PDF de programación - Manual de Seguridad en Redes

Manual de Seguridad

en

Redes

Equipo de Seguridad en Redes

Subsecretaría de Tecnologías Informáticas
Secretaría de la Función Pública

Versión 1.0
Diciembre 1998.

Seguridad en Redes

i

Presentación

Como Secretaria de la Función Pública he asumido la responsabilidad de contribuir
al perfeccionamiento de la organización y definir la política informática en el ámbito de
la Administración Pública Nacional.

Para dar cumplimiento a estos objetivos y desde el inicio de mi gestión, vengo
dedicando importantes esfuerzos y recursos para favorecer el uso pleno de la
tecnología con el fin de alcanzar un Estado moderno y eficiente al servicio de los
ciudadanos, que permita a nuestro país interactuar con las naciones más avanzadas.

En este marco, permítanme citarles como ejemplo la firma del Decreto Nº 427/98,
por el cual se crea la Infraestructura de Firma Digital para el Sector Público Nacional,
habilitando el uso de esa tecnología para los actos internos de administración y
otorgando a la Secretaría de la Función Pública las funciones de Autoridad de Aplicación
y de Organismo Licenciante, a cargo de la habilitación de Autoridades Certificantes para
su funcionamiento dentro de la Administración Pública Nacional. Quiero destacar la
importancia de la promulgación del decreto mencionado, ya que constituye el primer
antecedente a nivel nacional que otorga validez a la firma digital, en este caso por un
plazo experimental de 24 meses, y distingue a nuestro país entre los primeros en el
mundo en promulgar una normativa de avanzada en este novedoso campo.

Asimismo, emitimos los Estándares Tecnológicos para la Administración Pública
Nacional, que constituyen una eficaz herramienta que posibilita que los organismos
públicos avancen en los procesos de racionalización, estandarización y homogeneización
de las contrataciones tecnológicas y que han trascendido el ámbito propio de aplicación
habiendo sido adoptados por numerosas jurisdicciones provinciales, otros poderes del
Estado y organismos rectores de Política Informática de Países Iberoamericanos.

No puedo dejar de hacer referencia al Problema del Año 2000, que motiva mi
preocupación y la de las autoridades de los organismos de la Administración Nacional.
Hemos iniciado una intensa labor con el objetivo de garantizar las funciones críticas que
debe cumplir el Estado. A tal efecto, trabaja un grupo de profesionales nucleados en la
Unidad Ejecutora 2000 con el objeto de brindar asistencia técnica y supervisar las
acciones tendientes a la búsqueda de soluciones para la problemática, cubriendo no
sólo a los organismos de la Administración Pública Nacional, sino también a los entes
reguladores de actividades que implican servicios públicos para el ciudadano. Puedo
afirmar, sin equivocarme, que nos encontramos a la cabeza en Latinoamérica respecto
de la metodología seguida en el Sector Público, habiendo participado en numerosos

Seguridad en Redes

ii

foros nacionales e internacionales y siendo consultados en forma permanente por
diversas entidades del Sector privado nacional.

Sin embargo, sé que las tecnologías por sí mismas de poco sirven: es lo que la
gente hace con ellas lo que marca la diferencia. Por ello estamos dedicando
importantes esfuerzos para la jerarquización del personal que desarrolla funciones
informáticas y para la valorización de las áreas responsables de los sistemas de
información. En esta campo hemos fomentado la capacitación en materia de
Tecnologías Informáticas, a
lograr un mayor entendimiento de sus
potencialidades, especialmente para el gerenciamiento público.

fin de

Ya en el campo específico que motiva el trabajo que sigue, nadie puede discutir
hoy en día que la seguridad de las Tecnologías Informáticas es un componente
necesario de los sistemas de información y tanto los entes públicos como los privados,
del país y del mundo, empiezan a dedicar recursos materiales y humanos cada vez más
significativos a esta área.

Por ello he dispuesto la adopción de una serie de medidas, entre las cuales se
inscribe el presente trabajo, con el objetivo de robustecer el área de Seguridad
Informática en el ámbito de mi competencia.

