Punto 6 Seguridad Lógica Juan Luis Cano
La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Los objetivos de la seguridad lógica son muy diversos, ya que deben proteger el dispositivo completamente de ataques, virus, intrusiones, proteger y respaldar los datos, etc.
Hay varias herramientas diseñadas específicamente para la seguridad. Algunas de ellas son: Controles de Acceso Cortafuegos Directivas de nombres y contraseñas Antivirus Servidores PROXY Copias de Seguridad
Las copias de seguridad y respaldo es una opción interesante a la hora de respaldar los datos, evitando, en caso de que se perdiesen datos, perder todo lo hecho anteriormente. Hay muchos tipos de copias de seguridad, sin embargo se suelen catalogar por tres tipos que son:
Es una copia de seguridad total de todos los archivos y directorios seleccionados, que borra el bit de modificado de cada archivo que copia.
En este caso se comprueba si los archivos se han modificado, si es así, se realiza la copia y el archivo pasa a deja de estar modificado, esto se consigue cambiando un bit del archivo, dejándolo como si no se hubiese modificado tras la copia. Lo que quiere decir que si el archivo no vuelve a modificarse, en la siguiente copia incremental no se copiará.
Se realiza el mismo proceso que la copia incremental, sin embargo, en esta ocasión el bit de modificación no se cambia, de tal manera que el archivo se modifique o no se volverá a copiar.
Los materiales físicos en donde se almacenan los datos se conocen como medios de almacenamiento o soportes de almacenamiento. Estos pueden ser permanentes o extraíbles, existen diferentes formas y tamaños de unidades de disco. Ejemplos de estos medios son los discos magnéticos, las cintas magnéticas, los discos magneto-ópticos, las tarjetas de memoria, etc. Los componentes hardware que escriben o leen datos en los medios de almacenamiento se conocen como dispositivos o unidades de almacenamiento. Por ejemplo, una disquetera o una unidad de disco óptico.
En los dispositivos de almacenamiento del computador, se almacenan en forma temporal o permanentemente los programas y datos que son manejados por las aplicaciones que se ejecutan en estos sistemas. Hay varios tipos:
Memoria ROM Esta memoria es sólo de lectura, y sirve para almacenar el programa básico de iniciación, instalado desde fábrica. Este programa entra en función en cuanto es encendida la computadora y su primer función es la de reconocer los dispositivos. Memoria RAM Memoria de acceso aleatorio, se puede leer y escribir en ella. Es una memoria volátil, que quiere decir que sólo opera mientras esté encendida la computadora. En ella se almacenan los las instrucciones que necesita ejecutar el microprocesador y los datos introducidos y introducimos y deseamos procesar.
Disco Duro Es un dispositivo encargado de almacenar información de forma persistente en un ordenador, es considerado el sistema de almacenamiento más importante del computador y en él se guardan los archivos de los programas y la información que se almacene en él. Cinta Magnética Esta formada por una cinta de material plástico recubierta de material ferromagnético. Estas cintas son soporte de tipo secuencial, esto supone un inconveniente puesto que para acceder a una información determinada se hace necesario leer todas las que le preceden.
CD La unidad de CD es un disco compacto de 650 MB de capacidad que puede ser leído cuantas veces se desee, pero cuyo contenido no puede ser modificado una vez que ya ha sido grabado. DVD Es un disco compacto con capacidad de 4.7 GB de datos en una cara del disco.. Las unidades DVD-ROM son capaces de leer los formatos de discos CD-R y CD-RW.
PC-Cards Las PC Cards pueden ser almacenamiento o tarjetas de I/O. Estas son compactas, muy fiable, y ligeras haciéndolos ideal para notebooks, palmtop, handheld y los PDAs. Debido a su pequeño tamaño, son usadas para el almacenamiento de datos, aplicaciones, tarjetas de memoria, cámaras electrónicas y teléfonos móviles. Tarjetas Flash Son tarjetas de memoria no volátil, es decir, conservan los datos aun cuando no estén alimentadas por una fuente eléctrica, y los datos pueden ser leídos, modificados o borrados.
Pen Drives (Memorias Flash) Es un pequeño dispositivo de almacenamiento que utiliza la memoria flash para guardar la información sin necesidad de pilas. Los sistemas operativos pueden leer y escribir en ellas sin necesidad de controladores especiales Unidades ZIP La unidad Iomega ZIP es una unidad de disco extraíble. Está disponible en tres versiones principales, la hay con interfaz SCSI, IDE, y otra que se conecta a un puerto paralelo.
