Monografias.com > Computación > Internet
Descargar Imprimir Comentar Ver trabajos relacionados

Análisis de los requerimientos tecnológicos para la implementación de servidores web seguros




Enviado por silvioalx



     

    Indice
    1.
    Objetivos

    2. Análisis y
    resultados

    3. Tecnologías de
    seguridad

    4. Técnicas de
    protección

    5. Consideraciones
    técnicas

    6. Conclusiones
    7. Bibliografía
    8. Anexos

    1. Objetivos

    Objetivo General
    Orientar sobre el mejor curso de acción para la puesta en
    marcha de un servidor Web que
    garantice la seguridad
    de la información.
    Objetivos
    Específicos

    1. Evaluar y seleccionar un Sistema
      Operativo adecuado para la implementación de
      herramientas
      de seguridad
      informática en servidores de Web.
    2. Enunciar los requerimientos del  equipo 
      necesarios  para  el  desarrollo  del  Sistema
      Operativo seleccionado.
    1. Establecer mecanismos y métodos
      eficaces con enfoque activo hacia la seguridad para ser
      implementados al sistema.
    1. Proporcionar técnicas de protección
      que brinden  soluciones  óptimas  a  la
      vulnerabilidad  de los servidores
      Web.
    1. Presentar una  serie  de 
      recomendaciones  para  el  desempeño  satisfactorio 
      del  sistema  mencionado, así  como 
      para  su  correcta 
      instalación.

    Justificación
    La extensión de la microinformática y de las
    redes de
    ámbito mundial que interconectan recursos
    informáticos de todo tipo, ha hecho que los peligros que
    sufre la información almacenada en los diversos sistemas crezcan
    considerablemente y se diversifiquen, y que las medidas adoptadas
    internamente sean insuficientes.
    En los últimos años no sólo la prensa
    especializada en informática, sino todos los medios de
    difusión han hecho eco del futuro de las autopistas de la
    información, cuyo embrión está representado
    por la red Internet. Que con el gran
    crecimiento que ha tenido permite mayores formas de ataque a la
    seguridad en red, incluyendo los virus, Caballos
    de Troya y penetración de las redes internas.
    A raíz de la interconexión del mundo empresarial a
    esta red, viaja por ella y se almacena información de todo
    tipo, que abarca desde noticias o cotilleos, documentos,
    normas y
    aplicaciones informáticas de libre distribución hasta complejas transacciones
    que requieren medidas de seguridad que garanticen la
    confidencialidad, la integridad y el origen de los datos. La escucha
    electrónica, que permite la
    obtención y posible manipulación de
    información privada, y los sabotajes realizados tanto por
    atacantes externos como internos, están causando
    últimamente la pérdida de grandes cantidades de
    dinero.
    Los servidores Web son designados para recibir solicitudes
    anónimas desde auténticos hosts en la Internet y a
    liberar las solicitudes de información en una manera
    rápida y eficiente. De tal forma, ellos proveen un portal
    que puede ser usado por amigos y enemigos igualmente. Por su
    naturaleza,
    son complicados programas que
    demandan un alto nivel de seguridad. El tipo de tecnología que mejor
    cumple con estas demandas se deduce a través de estudios
    que se realizan para la implementación de servidores Web
    seguros. El
    presente trabajo pretende contribuir a este fin.

    Resumen
    Los Servidores Web suministran páginas
    Web a los navegadores
    (como por ejemplo, Netscape Navigator, Internet
    Explorer de Microsoft) que
    lo solicitan. En términos más técnicos, los
    servidores Web soportan el Protocolo de
    Transferencia de Hypertexto conocido como HTTP (HyperText
    Transfer Protocol), el estándar de Internet para
    comunicaciones
    Web. Usando HTTP, un servidor Web
    envía páginas Web en HTML y CGI,
    así como otros tipos de scripts a los navegadores o
    browsers cuando éstos lo requieren. Cuando un usuario
    hace clic sobre un enlace (link) a una página
    Web, se envía una solicitud al servidor Web para
    localizar los datos nombrados por ese enlace. El servidor
    Web recibe esta solicitud y suministra los datos que le han
    sido solicitados (una página HTML, un
    script interactivo, una página Web generada
    dinámicamente desde una base de
    datos,…) o bien devuelve un mensaje de
    error.

    Seguridad
    La seguridad en
    redes de telecomunicaciones está fundamentada en
    tres elementos:

    • La Integridad.- Se refiere a que el contenido y el
      significado de la información no se altere al viajar por
      una red, no
      obstante el número y tipo de equipos que se encuentren
      involucrados; la infraestructura utilizada debe ser
      transparente para el usuario.
    • La Confiabilidad.- Implica que el servicio
      debe estar disponible en todo momento.
    • La Confidencialidad.- Es quizá la parte
      más estratégica del negocio, ya que contribuye a
      impedir que personas no autorizadas lean y conozcan la
      información que se transmite.

    La verdadera seguridad de un sistema va más
    allá de la instalación de la
    actualización más reciente, la configuración
    de un cierto fichero, o la cuidadosa administración del acceso de los
    usuarios a los recursos de sistema. Es una manera de ver las
    diferentes amenazas que acechan su sistema y lo que se
    está dispuesto a hacer para evitarlas.

    Ningún sistema es totalmente seguro a menos
    que esté apagado (y aún así, es posible que
    se lo roben). Cada vez que el sistema esté encendido
    puede ser atacado, desde una broma inocua a un virus
    capaz de destruir el hardware, a la posibilidad
    que los datos sean borrados. Pero no todo está perdido.
    Con una actitud
    apropiada además de algunas buenas herramientas, se puede
    gozar de un sistema sano sin problemas de
    seguridad.

    El Dilema De Seguridad Inevitable
    Todo usuario de cualquier sistema operativo se enfrenta a un
    dilema en común al construir un paradigma de seguridad para su sistema. Por
    un lado, intenta evitar hacer el sistema tan seguro que nada
    en él funcionará correctamente. Pero por otro
    lado, también trata de evitar dejar el sistema tan
    inseguro que cualquiera podría (y lo haría
    seguramente) hacerle lo que se le antoje, incluido borrar
    el
    trabajo de otros o cosas peores. No existe una
    manera exacta para resolver este dilema. Algunos sistemas, ya sea
    por la naturaleza de su utilidad o la
    importancia de los datos que protegen, caen por un lado del
    dilema mientras que otros sistemas, ya sea por la amplia
    variedad de usuarios que los utilizan o el hecho de ser máquinas de prueba, caen por el otro
    lado.

    Enfoque Activo Contra Pasivo
    Los enfoques relativos a la seguridad se pueden siempre separar
    en dos tipos diferentes: activo o pasivo. Un enfoque activo
    hacia la seguridad cubre todas las actividades ideadas para
    prevenir que se abra una brecha en el modelo de
    seguridad de su sistema. Un enfoque pasivo hacia la
    seguridad se refiere a las actividades desempeñadas
    para supervisar la seguridad de su sistema basándose en
    ese modelo de seguridad.

    Seguridad De Redes
    Si usa su sistema en una red (como una red de área local,
    red de área amplia o Internet), deberá ser
    consciente de que su sistema estará a un nivel más
    alto de riesgo que si no
    estuviese conectado a una. Además de atentados
    brutales a los ficheros de contraseñas y usuarios sin
    acceso apropiado, la presencia de su sistema en una red
    más grande aumenta la oportunidad de que ocurra
    un problema de seguridad y la forma posible en que pueda
    ocurrir.

    Posibles Problemas De Seguridad:

    • Búsqueda entre los datos de
    autenticación — muchos métodos de
    autenticación por defecto en los sistemas
    operativos dependen de enviarle su información de
    autentificación "en abierto" donde su nombre de usuario y
    contraseña se le envían por medio de la red en
    texto
    común o sin encriptar. Existen herramientas a
    disposición para quienes tengan accesos a su red (o
    Internet, si obtiene acceso a su sistema mientras la usa)
    para "husmear" o detectar su contraseña
    grabando todos los datos transferidos por medio de la red y
    examinarlos para encontrar declaraciones de inicios de
    sesión comunes. Este método se
    puede usar para encontrar cualquier información
    enviada sin encriptar, hasta su contraseña de root.
    Es esencial que utilice herramientas (utilidades) para
    evitar que contraseñas y otros datos delicados se
    envíen sin encriptación. Si por cualquier
    motivo no es posible utilizar estas herramientas con su sistema,
    entonces asegúrese de no iniciar nunca sesiones como
    root a menos que no esté presente delante de la
    máquina.

    • Ataque frontal —ataques de
    denegación de servicio (DoS) y su tipo pueden dañar
    hasta un sistema seguro inundándolo con peticiones
    inapropiadas o mal formuladas que aplastarían su sistema
    o crearían procesos que
    pondrían en peligro su sistema o sus datos, además
    de otros sistemas que comuniquen con él. Existe una
    cantidad de protecciones diferentes a disposición para
    ayudar a detener el ataque y minimizar el daño, como
    los firewalls que filtran los paquetes. Sin embargo,
    los ataques frontales se encaran con una mirada exhaustiva a
    la manera en que los sistemas no fiables se comunican con
    sus sistemas fiables, erigiendo barreras protectoras entre los
    dos y desarrollando una forma de reaccionar velozmente ante
    cualquier evento para que la irrupción y los
    posibles daños sean limitados.

    • Aprovechándose de un bug de seguridad o de
    un loophole (rendija) — de vez en cuando se
    encuentran errores en el software que, si son
    explotados, podrían causar graves daños a un
    sistema no protegido. Por este motivo trate de ejecutar
    procedimientos
    desde el root lo menos posible. Use todas las herramientas
    que estén a su disposición, como actualizaciones
    de paquetes de Network y alertas de seguridad,
    para resolver problemas de seguridad tan pronto como sean
    descubiertos. Por último, asegúrese que su
    sistema no tenga programas innecesarios que inicien a
    la hora del arranque. Mientras menos programas se ejecuten,
    menos probabilidades hay que un bug o error de seguridad le
    afecte.

    El Desarrollo De Políticas
    De Seguridad
    Todo sistema, desde una máquina usada sólo por una
    persona a un
    servidor en el ámbito empresarial utilizado por miles
    de usuarios, debería tener políticas de seguridad.
    Las políticas de seguridad son un conjunto de pautas
    utilizadas para medir si una determinada actividad o
    aplicación debiese o no ser desempeñada o
    utilizada en un sistema, basándose en los particulares
    objetivos para ese sistema.

    Las políticas de seguridad entre sistemas
    diferentes pueden variar mucho, pero lo más
    importante es que exista una para su sistema no importa si
    está escrita en el manual de
    políticas de la empresa
    o simplemente se recuerda.

    Criptografía
    La Criptografía proporciona comunicaciones
    seguras en canales inseguros. Se divide en Sistemas de Clave
    Secreta, donde el emisor y el receptor utilizan la misma clave
    secreta; y Sistemas de Clave Pública donde cada usuario
    posee un par de claves una secreta y otra pública. DES
    (Data Encryption Standard) es el sistema de clave secreta
    más utilizado, desarrollado por IBM es un algoritmo de
    cifrado-descifrado de bloques de 64 bits basado en permutaciones,
    mediante una clave de 64 bits. RSA (Rivest, Shamir y Adleman) es
    el más extendido de los sistemas de Clave Pública
    en el que la clave pública y la privada se componen de un
    exponente y un módulo que es producto de
    dos números primos grandes. Este modo de cifrado requiere
    de una identificación de usuario, Firma Digital.
    Actualmente se han desarrollado otros sistemas más
    eficientes como Gamal y Curvas Elípticas.

