• No se han encontrado resultados

Soluciones de seguridad basadas en configuraciones de las 100 mejores herramientas de seguridad de redes

N/A
N/A
Protected

Academic year: 2020

Share "Soluciones de seguridad basadas en configuraciones de las 100 mejores herramientas de seguridad de redes"

Copied!
130
0
0

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones. y Electrónica. TRABAJO DE DIPLOMA “Soluciones de seguridad basadas en configuraciones de las. 100 mejores herramientas de seguridad de redes”. Autor: Maikel Pérez Díaz Tutor: Ing. Ramón Torres Rojas. Santa Clara 2009 "Año del 50 aniversario del triunfo de la revolución".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones. y Electrónica. TRABAJO DE DIPLOMA “Soluciones de seguridad basadas en configuraciones de las. 100 mejores herramientas de seguridad de redes”. Autor: Maikel Pérez Díaz [email protected] Tutor: Ing. Ramón Torres Rojas [email protected]. Santa Clara 2009 "Año del 50 aniversario del triunfo de la revolución".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y electrónica autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. ______________________ Firma del Autor. Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. _____________________. _______________________. Firma del Autor. Firma del Jefe de Departamento donde se defiende el trabajo. ____________________________ Firma del Responsable de Información Científico-Técnica.

(4) Exergo. No hay ningún dogma, busquemos la virtud siempre y aprendamos a encontrar lo mejor, perfeccionemos lo que estemos haciendo a medida que los investigadores comprueben y avancen. Fidel Castro Ruz.

(5) Agradecimientos.

(6) Agradecimientos. AGRADECIMIENTOS Estoy inmensamente agradecido a aquellos que de una forma u otra han dado sus esfuerzos para llevar a vías de hecho este trabajo, así como a las personas que en el plano personal constituyeron un apoyo decisivo. Si no menciono nombres, es para no incurrir en el imperdonable error de omitir alguno merecedor de estar plasmado en este espacio. No lo hago por no estimar mayor valía en una simple y fría relación de palabras, que en la fragua de esfuerzos que esculpió sus inigualables gestos en el metal bruto de mis ideas y los hace dignos de ser atesorados por siempre en el pequeño pero cálido recinto donde guardo solo aquellos que hago llamar amigos. Con todo mi respeto gracias..

(7) Dedicatoria.

(8) Dedicatoria. DEDICATORIA. A la memoria de mi padre: Por su valentía y por enseñarme que hasta la oscuridad tiene sus virtudes. A mi madre: Por haberme inculcado el amor al estudio y no descansar jamás en sus empeños de ayudarme. A mi hermano: Por permitirme conocer el verdadero significado de esa palabra. A mis abuelos maternos: Por ser cuerda de firmeza en cada uno de mis pasos..

(9) Tarea técnica.

(10) Tarea Técnica. TAREA TÉCNICA. •. Realizar un estudio de aplicabilidad de las 100 mejores herramientas de seguridad mas usadas en Internet.. •. Realizar una selección de ellas en cuanto a prestaciones, soluciones brindadas e integración con la arquitectura de la UCLV.. •. Realizar las pruebas pertinentes con las aplicaciones en un entorno controlado y a partir de los resultados elaborar la propuesta de configuraciones de seguridad..

(11) Resumen.

(12) Resumen. RESUMEN Actualmente existe una creciente tendencia al control de todos los sistemas mediante la utilización de las redes de computadotas, incrementándose las posibilidades de ataques. Múltiples son los esfuerzos de los especialistas destinados a proveer de seguridad e integridad a los sistemas. Una de las vertientes mas destacadas es la utilización de herramientas de seguridad. Estas presentan un amplio margen de utilidad en cuanto a soluciones brindadas en la realización de auditorias de seguridad para la elaboración de políticas adecuadas, así como la elevación de los niveles de seguridad a través de múltiples técnicas. Se realizó un estudio de servicio científico tecnológico con el objetivo de proponer un conjunto de soluciones de seguridad para la Intranet de la UCLV basados en configuraciones de las cien mejores herramientas de seguridad de redes utilizadas en Internet. Se elaboraron 26 propuestas de configuraciones de seguridad basadas en las herramientas seleccionadas que responden a propósitos definidos y específicos de cada una y que en su conjunto favorecen la elevación del nivel de seguridad de los sistemas de la Intranet de la UCLV. La correcta utilización de las herramientas de seguridad. propuestas brindará a la. Intranet un mayor nivel de seguridad y estabilidad, proporcionando a los administradores del nodo central un conjunto de soluciones de seguridad que reducirán tareas de administración y elevaran los tiempos de respuesta ante fallos. Las herramientas pueden ser implementadas bajo los términos legales a que están sujetas en la UCLV, contando con los medios físicos y recursos humanos necesarios. La aplicación de esta propuesta es factible económicamente, con su aplicación no se generan gastos y proporcionarán mayor estabilidad en la continuidad del proceso docente educativo para el cual esta diseñado este sistema..

(13) Índice.

(14) Indice. ÍNDICE INTRODUCCION……………………………………………………………………….1 CAPITULO 1. Estado del arte de las herramientas de seguridad para redes de computadoras…………………………………………………………………………….5 1.1 Estado del arte de la seguridad informática………………………………………….5 1.2 Base matemática de los sistemas de seguridad de redes: La criptografía…………..8 1.2.1 Sistemas de cifrado simétrico8 1.2.2 Sistemas de cifrado asimétrico……………………………………………………9 1.3 Protocolos de seguridad de redes……………………………………………………9 1.4 Herramientas de seguridad de redes……………………………………………….12 1.4.1 Herramientas de seguridad propietarias…………………………………………13 1.4.1.1 GFI LANguard………………………………………………………………...13 1.4.1.2 Otras herramientas GFI…………………………………………………….…17 1.4.2 Herramientas de seguridad de código abierto……………………………………23 1.4.2.1 Herramientas IDS: Sistemas de detección de intrusos………………………. 24 1.4.2.2 Muros de contención o firewallk………………………………………………25 1.4.3. Ventajas y desventajas de las herramientas integradas de seguridad…………26. 1.4.4. Ventajas y desventajas de las herramientas no integradas de seguridad………27. 1.5. La lista del Top 100 Network Security Tools…………………………………27. 1.5.1. Clasificaciones de las herramientas de seguridad……………………………28. 1.5.2. Uso de las 100 mejores herramientas de Seguridad en Internet……………...29.

