

Protegiendo su Internet: 
----------------------- 

   Una Introduccion sobre Seguridad para Administradores de Redes
   --------------------------------------------------------------


   La seguridad en redes no es una cuestion esoterica, pero es
sabido que la dificultad para alcanzarla ha perturbado el suenho
de algunos de los mas expertos.  Aunque todo administrador desea
una red segura, pocos se han tomado el tiempo para definir el
nivel de seguridad que necesitan o que sacrificios - sean
financieros o de coneveniencia - estan dispuestos a hacer para
alcanzar ese nivel.
   Aunque la palabra seguridad implica una proteccion contra
ataques maliciosos, existe una fuerte correlacion entre seguridad
y el control de los efectos de errores humanos y fallas de
equipo.  Casi cualquier cosa que pueda proteger contra un ataque
deliberado, inteligente y calculado tambien protegera contra
accidentes aleatorios.  Este articulo enfocara principalmente en
las maneras de defender su red ante ingresos deliberados y
no-autorizados de usuarios internet.


Recuerde los Principios Basicos de Seguridad

   Las medidas sofisticadas de seguridad son de poco valor para
el administrador de red que no toma en cuenta de los principios
basicos de control de acceso.  Cimiente su fundamento intelectual
antes de empezar a encriptar, filtrar o proteger a traves de
passwords (contrasenhas).
 * Identifique sus premisas.  Esta asumiendo que su red no esta
siendo intervenda?  Piensa que los atacantes potenciales saben
menos que Usted?  Imagina que usaran software estandar?  Esta
asumiendo que estando su red en un cuarto bajo llave estara a
salvo?  Cada sistema de seguridad esta basado en las premisas que
se asuman; es vital que las suyas sean examinadas y justificadas. 
Cualquier premisa no justificada constituye un hueco de
seguridad.
 * Conozca su enemigo.  Piense acerca el tipo de personas que
pueden estar interesadas en intervenir sus recursos de red.  Son
indagadores casuales?  Espias industriales?  La CIA?  Que tan
habiles son?  Porque desean atacar su red?
 * No difunda sus secretos.  La mayor parte de los esquemas de
seguridad estan basados en secretos, usualmente passwords
(contrasenhas).  Conozca que necesita ser mantenido en secreto
para que sus sistema de seguridad funcione, y cuidadosamente
guarde esos secretos.  Sera mas facil para Usted si limita el
numero de secretos que tiene.  Asuma que un atacante conoce todo
menos sus secretos.
 * Conozca sus debilidades.  Cada sistema de seguridad tiene sus
vulnerabilidades.  Conozca las de su sistema, y como estas
pudieran ser explotadas.  Asimismo recuerde, que, en cualquier
sistema grande, existen probablemente huecos no detectados.
 * Recuerde los factores humanos.  Muchos procedimientos de
seguridad fallan porque sus disenhadores no consideraron como
reaccionarian ante ellos los usuarios de la red.  Por ejemplo,
si se implementa la generacion automatica de passwords sin
sentido, estos seran escritos por los usuarios en la parte
posterior de sus teclados.  Si sus medidas de seguridad
interfieren con las tareas esenciales de sus usuarios, esas
medidas no seran aceptadas y quizas, hasta burladas.  Asegurese
que los usuarios entienden las razones que indujeron a tomar las
medidas de seguridad y que estas no se interpongan entre los
usuarios y sus trabajos.
 * Calcule el costo.  Las medidas de seguridad casi siempre
reducen la conveniencia, especialmente para los usuarios finales
sofisticados.  Las limitaciones de acceso pueden demorar el
trabajo y crear sobrecargas administrativas y educacionales
costosas.  Cuando este disenhando sus medidas de seguridad,
calcule sus costos, y compare estos costos contra los beneficios
potenciales.  Unas buenas herramientas pueden ayudarle a crear
ambientes seguros sin anhadir un monton de inconveniencias.
 * Limite su confianza.  Su sistema de seguridad no debiera
asumir que cada pieza de software no contenga errores o que sea
100% confiable; decida desde del inicio que software es
confiable.
 * Recuerde que la seguridad es muy sensible a cambios.  Casi
cualquier cambio a su sistema puede afectar su estructura de
seguridad, especialmente cuando se crean nuevos servicios.