    ISO define los siguientes Servicios de
    Seguridad en las Redes: 1.Autenticación de Entidad Par;
    2.Control de
    Acceso; 3.Confidencialidad de Datos; 4.Integridad de Datos, 5.No
    Repudio, con Prueba de Origen y 6. No Repudio con Prueba de
    Entrega.

    Requieren incorporar en el Nivel apropiado del modelo OSI
    Mecanismos de Seguridad:
    Cifrado: técnicas criptográficas que se aplican
    extremo a extremo o a cada enlace;
    Firma Digital: conjunto de datos que se añaden a una
    unidad de Datos para protegerlos contra la falsificación,
    utiliza el esquema criptográfico.
    Se necesita realizar una autenticación a través de
    un Certificado firmado por la Autoridad de
    Certificación válido durante un tiempo
    límite.

    Firewalls (Muros de Fuego)
    Estas entidades han proliferado debido a Internet. Limitan la
    exposición de la red privada con el mundo
    exterior restringiendo accesos. Pueden monitorear toda la
    actividad hacia la llamada red de redes de forma efectiva,
    además de ayudar a mantener las políticas de
    seguridad, ya que son puntos centrales. Cabe destacar que no
    protege contra malas intenciones de personas dentro de la red
    privada, ni resguarda conexiones que no sean controladas por
    él y tampoco contra virus.

    Virus
    Los virus
    informáticos son programas, generalmente destructivos,
    que se introducen en la computadora
    (al leer un disco o acceder a una red informática) y
    pueden provocar pérdida de la información
    (programas y datos) almacenada en el disco duro.
    Existen programas antivirus que los
    reconocen y son capaces de 'inmunizar' o eliminar el virus del
    ordenador.

    2. Análisis y resultados

    Introducción
    Los Servidores Web son aquéllos que permiten a los
    clientes
    compartir datos, documentos y multimedia en
    formato Web. Aunque es parte de la tecnología Cliente-Servidor,
    el servidor Web aporta algunas ventajas adicionales; como acceso
    más simple a la información (con un simple
    clic).

    En el sentido más estricto, el término
    cliente/servidor describe un sistema en el que una máquina
    cliente solicita a una segunda máquina llamada servidor
    que ejecute una tarea específica. El programa cliente
    cumple dos funciones
    distintas: por un lado gestiona la
    comunicación con el servidor, solicita un servicio y
    recibe los datos enviados por aquél. Por otro, maneja la
    interfaz con el usuario: presenta los datos en el formato
    adecuado y brinda las herramientas y comandos
    necesarios para que el usuario pueda utilizar las prestaciones
    del servidor de forma sencilla. El programa servidor en cambio,
    básicamente sólo tiene que encargarse de transmitir
    la información de forma eficiente. No tiene que atender al
    usuario. De esta forma un mismo servidor puede atender a varios
    clientes al mismo tiempo.
    La mayoría de servidores añaden algún nivel
    de seguridad a sus tareas. Por ejemplo, si usted ha ido a alguna
    página y el navegador presenta una ventana de diálogo
    que pregunta su nombre de usuario y contraseña, ha
    encontrado una página protegida por contraseñas. El
    servidor deja que el dueño o el administrador del
    servidor mantenga una lista de nombres y contraseñas para
    las personas a las que se les permite ver la página, y el
    servidor deja que sólo esas personas quienes saben la
    contraseña tengan acceso.

    Los servidores más avanzados añaden
    seguridad para permitir una conexión encriptada entre el
    servidor y el navegador así la información de suma
    importancia como números de tarjetas de
    crédito
    pueda ser enviada por Internet.

    Sistemas Operativos
    UNIX
    Características

    • Es un sistema operativo multiusuario, con capacidad
      de simular multiprocesamiento y procesamiento no
      interactivo
    • Está escrito en un lenguaje de
      alto nivel: C
    • Dispone de un lenguaje de control programable llamado
      SHELL
    • Ofrece facilidades para la creación de
      programas y sistemas y el ambiente
      adecuado para las tareas de diseños de
      software
    • Emplea manejo dinámico de memoria por
      intercambio o paginación
    • Tiene capacidad de interconexión de
      procesos
    • Permite comunicación entre procesos
    • Emplea un sistema jerárquico de archivos, con
      facilidades de protección de archivos, cuentas y
      procesos
    • Tiene facilidad para redireccionamiento de
      Entradas/Salidas
    • Contiene 4 aportaciones importantes que han aumentado
      la viabilidad de los sistemas UNIX como base
      para los sistemas
      distribuidos:
    • Conectores Berkely
    • Los Streams de AT&T
    • El sistema de archivos de red NFS
    • El sistema de archivos remoto RFS de
      AT&T

    Seguridad
    Para poder
    identificar a las personas, UNIX realiza un proceso
    denominado ingreso (login). Cada archivo en UNIX
    tiene asociados un grupo de
    permisos. Estos permisos le indican al sistema operativo quien
    puede leer, escribir o ejecutar como programa determinado
    archivo. UNIX reconoce tres tipos diferentes de individuos:
    primero, el propietario del archivo; segundo, el "grupo"; por
    último, está el "resto" que no son ni propietarios
    ni pertenecen al grupo, denominados "otros".

    Una computadora
    UNIX ofrece generalmente una serie de servicios a la red,
    mediante programas que se ejecutan continuamente llamados daemon
    (demonio). Por supuesto, para usar estos programas hay que tener
    primero permiso para usar tal puerto o protocolo, y luego acceso
    a la máquina remota, es decir, hay que ''autentificarse'',
    o identificarse como un usuario autorizado de la máquina.
    Algunos de estos programas son telnet, rlogin,
    rsh, ftp,
    etc.

    Microsoft Windows NT
    Características de Windows NT
    Server

    • Soporta Sistemas Intel y los basados en
      RISC.
    • Incorpora un NOS (Sistema Operativo de Red) de 32
      bits.
    • Ofrece una solución de red punto a
      punto.
    • Requiere un mínimo de 16MB en RAM, por lo
      que es más caro de instalar que la mayor parte de los
      NOS.
    • Soporta multitarea simétrica.
    • Puede usar hasta 4 procesadores
      concurrentes.
    • Además de ser multitarea, el Windows NT Server
      también es de lectura
      múltiple o multilectura.
    • Soporta administración centralizada y control
      de cuenta de usuarios individuales.
    • Las multitareas, priorizadas permiten que se ejecute
      simultáneamente varias aplicaciones.
    • Las operaciones de
      red adquieren prioridad sobre otros procesos menos
      críticos.
    • Incluye extensos servicios para Mac.
    • Una computadora Mac puede acceder a Windows NT
      Server, como si accesara al servidor Appleshare.
    • Los archivos se traducen automáticamente de un
      formato a otro.
    • Los usuarios de PC y Mac tienen acceso a las mismas
      impresoras.
    • Incluso una Mac puede imprimir trabajos Postscript en
      una impresora PC
      que no sea Postscript.
    • Windows NT Server soporta integración con otras redes (Con Software
      adicional), que incluyen: NetWare, VINES, Lan Manager
      OS/2, UNIX, VMS y redes SNA.
    • Es tolerante a fallas. Posee el reflejado a sistema
      espejo y separación de discos.
    • Proporciona utilerías para
      administración y control fácil de
      usar.
    • Proporciona acceso remoto por marcación
      telefónica.

    Seguridad
    Windows NT ofrece gran seguridad por medio del acceso por cuentas
    y contraseñas. Es decir un usuario debe tener su cuenta
    asignada y una contraseña para poder tener acceso al
    sistema.
    Contiene protecciones para directorios, archivos, y periféricos, es decir que todo esto se
    encuentra con una contraseña para poder ser
    utilizados.
    CONCEPTO DE
    DERECHOS.-
    Permite a un grupo de usuarios efectuar determinadas
    operaciones.
    CUENTA ADMINISTRADOR.- Controla todos los permisos y con ellas se
    puede:

    • Dar de alta
    • Asignar cuentas
    • Cancelar derechos

    Novell Netware

    Características de NetWare

    • Multitarea
    • Multiusuario
    • No requiere demasiada memoria RAM,
      y por poca que tenga el sistema no se ve limitado por ej.
      Netware 4.0 (Requiere 6 Mb de RAM)
    • Brinda soporte y apoyo a la MAC
    • Apoyo para archivos de DOS y MAC en el
      servidor
    • El usuario puede limitar la cantidad de espacio en el
      disco duro
    • Permite detectar y bloquear intrusos
    • Soporta múltiples protocolos
    • Soporta acceso remoto
    • Permite instalación y actualización
      remota
    • Muestra estadísticas generales del uso del
      sistema
    • Brinda la posibilidad de asignar diferentes permisos
      a los diferentes tipos de usuarios
    • Permite realizar auditorías de acceso a archivos,
      conexión y desconexión, encendido y apagado del
      sistema, etc.
    • Soporta diferentes arquitecturas

    Desventajas de NetWare

    • No cuenta con listas de control de acceso (ACLs)
      administradas en base a cada archivo.
    • Algunas versiones no permiten criptografía de
      llave pública ni privada.
    • No carga automáticamente algunos manejadores
      en las estaciones de trabajo.
    • No ofrece mucha seguridad en sesiones
      remotas.
    • No permite el uso de múltiples
      procesadores.
    • No permite el uso de servidores no
      dedicados.
    • Para su instalación se requiere un poco de
      experiencia.

    Seguridad del Sistema.
    Aunque los fabricantes que se dedican exclusivamente a los
    sistemas de seguridad de redes pueden ofrecer sistemas más
    elaborados, NetWare de Novell ofrece
    los sistemas de seguridad integrados más importantes del
    mercado. NetWare
    proporciona seguridad de servidores de archivos en cuatro formas
    diferentes:
    1.- Procedimiento de
    registro de
    entrada
    2.- Derechos encomendados
    3.- Derechos de directorio
    4.- Atributos de archivo

    Linux
    Características

    • Es un clon del sistema operativo UNIX por tanto es
      Multitarea y Multiusuario
    • Se puede correr la mayoría del software
      popular para UNIX, incluyendo el Sistema X-Window
    • Cumple los estándares POSIX y de Sistemas
      Abiertos, esto es que tiene la capacidad de comunicarse con
      sistemas distintos a él.

    Ventajas de Linux

    • Precio. Es una implementación de UNIX sin
      costo
    • Estabilidad
    • Libre de virus, es muy difícil que sea
      infectado por virus
    • Seguridad, es mucho más seguro que otros
      servidores
    • Compatibilidad, reconoce la mayoría de los
      otros sistemas
      operativos en una red
    • Velocidad, es mucho más veloz para realizar
      las tareas
    • Posee el apoyo de miles de programadores a nivel
      mundial
    • El paquete incluye el código fuente, lo que permite modificarlo
      de acuerdo a las necesidades del usuario
    • Se puede usar en casi cualquier computadora, desde
      una 386
    • Puede manejar múltiples procesadores. Incluso
      hasta 16 procesadores
    • Maneja discos duros
      de hasta 16 TeraBytes
    • Soporta acceso remoto
    • Soporte nativo de TCP/IP
      (Fácil conexión a Internet y otras
      redes)

     Desventajas de Linux

    • Carencia de soporte técnico.
    • Inconvenientes de hardware, no soporta todas las
      plataformas, y no es compatible con algunas marcas
      específicas.