(15) Indice 1.5.3 Factibilidad de soluciones enfocadas en la lista……………………………….30 1.6. Estado actual de la Intranet de la UCLV………………………………………30. 1.6.1 Estado actual de las soluciones de seguridad implementadas………………….31 1.6.2 Vulnerabilidades de la Red de la UCLV……………………………………….32 1.6.3 Proyecciones futuras……………………………………………………………33 CAPÍTULO 2: Estado actual de la seguridad de la red de la UCLV y uso de nuevas herramientas para configuraciones de seguridad………………………………………34 2.1 Aplicaciones y servicios principales a proteger……………………………………34 2.2 Integración de las herramientas de seguridad al entorno de la Intranet……………34 2.3 Analizadores de protocolos………………………………………………………...36 2.3.1 Wireshark…………………………………………………………………………36 2.3.2 Ettercap…………………………………………………………………………...37 2.3.3 Dsniff…………………………………………………………………………….38 2.3.4 Ntop………………………………………………………………………………38 2.3.5 Argus……………………………………………………………………………..39 2.4 3 Escaner de vulnerabilidades……………………………………………………. 39 2.4.1 Nessus ………………………………………………………………………… 39 2.5 Escaner web de vulnerabilidades………………………………………………… 40 2.5.1 Spike Poxy………………………………………………………………………40 2.6 Herramientas de redes inalámbricas………………………………………………..40 2.6.1 Kismet…………………………………………………………………………….41 2.6.2 Aircrack…………………………………………………………………………..41.

(16) Indice 2.7 Herramientas de explotación de vulnerabilidades………………………………….41 2.7.1 Metasploit Framework……………………………………………………………42 2.8 Herramientas para la violación de contraseñas……………………………………42 2.8.1 Cain y Abel………………………………………………………………………43 2.8.2 John the Ripper…………………………………………………………………..43 2.8.3 THC Hidra……………………………………………………………………….44 2.8.4 LOpthcrack………………………………………………………………………44 2.8.5 Pwdump………………………………………………………………………….45 2.9 Otras herramientas…………………………………………………………………45 2.9.1 Netcat……………………………………………………………………………45 2.9.2 THC Amap……………………………………………………………………….46 2.9.3 Superscan…………………………………………………………………………46 2.9.4 Tripwire…………………………………………………………………………..47 2.9.5 LSoft……………………………………………………………………………...48 2.9.6 Arpwatch…………………………………………………………………………48 2.9.7 OSSEC HIDS…………………………………………………………………….49 2.9.8 Stunnel…………………………………………………………………………..49 2.9.9 Honeyd………………………………………………………………………….50 CAPÍTULO 3: Propuesta de configuraciones basadas en la lista de las 100 mejores herramientas de seguridad………………………………………….………………….52 3.1 Mapa de seguridad………………………………………………………………….52.

(17) Indice 3.2 Análisis de riesgos………………………………………………………………….52 3.3 Áreas de los procesos de análisis de seguridad…………………………………….53 3.4 Configuraciones de seguridad de los analizadores de red………………………….54 3.5 Configuraciones de seguridad para los analizadores de protocolos ……………….56 3.6 Configuraciones de seguridad para los scanner de vulnerabilidades………………62 3.7 Configuraciones de seguridad para los scanner de vulnerabilidades web…………63 3.8 Configuraciones de seguridad para los exploits……………………………………65 3.9 Configuraciones de seguridad para los crackers de contraseñas …………………..66 3.10 Configuraciones de seguridad de las aplicaciones usadas para el análisis de integridad de los sistemas………………………………………………………………70 3.11 Configuraciones de seguridad de otras herramientas de redes……………………72 CONCLUSIONES…………………………………………………………………….. 79 RECOMENDACIONES……………………………………………………………….80 REFERENCIAS BIBLIOGRAFICAS…………………………………………………81 GLOSARIO…………………………………………………………………………….84 ANEXOS……………………………………………………………………………….89.

(18) Introducción.

(19) Introduccion. INTRODUCCION La seguridad de las redes de computadoras constituye una de las direcciones de investigación más importantes en la actualidad a nivel mundial. El vertiginoso desarrollo de las mismas dado por los avances en diversas ramas como la electrónica y la utilización de nuevos medios de transmisión han diversificado el uso de estas y convertido en medio esencial para el correcto funcionamiento de las sociedades modernas. En las redes de computadoras resulta de suma importancia la protección de la información que se gestiona en ellas para su correcto funcionamiento y operatividad, la captura y análisis de la misma puede causar desestabilidad y en ocasiones la salida de servicio de estas; implicando perdidas económicas por concepto de revelación de información confidencial e interrupciones de sistemas y servicios brindados, siendo esto suficiente para que las instituciones dediquen suficiente atención a sus redes. La Intranet de la Universidad Central Martha Abreu de las Villas se considera una red de propósito académico y medianamente complejo. Garantizar niveles de estabilidad, integridad y confidencialidad es uno de los principales objetivos del personal que labora en la línea de seguridad. Hasta el momento existe una infraestructura de seguridad que lleva funcionando algunos años con resultados probados, pero sin embargo esta puede mejorarse. La red de la UCLV sigue la tendencia de la centralización e integración de los servicios, esto hace importante la protección del canal de comunicaciones, pues prácticamente todos los servicios están integrados al usuario del directorio activo de Windows 2000, de manera que a una cuenta de usuario esta asociado un servicio de correo electrónico, un servicio de Internet, un servicio de fichero y otros. Debido a lo anterior es fundamental la protección de las mismas, lo que implica la protección de los servicios asociados a estos usuarios. También resulta de gran importancia la protección de los principales servidores tanto en la red perimetral como interna contra posibles ataques. Debido a la importancia que reviste la seguridad de la intranet para el correcto. 1.

(20) Introduccion. desempeño de las actividades investigativas y docentes surge la necesidad de consolidar y diversificar los mecanismos de seguridad existentes. Elevar el nivel de seguridad de la red universitaria es un tema que puede ser tratado desde varios ángulos, sin embargo el estudio de las 100 mejores herramientas de seguridad de redes en estos momentos a nivel mundial, brinda conocimientos sobre las posibilidades y ventajas que ofrecen, permitiendo proponer un conjunto de soluciones de seguridad basadas en configuraciones de algunas de ellas. Numerosos problemas pueden ser avizorados a tiempo y evitados, con un adecuado uso de estas herramientas. Las cuales pueden ser utilizadas y configuradas con varios fines como la detección de vulnerabilidades en los sistemas, chequeos de integridad de archivos, análisis de protocolos, configuración chequeos de sistemas de detección de intrusos, correlación de eventos, monitores de tráfico, trasmisión de datos segura entre dos puntos, entre otras utilidades como es el chequeo de las políticas de seguridad utilizadas en las contraseñas. De acuerdo a la necesidad de elevar el nivel de seguridad de la Intranet se definen varias interrogantes: •. ¿Qué necesidades en materia de seguridad de la Intranet fundamentan la búsqueda de nuevas herramientas?. •. ¿Cuál seria el posible grupo de herramientas que brinden soluciones que se adecuen a la arquitectura de red de la universidad?. •. ¿Cuáles serían las herramientas de seguridad y configuraciones especificas propuestas para analizar en pruebas pilotos?. •. ¿Cuál sería la propuesta de configuraciones de seguridad a implementar en la intranet UCLV?. Para dar respuesta al problema en esta investigacion deben ser cumplidos tres objetivos:. 2.