   Teniendo en cuenta estas recomendaciones, exploraremos algunas
de las maneras en que los productos Cisco pueden ayudar a
asegurar su red ante trafico no deseado e intromisiones.


Ruteadores como "cortafuegos" (firewalls)

Una manera comun para asegurar una red es a traves del uso de un
cortafuegos - un sistema que se conecta entre dos redes y
controla el trafico entre ambas.  El cortafuegos es llamado asi
porque tiene como mision contener un intruso (o falla de red),
bloqueandole el acceso a cualquier otra parte del sistema.  La
forma mas comun de cortafuego es una maquina que conecta una red
privada a una red publica, tal como Internet.  Usado de esta
forma, el proposito principal del uso del firewall es prevenir
el uso no autorizado de la red publica por usuarios de redes
privadas.

El beneficio de usar cortafuegos, en vez de que cada nodo de la red
realize su propia autenticacion y autorizacion, es administrativa.  En
una red grande, es dificultoso asegurar que todos los nodos esten
propiamente configurados o que no tengan fallas de seguridad serias.
Algunos nodos puede ser que no tengan el software apropiado o
administradores preocupados por la seguridad.  Adicionalmente, los
metodos de autenticacion y autorizacion usado por muchos servicios dejan
mucho de desear.  Un cortafuegos puede ayudar a asegurar que el trafico
solo vaya a las maquinas que lo puedan aceptar con seguridad.  Puede
usar ruteadores para crear cortafuegos altamente efectivos una vez que
comprenda sus limitaciones.  Los ruteadores operan como cortafuegos a
nivel de la capa de red y examina cada paquete independientemente de
cualquier otro paquete.  .......  La clave para (implementar)
cortafuegos basados en ruteadores consiste en comprender a fondo los
protocolos usados en la red.  Armando con ese conocimiento, Usted puede
crear filtros que protegan contra ataques sin interrumpir las tareas de
los usuarios legitimos de la red.  Para optimizar la seguridad,
considere combinar un ruteador con un cortafuego basado en host a nivel
de la capa de aplicaciones.  El ruteador puede asegurar que maquinas no
autorizadas requieran solo los servicios a los cuales el sistema basdao
en host puede atender en forma segura.  Adicionalemte, el ruteador puede
prevenir al host de ser sobrecargado por requerimientos ilegales y
permitir que ubique al host en cualquier parte de su topologia de red
fisica sin correr el riesgo de que nodos no se comuniquen con maquinas
"inseguras".  El host puede decodificar la semantica de los
requerimientos a todo nivel, haciendo extremadamente dificil para el
atacante obtener cualquier servicio no autorizado.  Muchos usuarios con
tales combinaciones de cortafuegos combinados permiten solo que uno o
dos host se comuniquen con el IP internet; aunque es inconveniente
ocasionalmente, hace muy dificil el ingreso de los intrusos de otras
redes.  Finalmente, una nota de cautela acerca de los cortafuegos.
Historicamente, el ataque a la seguridad de una red mas famoso, el
gusano (worm) de Internet de 1988, penetro los cortafuegos basados en
ruteadores y hosts.  Esto fue posible explotando un hueco de seguridad
en una implementacion comun de un servicio de red confiable ofrecido por
los cortafuegos y otros sistemas:  correo electronico de red.  Los
cortafuegos solo pueden asegurar las redes si estas a su vez son
inviolables.


TACACS - Autenticando Usuarios.