     

    Sistema Operativo

    Conectividad

    Confiabilidad

    Estabilidad

    Escalabilidad

    Multi-usuario

    Multi-plataforma

    POSIX

    Propietario

    UNIX

    Excelente

    Muy Alta

    Excelente

    Muy Alta

    Si

    Si Múltiple

    Si

    Si

    Windows NT

    Muy Buena

    Baja

    Regular

    Media

    Inseguro

    Parcial

    Limitada

    Si

    Netware

    Excelente

    Alta

    Excelente

    Alta

    Si

    Si

    No

    Si

    Linux

    Excelente

    Muy Alta

    Excelente

    Muy Alta

    Si

    Si Múltiple

    Si

    No

    Tabla No.1 Comparación de las
    Características Generales de los Sistemas
    Operativos

    Sistema Operativo

    Propietario

    Precio

    UNIX

    Mac OS X Server 10.2

    Apple

    US $499.00 (10 usuarios)

    US $999.00 (sin limite de usuarios)

    Windows 2000 Advanced Server

    Microsoft

    US $809 (5 usuarios)
    US $1,129 (10 Usuarios)

    Netware 6.0

    Novell

    US $1,395 (5 usuarios)

    US $47,995 (1000 usuarios)

    Linux Red Hat 8.0

    Gratis o sobre US $49.95 para una
    distribución en CD-ROM

    Tabla No.2 Precio de
    Algunas Versiones de los Sistemas Operativos

    Sistema Operativo

    Seguridad

    UNIX

    Realiza un proceso denominado ingreso (login).
    Cada archivo en UNIX tiene asociados un grupo de
    permisos. Hay que ''autentificarse'', o identificarse
    como un usuario autorizado de la máquina. UNIX
    reconoce tres tipos diferentes de individuos: primero, el
    propietario del archivo; segundo, el "grupo"; por
    último, el "resto" que no son ni propietarios ni
    pertenecen al grupo, denominados "otros".

    Windows NT

    El usuario debe tener su cuenta asignada y una
    contraseña para poder tener acceso al sistema. El
    sistema está protegido del acceso ilegal a las
    aplicaciones en las diferentes configuraciones. Ofrece la
    detección de intrusos. Permite cambiar
    periódicamente las contraseñas.

    No permite criptografía de llave
    pública ni privada.

    Netware

    Brinda la posibilidad de asignar diferentes
    permisos a los diferentes tipos de usuarios. Permite
    detectar y bloquear intrusos.

    Algunas versiones no permiten
    criptografía de llave pública ni
    privada.

    Linux

    Presenta las mismas características que
    UNIX lo que lo hace mucho más seguro que otros
    servidores.

    Tabla No.3 Comparación de la
    Seguridad de los Sistemas Operativos

    LINUX RED HAT 8.0
    Red Hat puso en el mercado la versión 8.0 de su sistema
    operativo de fuente abierta que ofrece un interfaz gráfico
    más agradable. El nuevo interfaz de Bluecurve, basado en
    Gnome 2,0, ofrece temas, barras, menús y muchas más
    nuevas opciones gráficas. La nueva versión
    también contiene un buen número de aplicaciones
    actualizadas incluyendo la suite de fuente abierta para la
    oficina, Open
    Office,
    así como el cliente de E-mail Evolution, y el browser
    Mozilla 1.0.1.

    También se incluye una suite de herramientas de
    configuración para configurar diversos servicios del
    sistema incluyendo los servidores de Apache, samba, ajustes de la
    red, firewall, y
    los periféricos. La compañía también
    ha incluido versiones mejoradas de su compilador de C y del
    kernel del sistema operativo.

    Herramientas Básicas De
    Seguridad En Red Hat

    Módulos de Autentificación Conectables (PAM)
    Los programas que ofrecen privilegios a los usuarios deben
    autentificar (verificar la identidad de)
    adecuadamente cada usuario. Al iniciar una sesión en un
    sistema, el usuario proporciona su nombre de usuario y
    contraseña y el procedimiento de inicio de sesión
    usa el nombre de usuario y la contraseña para autentificar
    el inicio de sesión para verificar que el usuario es quien
    dice ser. Son posibles otras formas de autentificación
    además de las contraseñas.

    Los Pluggable Authentication Modules (PAM) son una
    manera de permitir que el administrador de sistema establezca una
    política
    de autentificación sin tener que recompilar programas de
    autentificación.

    Las ventajas de PAM
    Cuando se usa correctamente, PAM provee muchas ventajas para un
    administrador de sistema, como las siguientes:

    • Un esquema de autentificación común que
      se puede usar con una gran variedad de
      aplicaciones.
    • PAM puede ser ejecutado con varias aplicaciones sin
      tener que recompilar las aplicaciones para soportar PAM
      específicamente.
    • Gran flexibilidad y control sobre la
      autentificación para el administrador y para el
      desarrollador de aplicaciones.
    • Los desarrolladores de aplicaciones no necesitan
      desarrollar su programa para usar un determinado esquema de
      autentificación. En su lugar, pueden concentrarse
      puramente en los detalles de su programa.

    Kerberos
    Kerberos era el perro de tres cabezas de la mitología
    griega que por ser quien cuidaba las puertas del infierno,
    representa seguridad.
    Kerberos Es un servicio de autenticación desarrollado en
    MIT (Massachusetts Institute of Technology) en
    colaboración con IBM y con Digital Equipment Corporation y
    diseñado por Miller y Neuman en el contexto del Proyecto Athena
    en 1987. Esta basado en el protocolo de distribución de
    claves presentado por Needham y Schroeder en 1978.

    El objetivos principal de Kerberos es el de proporcionar
    un sistema de autenticación entre clientes y servidores
    que evite que las passwords de los usuarios viajen continuamente
    por la red. El sistema se basa en una serie de intercambios
    cifrados, denominados "tickets" o vales, que permiten controlar
    el acceso desde las estaciones de trabajo a los servidores.
    Kerberos proporciona, asimismo, una serie de verificaciones
    criptográficas para garantizar que los datos transferidos
    entre estaciones y servidores no estén corrompidos, bien
    por accidente o bien por ataques intencionados.

    Fig.1 Funcionamiento de Kerberos

    ¿Por qué no se usa en todas las redes?
    Kerberos elimina una amenaza de seguridad común pero
    debido a que se deben configurar y sincronizar algunos
    parámetros puede ser difícil de
    implementar.

    Tripwire
    El software Tripwire puede ayudar a asegurar la integridad de
    ficheros y directorios de sistema esenciales identificando todos
    los cambios hechos a ellos. Las opciones de configuración
    de Tripwire incluyen la capacidad de recibir alertas por medio de
    correo
    electrónico si hay ficheros específicos que han
    sido modificados y el control de integridad automatizado a
    través de un trabajo cron. El uso de Tripwire para
    detectar intrusiones y fijar daños le ayuda a mantenerlo
    al tanto de los cambios del sistema y puede agilizar el
    restablecimiento de una entrada forzada reduciendo el
    número de ficheros que hay que restablecer para reparar el
    sistema. Compara los ficheros y directorios con una base de datos
    de la ubicación de los ficheros, las fechas en que han
    sido modificados y otros datos. Tripwire genera la base tomando
    una instantánea de ficheros y directorios
    específicos en estado
    conocido como seguro. (Para máxima seguridad, Tripwire
    debería ser instalado y la base debería ser creada
    antes que el sistema sea expuesto al riesgo de intrusión.)
    Después de haber creado la base de datos de base, Tripwire
    compara el sistema actual con la base y proporciona
    información sobre cualquier modificación,
    añadidura, o supresión.

    SSH
    SSH (o Secure SHell) es un protocolo para crear conexiones
    seguras entre dos sistemas. Usando SSH, la máquina del
    cliente inicia una conexión con una máquina de
    servidor. SSH proporciona los siguientes tipos de
    protección:

    • Después de la conexión inicial, el
      cliente puede verificar que se está conectando al mismo
      servidor durante sesiones ulteriores.
    • El cliente puede transmitir su información de
      autentificación al servidor, como el nombre de usuario y
      la contraseña, en formato cifrado.
    • Todos los datos enviados y recibidos durante la
      conexión se transfieren por medio de encriptación
      fuerte, lo cual los hacen extremamente difícil de
      descifrar y leer.
    • El cliente tiene la posibilidad de usar X11
      aplicaciones lanzadas desde el indicador de comandos de la
      shell. Esta técnica proporciona una interfaz
      gráfica segura (llamada reenvío por
      X11).

    El servidor también obtiene beneficios por parte
    de SSH, especialmente si desempeña una cierta cantidad de
    servicios. Si usa el reenvío por puerto, los protocolos
    que en otros casos serían considerados inseguros (POP, por
    ejemplo) se pueden cifrar para garantizar comunicación
    segura con máquinas remotas. SSH hace relativamente
    sencilla la tarea de cifrar tipos diferentes de
    comunicación que normalmente se envía en modo
    inseguro a través de redes públicas.

    Uso de Apache como servidor Web
    Seguro (https)

    La combinación del servidor Apache World Wide Web (WWW o
    Web) con el módulo de seguridad mod_ssl y con las
    librerías y el kit de herramientas OpenSSL proporcionados
    por Red Hat Linux, es lo que
    se conoce como secure Web server o simplemente como servidor
    seguro.

    El servidor Web Apache está diseñado de
    forma modular; consiste en muchas porciones de código que
    hacen referencia a diferentes aspectos o funcionalidades del
    servidor Web. Esta modularidad es intencionada, con lo cual, cada
    desarrollador puede escribir su propia porción de
    código para cubrir una necesidad en particular. Su
    código, llamado módulo, puede ser integrado en el
    servidor Web

    Apache con relativa facilidad.
    El módulo mod_ssl es un módulo de seguridad para el
    Servidor Web Apache. El módulo mod_ssl usa las
    herramientas suministradas por el OpenSSL Project para
    añadir una característica muy importante al Apache,
    la posibilidad de encriptar las comunicaciones. A diferencia de
    las comunicaciones entre un navegador y un servidor web usando
    HTTP "normal", en la que se envía el texto íntegro,
    pudiendo ser interceptado y leído a lo largo del camino
    entre servidor y navegador.

    El OpenSSL Project incluye un kit de herramientas que
    implementa los protocolos SSL (Secure Sockets Layer) y TLS
    (Transport Layer Security), así como una librería
    de codificación de propósito general. El protocolo
    SSL se usa actualmente para la transmisión de datos segura
    sobre Internet; El protocolo TLS es un estándar de
    Internet para comunicaciones privadas (seguras) y fiables a
    través de

    Internet. Las herramientas OpenSSL son usadas por el
    módulo mod_ssl para aportar seguridad en las
    comunicaciones Web.