(21) Introduccion. •. Desarrollar un estudio de aplicabilidad de las 100 herramientas de seguridad más usadas en Internet.. •. Seleccionar un conjunto de ellas teniendo en cuenta las soluciones de seguridad, de implementación e integración con la arquitectura de la UCLV que estas brindan.. •. Implementar en un entorno controlado las aplicaciones y ejecutar las pruebas pertinentes y a partir de los resultados elaborar la propuesta de configuraciones de seguridad en la UCLV.. Para la realización de la investigación se utilizan diferentes métodos y técnicas conformados por revisión bibliográfica y búsqueda de información actualizada, análisis de la información obtenida y búsqueda de documentos actualizados, empleo de una investigación exploratoria sobre las tendencias de la seguridad informática del mundo moderno y el análisis de las principales variantes a tomar. La investigación de tipo servicio científico tecnológico brindará a la Intranet de la UCLV un mayor nivel de seguridad y estabilidad mediante la correcta utilización de las herramientas de seguridad propuestas, proporcionando a los administradores del nodo central un conjunto de soluciones de seguridad que reducirán tareas de administración y elevaran los tiempos de respuesta ante fallos. Las propuestas pueden ser implementadas bajo los términos legales a que están sujetas en la Universidad Central de las Villas, los medios físicos y recursos humanos necesarios para llevar a cabo la aplicación de esta, se encuentran disponibles sin costo monetario alguno. La investigación esta compuesta por la introducción, desarrollo, conclusiones, referencias bibliográficas, bibliografía y anexos. A su ves el desarrollo esta estructurado en tres capítulos.. 3.

(22) Introduccion. El primero titulado Estado del arte de las herramientas de seguridad para redes de computadoras, brinda una panorámica de la seguridad informática en el mundo así como las nuevas áreas de investigación sobre la seguridad de las redes, ofrece además una introducción a las herramientas de redes. El segundo Estado actual de la seguridad de la red de la UCLV y uso de nuevas herramientas para configuraciones de seguridad. Ofrece un análisis de los principales objetivos a ser protegidos en la universidad así como, la integración de las herramientas al entorno, consta de un estudio teórico de las herramientas de redes. El tercero Propuesta de configuraciones basadas en la lista de las 100 mejores herramientas de seguridad. Propone el modo de empleo de estas herramientas a partir de configuraciones básicas para la realización de auditorias de seguridad de la red universitaria.. 4.

(23) Capítulo 1 Estado del arte de las herramientas de seguridad para redes de computadoras.

(24) Estado del arte de las herramientas de seguridad para redes de computadoras. CAPÍTULO 1: Estado del arte de las herramientas de seguridad para redes de computadoras 1.1 Estado del arte de la seguridad informática Las redes de computadoras han visto un creciente desarrollo a nivel mundial condicionado a partir de los adelantos científicos y tecnológicos en materia de medios de transmisión, sistemas de control y conmutación así como la necesidad social de la utilización de la información, lo que ha impulsado la extensión y creación de grandes redes de computadoras a las cuales acceden millones de microcomputadoras.(2002) En la actualidad las naciones más desarrolladas utilizan las redes de computadoras para el control y funcionamiento de diversos tipos de sistemas como bancarios, comerciales, científicos, gubernamentales y de propósito social, esto ha hecho que los sistemas de seguridad se desarrollen a la par de las necesidades de las nuevas redes, para asegurar que los recursos de las organizaciones tanto material informático como programas sean utilizados de la manera decidida y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas acreditadas y dentro de los límites de su autorización(Janczewski, 2000), debido a esto los programas de seguridad se tornan mas complejos, a la ves que brindan gran cantidad de servicios, configuraciones y soluciones de seguridad.(Sophos, 2007) La infraestructura informática dada su importancia requiere ser segura y confiable. Los sistemas CIS (Sistemas de Información y Comunicaciones) constituyen objetivo fundamental para la seguridad. a nivel nacional, debido a que las infraestructuras. nacionales que integran sistemas CIS como los sistemas de producción, la Administración y la Defensa implican posibles vulnerabilidades.(Acuña, 2008) Los sistemas informáticos están sujetos a posibles ataques por parte de cualquier usuario de la red, sus objetivos son principalmente sociales, económicos y políticos. Con ellos se pretende inutilizar tanto servicios básicos del estado como sistemas empresariales y personales. (Lehtinen, 2006). 5.

(25) Estado del arte de las herramientas de seguridad para redes de computadoras. Durante el 2008 las redes de computadoras experimentaron un aumento en los ataques, dado por varios factores representados por el crecimiento de la velocidad de los datos en las redes, la existencia de grandes sumas de dinero en forma electrónica susceptibles de fallas y asaltos, el volumen de vulnerabilidades reportadas en el software tanto de uso corporativo como en el de computadoras de casa, las soluciones de seguridad para proteger el software de ataques son sustancialmente más complejas de configurar correctamente, o requieren una importante cuota de “cuidado y alimentación” para asegurar su eficiencia , la falta de coordinación transnacional de los agentes gubernamentales para tratar el tema del delito informático. (Kano, 2008) La inseguridad de las aplicaciones constituye factor de consideración en el aumento del número de ataques. Los reportes del X-force de IBM, las consideraciones de Symantec y las investigaciones de Google Research, el web y todas sus tecnologías asociadas fueron objeto de vulnerabilidades que de una u otra forma afectaron a los usuarios finales. Las grandes compañías de software tratan de solucionar las fallas estructurales que tienes sus aplicaciones así como de identificar nuevas. El uso de nuevas tecnologías hace que la seguridad en la redes de comunicaciones adquiera mayor trascendencia , entre estos avances se destacan la migración hacia ambientes que adecuan la infraestructura a las necesidades del usuario, como la virtualizacion de servidores o infraestructura, esto trae consigo la inseguridad propia de este tipo de ambiente, dada por la configuración de los programas, las fallas en la administración de los recursos asignados, las vulnerabilidades del diseño de la infraestructura virtual, en general en aquellos sitios donde lo físico se transforma en virtual y viceversa. Las llamadas redes de nueva generación, definidas por la ITU (Internacional Telecommunication Union), provistas con la capacidad de diferenciar usuarios y servicios a través de políticas de calidad, que aunque brindan servicios convergentes como voz sobre IP (Internet protocol), IP TV, Mensajería SMS (Short Message Service), llamadas multimedia entre otras, presentaran posibles riesgos de seguridad en los servicios dado por los nuevos protocolos y las configuraciones propias de estas redes.. 6.

