementos de riesgo. Todas las tecnologías nuevas implican volver a entrar a la infraestructura, y pueden ser aprovechadas y utilizadas por los como un conducto para ataques si no se toman medidas para proteger la tecnología adoptada. Las amenazas combinadas complejas Las amenazas combinadas emplean múltiples métodos para descubrir y aprovechar las vulnerabilidades de la red para luego poder auto-replicarse y auto-propagarse, lo cual puede suceder sin que el usuario se entere. Amenazas combinadas como el Código Rojo y Nimda tomaron las peores características de los virus, gusanos y troyanos, y las combinaron con vulnerabilidades de los servidores y de Internet para iniciarse, transmitirse y propagarse. Las amenazas combinadas están diseñadas para aprovechar las vulnerabilidades de las tecnologías de seguridad que funcionan independientemente y por separado, razón por la que una protección total es crucial para la empresa actual. La velocidad de distribución de las amenazas en Internet ha pasado de semanas a días y de días a horas, y con la conectividad inalámbrica, existe la posibilidad de que las amenazas se propaguen en minutos o incluso segundos. Componentes de la protección total "Protección total" significa la creación de múltiples capas de protección para los equipos y la información valiosa que contienen, las que evitan que un nivel comprometa a la red entera. Esta protección por capas se hace más necesaria que nunca en el actual escenario de las amenazas combinadas y el perímetro borroso de la red. Ninguna empresa, sin importar su tamaño, se puede arriesgar. Para mantenerse protegido en el mundo interconectado de hoy debe contar con una protección total.

Algunos de sus elementos importantes son: • Antivirus - brinda protección contra los archivos que entran a la red a través del correo electrónico, las descargas de Internet, los disquetes, etc. El software antivirus debe buscar automáticamente las amenazas más recientes, explorar con frecuencia los sistemas en busca de estas amenazas y también vigilar en tiempo real cuando se descargan nuevos archivos de Internet o se separan de los mensajes de correo electrónico para garantizar que nada peligroso ingrese. El software antivirus no sólo debe proteger las estaciones de trabajo y servidores, sino también los firewalls y aplicaciones importantes como los servidores Web y de correo electrónico para que evitar muchos problemas antes de que surjan. • Firewall - es una importante línea de defensa de la red y de toda la información, ya que explora la información que entra y sale de la red para garantizar que no haya accesos no autorizados. Los firewalls también ayudan a proteger la computadora de ataques de DoS y de participar involuntariamente en uno de ellos. • Detección de intrusos - monitorea constantemente la red en busca de actividades sospechosas o ataques directos, alertando al usuario o al personal de TI para que pueda actuar inmediatamente. El software de detección de intrusos es especialmente útil cuando se utiliza conjuntamente con un firewall. • Redes privadas virtuales (VPN) - son vitales para usuarios que se conectan remotamente a la red de la oficina. Las VPN protegen las conexiones remotas más allá del perímetro para poder establecer comunicaciones seguras en Internet. • Configuración del disco - Incluso con la combinación adecuada de las medidas de seguridad, algunos hackers o herramientas muy decididos o imaginativos pueden burlar la protección e ingresar a algunos de los sistemas. Algunas veces es difícil saber con certeza el alcance del ataque por lo cual sería prudente volver atrás y partir de un punto seguro. La solución de configuración del disco puede hacer copias de seguridad de la información y recuperarla en su estado inicial seguro para que el usuario pueda confiar en la integridad de la información. Otras medidas Además de la tecnología para la seguridad, se pueden tomar otras medidas para reforzar la protección total de la pequeña empresa: • Actualizar los parches: buscar las actualizaciones de software y aprovechar las soluciones o parches de seguridad para los agujeros que podría hacer el sistema vulnerable a un ataque. • Crear una política de seguridad: establecer cuáles son los recursos valiosos de información y los derechos de acceso a esa información, y determinar normas para el acceso remoto.

• Entrenamiento para tomar conciencia sobre la seguridad: educar a los empleados para que conozcan sus funciones en relación con el mantenimiento de la seguridad de la empresa. • Restringir y controlar el acceso a la red: si hay trabajadores temporales o contratistas que necesitan acceso a la red, es preciso asegurarse de darles únicamente el acceso necesario para que realicen el trabajo y no olvidar revocarles el acceso por completo después de terminarlo. • Reforzar la administración de contraseñas: asegurarse que los usuarios cambien con frecuencia las contraseñas y tenga cuidado de no anunciarlas públicamente.

Las amenazas actuales son más frecuentes y avanzadas tanto en sus métodos de propagación como en los daños que causan. La complejidad de las amenazas en cuanto al ataque y a la propagación, junto a la creciente complejidad de las redes de la pequeña empresa, indican que las medidas de seguridad por sí solas ya no son suficientes. Las empresas deben implementar medidas de seguridad en todos los puntos vulnerables del sistema, como los servidores y equipos de escritorio, y establecer una completa línea de defensa de múltiples capas o “protección total”. Esto, siempre acompañado de una política de seguridad clara y conocida por los usuarios.

Malware Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un spyware. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin embargo la expresión "virus informático" es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red.

Los Gusano Un gusano (también llamados IWorm por su apocope en inglés, I = Internet, Worm = Gusano) es un Malware que tiene la propiedad de duplicarse a sí

mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.