El almacenamiento redundante consiste en la forma en que los datos del dispositivo se encuentran replicados en otro. Lo más importante en la redundancia en los datos es que ambos discos se encuentren sincronizados, de forma que ambos tengan la misma información. Los sistemas de almacenamiento distribuido se basan en separar la información de un fichero en distintos dispositivos. De este modo cuando se quiere leer un fichero el tiempo empleado para recuperar el fichero es menor dado que todas las partes llegan a la vez por distintos buses y/o puertos. El almacenamiento distribuido es habitual en sistemas de cluster.
Los sistemas de almacenamiento RAID consisten en un conjunto de técnicas hardware o software que utilizan varios discos para guardar la información. Se pueden implementar tanto por software (usando el sistema operativo) como por hardware (usando una controladora RAID). Hay varios tipos de RAID, sin embargo los más comunes son:
Realmente no debería tener el nombre de RAID ya que no proporciona seguridad, pero sí una mayor capacidad para los datos, que se distribuyen de forma equilibrada entre los 2 o más discos del sistema de almacenamiento. Esta técnica favorece la velocidad pero hay que tener en cuenta que si uno de los dos discos duros falla la información es irrecuperable. Son necesarios dos discos duros.
Los datos de un disco duro se guardan en otro al que se le denomina espejo, de tal forma que si un disco duro fallara, se pueden recuperar los datos del otro disco. Hacen falta dos discos duros. Se pierde la mitad de espacio en el proceso, es decir, que teniendo dos discos duros iguales solo se aprovecharía uno en cuanto a espacio, ya que el segundo se usaría para la paridad.
Un RAID 3 usa división a nivel de bytes con un disco de paridad dedicado. El RAID 3 se usa rara vez en la práctica ya que tiene varios efectos secundarios, como por ejemplo que normalmente no puede atender varias peticiones simultáneas. Así, cualquier operación de lectura o escritura exige activar todos los discos del conjunto, suele ser un poco lento porque se producen cuellos de botella. Son discos paralelos pero no son independientes (no se puede leer y escribir al mismo tiempo).
En todos los discos se guarda información y en todos los discos se guarda la paridad, que es el medio de recuperar los datos. De tal forma que si un archivo se guarda en el disco 1 y en el disco 2, en el disco 3 se alojará la paridad. Se pierde 1/X de espacio donde X es el número de discos empleados. Se necesitan al menos 3 discos duros.
Hay muchos más tipos de RAID, entre los que destacan los compuestos, como por ejemplo el RAID 10, o el 0+1, donde se cogen dos tipos de RAID y se combinan para mejorar la seguridad y la capacidad.
Un CPD es un centro de procesamiento de datos, que se refiere a aquella ubicación donde se concentran los recursos necesarios para el procesamiento de la información de una organización. Es decir, el lugar donde se almacenan esos datos de la empresa. Por lo tanto, esos datos son imprescindibles para la empresa y se ha de aumentar la seguridad en torno a esos datos para que nunca se pare la actividad de la empresa.
Un CPD es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. Por ello el CPD debe de estar protegido y aislado de cualquier amenaza, ya que podrían perderse todos los datos de la organización.
Se puede crear un centro de respaldo adicional, que no es ni más ni menos que otro CPD específicamente diseñado para tomar el control de otro CPD principal en caso de que ocurriese algún fallo. Un ejemplo de ello a menor escala pueden ser los dominios adicionales en Windows. Para asegurar la accesibilidad permanente de los datos, los centros de respaldo utilizan el sincronismo de datos, que es una copia permanente de los datos en ambos centros, de forma que nunca se pierda información.
Hay dos tipos de copias de seguridad de la información, síncronas y asíncronas. Las copias de seguridad asíncronas copian en el centro de respaldo la última copia realizado desde el CPD, por lo que puede haber pérdidas, mientras que la copia de seguridad síncrona, como su propio nombre indica se sincroniza con el CPD y copia todo lo que se va realizando desde la última acción en el CPD.
Un servicio de copias de seguridad remota, en línea o gestionado es un servicio que proporciona al ordenador de un usuario conexiones online con un sistema remoto para copiar y almacenar los ficheros de su ordenador. Los sistemas de copias de seguridad en línea implementan en el ordenador cliente un servicio software que habitualmente se ejecuta una vez al día. Este programa colecciona, comprime, cifra y transporta los datos a los servidores del proveedor del servicio de copias de seguridad remota.
Redes de área de almacenamiento, son redes creadas para conectar servidores, matrices (arrays) de discos y librerías de soporte. Su función es la de conectar de manera rápida, segura y fiable los distintos elementos que la conforman. Es una red de almacenamiento exclusiva y separada de la red de datos. Y fundamentalmente puede basarse en los protocolos iscsi y Fibre Channel.