(26) Estado del arte de las herramientas de seguridad para redes de computadoras. En este escenario las políticas de seguridad implementadas por las organizaciones son pieza fundamental en el proyecto de plan de seguridad de una instalación, estas deben ser diseñadas de forma tal que contengan una descripción de lo que deseamos proteger y el por qué de ello, deben formularse como un proceso donde el documento formal es solo un paso y entendiendo la seguridad informática como los procedimientos y mecanismos utilizados para garantizar un razonable grado de protección de los recursos informáticos(Tipton, 2007). Estas políticas se establecen en la. RFC (Request For. Comments) 2196. El campo de la seguridad informática se encamina hacia la investigación de nuevos sistemas, sobresalen. la identificación y autenticación, entre estas se destacan las. investigaciones sobre biometría(Reid, 2003), generación de identidades y sistemas PET (Privacy Enhanced Identity). La generación de identidades se enfoca en desarrollar sistemas para la gestión eficiente de múltiples contraseñas,. además se producen. avances en la investigación de sistemas PET para mantener la privacidad durante la navegación por Internet En el campo del cifrado, se desarrollan algoritmos ligeros apropiados para implementar en dispositivos digitales como tarjetas inteligentes o chips RFID (Radio Frequency Identification). La investigación en la distribución y custodia de claves, tiene especial importancia para los usuarios que necesitan recuperar información propia cifrada cuya contraseña han perdido. Los sistemas de firma equitativa (firma conjunta de varias personas) y la verificación de protocolos para detectar posibles vulnerabilidades son otros ámbitos importantes de desarrollo. Las investigaciones sobre seguridad de redes se centran en el desarrollo de agentes móviles para instalar en sistemas de detección y prevención de intrusiones (IDS e IPS), con el fin de operar de forma conjunta haciendo uso de la seguridad informática y la inteligencia artificial. Otro aspecto de interés resulta ser la integración de sistemas de monitorización SIM (Security Incident Management). Los sistemas DRM (Digital Rights Management) son igualmente desarrollados pero no se han conseguido diseños robustos. La computación ubicua (Cloud Computing) es. 7.

(27) Estado del arte de las herramientas de seguridad para redes de computadoras. objeto de estudio, pero. las brechas de seguridad hacen de esta susceptible a. fallas.(Ribagorda, 2008) 1.2 Base matemática de los sistemas de seguridad de redes: La criptografía Los sistemas actuales para la comunicación en las redes utilizan la criptografía como base matemática, esta ha posibilitado la solución de la mayoría de los problemas de seguridad de nuestras redes y representa la base de los protocolos y mecanismos de seguridad que existen en estos momentos. La criptografía se utiliza como base para comunicar información de forma segura ocultando su contenido, garantizando así el secreto en la comunicación, además de asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado o criptograma, no haya sido modificado en su tránsito. Una de las ramas de la criptografía más importante dada que busca asociar al emisor de un mensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo es el de la firma digital.(LUCENA, 2008) La criptografía esta esencialmente compuesta por dos sistemas el de cifra simétrica y el de cifra asimétrica. 1.2.1 Sistemas de cifrado simétrico Los sistemas de cifrado simétrico utilizan la misma clave para cifrar y descifrar un documento. El principal problema de seguridad reside en el intercambio de llaves entre el emisor y el receptor ya que ambos deben usar la misma. Por lo tanto se tiene que buscar un canal de comunicación que sea seguro para dicho intercambio. Es importante que dicha llave sea muy difícil de adivinar ya que hoy día los ordenadores pueden adivinar claves en cortos periodos de tiempo. Por ejemplo el algoritmo de cifrado DES (Data Encryption Standard) usa una clave de 56 bits, con 72 mil billones de claves posibles; ordenadores especializados son capaces de probar todas ellas en cuestión de. 8.

(28) Estado del arte de las herramientas de seguridad para redes de computadoras. horas. En la actualidad se están utilizando claves de 128 bits que aumentan el "espectro" de claves posibles (2 elevado a 128) de forma que aunque se uniesen todos los ordenadores existentes en estos momentos no lo conseguirían en miles de millones de años. 1.2.2 Sistemas de cifrado asimétrico Los llamados sistemas de cifrado de clave pública usan dos claves diferentes. Una es la clave pública que puede ser enviada a cualquier persona y la otra es la clave privada, que debe guardarse para que nadie tenga acceso a ella. Para enviar un mensaje, el remitente usa la clave pública del destinatario para cifrar el mensaje. Una vez que lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar, ni siquiera el que ha cifrado el mensaje puede volver a descifrarlo. En un sistema de cifrado asimétrico la clave pública contiene un número compuesto de dos números primos muy grandes. Para cifrar un mensaje, el algoritmo de cifrado usa ese compuesto. Para descifrar el mensaje, el algoritmo de descifrado requiere conocer los factores primos, y la clave privada tiene uno de esos factores, con lo que puede fácilmente descifrar el mensaje.(Garfinkel, 1997) Es fácil, con los ordenadores de hoy día, multiplicar dos números grandes para conseguir un número compuesto, pero es muy difícil la operación inversa. Dado ese número compuesto, factorizarlo para conocer cada uno de los dos factores. Mientras que 128 bits se considera suficiente en las claves de cifrado simétrico y dado que la tecnología de hoy día se encuentra muy avanzada, se recomienda en este caso que la clave pública tenga un mínimo de 2048 bits. Para un ataque de fuerza bruta, sobre una clave publica de 512 bits, se debe factorizar un número compuesto de hasta 155 cifras decimales. 1.3 Protocolos de seguridad de redes Los estándares de seguridad proporcionan las normas fundamentales en cuanto a seguridad de redes y sistemas, estos consideran las relacionadas directamente con todo tipo de necesidades puntuales de seguridad para sistemas, protocolos de comunicación y herramientas de gestión concretas. Muchas de estas normas tienen su base en los documentos RFC, de acceso completamente gratuito y manejado por la IETF (Internet 9.

(29) Estado del arte de las herramientas de seguridad para redes de computadoras. Engineering Task Force), como el organismo de desarrollo y creación de normas de facto para el entorno de redes IP a nivel mundial. Entre las más significativas se debe citar las normas IPSec, creadas por el IETF. Las IPSec son de gran importancia pues permiten una comunicación segura a través de redes inseguras, como Internet, estas hacen referencia a un conjunto de protocolos y su forma de uso obteniéndose de los documentos RFC 2401, 2402, 2406, 2407, 2408, 2409 y 2411.(Tiller, 2001) Algunas otras normativas patrocinadas por IETF relevantes son Kerberos cuyas cuatro primeras versiones fueron diseñadas e implementadas desde 1987 por el proyecto ATHENA del MIT (Masachusset Institute of Tecnology), este protocolo y sistema de autenticación es muy utilizado en las redes (RFC 1510), para la transmisión segura de correo electrónico es muy utilizado el protocolo PEM (Privacy Enhanced Mail) debido a que brinda servicios de mejora de la privacidad mediante el uso de criptografía de extremo a extremo entre procesos origen u destino en nivel de Agente Usuario. (RFC 2630 y 2631), para el trabajo con correo electrónico cifrado es eficiente el protocolo PGP (Pretty Good Privacy), su versión estándar proviene de un sistema criptográfico y protocolo desarrollados por Phil Zimmerman en 1991.Versión estándar (RFC 1991, 2440 y 3156), en las transacciones HTTP (HyperText Transfer Protocol) seguras por Internet (RFC 2660) se utiliza S-HTTP , por sus siglas en inglés HTTPS (Hypertext Transfer Protocol Secure ), debido a que este protocolo proporciona servicios de seguridad aplicables de manera independiente para la confidencialidad, autenticidad/integración y no repudio del origen, además ofrece la máxima flexibilidad en la elección de los mecanismos de administración de claves, políticas de seguridad y algoritmos criptográficos, mediante la negociación de opciones entre los participantes de cada transacción, en cuanto a mensajes que pasan a través de cortafuegos el sistema de seguridad SOCKS es muy útil.(RFC 1928, 1929 y 1961), dentro de las aplicaciones criptográficas son muy importantes las normas PKCS (Public Key Cryptographic Standards), desarrolladas por RSA Labs, en cooperación con un consorcio informal con la participación de Apple, Microsoft, DEC, Sun y el MIT. Esta serie de normas son utilizadas para la creación y gestión de infraestructuras de clave pública y para el uso de claves digitales públicas y privadas para protección de datos. Relacionada con las. 10.