    Requerimientos Mínimos De
    Instalación

    • Procesador: Pentium-class
    • RAM: 32MB para modo texto; 128MB para modo
      gráfico
    • Disco Duro: 650MB de espacio
    • Monitor: SVGA (1024×768) para ambiente
      gráfico
    • CD –ROM: 12x o superior que soporte auto
      inicialización

    Requerimientos
    Recomendados

    • Procesador: Pentium-class 200 MHz o
      superior
    • RAM: 192MB para modo gráfico
    • Disco Duro: 2.5GB de espacio; 4.5GB para
      instalación completa
    • Monitor: SVGA (1028×1024) para ambiente
      gráfico
    • CD –ROM: 32x con auto
      inicialización

    3.
    Tecnologías de seguridad

    Firewalls
    ¿Qué es un firewall?
    "Un firewall es un sistema o grupo de sistemas que establece una
    política de control de acceso entre dos redes".
    Tienen las siguientes propiedades:

    • Todo el tráfico de adentro hacia afuera, y
      viceversa debe pasar a través de él.
    • Sólo el tráfico autorizado, definido
      por la política de seguridad es autorizado para pasar
      por él.
    • El sistema es realmente resistente a la
      penetración.

    Tráfico en Internet
    Cuando nos referimos a que todo el tráfico de adentro
    hacia afuera y viceversa, debe pasar por un firewall, esto es
    respecto al protocolo TCP/IP. Para controlar el tráfico de
    TCP/IP se debe tener una clara idea de cómo funciona el
    protocolo.

    Un Protocolo es una descripción formal de cómo
    serán intercambiados los mensajes y las reglas que deben
    seguir dos o más sistemas para transferirlos de tal forma
    que ambos puedan entenderse.

    TCP (Protocolo de transmisión de datos), divide
    los datos en partes, llamados paquetes, y le da a cada uno un
    número. Estos paquetes pueden representar texto,
    gráficas, sonido o
    vídeo; o cualquier elemento que la red pueda transmitir.
    La secuencia de números ayuda a asegurar que los paquetes
    puedan ser re ensamblados una vez recibidos. Entonces cada
    paquete consiste en contenido, o datos, y la información
    que el protocolo necesita para hacerlo funcionar, llamado
    protocolo encabezado.

    Software
    SPX
    Es la arquitectura de
    seguridad desarrollada por Digital E. C. y propuesta para su
    elección como estándar dentro de la iniciativa DCE
    del llamado "Grupo de Gibraltar". Usa claves asimétricas
    RSA certificadas según la norma X.509 combinadas con el
    uso de DES como algoritmo de cifrado con claves de sesión.
    Al igual que Kerberos dispone de un centro de
    autenticación ante el que se identifican los usuarios
    (LEAF: Login Enrollment Agent Facility). El otro componente
    básico es un Centro de Distribución de Certificados
    (CDC) que gestiona un repositorio con los certificados de las
    claves públicas de clientes y servidores.

    El proceso de autenticación se basa en el uso
    inicial de una clave privada RSA por parte del usuario que se
    autentica, esta clave se sustituye por una clave temporal llamada
    clave de delegación disminuyendo la exposición de
    la clave privada del usuario.
    El uso de una jerarquía de certificados de clave
    pública permite solucionar los problemas de escalabilidad
    que presenta Kerberos.

    IPSec
    Es una extensión del protocolo IP. Proporciona servicios
    criptográficos de seguridad basados en estándares
    definidos por el IETF como control de acceso, integridad,
    autenticación del origen de los datos, confidencialidad.
    Proporciona encriptación y autenticación a nivel de
    red. Es transparente al usuario ya que no se tienen que modificar
    los sistemas finales. Los paquetes tienen la misma apariencia que
    un paquete IP corriente. Combina distintas tecnologías:
    Diffie Hellman, encriptación clave pública, DES,
    funciones hash, certificados digitales, entre otros.

    Utiliza los Protocolos de seguridad:

    • AH (Authentication Header): Integridad y
      autenticación de origen (HMAC, MD5,
      SHA–1)
    • ESP (Encapsulating Security Payload):
      Confidencialidad (DES, 3DES, RC5, IDEA)
    • AH y ESP proporcionan control de acceso. Pueden ser
      aplicados solos o en combinación para proporcionar la
      seguridad deseada

    Dentro de Gestión
    de claves:

    • IKE (Internet Key Exchange): Establece la
      comunicación segura (Security Association y clave
      DH)

    Modos de funcionamiento

    • Modo transporte:
      es el host el que genera los paquetes. Solo se encriptan los
      datos, la cabecera intacta añade pocos bytes. Permite
      ver las direcciones de origen y de destino.
    • Modo túnel: uno de los extremos de la
      comunicación es un gateway. El paquete IP se encripta
      entero, para el sistema final el paquete es
      transparente

    Firewalls internos
    Alguien fuera de la empresa
    podría solicitar cierta información, pero no
    necesariamente necesita accesar a toda la información
    interna. En estas circunstancias, los firewalls juegan un
    papel
    importante forzando políticas de control de acceso entre
    redes confiables protegidas y redes que no son
    confiables.

    En una WAN que debe ofrecer conexión de cualquier
    persona a cualquiera, otras formas en el nivel de
    aplicación pueden ser implementadas para proteger datos
    importantes. Sin embargo, separar las redes por medio de
    firewalls reduce significativamente los riesgos del
    ataque de un hacker desde
    adentro, esto es acceso no autorizado por usuarios autorizados.
    Agregando encriptación a los servicios del firewall lo
    convierte en una conexión firewall a firewall muy segura.
    Esto siempre permite redes grandes interconectadas por medio de
    internet. Agregando autenticación se puede aumentar el
    nivel de seguridad. Por ejemplo un vendedor que necesite ver la
    base de datos del inventario,
    tendrá que comprobar que es él.

    Servidores proxy
    Un servidor proxy (algunas
    veces se hace referencia a él con el nombre de "gateway" –
    puerta de comunicación – o "forwarder" – agente de
    transporte -), es una aplicación que media en el
    tráfico que se produce entre una red protegida e Internet.
    Los proxies se utilizan a menudo, como sustitutos de routers
    controladores de tráfico, para prevenir el tráfico
    que pasa directamente entre las redes. Muchos proxies contienen
    logins auxiliares y soportan la autentificación de
    usuarios. Un proxy debe entender el protocolo de la
    aplicación que está siendo usada, aunque
    también pueden implementar protocolos específicos
    de seguridad (por ejemplo: un proxy FTP puede ser configurado
    para permitir FTP entrante y bloquear FTP saliente). Los
    servidores proxy, son aplicaciones específicas. Un
    conjunto muy conocido de servidores proxy son los TIS Internet
    Firewall Toolkit "FWTK", que incluyen proxies para Telnet,
    rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un
    sistema proxy genérico que puede ser compilado en una
    aplicación cliente para hacerla trabajar a través
    de un Firewall.

    Hardware
    Routers de Selección
    Muchos routers comerciales proporcionan la capacidad de
    seleccionar paquetes con base a criterios como el tipo de
    protocolo, los campos de dirección de origen y dirección de
    destino para un tipo particular de protocolo y los campos de
    control que son parte del protocolo. A esos routers se les llama
    routers de selección.
    Estos pueden proporcionar un mecanismo poderoso para controlar el
    tipo de tráfico de red que puede existir en cualquier
    segmento de una red. Al controlar ese tipo de tráfico, los
    routers de selección pueden controlar el tipo de servicios
    que pueden existir en un segmento de red. Por lo tanto, pueden
    restringirse servicios que pueden poner en peligro la seguridad
    de la red.

    Los routers de selección pueden discriminar entre
    el tráfico de red con base en el tipo de protocolo y en
    los valores de
    los campos del protocolo en el paquete. A la capacidad del
    router para
    discriminar entre paquetes y restringirlos en sus puertos con
    base en criterios específicos de protocolo se le denomina
    filtración de paquetes. Por esta razón, los routers
    de selección son llamados también routers de
    filtración de paquetes. Fabricantes de routers como Cisco,
    Wellfleet, 3COM, digital, Newbridge, ACC y muchos otros
    proporcionan routers que pueden programarse para desarrollar
    funciones de filtración de paquetes. La filtración
    de paquetes se hace para restringir el tráfico de red para
    los servicios que habrán de rechazarse.

    Routers como Firewalls
    El Router es un tipo especial de switch el cual
    realiza el trabajo de hacer las conexiones externas y convertir
    el protocolo IP a protocolos de WAN y LAN. Los paquetes de datos
    transmitidos hacia internet, desde un visualizador de una PC,
    pasarán a través de numerosos ruteadores a lo largo
    del camino, cada uno de los cuales toman la decisión de
    hacia donde dirigir el trabajo.

    Los ruteadores toman sus decisiones basándose en
    tablas de datos y reglas, por medio de filtros, así que,
    por ejemplo, sólo datos de una cierta dirección
    pueden pasar a través del ruteador, esto transforma un
    ruteador que puede filtrar paquetes en un dispositivo de control
    de acceso o firewall. Si el ruteador puede generar un registro de
    accesos esto lo convierte en un valioso dispositivo de
    seguridad.
    Si el servidor de internet solicita información, o bien la
    suministra hacia sistemas de bases de datos
    distribuidas, entonces esta conexión entre el servidor y
    la estación de trabajo debería ser
    protegida.

    Firewalls con
    Encriptación
    Algunos firewalls proveen servicios de seguridad adicionales.
    Como encriptación y desencriptación, ambas deben
    usar sistemas compatibles de encriptación. Existen varios
    fabricantes que ofrecen dichos sistemas. Encriptación de
    firewall a firewall es la forma que se usa en el Internet de hoy.
    Verificar la autenticidad del usuario así como el sistema
    que esté usando también es importante, y los
    firewalls pueden hacerlo, usando tarjetas inteligentes, fichas y otros
    métodos. Las firewalls, pueden incluso proteger otras
    redes exteriores. Una compañía puede aplicar las
    mismas restricciones de tráfico, mejorado con
    autenticación.

    4.
    Técnicas de protección

    Aplicación Gateway
    Para contar algunas de las debilidades asociadas con el ruteador
    de filtrado de paquetes, los desarrolladores han creado
    aplicaciones de software que adelantan y filtran conexiones para
    servicios tal como telnet y ftp. Las aplicaciones referidas son
    servidores proxy, también conocido como aplicación
    gateway. Las máquinas host corriendo los servidores proxy
    se conocen como firewalls de aplicación gateway.
    Trabajando junto, firewalls de aplicación gateway y el
    ruteador de filtrado de paquetes pueden potencialmente dar
    más altos niveles de seguridad y flexibilidad que una
    sola. Por ejemplo, considera un sitio que bloquea todas las
    conexiones de gateway telnet y ftp que usan un ruteador de
    filtrado de paquetes permite a los paquetes de telnet y ftp ir a
    un host solamente. Un usuario quien desea conectarse a
    través del sistema debe tener que conectar primero a la
    aplicación gateway, y entonces al host de destino. Los
    firewalls de aplicación gateway únicamente permiten
    esos servicios para cuales hay un proxy. En otras palabras, si un
    gateway de aplicación contiene proxy para ftp y telnet,
    entonces solo ftp y telnet puede permitirse en la subred
    protegida y todos los otros servicios son completamente
    bloqueados. Para algunos sitios, este grado de seguridad es
    importante, como garantiza que sólo los servicios
    considerados confiables se permiten mediante el firewall. Esto
    también previene que otros servicios intrusos estén
    siendo implementados a espaldas de los administradores del
    firewall.

