Planificacion del curso. En este primero capitulo, se recordara brevemente lo que es Internet y su evolucion. Tambien se les hablara de las intranets y extranets. Después, definiremos el concepto de seguridad de redes y examinaremos sus componentes, para entender mejor de que hablamos cuando hablamos de seguridad. Tras esto, revisaremos los principales riesgos relacionados con las conexiones a Internet. A continuación demostraremos por que es necesaria una política de seguridad y que aspecto deberia tener su esquema. Existen herramientas para defenderse de las amenazas. Examinaremos las herramientas criptograficas en la seguridad de redes: son muy utilizadas por ser seguras y faciles de usar incluso en grandes redes publicas y redes inseguras. Aquí describiremos conceptos como firma digital y certificado. Veremos la utilización de estas y otras herramientas para reducir riesgos en el capitulo 4. Por ultimo, en el ultimo capitulo haremos un boceto de los problemas legales relacionados con la seguridad en internet y su complejidad. Internet Internet es la red informatica mas grande del mundo. Esta compuesta por miles de redes conectadas, es utilizada por millones de personas de todo el mundo. Los equipos conectados a Internet – 73 millones según estimaciones de principios del año 2000 – pueden comunicarse incluso si se encuentran en distintas plataformas debido a que todos usan un conjunto de protocolos de comunicaciones estandar, llamado TCP/IP. TCP/IP se ha vuelto muy popular y se incluye en la mayoria de los sistemas operativos. Cada equipo en internet tiene una dirección unica que lo identifica; esta dirección es utilizada por equipos especializados, conocidos como “routers”, que saben como utilizar la dirección de un equipo para evitar de forma adecuada la información de un sistema a otro mediante internet. Al principio, internet era una red militar (años 60 y 70, la era de Arpanet). Después se convirtió en una red principalmente universitaria y de investigación (años 80). Hoy en dia, es utilizada por todo tipo de organizaciones incluyendo agencias gubernamentales, usuarios particulares, asociaciones y – desde principios de los 90- compañias comerciales. Hoy, estas empresas conforman la mayoria de los equipos conectados. Crecimiento de internet. Una enorme cantidad de información se encuentran disponible en internet. Se puede acceder a dicha información mediante algunas de las aplicaciones disponibles, como el correo electrónico, las transferencias de ficheros, conexiones remotas, noticias y –cada vez mas- navegadores. En los 90, la llegada de los sencillos entornos graficos que ocultaban la complejidad de los protocolos y del desarrollo de las redes han permitido un fuerte incremento del numero de usuarios. Hoy las paginas Web son la parte mas fuerte de internet y el numero de sitios crece rapidamente. Seguridad en internet. ¿Quién gestiona internet? No hay ni un unico propietario ni un unico gestor; internet es fruto del esfuerzo cooperativo de muchas organizaciones como Proveedores de servicio de internet (internet service providers, ISP), compañias de software y organizaciones voluntarias. Los ISP y las compañias de sofware que son independientes y suelen competir entre ellas, llegan a acuerdos para conectar sus redes y para transmitir información utilizando los protocolos estandar (TCP/IP). Las compañias de software acuerdan crear programas que tambien sigan los protocolos. Por ultimo, determinadas organizaciones lo ponen todo en funcionamiento realizando funciones como asignar direcciones unicas, llevar un registro de los nombres utilizados por los usuarios de internet y controlar la evolucion del estandar. Los ISP mas pequeños compran conexiones y servicios de internet a los ISP mas grandes, y los revenden al publico: esto proporciona los fondos necesarios para financiar la gestion del troncal de la red. ¿Es internet segura? La apertura de internet proporciona muchas ventajas y ha sido considerada como una autentica revolucion en nuestra sociedad. Por otro lado, tambien ha conllevado algunos problemas. Problemas como la dificultad para controlar una red tan grande, de modo que sea posible encontrar información adecuada entre una red tan inmensa sin un servicio de directorio centralizado. De mayor importancia son los problemas relacionados con la seguridad. Es evidente que una red de redes sin un propietario o administrador unicos no puede ser tan segura como la red privada de una compañía. Es muy difícil conseguir la implantación de estandares y productos entre todos los usuarios. Ademas, si alguno de los equipos conectados a internet tiene características de seguridad que intenten hacerlo seguro, la mayor parte de la gente conectada – y no solo principiantes – pueden ser victimas de ataques fácilmente. Intranets y Extranets. Las “intranets” son redes privadas con una directiva de seguridad informatica unica. Las aplicaciones y los protocolos que utilizan se basan en los que se utilizan en internet. Por ejemplo, se utiliza TCP/IP como protocolo principal de comunicaciones, SMTP para el correo electrónico, http para la navegación, FTP para la transferencias de archivos, LDAP para el acceso a directorios...Esto no quiere decir que las redes privadas no utilicen otros protocolos de red o de directorio (SNA y X.500, por ejemplo), pero cuando utilizamos el termino Intranet hacemos referencia a APIs y protocolos basados en internet que hacen las intranets conectables a internet sin problemas de integración (por ejemplo, conversaciones de protocolos). Las “extranets” tambien son redes TCP/IP privadas que utilizan los mismos protocolos y APIs que internet, pero no son accesibles solo por el personal de la empresa, si no que tambien grupos externos, como proveedores, socios y clientes, pueden conectarse a ellas. Una extranet puede considerarse como un tipo particular (o como una parte) de una Intranet, que es accesible para determinados usuarios desde fuera de la