Un "NAS" (Almacenamiento conectado a red) es un dispositivo de almacenamiento de red. El NAS es un sistema de discos que se conecta a la red como cualquier otro dispositivo y se le asigna una dirección IP como un miembro más de la red. Un NAS es un servidor separado que tiene su propio sistema operativo, un software de configuración parametrizado con valores predeterminados que se adaptan a la mayoría de los casos y su propio sistema de archivos.
La mayor diferencia entre el SAN y el NAS es que el primero está conectado a los servidores mediante redes de altísima velocidad (normalmente canales de fibra) y el segundo está conectado a la red local, donde su desempeño depende de la velocidad de la misma. En una SAN la información se almacena en la red SAN, y en el modelo NAS los clientes tienen que solicitar los archivos a los servidores para que éstos se los suministren.
NAS SAN Tipo de datos Archivos compartidos Datos a nivel de bloque, por ejemplo, bases de datos. Cableado utilizado Ethernet LAN Fibre Channel dedicado Clientes principales Usuarios finales Servidores de aplicaciones Acceso a disco A través del dispositivo NAS Acceso directo
El almacenamiento en la nube es un modelo de almacenamiento en red y en línea donde los datos se almacenan en varios servidores virtuales, por lo general organizados por terceros, en lugar de ser alojados en servidores dedicados. Los servicios de almacenamiento en la nube pueden accederse a través de una interfaz de programación de aplicaciones (API), o a través de una interfaz de usuario basada en la web.
Las compañías sólo necesitan pagar por el almacenamiento que realmente utilizan. Las empresas no necesitan instalar dispositivos físicos de almacenamiento en sus centros de datos o en las oficinas, lo que reduce los costos de IT y hosting. Las tareas de mantenimiento, tales como la copia de seguridad, la replicación de datos, y la compra de dispositivos adicionales de almacenamiento es ahora responsabilidad de un proveedor de servicios, permitiendo a las organizaciones a centrarse en su negocio principal.
La seguridad de los datos almacenados y los datos en tránsito pueden ser una preocupación cuando se almacenan datos sensibles en un proveedor de almacenamiento en la nube. El rendimiento puede ser menor comparado al almacenamiento local La fiabilidad y la disponibilidad depende de la disponibilidad de red y en el nivel de las precauciones tomadas por el proveedor de servicios. Los usuarios con determinados requisitos de registro, tales como los organismos públicos que deben conservar los registros electrónicos de acuerdo a la ley, pueden tener complicaciones con su uso.
Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con unas políticas de almacenamiento y exigencias:
1. Ser confiable: Minimizar las probabilidades de error. Sea cual sea el método de almacenamiento, los datos deben estar confiables en todo momento. 2. Estar fuera de línea, en un lugar seguro: tan pronto como se realice un respaldo de información, el soporte que almacena este respaldo debe ser desconectado del ordenador y almacenado en un lugar seguro, para evitar un ataque o amenaza. 3. La forma de recuperación, rápida y eficiente: es necesario comprobar la recuperación de los backups, la rapidez y eficiencia del sistema. 4. Seguridad Física y lógica: Es necesario eliminar los medios de entrada/salida innecesarios en los sistemas informáticos, tales como CD/ROMS para evitar posibles ataques y amenazas del exterior.
La función del control de acceso lógico es evitar las posibles intrusiones a los recursos de las empresas o personales que se quieran proteger.
También conocido como triple A, corresponde a un tipo de protocolos que realizan tres funciones: Autenticación, Autorización y Contabilización (Authentication, Authorization and Accounting).
La Autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente y la segunda un servidor. La Autenticación se consigue mediante la presentación de una propuesta de identidad (un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla.
La Autorización se refiere a la concesión de privilegios específicos que se le concede a una entidad o usuario basándose en su autenticación, los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc.
La Contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposición la contabilización por lotes que consiste en la grabación de los datos de consumo para su entrega en algún momento posterior.
Algunos de los protocolos AAA son: RADIUS DIAMETER TACACS TACACS+
Al conectarse a un sistema informático, generalmente se debe ingresar un nombre de usuario y una contraseña para acceder, formando la clave de acceso al sistema. Es la primera línea de protección de datos y por ello es importante tener una política de contraseñas que ayude a proteger el sistema de un posible ataque o intrusión.
La longitud de las contraseñas no debe ser inferior a ocho caracteres. Se debe tener en cuenta que a mayor longitud más difícil será de reproducir y mayor seguridad ofrecerá. Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas), dígitos e incluso caracteres especiales (@,, +, &). Se deben cambiar las contraseñas regularmente. (Dependiendo de la criticidad de los datos puede ser cada X meses). Es necesario encriptarlas, de modo que nadie pueda acceder a ellas salvo la persona que la conozca.