    Las aplicaciones gateway ofrecen un número de
    ventajas generales sobre el modo default de permitir que la
    aplicación trafique directamente para hosts internos.
    Estas ventajas incluyen:

    • Ocultamiento de la información. Los nombres de
      sistemas internos no necesariamente necesitan ser conocidos por
      medio del DNS para los
      sistemas externos, desde la aplicación gateway puede ser
      el host el único cuyo nombre debe hacerse conocido
      afuera de los sistemas.
    • Robusta autenticación y registro. La gateway
      puede autentificar el tráfico de la aplicación
      antes que este llegue a los hosts internos. El tránsito
      puede entonces ser registrado más efectivamente que con
      el registro estándar del host.
    • Costo – eficacia. La
      tercera parte de software o hardware para la
      autenticación o registro necesario puede ser ubicada
      sólo en la aplicación gateway.
    • Menos complejas las reglas de filtrado. Las reglas en
      el ruteador de filtrado de paquetes serán menos
      complejas que aquellas que serían si el ruteador
      necesitara el filtrar el tráfico de la aplicación
      y dirigir éste a un número de sistemas
      específicos. El ruteador necesita solo permitir
      tráfico destinado para la aplicación gateway y
      rechaza el resto.

    El
    Monitoreo De Paquetes

    Otro punto de vista que gana aceptación es la
    inspección de paquetes que no sólo los filtra, esto
    es, considerar su contenido tanto como sus direcciones. Los
    firewalls de este tipo emplean una inspección de
    módulos, aplicable a todos los protocolos que comprenden
    los datos de los paquetes destinados desde el nivel network (IP)
    hasta el nivel de aplicación. Esta estrategia puede
    proveer seguridad sensitiva al contexto para complejas
    aplicaciones y puede ser más efectiva que la
    tecnología que sólo tiene acceso a los datos en
    ciertos niveles. Por ejemplo las aplicaciones gateway sólo
    acceden a los datos de nivel aplicación, los ruteadores
    tienen acceso solamente a niveles bajos, el enfoque de la
    inspección de paquetes integra toda la información
    reunida de todos los niveles en un simple punto de
    inspección.

    Algunos firewall de inspección también
    toman en cuenta el estado de
    la conexión, por ejemplo, la legítima entrada de
    paquetes puede ser probada con la petición de salida para
    ese paquete y se le permite entrar. Por el contrario, un paquete
    de entrada se enmascara con su respuesta a una inexistente
    petición de salida, este será bloqueado. Esto lleva
    el enfoque de tan llamado estado (stateful) más
    allá del filtrado de paquetes. La inspección de
    módulos usa previas comunicaciones para derivar el estado
    actual de la comunicación que se está realizando.
    El filtrado inteligente puede efectivamente combinarse con la
    habilidad del rastreo de la sesión de red. Para usar la
    información acerca del inicio y fin de la sesión en
    la decisión de filtrado. Esto es conocido como filtrando
    sesión (sesión filtering). Los filtros usan reglas
    inteligentes, así aumenta el proceso de filtrado y
    controlando el rastreo de sesiones de la network que controla los
    paquetes individuales.

    Firewalls Híbridos
    En la práctica, muchos de los firewalls comerciales de hoy
    usan una combinación de estas técnicas. Por
    ejemplo, un producto que se originó como un firewall
    filtrador de paquetes puede haber sido mejorado con filtrado
    inteligente a nivel de aplicación. Las aplicaciones proxy
    en áreas establecidas como ftp pueden agregar una
    inspección de filtrado en base a su esquema.

    Nota: Agregando los métodos de seguridad no
    significa necesariamente un aumento en la seguridad. Los
    mecanismos adicionales pueden aumentar, disminuir, o dejar
    establecida la postura de seguridad del firewall.

    5.
    Consideraciones técnicas

    Particiones Del Disco
    Duro

    Definición de la Partición de Discos

    • Partición Única
    • Múltiples Particiones en un sólo
      disco
    • Múltiples Discos con una partición por
      disco
    • Múltiples Discos con múltiples
      particiones por disco

    ¿Cuántas particiones?
    Llegados a este punto en el proceso de preparación de la
    instalación de Red Hat Linux, tendrá que considerar
    el número y el tamaño de las particiones que
    serán utilizadas por el nuevo sistema operativo. Le
    aconsejamos crear, a menos que no tenga una razón para
    hacerlo de forma distinta, las particiones siguientes:

    • Partición swap: Las particiones swap son
      utilizadas para soportar la memoria
      virtual. En otras palabras, los datos son escritos en la
      swap cuando no hay bastante memoria disponible para contener
      los datos que su ordenador está procesando. Si su
      ordenador tiene 16 Megas de RAM o incluso menos, tiene que
      crear una partición swap. También si tiene
      más memoria, se recomienda la utilización de una
      partición swap. El tamaño mínimo para una
      partición de swap tendría que ser igual a la
      cantidad de memoria RAM presente en su ordenador, o por lo
      menos 16MB (entre las dos se aconseja elegir la cantidad
      mayor).
    • Una /boot partición: La partición que
      se crea bajo /boot contiene el kernel del sistema operativo
      (que permite el arranque de su sistema con Red Hat Linux),
      junto con algunos ficheros utilizados durante el proceso de
      arranque. Debido a las limitaciones de la mayoría de
      BIOSes de PCs, es una buena idea crear una partición
      pequeña para estos ficheros. Esta partición no
      debería superar los 32 MB.
    • Partición root (/): La partición root
      es donde se encuentra / (el directorio de root). En esta
      configuración de las particiones, todos los ficheros
      (excepto los que residen en /boot) están en la
      partición de root. Por ello sería una buena
      elección hacer lo más grande posible el
      tamaño de su partición de root. Una
      partición root de 1.2 GB es equivalente a la que es
      instalada por una instalación de clase estación
      de trabajo (con poquísimo espacio libre), mientras que
      una partición root de 2.4 GB le permitirá
      instalar todos los paquetes. Es obvio que cuanto más
      espacio pueda darle a la partición root
      mejor.

    Arreglo de Discos
    Duros

    RAID
    Los discos duros son menos eficaces que el rendimiento general
    del sistema, provocando una descompensación entre el
    tratamiento de la información del sistema (muy
    rápido) y la lectura
    – grabación de datos en el disco duro (muy lenta).
    Para ello se invento un sistema para guardar información
    en varios discos duros a la vez por lo que el acceso se hace mas
    rápido ya que la carga se distribuía entre los
    diferentes discos duros, a esto se le llamo RAID Redundant Arrays
    of Inexpensive Disks (Arreglo redundante de discos
    baratos).

    Los arreglos RAID se pueden lograr en dos formas: por
    hardware y por software. Los arreglos basados en software ocupan
    memoria y consumen ciclos del CPU. Como
    compiten con las demás aplicaciones de la computadora,
    degradan el desempeño total del host. En arreglos por
    hardware el CPU se puede encargar de las aplicaciones mientras el
    procesador del
    arreglo se encarga de sus propias funciones al mismo tiempo.
    Además no ocupa memoria ni depende del sistema
    operativo.

    Niveles de RAID

    RAID-0

    RAID nivel 0 no es redundante, o sea que no es
    tolerante a fallas y en realidad no va de acuerdo con las
    especificaciones "RAID". En este nivel, los datos
    están repartidos en los diferentes discos, lo cual
    nos da una alta transferencia de datos. Como no se graba
    ningún tipo de información redundante, el
    desempeño es muy bueno, sin embargo una falla en
    cualquier disco significa la perdida total de la
    información. Este nivel es comúnmente
    referido como "Striping".

    RAID-1

    RAID nivel 1 nos provee de información
    redundante ya que graba todos los datos en dos o más
    discos. El desempeño del nivel 1 tiende a ser
    más rápido en lectura y más lento en
    escritura comparado con la de un sólo
    disco. Sin embargo, si un disco falla no se pierde la
    información. Este es un buen sistema redundante
    básico, ya que sólo requiere de dos discos
    duros; sin embargo, un disco es usado para duplicar los
    datos, lo cual significa que se pierde un 50% de capacidad
    y que el costo por MB es muy alto. Por ejemplo dos discos
    de 30GB cada uno, daría un total de 30GB de espacio
    utilizable en vez de 60GB si no se hace este arreglo. A
    este nivel se le conoce como "Mirroring"
    (Espejo).

    RAID-2

    RAID nivel 2 usa corrección de errores
    según el código Hamming, y está
    pensado para discos que no tienen corrección de
    errores integrada. Todos los discos duros SCSI tienen
    corrección de errores integrada, de manera que no
    hay mucho uso para este nivel si usas discos
    SCSI.

    RAID-3

    RAID nivel 3 graba los datos a nivel de bytes
    entre varios discos, grabando la paridad en un sólo
    disco. Es similar al arreglo de nivel 4 y requiere de un
    hardware especial.

    RAID-4

    RAID nivel 4 graba los datos a nivel de blocks
    entre varios discos, grabando la paridad en uno
    sólo. La paridad permite recuperar los datos en caso
    de que algún disco falle. El desempeño de
    nivel 4 es muy bueno para lecturas. La escritura es
    más lenta pues requiere la grabación
    adicional de la paridad. El costo por MB no es tan caro ya
    que sólo un disco graba la paridad.

    RAID-5

    RAID nivel 5 es similar al nivel 4, pero
    distribuye la información de paridad entre todos los
    discos. Esto hace que la grabación de datos
    pequeños en sistemas multiproceso sea más
    rápida, ya que el disco de paridad ya no es el
    cuello de botella. La lectura de información es un
    poco más lenta que en el nivel 4 ya que la paridad
    debe ser leída de varios discos. El costo por MB es
    igual al del nivel 4.

    Soluciones híbridas o alternativas
    Hay otros tipos de arreglos que son híbridos o variaciones
    de RAIDs estándar. Muchos de estos RAIDs han sido
    definidos por marcas como Compaq o IBM.
    RAID-10 Este arreglo es un híbrido entre RAID-0 "Striping"
    y RAID-1 "Mirroring". Es pues un mirror de dos RAID-0, o un
    RAID-1 de dos RAID-0. De esta forma tienes un backup completo del
    RAID-0 y garantizas la integridad de datos.
    RAID-7 Definido por Compaq e IBM como "Hotspare", es un arreglo
    RAID-5 al que se le agrega un disco extra que sólo entra a
    funcionar automáticamente cuando uno de los discos del
    arreglo falla.

    Protección Física Del
    Servidor
    En esta parte no se pretende dar especificaciones sobre el
    diseño
    de edificios resistentes a terremotos, ni
    complicadas alarmas de seguridad electrónica, ya que cada
    sitio es diferente y por tanto lo son también sus
    necesidades de seguridad; de esta forma, no se pueden dar
    recomendaciones específicas sino pautas generales a tener
    en cuenta, que pueden variar desde el simple sentido común
    (como es el cerrar con llave el cuarto de servidores cuando
    salimos de él) hasta medidas mucho más complejas,
    como la prevención de radiaciones electromagnéticas
    de los equipos o la utilización de degaussers. En entornos
    habituales suele ser suficiente con un poco de sentido
    común para conseguir una mínima seguridad
    física. El
    conocimiento y análisis de estas pautas es responsabilidad de todo Administrador de sistemas
    informáticos por lo que han sido incluidas para ser
    leídas detenidamente (Anexo 2).