Un principio de seguridad muy basico es no dar acceso a los usuarios a
cualquier cosa hasta que se hayan identificados ante el sistema y hayan
demostrado su derecho a accesarlo.  Los ruteadores Cisco y los
servidores de comunicacionpueden autenticar usuarios a traves del
protocolo TACACS (Terminal Access Controller Access System = sistema de
acceso de control de acceso de terminal).  El dispositivo Cisco envia un
requerimiento TACACS, incluyendo el identificador (ID) y el password
ingresado por el usuario, al host.  El host conforma esta informacion al
dispositivo Cisco.  A los usuarios que no ingresan un par identificador
y password correcto se les denega el acceso.  Con el TACACS extendido,
el host tambien puede proporcionar al Cisco informacion de dispositivo
acerca de los servicios que el usuario esta permitido de acceder.  Por
ejemplo, el servidor TACACS puede decirle a un servidor de
comunicaciones que se le permitio conectar al usuario en de una linea
dada a un host particular.  El protocolo TACACS provee otros servicios
aparte de la autenticacion.  El dispositivo Cisco puede notificar al
servidor TACACS de ciertos eventos, tales como el ingreso o salida de un
usuario de un host.  Los administradores de la red pueden usar los
archivos de log resultantes para seguir la pista acerca de violaciones
de seguridad, y solamente el uso extendido de esta herramienta puede
actuar como un refrenamiento a los posibles violadores.


El Control de Configuracion CiscoWorks

La serie de aplicaciones de administracion CiscoWorks provee algunas
caracteristicas de control de configracion que pueden mejorar la
seguridad de la red.  Las aplicaciones CiscoWorks manejan los archivos
de configuracion y aseguran que estos sean solamente accesibles a traves
del TFTP (Trivial File Transfer Protocol = protocolo de transferencia de
archivos trivial) cuando sea necesitado, usando la caracteristica TFTP
de CiscoWorks.  (Vea mas adelante "Trampas de Seguridad Comunes.")  El
software CiscoWorks tambien provee un amplio conjunto de controles para
definir cuales usuarios pueden realizar operaciones particulares.  Usted
puede, por ejemplo, permitir a los operadores encender o apagar
interfaces de redes sin permitirles hacer otros cambios de
configuracion.  Los controles en los passwords limitan la diseminacion
de los passwords privilegiados de los ruteadores sin impedir el trabajo
de los operadores de red - el software CiscoWorks almacena los
passwords, pero los operadores no necesitan saberlos.  Si usted usa la
funcion de seguridad del CiscoWorks, recuerde que solamente puede ser
tan seguro como la estacion de trabajo sobre la cual corre.  Los
usuarios sofisticados con acceso fisico a las estaciones de trabajo UNIX
usualmente pueden extraer la informacion que desean de esas estaciones
de trabajo.  Las estaciones de trabajo CiscoWorks, por eso, deben ser
siempre tratadas con las mismas medidas de seguridad que se usan en
otros hosts sensitivos.


Trampas de Seguridad Comunes

Los usuarios Cisco pueden encontrar un numero de problemas no tan obvios
que pueden mermar incluso los planes de seguridad mas avanzados.  El
conocimiento de tales trampas es casi siempre lo unico que es requerido
para evitarlas.


Mal uso de Archivos de Configuracion TFTP

Los ruteadores Cisco y los servidores de comunicacion pueden subir y
bajar archivos de configuracion hacia y desde servidores TFTP, pero el
uso sin cuidado de esta facilidad pueden dejar su red abierta a un
ataque.  La mayoria de servidores TFTP pueden enviar cualquier archivo a
cualquier cliente que lo solicita.   Si deja un archivo de configuracion
conteniendo contrasenhas u otra informacion sensitiva leible e su
servidor TFTP, cualquiera que se pueda comunicar con ese servidor puede
recuperar sus constrasenhas.  Si usted deja un archivo de configuracion
escribible en un servidor TFTP, y despues baja ese archivo a otro
sistema, Usted corre el peligro que su archivo de configuracion haya
sido alterado.
   En general, las contrasenhas *incluso aquellas que estan
encriptadas), deberian ser almacenadas en RAM no volatil en el propio
equipo Cisco, y los archivos de configuracion TFTP-ables no debieran
contener contrasenhas.  Si Usted necesitara dejar contrasenhas en
archivos de configuracion TFTP-ables, tome las medidas adecuadas para
restringir el acceso a su servidor TFTP.
   Los archivos de configuracion TFTP deberian ser escribibles
(modificables) solamente cuando estuviera ejecutando un comando de red
de escritura en su ruteador Cisco.  No se olvide de remover las
contrasenhas cuando termine.  El software CiscoWorks deja disponibles
archivos de configuracion para TFTP solamente cuando estan siendo
activamente transferidos de o hacia ruteadores.