La contraseña no debe contener el identificador, nombre de usuario de la cuenta. Tampoco una serie de letras dispuestas adyacentemente en el teclado (123456, qwerty...) No se recomienda emplear la misma contraseña para todas las cuentas creadas para acceder a servicios en línea. Se deben evitar contraseñas que contengan palabras existentes en algún idioma o palabras de uso común. No se deben almacenar las contraseñas en un lugar público y al alcance de los demás. No compartir las contraseñas en Internet, por correo electrónico ni por teléfono.
Una auditoría de seguridad informática es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Los servicios de auditoría pueden ser de distinta índole: Auditoría de seguridad interna: En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno Auditoría de seguridad perimetral: En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores. Test de intrusión: El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada.
Análisis Forense: El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem. Auditorías de páginas web: Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc. Auditoría de código de aplicaciones: Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Hay muchos tipos de pruebas y de herramientas para realizar la auditoría, todos ellos para garantizar la seguridad de los equipos, datos y usuarios.
Dentro de todos los tipos de pruebas realizables hay dos tipos diferenciables: Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
En cuanto a las herramientas software, hay muchas herramientas de que permiten ver el estado y la protección del sistema: Network Inventory Expert: Esta aplicación nos va a permitir extraer el software de cualquier PC de la organización que disponga de una contraseña conocida por quien lo ejecuta. Precisa Instalación en el PC del administrador pero no en el resto de PCs de la organización. Total Network Inventory: Son programas diseñados para un seguimiento cómo del inventario ya que permiten extraer informes muy detallados de forma remota con la instalación del software en único PC. Microsoft Assessment and Planning Toolkit: Este software me ha sorprendido por su cantidad de opciones, precisa de un gestor de base de datos que se descarga durante la instalación donde almacena el inventario.
La criptografía es la técnica que protege documentos y datos. Funciona a través de la utilización de cifras o códigos para escribir algo secreto en documentos y datos confidenciales que circulan en redes locales o en internet.
Los objetivos básicos de la criptografía son los siguientes: Confidencialidad: es un servicio es usado para mantener el contenido de la información exclusivo únicamente para quien debe leerlo o quién está autorizado el error. Integridad de los datos: con ese servicio se pretende mantener la información y modificable por parte de personal no autorizado se logra que información se mantenga a largo del tránsito de la comunicación. Autenticación: Servicio por el que se garantiza que aquel que intente acceder a la información debe de tener privilegios para llegar a ésta. Para lograr este objetivo se subsigue normalmente en dos partes, los métodos de autenticación de la entidad y autenticación del origen de los datos. No repudio: implica que ninguna de las partes puede negar la recepción información u el envío de información.
El uso de la criptografía se remonta a los jeroglíficos egipcios y han evolucionado a través de los siglos con el fin de proteger la información y ocultarla, dejando que fuese accesible solo a las personas autorizadas. El análisis del Corán es el detonante para la creación de la técnica del análisis de frecuencias. Éste fue el avance criptoanalítico más importante hasta la Segunda Guerra Mundial.
Enigma era el nombre de una máquina que disponía de un mecanismo de cifrado rotatorio, que permitía usarla tanto para cifrar como para descifrar mensajes. Su fama se debe a haber sido adoptada por las fuerzas militares de Alemania desde 1930. Su facilidad de manejo y supuesta inviolabilidad fueron las principales razones para su amplio uso. Su sistema de cifrado fue finalmente descubierto y la lectura de la información que contenían los mensajes supuestamente protegidos es considerado, a veces, como la causa de haber podido concluir la Segunda Guerra Mundial al menos dos años antes de lo que hubiera acaecido sin su descifrado.
La publicación del artículo New Directions in Cryptography, de Whitfield Diffie y Martin Hellman introdujo un método radicalmente nuevo para distribuir las claves criptográficas, dando un gran paso adelante para resolver uno de los problemas fundamentales de la criptografía, la distribución de claves, y ha terminado llamándose intercambio de claves Diffie-Hellman. El artículo también estimuló el desarrollo público casi inmediato de un nuevo tipo de algoritmo de cifrado, los algoritmos de cifrado asimétrico. Antes de eso, todos los algoritmos de cifrado útiles eran algoritmos de cifrado asimétrico, en los que tanto el remitente como el destinatario utilizan la misma clave criptográfica, que ambos deben mantener en secreto.
El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado requiere una clave de descifrado. Según el tipo de claves utilizada la criptografía se divide en:
Simétrica: Es la utilización de determinados algoritmos para descifrar y encriptar (ocultar) documentos. Son grupos de algoritmos distintos que se relacionan unos con otros para mantener la conexión confidencial de la información. Asimétrica: Es una fórmula matemática que utiliza dos llaves, una pública y la otra privada. La llave pública es aquella a la que cualquier persona puede tener acceso, mientras que la llave privada es aquella que sólo la persona que la recibe es capaz de descifrar.