    La "seguridad física" de los sistemas son todas
    aquellas medidas y mecanismos de protección y
    detección que sirven para proteger cualquier recurso del
    sistema, desde un simple teclado hasta
    un disco de backup con toda la información que hay en el
    sistema, pasando por la propia CPU de la máquina. Se
    dividen en varias categorías:

    • Protección del hardware
      • Acceso físico
        • Prevención
        • Detección
      • Desastres naturales
        • Terremotos
        • Tormentas
          eléctricas
        • Inundaciones y
          humedad
      • Desastres del entorno
        • Electricidad
        • Ruido
          eléctrico
        • Incendios y
          humo
        • Temperaturas
          extremas

    • Protección de los datos
      • Eavesdropping
      • Backups
      • Otros elementos
    • Radiaciones
      electromagnéticas

    6.
    Conclusiones

    Todos los Sistemas Operativos analizados en el presente
    trabajo representan opciones viables para la
    implementación de seguridad en los servidores. Red Hat
    Linux es un Sistema Operativo que debe considerarse seriamente ya
    que presenta numerosas ventajas, además de lo
    económico de su adquisición, las herramientas de
    seguridad que incluye hacen factible su configuración como
    servidor Web.

    Los Requerimientos de Hardware para la
    Instalación de Red Hat son otra ventaja en la
    utilización de este Software ya que demanda pocos
    recursos para un funcionamiento óptimo. Por tanto los
    costos de
    adquisición de Hardware disminuyen considerablemente en
    relación a otro Sistema Operativo. Aunque debe verificarse
    la Lista de Compatibilidad de Hardware previamente a su
    adquisición Anexo 3.

    Las técnicas de protección estudiadas son
    soluciones eficientes a los problemas de seguridad, ya que son
    una combinación de Hardware y Software capaces de
    detectar, prevenir y atenuar cualquier situación de
    peligro para el sistema. La decisión sobre su
    implantación al sistema está en dependencia de las
    necesidades de la empresa o del grado de seguridad que se desee
    adquirir. "Agregando métodos de seguridad no
    significa necesariamente un aumento en la seguridad".

    Para un desempeño óptimo del servidor
    deben tomarse muy en cuenta las consideraciones técnicas
    enunciadas ya que proporcionan un incremento en el rendimiento
    del sistema según las características de
    éste. Debe darse mucha importancia a la "seguridad
    física" del sistema ya que si no se analizan los factores
    físicos que puedan ocurrir todos los esfuerzos por
    asegurar un sistema con la tecnología más eficiente
    no van a servir de nada; se debe pensar más allá de
    las maneras elementales de sobrepasar los métodos de
    seguridad, no se debe poner énfasis en una sola manera en
    que el sistema puede ser atacado.

    Recomendaciones
    La seguridad de un sistema no sólo está en
    dependencia de la calidad del
    software o del hardware que se utiliza, es parte fundamental
    seguir ciertas recomendaciones que garantizarán la
    verdadera seguridad de los sistemas.

    El desarrollo de políticas de seguridad
    Cualquier política de seguridad debería estar
    construida con estas características como
    pautas:

    • Sencilla y no compleja, mientras más sencilla
      y clara la política de seguridad,
      más fácil será que las pautas sean
      respetadas y el sistema permanezca seguro.
    • Fácil de mantener y no difícil, como
      todo, los métodos y herramientas de
      seguridad pueden cambiar dependiendo de necesidades y
      retos nuevos. La política de seguridad debería
      construirse con un enfoque hacia la minimización del
      impacto que los cambios tendrán en su sistema y en
      sus usuarios.
    • Promover la libertad a
      través de la confianza en la integridad del sistema en
      vez de una sofocante utilización de sistema, evitar
      métodos y herramientas de seguridad que limiten
      innecesariamente la utilidad del sistema. Los
      métodos y herramientas de seguridad de calidad son
      casi siempre una ventaja segura y ofrecen más
      elecciones a los usuarios cada vez que sea
      posible.
    • El reconocimiento de la falibilidad en vez de una
      falsa sensación de seguridad, una de las maneras
      más exitosas de atraer un problema de seguridad es a
      través de la creencia que el sistema no
      podría tener un problema como ese. En vez de dormirse en
      los laureles, hay que estar siempre alerta.
    • El enfoque debería estar en los problemas
      reales en vez de en problemas teóricos. Emplear tiempo y
      esfuerzo ocupándose de los problemas reales más
      grandes y luego proseguir con los menores.
    • La inmediatez en vez de la desidia, resolver los
      problemas como vayan surgiendo y determinar que equivalen
      a un riesgo. No creer que es posible ocuparse del problema
      más tarde. En realidad no hay mejor momento que
      ahora mismo, especialmente cuando se trata de una amenaza a
      la incolumidad del sistema.

    La importancia de contraseñas seguras
    Una buena contraseña debe tener las siguientes
    cualidades:

    • Tener por lo menos ocho caracteres
    • Estar hecha de caracteres, números y
      símbolos
    • Ser única

    Se deben evitar contraseñas que:

    • sean palabras que se encuentran en el diccionario
    • tengan que ver con sus datos personales
    • no pueda ser escrita rápidamente

    7.
    Bibliografía

    • Gibbs Mark. Redes Para Todos. Editorial Prentice
      Hall. Primera Edición. Año 1997. México.
    • Harvey. M. Deitel. Introducción a los Sistemas Operativos.
      Editorial Addison-Wessley. Segunda Edición. Año
      1993. E.U.A.
    • Official Red Hat Linux 8.0 Installation
      Guide
    • Sheldon Tom. Novell NetWare Manual De Referencia.
      Editorial McGraw-Hill. Primera Edición. Año 1992.
      México
    • Siyan Karanhit. Windows NT Server Professional
      Reference. Editorial New Riders. Año 1995.
      E.U.A.
    • Tackett Jack, Gunter David & Brown Lance.
      Edición Especial Linux. Editorial Prentice Hall. Primera
      Edición. Año 1996. México.
    • Tanenbaum Andrew. S. Redes de Computadoras.
      Editorial Prentice Hall. Tercera Edición. Año
      1997. México.
    • Tanenbaum Andrew. S. Sistemas Operativos Modernos.
      Editorial Prentice Hall. Primera Edición. Año
      1995. México.
    • Travis Dewire Dawn. Client/Server Computing.
      Editorial Mc Graw-Hill. Primera Edición. Año
      1993. E.U.A.
    • FRANCO, J.P., SARASA L., M.A. Criptografía
      Digital. Prensas Universitarias de Zaragoza, 1º
      Edición, 1998.
    • SCHNEIER, B. Criptograma. Número 20. 15 de
      Diciembre de 1999