(30) Estado del arte de las herramientas de seguridad para redes de computadoras. normas PKCS. existe otro conjunto de normas recogidas en el ISO (International. Organization for Standardization)/IEC JTC1/SC27,. cada vez. más utilizadas en. cualquier entorno en el que se haga necesario el uso de autenticación mediante certificados digitales. Relacionado con este último apartado aparece el estándar X.509 o “Directory Authentication Framework”, originalmente desarrollado por la ITU-T, hoy es una norma patrocinada por la ISO y con múltiples RFC del IETF. Su importancia viene dada debido a que es fundamental para la creación, administración segura y mantenimiento correcto de cualquier infraestructura de autenticación de clave pública, definiendo cómo debe estar estructurado un certificado digital. Otra norma técnica, importantísima por la constante aparición en sistemas de comercio electrónico y en redes privadas virtuales es el protocolo SSL (Secure Sockets Layer). Un grupo de normas cruciales para el correcto funcionamiento de muchos de los sistemas citados es el que hace referencia a los algoritmos criptográficos de cifra simétrica, fundamentales para el mantenimiento de la privacidad de datos en disco y de mensajes por redes, uno de ellos que ha sido y es uno de los algoritmos más utilizados de los últimos 25 años es el DES, normalizado por el NIST (National Institute of Standards and Technology) de Estados Unidos. Como durante los últimos años se ha demostrado su debilidad en una serie de circunstancias, el propio NIST ha buscado en un proceso abierto su sustitución por AES (Advanced Encryption Standard). Aprobado recientemente como el algoritmo de cifrado simétrico recomendado por el Gobierno de Estados Unidos. Su base es el algoritmo de Rijndael. En cuanto a firma digital, se encuentran las normas RSA. Aparecen además las normas DSS/DSA (Digital Signature Standard/Digital Signature Algorithm), desarrolladas por el NIST y de obligado cumplimiento para actividades del Gobierno Federal de Estados Unidos. En la seguridad relacionada específicamente con el World Wide Web, se destacan las de especificación XML (Extensible Markup Language) que permite que un cliente obtenga información clave (valores, certificados, datos de administración, entre otras) de un servicio Web, como las normas XKMS (XML Key Management Specification). Además se encuentran las que especifican el uso de la sintaxis XML para representar una firma digita, estas son las normas XMLDSIG (XML Digital Signaturas). En este. 11.

(31) Estado del arte de las herramientas de seguridad para redes de computadoras. entorno Web, son reseñables los estándares SAML (Security Assertion Markup Language), basados en XML para servicios Web que permite el intercambio de información de autenticación y de autorización entre participantes. Las normas de seguridad para las comunicaciones inalámbricas están descritas en el estándar IEEE (Institute of Electrical and Electronics Engineers) 802.11i, este es de gran importancia pues esta dirigido a batir las vulnerabilidades actuales en la seguridad para protocolos de autenticación y de codificación en estas redes. El estándar abarca los protocolos 802.1x, TKIP (Protocolo de Claves Integra – Seguras – Temporales) y AES. Se implementa en WPA (Wi-Fi Protected Access)2. Apoyadas en las RFC y en muchas de estas normas surge el estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements), donde se especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un SGSI (Sistema de Gestión de la Seguridad de la Información) según el “Ciclo de Deming”, fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Comisión. La implantación de ISO/IEC 27001 en una organización es un proyecto que depende del grado de madurez en seguridad de la información y debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI En general, es recomendable la ayuda de consultores externos especializados. La certificación de un SGSI es un proceso en el que una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y en caso positivo, emite el correspondiente certificado. 1.4 Herramientas de seguridad de redes Las herramientas de seguridad de redes constituyen importantes instrumentos para lograr un sistema con un nivel de seguridad apropiado, estas proporcionan alternativas y configuraciones a implementar por parte de los administradores de sistemas(Burns et al., 2007). Algunos de estos softwares son propietarios pues requieren de remuneración 12.

(32) Estado del arte de las herramientas de seguridad para redes de computadoras. para su uso, llamados herramientas comerciales, otros son de código abierto y se autoriza su implementación sin costo alguno. Un grupo de estas herramientas brindan al usuario múltiples servicios y configuraciones, proporcionadas en un solo paquete, estas agrupan las capacidades de varias herramientas sencillas para lograr alta protección en la red. 1.4.1 Herramientas de seguridad propietarias Entre las herramientas que ofrecen una mayor integración en sus servicios se encuentran las desarrolladas por GFI,. este es un destacado desarrollador de software que. proporciona una única fuente para que los administradores dirijan sus necesidades en seguridad de red, seguridad de contenido y mensajería. GFI adopta las nuevas tecnologías, como por ejemplo: GFI MailEssentials fue el primer software anti-spam basado en servidor en incluir filtrado Bayesiano. GFI MailSecurity fue el primer software en abordar el problema de la seguridad del correo de forma más agresiva, mediante sus características de análisis de vulnerabilidades y control de Troyanos. GFI FAXmaker es el ejemplo con su perfecta integración con el correo y la red. GFI LANguard N.S.S. se ha probado revolucionario en el mercado del análisis de seguridad. 1.4.1.1 GFI LANguard GFILANguard es una. solución que aborda los tres pilares de la gestión de. vulnerabilidad: análisis de seguridad, administración de parches y auditoria de red mediante una única e integrada consola. Mediante el análisis de toda la red, identifica todos los posibles problemas de seguridad y utilizando funcionalidades de generación de informes proporciona las herramientas necesarias para detectar, valorar, informar y rectificar cualquier amenaza. Durante las auditorias de seguridad, se realizan más de 15.000 valoraciones de vulnerabilidad y las redes se escanean IP por IP. Las valoraciones son recogidas en una base de datos de evaluación de vulnerabilidad, que incluye estándares como OVAL. 13.