Bloqueo por Denegacion de Servicio, pero Permiso para Servicio.

Todos los sistemas de red proveen maneras para que los clientes
localicen servicios.  Algunos de estos protocolos de enlace de servicio
son propensos a filtrarse.  Si el servicio es filtrado de la base de
datos de enlace, no esta generalmente disponible para usuarios de
software estandar.  Desafortunadamente, mucha de la informacion provista
por el protocolo de enlace es facilmente adivinable, y el resto puede
ser vista o extraida poco a poco.  Es por eso que un programador u otro
usuario sofisticado puede tener acceso a menudo a servicios cuyos
enlaces han sido filtrados.  Ejemplos comunes de filtros de enlace
incluye los usos de las listas de acceso del SAP (Service Advertisement
Protocol = servicio de protocolo de propaganda) para controlar el acceso
a los servicios IPX del Novell y filtrar afuera el puerto UDP 111 en un
intento de denegar aceso a los servicios SunRPC.

Ambas aproximaciones pueden ser burlados por un buen programador de redes.
Los filtros Cisco SAP fueron dise~nados principalmente para reducir el 
trafico de red,y el filtrado Cisco UDP fue disenado para ser aplicado a los
puertos en los cuales los servicios en si son ofrecidos.Puede usar filtrado
como una medida de seguridad pero tenga cuidado de que solo es efectivo con
usuarios finales novatos.


OLVIDANDOSE DE LOS SERVICIOS TCP SOBRE EL PUERTO 1024

Mucha gente que escribe a la lista Cisco asume que los servicios TCP son 
ofrecidos solo en los puertos numerados bajo 1024.Ellos ademas asumen que 
los paquetes TCP con puertos de destino sobre 1024 son enviados a clientes 
de los servidores y representan trafico solicitado legitimo.

Desafortunadamente muchos servicios TCP son convencionalmente ofrecidos en 
puertos sobre 1024.El mas comun es el servicio X11 que esta usualmente en 
el puerto 6000 y es un servicio extremadamente peligroso para permitirse a 
un cliente no autorizado.Hay otros muchos mas ejemplos;en realidad,los ser-
vidores de comunicacion Cisco ofrecen acceso a sus lineas asincronas en 
puertos TCP numerados sobre 1024.

Casi todas las listas de acceso que comparan los numeros de puertos TCP a 
1024 pueden y deberian ser reescritas para usar la clave establecida.


USANDO "CISCO" COMO UNA CLAVE DE ACCESO

La palabra Cisco o cualquier derivado no es una buen opcion para un dis-
positivo Cisco - es lo que cualquiera probaria.Recuerde que muchos siste-
mas han sido penetrados rompiendo las palabra claves mas que por otra razon.
Este problema no es unico a Cisco, pero es tan basico y tan extendido que 
merece mencion. 

Ahora los equipos para INTERNETWORK y sus capacidades hace posible a las 
organizaciones a depender en sus redes para aplicaciones criticas.Pero admi-
nistrar esas redes involucra mantener sus recursos a salvo del da~no y acce-
so no autorizado.Aunque es un desafio,un grado adecuado de seguridad seria 
recomendable para casi todas las redes proveiendo al administrador de red un
planeamiento cuidadoso y el uso de sofisticadas herramientas como las carac-
teristicas de seguridad soportadas por los ruteadores Cisco.







.