Este manual fue elaborado con la intención de facilitar la tarea de quienes tienen a
su cargo la administración de las redes del Sector Público Nacional. Colaboraron en su
redacción el Ing. Leonardo Hoet, los Sres. Rodolfo Cozzi y Rodrigo Seguel y el personal
de la Dirección Nacional de Coordinación e Integración Tecnológica. A ellos, mi
reconocimiento por la labor realizada.

Claudia E. Bello

Secretaria de la Función Pública

Seguridad en Redes

iii

Introducción

En la actualidad, las organizaciones son cada vez más dependientes de sus redes
informáticas y un problema que las afecte, por mínimo que sea, puede llegar a
comprometer la continuidad de las operaciones.

La falta de medidas de seguridad en las redes es un problema que está
en crecimiento. Cada vez es mayor el número de atacantes y cada vez están
más organizados, por lo que van adquiriendo día a día habilidades más
especializadas que les permiten obtener mayores beneficios. Tampoco deben
subestimarse las fallas de seguridad provenientes del interior mismo de la
organización.

La propia complejidad de la red es una dificultad para la detección y corrección de
los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta
variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la
propiedad de recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho
aparición en el vocabulario ordinario de los usuarios y de los administradores de las
redes

Además de las técnicas y herramientas criptográficas, es importante recalcar que
un componente muy importante para la protección de los sistemas consiste en la
atención y vigilancia continua y sistemática por parte de los responsables de la red.

A la hora de plantearse en qué elementos del sistema se deben de ubicar los

servicios de seguridad podrían distinguirse dos tendencias principales:

Protección de los sistemas de transferencia o transporte. En este caso, el
administrador de un servicio asume la responsabilidad de garantizar la transferencia
segura al usuario final de la información de forma lo más transparente posible.

Ejemplos de este tipo de planteamientos serían el establecimiento de un nivel de
transporte seguro, de un servicio de mensajería con MTAs (Mail Transport Agents)
seguras, o la instalación de un firewall, que defiende el acceso a una parte protegida de
una red.

Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el
correo electrónico, consistiría en construir un mensaje en el cual el contenido ha sido
asegurado mediante un procedimiento de encapsulado previo al envío. De esta forma,
el mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la
validez de los servicios de seguridad provistos. Aunque el acto de asegurar el mensaje
cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario
deberá usar una herramienta amigable proporcionada por el responsable de seguridad
de su organización. Esta misma operatoria, puede usarse para abordar el problema de

Seguridad en Redes

iv

la seguridad en otras aplicaciones tales como videoconferencia, acceso a bases de
datos, etc.

En ambos casos, un problema de capital importancia es la gestión de passwords.
Este problema es inherente al uso de la criptografía y debe estar resuelto antes de que
el usuario esté en condiciones de enviar un solo bit seguro.

En este contexto, hemos elaborado este material. Con él nos proponemos facilitar
las tareas de todos aquellos que se encuentran actualmente involucrados en las
decisiones respecto de las redes de información y de sus modos de administración, al
tiempo de alertar sobre la importancia crítica de la seguridad. Creemos que un
adecuado tratamiento de esta problemática resulta absolutamente vital, debido a las
amenazas cada vez mayores a las que la información se encuentra expuesta.

En el transcurso de las diversas secciones se desarrollarán básicamente, los

siguientes temas:

El valor de los datos
Las políticas de seguridad informática
Los procedimientos para el resguardo de la información
Los principales ataques a las redes de información
Las passwords
Las herramientas de control y seguimiento de accesos

•
•
•
•
•
•
El material cuenta, además, con un glosario final en el que se definen los

principales términos que se utilizan durante este trabajo.

Esperamos que constituya un buen punto de partida para la reflexión y el debate

sobre estas problemáticas en su organización.

Seguridad en Redes

v



Tabla de Contenidos

Presentación............................................................................................ i

Introducción .......................................................................................... iii

Tabla de Contenidos ...............................................................................vi

1 - Conceptos de seguridad.................................................................. 1-1
1.1 - ¿Cuál puede ser el valor de los datos? ............................................. 1-1
1.2 - Definiciones ................................................................................. 1-2
1.3 - Seguridad Global .......................................................................... 1-3
1.4 - Impacto en la organización ............................................................ 1