(33) Estado del arte de las herramientas de seguridad para redes de computadoras. (más de 2.000 comprobaciones) y SANS Top 20. Esta base de datos se actualiza regularmente con información de BugTraq, SANS Corporation, OVAL, CVE y otras. Mediante su sistema de auto-actualización la herramienta se mantiene siempre actualizada con la información sobre las actualizaciones de seguridad de Microsoft recientemente liberadas así como de las nuevas comprobaciones de vulnerabilidad publicadas por GFI y otros almacenes de información basados en comunidades tales como la base de datos OVAL. GFI LANguard realiza análisis multi plataforma (Windows, Mac OS, Linux) a través de todos los entornos incluyendo Máquinas Virtuales, pues detecta si el equipo analizado es real o virtual, este soporta aplicaciones VMware y Virtual PC. El software analiza el estado y configuración de la seguridad de la red asegurando que el administrador sea capaz de identificar y rectificar cualquier amenaza. La GFI. permite crear. evaluaciones de vulnerabilidad a través de. pantallas de. configuración asistidas. El asistente permite la creación de complejas evaluaciones de vulnerabilidad. El motor de scripting es compatible con Python y VBScript. Esta herramienta escanea equipos, identifica y clasifica vulnerabilidades de seguridad, recomienda un curso de acción y proporciona herramientas que permiten resolver problemas de seguridad, hace uso de un indicador gráfico del nivel de amenaza que proporciona una importante e intuitiva valoración del estado de vulnerabilidad de un equipo o grupo de equipos analizados. Cuando es posible se proporciona un enlace web o más información sobre un asunto de seguridad concreto, como un BugTraq ID o un artículo de la Base de Conocimientos de Microsoft. GFI LANguard comprueba que las aplicaciones de seguridad soportadas como anti-virus y anti-spyware están actualizadas con los últimos archivos de definición y que están funcionando correctamente La herramienta permite configurar análisis de diferentes tipos de información, recursos compartidos. abiertos. en. estaciones. de. trabajo,. políticas. de. seguridad. de. auditoría/contraseña y equipos que no tienen un parche o service pack concreto. Puede analizar diferentes tipos de vulnerabilidades para identificar potenciales problemas de seguridad, estos incluyen escaneo de puertos abiertos innecesariamente, eliminar o. 14.

(34) Estado del arte de las herramientas de seguridad para redes de computadoras. deshabilitar cuentas de usuario que ya no se usen, identificar software no autorizado o peligroso y agregarlo a listas negras de aplicaciones que se deseen asociar con una alerta de vulnerabilidad de alta seguridad, busca todos los dispositivos conectados a USB (Universal Serial Bus) o enlaces inalámbricos y avisa de cualquier actividad sospechosa. El análisis y filtrado de los resultados se realiza sobre las propiedades de cada uno de los nodos predefinidos del filtro, permitiendo identificar equipos con vulnerabilidades de alta seguridad o equipos a los que les falte un service pack concreto. Se pueden crear filtros personalizados y exportar resultados a XML. Cuando se completa un análisis, GFI LANguard proporciona herramientas para instalar y administrar eficazmente los parches en todos los equipos a través de diferentes plataformas de sistemas operativos y productos Microsoft en 38 idiomas, este permite la auto descarga de parches faltantes así como la retirada de parches, además puede implantar software de terceros, característica que usa para implantar software cliente, actualizaciones a medida, o software que no son de Microsoft, actualizaciones anti-virus y otras, dando como resultado un entorno consistentemente configurado que es seguro contra todas las vulnerabilidades. El administrador de red tiene la opción de aprobar manualmente cada actualización o configurar todas las actualizaciones de Microsoft como aprobadas. Si los parches son aprobados manualmente el administrador de red puede escoger recibir notificaciones por correo cuando estén disponibles nuevas actualizaciones de Microsoft. Las operaciones de corrección se pueden activar automáticamente al final de los análisis programados, además de generar informes sobre todas las aplicaciones instaladas, GFI LANguard 9 permite al usuario definir qué aplicaciones están o no autorizadas para ser instaladas en la red. La lista de aplicaciones se puede definir fácilmente en cada perfil de análisis utilizando la Herramienta de Inventario de Aplicaciones. Durante un análisis, las aplicaciones no autorizadas son identificadas y opcionalmente desinstaladas. El software proporciona una herramienta de Validación de Auto-Desinstalación para ayudar a identificar cuales de las aplicaciones detectadas soportan la desinstalación desatendida y pueden por lo tanto ser desinstaladas segura y automáticamente.. 15.

(35) Estado del arte de las herramientas de seguridad para redes de computadoras. Esta útil herramienta permite la opción de una conexión a escritorio remoto para resolver problemas de seguridad en equipos analizados que no puedan solucionarse automáticamente. La función de auditoría de GFI LANguard proporciona información sobre la red, dispositivos USB conectados, software instalado, cualquier recurso compartido abierto, puertos abiertos y contraseñas débiles en uso, así como información del hardware. Los informes proporcionan una importante instantánea en tiempo real del estado de la red. Los resultados de los escaneos pueden ser fácilmente analizados utilizando filtros e informes, permitiendo asegurar proactivamente la red mediante el cierre de puertos, eliminación de usuarios o grupos que ya no se utilizan y deshabilitando los puntos de acceso inalámbricos. La auditoria de la red recupera información de todos los dispositivos de los sistemas operativos windows incluyendo placa base, procesadores, memoria, dispositivos de almacenamiento, adaptadores de pantalla. Utilizando comparaciones básicas puede comprobar si se agregó/eliminó hardware desde el último análisis, estos pueden realizarse de forma programada y realizar automáticamente comparaciones. con. resultados de análisis anteriores. Cualquier nueva brecha de seguridad o cambio de configuración descubierto en la red será enviado por correo al administrador para su análisis, permitiendo identificar rápidamente nuevos recursos compartidos, servicios instalados, aplicaciones instaladas, usuarios agregados, nuevos puertos abiertos y más. La herramienta genera informes específicos y notificaciones por correo si hay cambios en el software o hardware detectado en la red auditada, los informes específicos muestran qué operaciones de rectificación fueron realizadas. La GFI comprueba si cada equipo NT/2000/XP/VISTA tiene habilitada la auditoria de seguridad. La auditoria de eventos de seguridad es altamente recomendable porque detecta intrusos en tiempo real. Las estaciones Linux y Windows se pueden analizar en una única sesión de escaneo debido a que es posible extraer remotamente datos del sistemas basados en Linux y el resultado se presenta de la misma forma que para equipos basados en Windows, el. 16.