compañía con fines comerciales. ¿Qué es la seguridad? Los negocios necesitan seguridad para sus propias operaciones y para interacciones con clientes y socios. La seguridad que requieren es una reducción del riesgo de perder datos, Los titulares de los periodicos estan llenos de ejemplos del tipo de perdidas que preocupan a los administradores de sistemas de información. -Difusion no autorizada de información sensible. -Modificaciones o destrucciones de datos valiosos no detectadas o no recuperables. -Denegacion de accesos a información necesaria para el normal funcionamiento del negocio. -Imposibilidad de contabilizar las operaciones llevadas a acabo en o mediante un sistema informatico. -Uso no autorizado de un sistema y/o recurso financiero, mediante suplantacion de identidades u otros medios. El riesgo a sufrir una perdida de datos se ve reducido cuando nos protegemos de las amenazas que tenemos alrededor, que van creciendo en numero debido al mayor uso de internet, intranets y extranets para comunicar negocios. Como por ejemplo vemos a los hackers (o los crackers) intentando irrumpir en sistemas y virus escritos con la intención de causar algun tipo de cambio no autorizado en el funcionamiento normal de redes y sistemas. ¿Es posible eliminar el riesgo? Es bastante improbable. El trabajo consiste esencialmente en llegar a un punto donde tengamos un nivel aceptable de: -Riesgo inherente al sistema informatico. -Coste de implantación de la directiva de seguridad enese entorno. Donde tambien incluiremos los costes directos y los efectos que tiene la seguridad en el rendimiento de usuarios y procesos. ¿Por qué muestran los administradores de sistemas interes en la seguridad? Desafortunadamente hay muchas amenazas para la seguridad informatica y muchos origenes para esas amenazas. Personas fuera de la empresa utilizan su propia experiencia en informatica, o contratan la ayuda ilegal de un experto en programación, para conseguir acceso a información para la que no tienen acceso, para alterar o destruir información, para suplantar una identificación y beneficiarse económicamente, o para dañar sistemas y redes (desde simples molestias hasta niveles muy destructivos) mediante el uso de virus u otros programas. Por supuesto, estas amenazas, tambien pueden proceder del interior de la empresa. Los análisis normalmente muestran que los administradores de sistemas estan mas preocupados por las amenazas internas que por las externas. Aquí tienes algunos aspectos generales de las amenazas citadas. -Un virus es un conjunto de instrucciones cuya ejecución tiene efectos perjudiciales. Los virus se ocultan dentro de otros programas normalmente utiles. Tambien hay otros nombres para referirse a distintos tipos de virus. En los virus de caballo de troya las instrucciones perjudiciales se instalan cuando el programa es ejecutado ( mientras que en un virus, normalmente las instrucciones destructivas se añaden después.) Un gusano es un programa que se replica instalando copias de si mismo en otras maquinas a traves de la red. -El objetivo de muchos “hackers” es la utilización no autorizada de sistemas y/o recursos de red. La protección de indentificadores y contraseñas, y el uso de mecanismos de indentificacion mas sofisticados (claves criptograficas, dispositivos biométricos) estan destinadas a evitar accesos no autorizados a los sistemas (y las bases de datos que forma parte de esos sistemas) y las redes. -Evitar que personas no autorizadas conozcan y utilicen identificadores, contraseñas y otros mecanismos de autentificación es solo una parte de la batalla. Con los niveles cada vez mayores de trafico de red corporativo que viajan a traves de redes poco fiables, hacen que la amenaza de que un mensaje sea interceptado y alterado o destruido ilegalmente tambien crezca. -Ejemplos de “denegación de servicio” son los virus que provocan malfuncionamiento en la red generando saturaciones de correos electrónicos según se van propagando, o Applets Java diseñadas para llenar pantallas con una interminable serie de molestas ventanas. -Existen muchos paralelismos entre el modo en que se lleva a cabo un negocio electrónico y la forma en la que se gestiona un negocio tipico. Y sea cual sea el lugar donde el negocio se lleva a cabo, de algun modo alguien firma al final del contrato. Involucrarse en un contrato mercantil de forma electrónica (para comprar, atestiguar, o cualquier otra transacción) esta comenzando a tener el mismo peso legal que el que tiene una transacción no electrónica. Asi, aquí la amenaza se encuentra en que alguien pueda violar un contrato electrónico valiéndose de alguna debilidad del sistema en uso. En los casos de los que se ha tenido constancia de quien esta detrás de estas amenazas incluyen terroristas, organizaciones criminales, competidores comerciales y empleados deshonestos o descontentos (o antiguos empleados que se han llevado información critica o han dejado caballos de Troya tras ellos). Del mismo modo, el error humano tambien se convierte en una amenaza real... los sistemas y las redes deben ser tan seguros como sea posible ante daños no intencionados provocados por errores de usuario. Los riesgos que general dichas amenazas son significativos, Ademas que perdidas reales, cuantificables en terminos financieros (debidas a robos de cuentas, violaciones de licencias de software y juicios), quiza sea mas importante la imagen publica que se crea. Por ultimo, otro tema frecuentemente pasado por alto se encuentra en los aspectos legales. Cada vez se considera mas la responsabilidad de una empresa si sus registros de información son violados. (Y esta responsabilidad puede extenderse a los registros de sus clientes y de sus asociados comerciales) ¿Pueden detenerse los negocios probando que han tomado las precauciones adecuadas? Y en el mismo orden de cosas, ¿existen los mecanismos administrativos y de control adecuados para obtener las pruebas necesarias para perseguir al intruso?.