    8. Anexos

    Anexo 1. GLOSARIO
    ALGORITMO
    Conjunto de reglas claramente definidas para la resolución
    de una determinada clase de problemas. La escritura de un
    programa es sencillamente la elaboración de un algoritmo
    adecuado para la resolución del problema planteado. Un
    programa de software es la transcripción, en lenguaje de
    programación, de un algoritmo.
    ALMACENAR
    Incluir los datos en una memoria, externa o interna a la
    computadora, adecuada para conservarlos. Sinónimos de este
    término son escribir, guardar, grabar y salvar.
    ANSI
    Siglas de American National Standard Institute (instituto
    nacional americano de estándares). Se trata de una
    organización americana que se encarga de la
    formulación de normas en diversos sectores
    técnicos. En Windows es el juego de
    códigos empleado para definir los caracteres que se
    introducen en los documentos.
    ANTIVIRUS
    Programa que busca y eventualmente elimina los virus
    informáticos que pueden haber infectado un disco
    rígido o disquete.
    APLICACIÓN
    Es el problema o conjunto de problemas para los que se
    diseña una solución mediante computadora. Ejemplos
    de aplicaciones son los procesadores de
    texto (procesamiento o tratamiento de la palabra), las bases
    de datos (organización y procesamiento de
    datos) y las hojas de
    cálculo (organización y procesamiento de
    números). En Windows se emplea este término
    indistintamente con el de programa.
    ARCHIVO
    Es un conjunto de datos relacionados de manera lógica,
    como puede ser el conjunto de los nombres, direcciones y
    teléfonos de los empleados de una empresa
    determinada.
    ARRANCAR
    Poner en marcha una computadora o un programa.
    AT&T
    American Telephone and Telegraph Corporation. (Corporación
    Americana de Telefonía y Telegrafía.)
    AUI
    Asociación de usuarios de Internet.
    BACKUP
    Copia de seguridad. Se hace para prevenir una posible
    pérdida de información.
    BINARIO
    Es un sistema de numeración en el que los dígitos
    se representan utilizando únicamente dos cifras, 0 y 1.
    Como adjetivo
    indica dos opciones alternativas.
    BIOS
    Siglas de Basic Input/Output System (sistema básico de
    entrada/salida). Es un programa cargado en ROM por el fabricante
    que gestiona la configuración básica del sistema.
    Entre otras cosas, se emplea para controlar los procesos de
    entrada y salida entre una computadora y sus
    periféricos.
    BOOT
    (butear): cargar el sistema operativo de una computadora.
    CABECERA
    Encabezamiento de un impreso o documento. También se
    aplica a la información preliminar incluida al comienzo de
    un bloque de datos relativa al bloque siguiente. En
    comunicaciones es un bloque de caracteres que indica las
    características del mensaje
    CD-ROM
    Siglas de Compact Disc Read Only Memory (memoria de sólo
    lectura en disco compacto). Es un soporte de almacenamiento
    masivo de datos basado en los discos compactos de audio, que
    registran la información en el disco mediante láser. No
    permite la modificación de los datos registrados.
    CG
    Computer Graphics. Gráficos de Computador.
    CGI
    Common Gateway Interface. Interfaz de Acceso Común.
    Programas usados para hacer llamadas a rutinas o controlar otros
    programas o bases de datos desde una página Web.
    También pueden generar directamente HTML.
    CÓDIGO
    Es un conjunto de símbolos y reglas que sirven para
    representar datos de forma que puedan ser reconocidos por una
    computadora.
    CÓDIGO HAMMING
    Es un sistema de detección y corrección
    automática de errores en información
    electrónica. De lo que se trata, explicado
    básicamente, es de asociar una serie de bits de
    validación o paridad a los bits de datos, de tal forma que
    una alteración en cualquiera de esos bits de datos pueda
    ser detectada y corregida adecuadamente.
    COMANDO
    Término que define una instrucción, mandato u orden
    dado a la computadora mediante el cual el usuario le informa de
    las operaciones o tareas que quiere realizar con su ayuda.
    CONFIGURACIÓN
    Es un conjunto de opciones que se seleccionan antes de empezar a
    trabajar con un dispositivo y que sirven para especificar
    precisamente su modo de funcionamiento, adaptándolo a las
    especiales condiciones de su hardware.
    CONFIGURAR:
    Desde el punto de vista de software, se refiere a establecer,
    desde un programa especial, las características de un
    dispositivo periférico; desde el punto de vista de
    hardware, consiste en personalizar físicamente dichas
    características.
    CPU
    Siglas de Central Processing Unit (unidad central de proceso).
    También llamado procesador, es el núcleo y
    componente principal de una computadora y permite controlar y
    procesar todas las operaciones realizadas. Parte de la
    computadora que contiene el procesador central. También se
    aplica este término al mismo procesador.
    CRACKER
    Individuo con amplios conocimientos informáticos que
    desprotege/piratea programas o produce daños en sistemas o
    redes.
    CRC
    Son las siglas de Cyclic Redundancy Control (control de
    redundancia cíclica). Es un método de comprobar si
    una transmisión de datos se ha producido o no
    correctamente
    DATO
    Es un término genérico empleado para designar
    números, letras u otros caracteres existentes en una
    computadora o en su memoria y sobre los cuales actúan los
    programas.
    DATOS
    Cualquier información que pueda ser usada para cálculo,
    comparación u otro procesamiento o que requiera ser
    recordada para un uso futuro. Algunas veces, se usa para
    referirse a registros u otra
    información involucrada en un programa a diferencia del
    programa mismo.
    DIRECTORIO RAÍZ
    Es el directorio de nivel superior de un disco que se crea en el
    momento de dar formato al disco. A partir de este directorio se
    pueden crear otros directorios y subdirectorios, así como
    ficheros. También llamado directorio principal.
    DISCO
    Placa recubierta de material magnético que permite
    almacenar información. Se le llama así por su
    forma.
    DISCO DURO
    También llamado disco rígido o disco fijo. Es el
    soporte de almacenamiento de información más
    utilizado en las computadoras,
    por su gran capacidad. Normalmente suele ser interno a la
    computadora. Es un dispositivo muy delicado formado por una serie
    de discos apilados uno encima del otro y acomodados en un
    compartimiento estanco en los que se graban los datos.
    DISCO ÓPTICO
    Es un tipo de soporte de información que no emplea
    técnicas de grabación magnética. En
    él la lectura y escritura de datos se realiza mediante
    rayos de luz láser.
    Tienen una capacidad de almacenamiento muy superior a la de los
    discos flexibles, pero son bastante más caros y mucho
    menos fiables.
    DOS
    Siglas de Disk Operating System (sistema operativo de disco). Es
    uno de los tipos de sistema operativo más utilizado en
    computadoras. Se emplea generalmente para el control de las
    unidades de disco.
    FICHERO
    Un fichero es la unidad mínima de almacenamiento de
    información. Los archivos son un tipo de ficheros, es
    decir, son ficheros que pueden albergar otros ficheros. En
    general, archivo y fichero se consideran sinónimos, a
    excepción del entorno Windows, donde a los ficheros se les
    denomina archivos, es decir, todo documento en Windows se
    almacena en un archivo. Sin embargo, en este entorno se denomina
    Fichero a una utilidad incluida que es una sencilla base de datos
    de dos campos.
    FTP
    File Transfer Protocol. Protocolo de Transferencia de Archivos.
    Uno de los potocolos de tranferencia de ficheros mas usado en
    Internet.
    HACKER
    Experto en informática capaz de de entrar en sistemas cuyo
    acceso es restringido. No necesariamente con malas
    intenciones.
    HARDWARE
    Es el término que indica todas las partes físicas,
    eléctricas y mecánicas de una computadora.
    Significa literalmente "partes duras" y se emplea en
    contraposición al término software, que significa
    "partes blandas", es decir, los programas de una computadora. A
    los componentes que es posible ver y tocar se les llama en jerga
    computacional "hardware", palabra inglesa cuyo significado es
    máquina o "cosa dura".
    HEADER
    Cabecera. Primera parte de un paquete de datos que contiene
    información sobre las características de este.
    HERRAMIENTA
    Término aplicado a un programa que desarrolla servicios
    específicos.
    HIPERTEXTO
    Programa de generación de documentos con un sistema de
    acceso que puede jerarquizar el mismo usuario que crea el
    documento. Los documentos creados con un programa de este tipo
    han sido habitualmente orientados a su utilización en
    multimedia, debido a su asombrosa versatilidad.
    HOST
    Anfitrión. Computador conectado a Internet. Computador en
    general.
    HTML
    Hyper Text Markup Language. Lenguaje de Marcas de Hipertexto.
    Lenguaje para elaborar páginas Web actualmente se
    encuentra en su versión 3. Fue desarrollado en el CERN
    (Conseil Europeen pour la Recherche Nucleaire.Consejo Europeo
    para la Investigación Nuclear).
    HTTPS
    URL creada por Netscape Communications Corporation para designar
    documentos que llegan desde un servidor WWWseguro. Esta seguridad
    es dada por el protocolo SSL (Secure Sockets Layer) basado en la
    tecnología de encriptación y autentificación
    desarrollada por la RSA Data Security Inc.
    IETF
    Internet Engineering Task Force (Fuerza de
    Trabajo de Ingeniería de Internet.)
    IMPLEMENTACIÓN
    Es una forma de llevar a la práctica un determinado
    concepto de diseño bajo unas ciertas circunstancias.
    INFORMÁTICA
    Contracción de INFORmación autoMÁTICA. Es un
    campo de conocimientos que abarca todos los aspectos relacionados
    con computadoras y con el tratamiento automático de la
    información.
    INTERNET
    Conjunto de redes y ruteadores que utilizan el protocolo TCP/IP y
    que funciona como una sola gran red.  Es la red de redes.
    Nacida como experimento del ministerio de defensa americano.
    INTRANET
    Se llaman así a las redes tipo Internet pero que son de
    uso interno, por ejemplo, la red corporativa de una empresa que
    utilizara protocolo TCP/IP y servicios similares como WWW. IP
    Internet Protocol. Protocolo de Internet. Bajo este se agrupan
    los protocolos de internet. Tambien se refiere a las direcciones
    de red Internet.
    IP
    Protocolo Internet. Es un protocolo de bajo nivel para redes que
    describe la manera cómo el usuario puede comunicarse
    con
    los miembros Internet. Es la misma IP de TCP/IP
    ISO
    International Standard Organization. Organización
    Internacional de Estándares.
    ISP
    Internet Service Provider. Proveedor de Servicios Internet.
    JAVA
    Lenguaje de programación orientado a objeto parecido al
    C++. Usado en WWW para la telecarga y telejecucion de
    programas
    en el computador cliente. Desarrollado por Sun microsystems, con
    el propósito de mejorar las capacidades de las
    páginas de Web. Los programas en JAVA son llamados
    Applets.
    JAVASCRIPT
    Formalmente llamado LiveScript, este lenguaje fue desarrollado
    por Netscape. Concebido después del JAVA; su principal
    diferencia radica en que el programa se halla embebido en un
    archivo HTML, en lugar de ser un ejecutable que se carga cuando
    Ud.carga una página de Web.
    LAN
    Local Area Network. Red de Area Local. Una red de area local es
    un sistema de comunicación de alta velocidad de
    transmisión. Estos sistemas están diseñados
    para permitir la comunicación y transmisión de
    datos entre estaciones de trabajo inteligentes, comunmente
    conocidas como Computadoras Personales. Todas las PCs, conectadas
    a una red local, pueden enviar y recibir información. Como
    su mismo nombre lo indica, una red local es un sistema que cubre
    distancias cortas. Una red local se limita a una planta o un
    edificio.
    LINK
    Enlace. Unión. Hiperenlace. Se llama así a las
    partes de una página WEB que nos llevan a otra parte de la
    misma o nos enlaza con otro servidor.
    LOGIN
    Entrada de identificación, conexión. Igual que
    logon.
    MAIL
    El correo electrónico es el servicio más
    básico, antiguo, y más utilizado dentro de
    Internet. La mensajería electrónica es el medio
    más eficaz y más rápido de
    comunicación, permite intercambiar además de
    mensajes, programas, audio, video e imágenes.
    MAINFRAME
    Término inglés
    empleado para designar computadoras de grandes dimensiones.
    MAN
    Metropolitan Area Network. Red de Area Metropolitana.
    MEMORIA
    Se designa de este modo a un área de almacenamiento de una
    computadora que contiene datos e instrucciones.
    MEMORIA
    Aquella parte de un sistema computador, a menudo un sistema de
    almacenamiento a base de núcleos magnéticos, que
    almacena el programa y los datos en proceso y que proporciona un
    acceso rápido y directo a ella. Algunas veces, se le
    denomina "memoria principal" para distinguirla de los sistemas
    auxiliares de almacenamiento.
    MEMORIA CACHÉ
    Es un tipo de memoria especial de alta velocidad que se utiliza
    como memoria intermedia o buffer entre la memoria
    central y la CPU. Su objetivo
    principal es reducir los tiempos de acceso.
    MICROPROCESADOR
    Es un componente electrónico de una computadora,
    también llamado circuito integrado o chip, que contiene
    las partes fundamentales de una computadora y los circuitos
    necesarios para que la computadora lleve a cabo sus
    cálculos.
    MÓDULO
    Término referido a componentes de un programa o sistema
    que se pueden identificar por separado y a los que es posible
    dirigirse también separadamente. Es equivalente al
    término segmento.
    MULTIMEDIA
    Tratamiento informático avanzado de las tecnologías
    más recientes de sonido e imagen que
    engloba e integra funciones como la animación
    gráfica, la manipulación y digitalización de
    imágenes y sonido.
    MULTIPROCESO
    Sistema en el que se utilizan varios procesadores funcionando
    simultáneamente y compartiendo tanto las memorias
    centrales como las auxiliares y los periféricos.
    OSI
    Open Systems Interconnection. Interconexión de Sistemas
    Abiertos. Modelo de referencia de interconexión de
    sistemas abiertos propuesto por la ISO. Divide las tareas de la
    red en siete niveles.
    PACKET
    Paquete Cantidad mínima de datos que se transmite en una
    red o entre dispositivos. Tiene una estructura y
    longitud distinta según el protocolo al que pertenezca.
    También llamado TRAMA.
    PAP
    Password Authentication Protocol. Protocolo de Autentificacion
    por Password. Protocolo que permite al sistema verificar la
    identidad del otro punto de la conexión mediante
    password.
    PARTICIÓN DE DISCO
    Es una zona de un disco duro formada por áreas de memoria
    consecutivas; y separada de forma lógica de otras
    áreas que también lo forman.
    POSIX
    Estándar universal que define cómo debe ser un
    sistema operativo de "tipo UNIX" y que especifica una serie de
    normas para operación de las aplicaciones que se ejecutan
    en éste sistema operativo.
    PROCESADOR
    La parte central de un sistema computador que proporciona y
    controla las funciones aritméticas, lógicas y de
    transferencias requeridas para comparar, mover, calcular y, de
    cualquier manera, manipular y procesar datos.
    RAM
    Random Access Memory.
    Memoria de Acceso Aleatorio. Varios son los tipos de
    memoria que se usa en las computadoras. La más
    conocida son las RAM. Se les llama así porque es posible
    dirigirse directamente a la célula
    donde se encuentra almacenada la información. Su principal
    característica es que la información se almacena en
    ellas provisoriamente, pudiendo ser grabadas una y otra vez, al
    igual que un casette de sonido. La memoria RAM se puede comparar
    a un escritorio, donde se coloca los papeles con que se va a
    trabajar. Mientras más grande el escritorio más
    papeles soporta simultáneamente para ser procesados.
    ROOT
    Raíz. En sistemas de ficheros se refiere al directorio
    raíz. En Unix se refiere al usuario principal.
    ROUTER
    Dispositivo conectado a dos o más redes que se encarga
    únicamente de tareas de comunicaciones
    SHELL
    Es un procedimiento mediante el cual se puede acceder
    temporalmente al sistema operativo desde el interior de un
    programa.
    En Windows es una ventana de aplicación especial que
    permite lanzar otras aplicaciones.
    SNIFFER
    Literalmente "Husmeador". Pequeño programa que busca una
    cadena numérica o de caracteres en los paquetes que
    atraviesan un nodo con objeto de conseguir alguna
    información. Normalmente su uso es ilegal.
    SOFTWARE
    Esta palabra inglesa que significa "cosa suave", tiene dos
    significados:
    (a) uno amplio, de "procedimientos lógicos, para la
    cooperación armónica de un grupo de personas y
    máquinas, persiguiendo un objetivo común";
    (b) el otro restringido, de "programas de computadora", o
    conjunto de instrucciones, que se pone en la memoria de una
    computadora para dirigir sus operaciones.
    Es un conjunto de instrucciones que cargadas en el hardware de
    una computadora hacen que este pueda funcionar y realizar tareas.
    Puede traducirse en castellano como
    "partes blandas" y es el término contrario a HARDWARE,
    "partes duras".
    SSL
    Secure Sockets Layer. Capa de Socket Segura. Protocolo que ofrece
    funciones de seguridad a nivel de la capa de transporte para
    TCP.
    TCP/IP
    Transmission Control Protocol / Internet Protocol. El
    término describe dos mecanismos de software empleados para
    posibilitar la múltiple comunicación entre
    computadoras de manera libre de error. TCP/IP es el lenguaje
    común de la Internet, el que permite que diferentes
    tipos de
    computadoras utilicen la red y comuniquen unas con otras,
    indiferentemente de la plataforma o sistema operativo que
    usen.
    TELNET
    Protocolo y aplicaciones que permiten conexión como
    terminal remota a una computadora anfitriona, en una
    localización remota
    URL
    Universal Resource Locator. Nombre genérico de la
    dirección en Internet, Indica al usuario dónde
    localizar un archivo HTML determinado, en la Web.
    UTILIDAD
    Programa que desempeña una tarea específica de uso
    general. Forma parte del software del sistema.
    WAN
    Siglas de Wide Area Network (red de área global). Es una
    red de computadoras heterogénea sin limitación de
    distancia en la que sus componentes pueden estar conectados de
    muy diversos modos, no solamente mediante cables.
    WEB
    Site. Sitio en el World Wide Web. Conjunto de páginas Web
    que forman una unidad de presentación, como una revista o
    libro. Un
    sitio está formado por una colección de
    páginas Web
    WWW (World Wide Web)
    Servidor de información, desarrollado en el CERN (Laboratorio
    Europeo de Física de Partículas), buscando
    construir un sistema distribuido hipermedia e hipertexto.
    También llamado WEB y W3. Existen gran cantidad de
    clientes WWW para diferentes plataformas.