(36) Estado del arte de las herramientas de seguridad para redes de computadoras. análisis incluye numerosas comprobaciones de seguridad Linux incluyendo detección de rootkit, puede utilizar archivos de Clave Privada SSH (Secure Shell) en lugar de las convencionales credenciales de contraseña para autentificarse en equipos Linux. GFI LANguard permite almacenar diferentes datos de autentificación para cada equipo de la red, evitando la necesidad de especificar credenciales de autentificación antes de cada análisis. En una sesión de escaneo, es posible auditar todos los objetivos de la red, incluso si requieren de datos o métodos de autentificación diferentes. Esta herramienta presenta. otras características que la hacen muy útil como que comprueba. automáticamente la directiva de contraseña de todos los equipos de la red y los programas que se inician automáticamente (Troyanos potenciales) , descubre si el sistema operativo está generando demasiada información, realiza escaneos simultáneos mediante el motor de análisis multi-hilo, proporciona nombre de equipo NetBIOS, el nombre del usuario registrado en ese momento, las direcciones MAC (Media Access Control), una lista de recursos compartidos, usuarios (información detallada), servicios, sesiones, TOD (time of day) remoto e información del registro del equipo remoto (Windows), ofrece detección de dispositivo SNMP (Simple Network Management Protocol), SNMP Walk para inspeccionar dispositivos de red como enrrutadores, impresoras de red y otros, contiene herramientas alternativas de implantación en línea de comando, identificación de todos los servicios Windows instalados y soporte de Microsoft Windows Vista. 1.4.1.2 Otras herramientas GFI El elevado volumen de sucesos de sistema que se generan diariamente es una valiosa fuente de información para los administradores de red para ayudarlos a monitorizar cambios de configuración, acciones administrativas, identificar errores de sistema y brechas de seguridad sospechosas. Cuanto más grande es la red, mayor es la necesidad de una solución que permita monitorizar, administrar y archivar miles de sucesos generados por dispositivos a través de redes heterogéneas.. 17.

(37) Estado del arte de las herramientas de seguridad para redes de computadoras. La GFI EventsManager 8 es una solución de monitorización, administración y archivo de sucesos, soporta una amplia familia de tipos de sucesos como W3C (World Wide Web), sucesos Windows, Syslogs y en la última versión traps SNMP generados por dispositivos tales como cortafuegos, enrrutadores y sensores. Proporciona soporte para dispositivos de los 20 principales fabricantes del mundo así como dispositivos a medida, la herramienta permite monitorizar una amplia familia de productos hardware, generar informes sobre el estado operativo de cada uno y recoger información para el análisis. Puede seguir la actividad de los usuarios en la red tales como cambios hechos en sus computadoras, archivos accedidos durante el día, cumplimiento legal y regulador tal como SOX, PCI DSS, HIPAA (Health Insurance Portability and Accountability Act). Los registros de sucesos son generados constantemente y automáticamente por los usuarios o por procesos automáticos/de segundo plano y a menudo son almacenados en lugares distintos, en este caso la GFI EventsManager es muy útil pues almacena todos los registros de sucesos capturados en una base de datos SQL que además puede ser remota. Este puede configurar copias de seguridad programadas de sus registros de sucesos. Esta GFI soporta auditoria de servidor SQL de todas las versiones comerciales y gratuitas de SQL Server incluyendo 2000, 2005, 2008, MSDE y SQL Express. La auditoria permite al usuario seguir y generar informes sobre la actividad del servidor SQL tales como: Ejecución de instrucciones SQL, alteración de tablas de BD, intentos de acceso a información sin los necesarios privilegios. Esto puede asegurar que la información de los servidores SQL es auténtica y por lo tanto fiable. La herramienta incorpora un motor de escaneo de sucesos que. alcanza. máximo rendimiento,. demostrando que es capaz de escanear y recoger hasta 6 millones de sucesos/hora. Esta solución puede enviar alertas cuando se detectan sucesos clave o intrusiones. Puede activar acciones tales como ejecución de secuencias de comandos o envío de alertas a una o más personas por correo electrónico, mensajes de red y notificaciones SMS enviadas mediante una pasarela o servicio de correo-a-SMS.. 18.

(38) Estado del arte de las herramientas de seguridad para redes de computadoras. Los sucesos de instalaciones GFI EventsManager de varios sitios y localizaciones en la red se pueden guardar en una base de datos central utilizando la funcionalidad del módulo Operaciones de Base de Datos, esto permite monitorizar fácilmente miles de estaciones y servidores a través de la red sin impactar en el uso del ancho de banda ni del almacenamiento. Se integran y centralizan sucesos recogidos y procesados permitiendo copiar/restaurar sucesos bajo demanda. Mediante operaciones en base de datos se administra el tamaño de la base de datos, sin necesidad de intervención manual, no sólo para la centralización si no además para poder exportar sucesos y copiarlos según se necesite. Esta importante herramienta elimina los sucesos “ruidosos” o triviales que suponen un alto porcentaje de todos los sucesos de seguridad, monitorización y alerta en tiempo real 24 x 7 x 365 , además monitoriza gráficamente el estado de GFI EventsManager y de su red mediante el monitor de estado incluido y permite programación de informes y distribución automática por correo. Otra de las herramientas de GFI muy importantes que brinda vigilancia automatizada de un servidor de forma relativamente fácil es la GFI Network Server Monitor. La GFI Network Server Monitor es un monitor de red que. permite a los. administradores escanear la red buscando automáticamente fallos o irregularidades, esta puede identificar problemas y solucionar condiciones inesperadas, maximiza las disponibilidad de la red mediante la vigilancia de todos los aspectos de ella, de servidores, estaciones de trabajo Windows y Linux y de sus dispositivos (routers y otros). Cuando se detecta un fallo, el monitor de red de GFI puede avisar mediante mensajes de correo, buscapersonas o SMS, así como tomar acciones correctivas para reiniciar el equipo, reiniciar el servicio o ejecutar un script. Este monitor de red comprueba el estado de un servicio, en lugar de deducir el estado de estos por los sucesos generados. Esta herramienta de monitoreo de red tiene un servicio de supervisión de red y una interfase de administración separado permitiendo una alta fiabilidad y escalabilidad para. 19.

(39) Estado del arte de las herramientas de seguridad para redes de computadoras. vigilar redes grandes y pequeñas, no es necesario instalar software agente en los equipos a vigilar. El Network Monitor Engine es multi-threaded y puede realizar 40 comprobaciones a la vez, estas incluyen Exchange 2000/2003, ISA Server, IIS y otros. Los servicios críticos de Exchange y los contadores de rendimiento como almacén de información,. buzones,. servicio. SMTP(Simple. Mail. Transfer. Protocol). son. monitorizados, además de que puede comprobar el estado de un servidor de terminal mediante la realización de un inicio de sesión completo y comprobando si la sesión se establece correctamente, este método de monitorización es superior a confiar en los sucesos que genera el servidor de terminal (como hace Microsoft MOM), este software puede comprobar la disponibilidad de todas las principales aplicaciones de bases de datos, vigilando el servidor Microsoft SQL. Otras bases de datos tales como Access, FoxPro, Paradox, SyBase, Informix, IBM DB2 pueden ser vigiladas mediante ODBC. Este monitor incluye comprobaciones para monitorizar servidores Linux, obteniendo el uso de la CPU (Central Processing Unit), disponibilidad de impresora, existencia de archivo, procesos en marcha, tamaño de carpeta, tamaño de archivo, afiliación de usuarios y grupos, partición de disco y espacio en disco. Además, los administradores pueden crear cualquier comprobación escribiendo un script SSH. Esta GFI ha desarrollado comprobaciones especializadas que emulan operaciones de administrador para verificar que los servicios ofrecidos por varias aplicaciones estén funcionando, por ejemplo, iniciar sesión en un servicio, realizar una tarea y cerrar sesión en el servicio sin necesidad de intervención administrativa. Las funciones de monitorización que hacen uso de dicha metodología incluyen: Servidor IMAP (Protocolo de acceso a los mensajes de Internet), POP3 (Protocolo de Oficina de Correos), SMTP y la comprobación de enrutamiento de correo. Mediante el uso activo de dichos servicios se puede garantizar que todos los aspectos de éstos están en marcha y funcionando. Al ocurrir una condición inesperada, el monitor puede corregir el problema automáticamente mediante el reinicio de un servicio (o varios servicios) que falló, reiniciando el servidor que tuvo problemas, lanzando un ejecutable trabajando por lotes o VBScript. Cuando detecta un fallo puede enviar alertas mediante SMS,. 20.