Programa caballo de troya Un caballo de Troya es un programa aparentemente útil, novedoso, o atractivo que contiene funciones ocultas que permiten, por ejemplo, obtener privilegios de usuario (siempre que el programa se ejecute), suponiendo un enorme problema de seguridad. Generalmente un caballo de Troya no tiene efecto sin la colaboración involuntaria del usuario a quien va dirigido. Los caballos de Troya son normalmente instalados por los propios usuarios inadvertidamente o bien por intrusos que han obtenido acceso sin permiso al sistema a través de otros medios.

Una Puerta trasera En la informática, una puerta trasera (o en inglés backdoor), es una secuencia especial dentro del código de programación mediante la cual el programador puede acceder o escapar de un programa en caso de emergencia o contingencia en algún problema. A su vez, estas puertas también pueden ser perjudiciales debido a que los crackers al descubrirlas pueden acceder a un sistema en forma ilegal y aprovecharse la falencia. Los más conocidos mundialmente son el BackOrifice y el NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan. Otro muy conocido es el SubSeven, que también se encargó de infectar millones de ordenadores en el mundo.

El spyware

Los Spywares o Programa espía, son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas(“husmean” la información que está en nuestro equipo) para luego enviarla a través de Internet,[25] generalmente a alguna empresa de publicidad en algunos casos lo hacen para obtener direcciones de e-mail. Todas estas acciones se enmascaran tras confusas autorizaciones al instalar programas de terceros, por lo que rara vez el usuario es consciente de ello. Estos agentes espía, pueden ingresar a la PC por medio de otras aplicaciones.[26] Normalmente trabajan y contaminan sistemas como lo hacen los Caballos de Troya.

Un exploit Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de software, un fragmento de datos, o una secuencia de comandos que se aprovecha de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o algo electrónico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio. El fin del Exploit puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros.

Los rootkit Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos. Existen rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Algunas versiones españolas de programas lo han traducido como "Encubridor".

Adware Un programa adware es cualquier programa que automáticamente se ejecuta, muestra o baja publicidad al computador después de instalado el programa o mientras se está utilizando la aplicación. Algunos programas adware son también shareware, y en estos los usuarios tiene la opción de pagar por una versión registrada o con licencia, que normalmente elimina los anuncios. Algunos programas adware han sido criticados porque ocasionalmente incluyen código que realiza un seguimiento de información personal del usuario y la pasa

a terceras entidades, sin la autorización o el conocimiento del usuario. Esta práctica se conoce como spyware, y ha provocado críticas de los expertos de seguridad y los defensores de la privacidad, incluyendo el Electronic Privacy Information Center. Otros programas adware no realizan este seguimiento de información personal del usuario. Existen programas destinados a ayudar al usuario en la búsqueda y modificación de programas adware, para bloquear la presentación de los anuncios o eliminar las partes de spyware. Para evitar una reacción negativa, con toda la industria publicitaria en general, los creadores de adware deben equilibrar sus intentos de generar ingresos con el deseo del usuario de no ser molestado. Spywares

Spyware es un término utilizado para designar cierto tipo de software que provoca determinados comportamientos, como aparición de anuncios, recopilación de información personal o modificación de la configuración de un equipo sin el consentimiento del usuario. Con frecuencia, el spyware se asocia con software que muestra publicidad (adware) o que realiza un seguimiento de información personal o confidencial. Esto no significa que todo el software que muestra anuncios o que realiza un seguimiento de su actividad en línea sea maligno. Por ejemplo, el usuario puede suscribirse a un servicio de música gratuita, pero el pago por dicho servicio consiste justamente en la aceptación de recibir a cambio publicidad. Si entiende los términos y los acepta, el usuario reconoce con ello que dicho acuerdo es justo. Puede también permitir que la compañía realice un seguimiento de sus actividades en línea para poder determinar el tipo de anuncios que desea mostrarle. Otro tipo de spyware realiza modificaciones en el equipo que pueden resultar molestas y hacer que su funcionamiento sea más lento o que se bloquee. Estos programas pueden modificar la página de inicio del explorador o la de búsqueda, o bien agregar componentes al explorador que el usuario no necesita o no desea. También pueden dificultar los intentos de devolver la configuración a los valores que tenía originalmente.

En todos los casos, la clave está en si el usuario sabe lo que hace el software y si ha aceptado o no instalar dicho software en el equipo. El spyware y el software no deseado pueden entrar en el equipo de varias maneras. Un caso común es cuando se instala de manera encubierta durante la instalación de otro software que usted desea instalar, como software de uso compartido de archivos de música o vídeo. Siempre que instale algo en el equipo, asegúrese de leer con detenimiento toda la información, incluido el contrato de licencia y la declaración de privacidad. En ocasiones, la inclusión de software no deseado en la instalación de un determinado programa está documentada, aunque sea al final del contrato de licencia o de la declaración de privacidad.

Firewall (Cortafuegos)

Un cortafuegos (o firewall en inglés) es un elemento de hardware o software que se utiliza en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

También es frecuente conectar al cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade protección a una instalación informática, pero en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Tipos de cortafuegos Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC. Cortafuegos de capa de aplicación Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder. Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse Proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Cortafuegos personal Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa.

Políticas del cortafuegos Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: * Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. * Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

Limitaciones de un cortafuegos * Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. * El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (diskettes, memorias, etc.) y sustraerlas del edificio. * El cortafuegos no puede proteger contra los ataques de ingeniería social. * El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. * El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a Internet.

Ventajas de un cortafuegos * Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet. * Protección de información privada.- Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tendrá acceso sólo a los servicios y la información que le son estrictamente necesarios. * Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad.