Manual de Seguridad en Redes ArCERT

Seguridad en Redes i

Seguridad en Redes ii

Manual de Seguridad

en

Redes

ArCERT

Coordinación de Emergencia

en Redes Teleinformáticas de la

Administración Pública Argentina

Subsecretaría de Tecnologías Informáticas

Secretaría de la Función Pública

Seguridad en Redes iii

Presentación

Como Secretaria de la Función Pública he asumido la responsabilidad de contribuir

al perfeccionamiento de la organización y definir la política informática en el ámbito de

la Administración Pública Nacional.

Para dar cumplimiento a estos objetivos y desde el inicio de mi gestión, vengo

dedicando importantes esfuerzos y recursos para favorecer el uso pleno de la

tecnología con el fin de alcanzar un Estado moderno y eficiente al servicio de los

ciudadanos, que permita a nuestro país interactuar con las naciones más avanzadas.

En este marco, permítanme citarles como ejemplo la firma del Decreto Nº 427/98,

por el cual se crea la Infraestructura de Firma Digital para el Sector Público Nacional,

habilitando el uso de esa tecnología para los actos internos de administración y

otorgando a la Secretaría de la Función Pública las funciones de Autoridad de Aplicación

y de Organismo Licenciante, a cargo de la habilitación de Autoridades Certificantes para

su funcionamiento dentro de la Administración Pública Nacional. Quiero destacar la

importancia de la promulgación del decreto mencionado, ya que constituye el primer

antecedente a nivel nacional que otorga validez a la firma digital, en este caso por un

plazo experimental de 24 meses, y distingue a nuestro país entre los primeros en el

mundo en promulgar una normativa de avanzada en este novedoso campo.

Asimismo, emitimos los Estándares Tecnológicos para la Administración Pública

Nacional, que constituyen una eficaz herramienta que posibilita que los organismos

públicos avancen en los procesos de racionalización, estandarización y homogeneización

de las contrataciones tecnológicas y que han trascendido el ámbito propio de aplicación

habiendo sido adoptados por numerosas jurisdicciones provinciales, otros poderes del

Estado y organismos rectores de Política Informática de Países Iberoamericanos.

No puedo dejar de hacer referencia al Problema del Año 2000, que motiva mi

preocupación y la de las autoridades de los organismos de la Administración Nacional.

Hemos iniciado una intensa labor con el objetivo de garantizar las funciones críticas que

debe cumplir el Estado. A tal efecto, trabaja un grupo de profesionales nucleados en la

Unidad Ejecutora 2000 con el objeto de brindar asistencia técnica y supervisar las

acciones tendientes a la búsqueda de soluciones para la problemática, cubriendo no

sólo a los organismos de la Administración Pública Nacional, sino también a los entes

reguladores de actividades que implican servicios públicos para el ciudadano. Puedo

afirmar, sin equivocarme, que nos encontramos a la cabeza en Latinoamérica respecto

de la metodología seguida en el Sector Público, habiendo participado en numerosos

Seguridad en Redes iv

foros nacionales e internacionales y siendo consultados en forma permanente por

diversas entidades del Sector privado nacional.

Sin embargo, sé que las tecnologías por sí mismas de poco sirven: es lo que la

gente hace con ellas lo que marca la diferencia. Por ello estamos dedicando

importantes esfuerzos para la jerarquización del personal que desarrolla funciones

informáticas y para la valorización de las áreas responsables de los sistemas de

información. En esta campo hemos fomentado la capacitación en materia de

Tecnologías Informáticas, a fin de lograr un mayor entendimiento de sus

potencialidades, especialmente para el gerenciamiento público.

Ya en el campo específico que motiva el trabajo que sigue, nadie puede discutir

hoy en día que la seguridad de las Tecnologías Informáticas es un componente

necesario de los sistemas de información y tanto los entes públicos como los privados,

del país y del mundo, empiezan a dedicar recursos materiales y humanos cada vez más

significativos a esta área.

Por ello he dispuesto la adopción de una serie de medidas, entre las cuales se

inscribe el presente trabajo, con el objetivo de robustecer el área de Seguridad

Informática en el ámbito de mi competencia.

Este manual fue elaborado con la intención de facilitar la tarea de quienes tienen a

su cargo la administración de las redes del Sector Público Nacional. Colaboraron en su

redacción el Ing. Leonardo Hoet, los Sres. Rodolfo Cozzi, Rodolfo Baader y Rodrigo

Seguel y el personal de la Dirección Nacional de Coordinación e Integración

Tecnológica. A ellos, mi reconocimiento por la labor realizada.

Claudia E. Bello

Secretaria de la Función Pública

Seguridad en Redes v

Introducción

En la actualidad, las organizaciones son cada vez más dependientes de sus redes

informáticas y un problema que las afecte, por mínimo que sea, puede llegar a

comprometer la continuidad de las operaciones.

La falta de medidas de seguridad en las redes es un problema que está

en crecimiento. Cada vez es mayor el número de atacantes y cada vez están

más organizados, por lo que van adquiriendo día a día habilidades más

especializadas que les permiten obtener mayores beneficios. Tampoco deben

subestimarse las fallas de seguridad provenientes del interior mismo de la

organización.

La propia complejidad de la red es una dificultad para la detección y corrección de

los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta

variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la

propiedad de recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho

aparición en el vocabulario ordinario de los usuarios y de los administradores de las

redes

Además de las técnicas y herramientas criptográficas, es importante recalcar que

un componente muy importante para la protección de los sistemas consiste en la

atención y vigilancia continua y sistemática por parte de los responsables de la red.

A la hora de plantearse en qué elementos del sistema se deben de ubicar los

servicios de seguridad podrían distinguirse dos tendencias principales:

Protección de los sistemas de transferencia o transporte. En este caso, el

administrador de un servicio asume la responsabilidad de garantizar la transferencia

segura al usuario final de la información de forma lo más transparente posible.

Ejemplos de este tipo de planteamientos serían el establecimiento de un nivel de

transporte seguro, de un servicio de mensajería con MTAs (Mail Transport Agents)

seguras, o la instalación de un firewall, que defiende el acceso a una parte protegida de

una red.

Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el

correo electrónico, consistiría en construir un mensaje en el cual el contenido ha sido

asegurado mediante un procedimiento de encapsulado previo al envío. De esta forma,

el mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la

validez de los servicios de seguridad provistos. Aunque el acto de asegurar el mensaje

cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario

deberá usar una herramienta amigable proporcionada por el responsable de seguridad

de su organización. Esta misma operatoria, puede usarse para abordar el problema de

Seguridad en Redes vi

la seguridad en otras aplicaciones tales como videoconferencia, acceso a bases de

datos, etc.

En ambos casos, un problema de capital importancia es la gestión de passwords.

Este problema es inherente al uso de la criptografía y debe estar resuelto antes de que

el usuario esté en condiciones de enviar un solo bit seguro.

En este contexto, hemos elaborado este material. Con él nos proponemos facilitar

las tareas de todos aquellos que se encuentran actualmente involucrados en las

decisiones respecto de las redes de información y de sus modos de administración, al

tiempo de alertar sobre la importancia crítica de la seguridad. Creemos que un

adecuado tratamiento de esta problemática resulta absolutamente vital, debido a las

amenazas cada vez mayores a las que la información se encuentra expuesta.

En el transcurso de las diversas secciones se desarrollarán básicamente, los

siguientes temas:

· El valor de los datos

· Las políticas de seguridad informática

· Los procedimientos para el resguardo de la información

· Los principales ataques a las redes de información

· Las passwords

· Las herramientas de control y seguimiento de accesos

El material cuenta, además, con un glosario final en el que se definen los

principales términos que se utilizan durante este trabajo.

Esperamos que constituya un buen punto de partida para la reflexión y el debate

...