(40) Estado del arte de las herramientas de seguridad para redes de computadoras. buscapersonas, correo o un mensaje de red. Los mensajes SMS se envían mediante un proveedor de servicio de SMSC (Short Message Service Center), directamente a través de un teléfono/modem GSM (Groupe Spécial Mobile) conectado; de la misma forma es posible utilizar el servicio email-a-SMS de GFI FAXmaker, el servicio web online email-a-SMS de Clickatell o cualquier pasarela email-a-SMS de terceros. Todas las notificaciones pueden personalizarse utilizando variables y los destinatarios pueden configurarse globalmente para todas las reglas. Esta herramienta permite almacenar los datos de monitorización en una base de datos SQL Server o MS Access, siendo SQL Server más apropiado para usuarios con un mayor nivel de requerimientos de monitorización, así como aquellos que necesitan centralizar los resultados de monitorización de varias instalaciones de GFI Network Server Monitor en un único lugar, como backups, acceso remoto así como generación de informes con herramientas de terceros como Crystal Reports o MS Reporting Services. Este monitor de red puede comprobar el estado de la red desde cualquier lugar utilizando el monitor web remoto de GFI Network Server Monitor, este incluye dos tipos de vistas de página web, uno para un navegador web normal y otro optimizado para verse desde un teléfono móvil o dispositivo portátil como un BlackBerry o un Palm. Este permite además analizar los Registros de Sucesos de Windows en equipos locales o remotos y buscar orígenes, categorías, IDs de sucesos y patrones en la descripción del suceso, además puede buscar múltiples sucesos ocurridos en un intervalo de tiempo específico, igualmente permite comprobar procesos y servicios críticos en equipos locales y remotos, puede monitorizar la utilización de la CPU de un equipo y cualquier contador de rendimiento accesible a través de perfmon.msc. Este monitor de red tiene gran utilización debido a que ofrece un conjunto de funciones integradas de vigilancia de equipos como, función de uso de la CPU asegurando que el uso del procesador no supera un cierto nivel, tiene un contador de rendimiento que monitoriza cualquier contador interno del sistema operativo, incluyendo contadores. 21.

(41) Estado del arte de las herramientas de seguridad para redes de computadoras. utilizados por SQL Server y MSMQ , presenta función de tamaño de directorio que asegura que un directorio particular no ocupa más de una determinada cantidad de espacio en disco, vigila el estado físico del disco mediante la función de unidad de disco, comprueba si hay disponible suficiente espacio en disco con la función de espacio en disco, vigila la existencia de un archivo en particular mediante la función de existencia de archivo, además incluye la función de tamaño de archivo que vigila el tamaño de archivos particulares. El monitor de red ofrece aplicaciones integradas para Servicios de Internet que realizan distintas funciones como comprobación de disponibilidad de sitios HTTP, HTTPS, servidor/sitio FTP y de un host remoto, realiza análisis de contenido de sitios web mediante la especificación de un patrón de texto, comprueba que el servicio IMAP esté funcionando mediante el inicio de sesión en el servicio y comprobando el número de correos contenidos en una carpeta específica del servidor IMAP , comprueba servidores DNS (Domain Name Server) mediante la lectura de un registro 'A' y verificando el resultado, comprueba el servidor de correo mediante el establecimiento de una conexión gestionando la verificación de que el protocolo SMTP está funcionando correctamente, puede realizar comprobaciones de los servidores POP3 estableciendo una conexión y realizando la negociación inicial. La herramienta realiza otras funciones como la de servidor de noticias NNTP (Network News Transport Protocol), de puerto TCP (Transmission Control Protocol) comprobando si un puerto está respondiendo y verificando su respuesta, funciones UDP (User Datagram Protocol) vigilando puertos UDP, función servidor horario NTP (Network Time Protocol) y otras funciones como de enrrutador de correo comprobando la salud de los servicios de correo enviando correos de prueba y verificando su entrega al destino, esta comprobación es útil para verificar el rendimiento de sistemas de correo. La función Daemon realiza la comprobación basada en SSH que verifica si demonios (aplicaciones en segundo plano) concretos están funcionando en equipos Linux/Unix.. 22.

(42) Estado del arte de las herramientas de seguridad para redes de computadoras. Existen otras herramientas GFI que implementan software anti-virus para el correo como la GFI MailSecurity que actúa como un cortafuegos de correo electrónico y proporciona seguridad al correo protegiéndolo de virus, vulnerabilidades y amenazas de correo, así como de los ataques por correo dirigidos. Se encuentra además las herramientas de control de navegación por Internet como la GFI WebMonitor que contiene WebGrade, una base de datos de clasificación de sitios web que brinda control sobre los sitios que pueden navegar los usuarios y bloquea sitios web de categorías completas como adultos, juegos online, correo personal, P2P Facebook, Myspace, sitios de viajes y más. Esta extensa base de datos proporciona cobertura URL (Uniform Resource Locator) para 165.000.000 de dominios de primer nivel y es actualizada diariamente. La herramienta permite monitorizar qué archivos están descargando los usuarios, bloquear tipos de archivos como mp3s y analizar todos los archivos por virus, spyware y malware utilizando varios motores anti-virus. GFI WebMonitor protege el riesgo de la ingeniería social bloqueando el acceso a sitios phishing mediante una base de datos auto actualizable de URLs phishing. De igual forma tiene la capacidad de monitorizar y bloquear sesiones de chat y transferencias de archivos de Live Messenger (MSN). 1.4.2 Herramientas de seguridad de código abierto La Free Software Foundation, establece cuatro libertades a los usuarios del software: la libertad de usar el programa con cualquier propósito; de estudiar el funcionamiento del programa y adaptarlo a las necesidades; de distribuir copias; de mejorar el programa a partir de la disposición del código fuente y hacer estas mejoras de dominio público, esto es considerado software libre. Existen una gran cantidad de herramientas de software libre que consiguen protección bajo la Licencia Pública General de GNU. o mas. conocida como GPL (General Public License), licencia creada por la Free Software Foundation a mediados de los 80 y está orientada principalmente a proteger la libre distribución, modificación y uso de software. Aunque muchas herramientas que forman parte de esta categoría no son verdaderamente libres pues no incluyen acceso al código fuente cercenando la libertad de modificación.(Alder, 2007). 23.

Referencias

Documento similar