    Anexo 2. SEGURIDAD FÍSICA
    DE LOS SISTEMAS

    Proporcionado por RedIRIS
    ©1994-2002
    1. Protección Del Hardware

    El hardware es frecuentemente el elemento más caro de todo
    sistema informático.
    Son muchas las amenazas al hardware de una instalación
    informática; aquí se van a presentar algunas de
    ellas, sus posibles efectos y algunas soluciones, si no para
    evitar los problemas sí al menos para minimizar sus
    efectos.

    1.1 Acceso Físico
    La posibilidad de acceder físicamente a una
    máquina, a cualquier sistema operativo hace
    inútiles casi todas las medidas de seguridad que hayamos
    aplicado sobre ella: hemos de pensar que si un atacante puede
    llegar con total libertad hasta una estación puede por
    ejemplo abrir la CPU y llevarse un disco duro; sin necesidad de
    privilegios en el sistema, sin importar la robustez de nuestros
    cortafuegos.

    1.1.1 Prevención
    ¿Cómo prevenir un acceso físico no
    autorizado a un determinado punto? Hay soluciones para todos los
    gustos, y también de todos los precios: desde
    analizadores de retina hasta videocámaras, pasando por
    tarjetas inteligentes o control de las llaves que abren
    determinada puerta. Todos los modelos de
    autenticación de usuarios son aplicables, aparte de para
    controlar el acceso lógico a los sistemas, para controlar
    el acceso físico; de todos ellos, quizás los
    más adecuados a la seguridad física sean los
    biométricos y los basados en algo poseído.
    Pero con normas tan elementales como cerrar las puertas con llave
    al salir de un laboratorio o un despacho o bloquear las tomas de
    red que no se suelan utilizar y que estén situadas en
    lugares apartados son en ocasiones más que suficientes
    para prevenir ataques. También el cableado de red es un
    elemento importante para la seguridad, por lo que es recomendable
    apartarlo del acceso directo.

    Un estricto control de acceso similar a instalaciones
    militares mediante tarjetas inteligentes, analizadores de retina
    o verificadores de la geometría
    de la mano; suenan a ciencia
    ficción y son demasiado caros para la mayor parte de
    entornos (recordemos que si el sistema de protección es
    más caro que lo que se quiere proteger tenemos un grave
    error en nuestros planes de seguridad), otros se pueden aplicar,
    y se aplican, en muchas organizaciones.
    Concretamente, el uso de lectores de tarjetas para poder acceder
    a ciertas dependencias es algo muy a la orden del día; no
    sería tan descabellado instalar pequeños lectores
    de códigos de barras conectados a una máquina Linux
    en las puertas de muchas áreas, especialmente en las que
    se maneja información más o menos sensible. Estos
    lectores podrían leer una tarjeta que todos los miembros
    de la
    organización poseerían, conectar con la base de
    datos de usuarios, y autorizar o denegar la apertura de la
    puerta. Se trataría de un sistema sencillo de implementar,
    no muy caro, y que cubre de sobra las necesidades de seguridad en
    la mayoría de entornos: incluso se podría abaratar
    si en lugar de utilizar un mecanismo para abrir y cerrar puertas
    el sistema se limitara a informar al administrador del
    área o a un guardia de seguridad mediante un mensaje en
    pantalla o una luz encendida: de esta forma los únicos
    gastos
    serían los correspondientes a los lectores de
    códigos de barras, ya que como equipo con la base de datos
    se puede utilizar una máquina vieja o un servidor de
    propósito general.

    1.1.2 Detección
    Cuando la prevención es difícil por cualquier
    motivo (técnico, económico, humano…) es deseable
    que un potencial ataque sea detectado cuanto antes, para
    minimizar así sus efectos. Aunque en la detección
    de problemas, generalmente accesos físicos no autorizados,
    intervienen medios técnicos, como cámaras de
    vigilancia de circuito cerrado o alarmas, en entornos más
    normales el esfuerzo en detectar estas amenazas se ha de centrar
    en las personas que utilizan los sistemas y en las que sin
    utilizarlos están relacionadas de cierta forma con ellos;
    un simple ¿puedo ayudarte en algo? suele ser más
    efectivo que un guardia solicitando una identificación
    formal. Esto es especialmente recomendable en lugares de acceso
    restringido, como laboratorios de investigación o centros
    de cálculo, donde los usuarios habituales suelen conocerse
    entre ellos y es fácil detectar personas ajenas al
    entorno.

    1.2 Desastres Naturales
    Un problema que no suele ser tan habitual, pero que en caso de
    producirse puede acarrear gravísimas consecuencias, es el
    derivado de los desastres
    naturales y su (falta de) prevención.

    1.2.1 Terremotos
    De cualquier forma, aunque algunas medidas contra terremotos son
    excesivamente caras para la mayor parte de organizaciones, no
    cuesta nada tomar ciertas medidas de prevención; por
    ejemplo, es muy recomendable no situar nunca equipos delicados en
    superficies muy elevadas (aunque tampoco es bueno situarlos a ras
    del suelo, como
    veremos al hablar de inundaciones); puede incluso ser conveniente
    (y barato) utilizar fijaciones para los elementos más
    críticos, como las CPUs, los monitores o
    los routers. De la misma forma. Para evitar males mayores ante un
    terremoto, también es muy importante no situar equipos
    cerca de las ventanas: si se produce un temblor pueden caer por
    ellas, y en ese caso la pérdida de datos o hardware pierde
    importancia frente a los posibles accidentes –
    incluso mortales – que puede causar una pieza voluminosa a
    personas a las que les cae encima. Además, situando los
    equipos alejados de las ventanas estamos dificultando las
    acciones de un
    potencial ladrón que se descuelgue por la fachada hasta
    las ventanas, ya que si el equipo estuviera cerca no
    tendría más que alargar el brazo para
    llevárselo. Las vibraciones, incluso las más
    imperceptibles, pueden dañar seriamente cualquier elemento
    electrónico de nuestras máquinas, especialmente si
    se trata de vibraciones continuas: los primeros efectos pueden
    ser problemas con los cabezales de los discos duros o con los
    circuitos
    integrados que se dañan en las placas. Para hacer
    frente a pequeñas vibraciones podemos utilizar plataformas
    de goma donde situar a los equipos, de forma que la plataforma
    absorba la mayor parte de los movimientos; incluso sin llegar a
    esto, una regla común es evitar que entren en contacto
    equipos que poseen una electrónica delicada con hardware
    más mecánico, como las impresoras: estos
    dispositivos no paran de generar vibraciones cuando están
    en funcionamiento, por lo que situar una pequeña impresora
    encima de la CPU de una máquina es una idea
    nefasta.

    1.2.2 Tormentas
    Eléctricas

    Las tormentas con aparato eléctrico, especialmente
    frecuentes en verano (cuando mucho personal se
    encuentra de vacaciones, lo que las hace más peligrosas)
    generan subidas súbitas de tensión infinitamente
    superiores a las que pueda generar un problema en la red
    eléctrica, como veremos a continuación. Si cae un
    rayo sobre la estructura metálica del edificio donde
    están situados nuestros equipos es casi seguro que podemos
    ir pensando en comprar otros nuevos; sin llegar a ser tan
    dramáticos, la caída de un rayo en un lugar cercano
    puede inducir un campo
    magnético lo suficientemente intenso como para
    destruir hardware incluso protegido contra voltajes elevados. Sin
    embargo, las tormentas poseen un lado positivo: son predecibles
    con más o menos exactitud, lo que permite a un
    administrador parar sus máquinas y desconectarlas de la
    línea eléctrica.
    Otra medida de protección contra las tormentas
    eléctricas hace referencia a la ubicación de los
    medios magnéticos, especialmente las copias de seguridad;
    se han de almacenar lo más alejados posible de la
    estructura metálica de los edificios. Un rayo en el propio
    edificio, o en un lugar cercano, puede inducir un campo
    electromagnético lo suficientemente grande como para
    borrar de golpe todas nuestras cintas o discos, lo que
    añade a los problemas por daños en el hardware la
    pérdida de toda la información de nuestros
    sistemas.

    1.2.3 Inundaciones Y
    Humedad

    Cierto grado de humedad es necesario para un correcto
    funcionamiento de nuestras máquinas: en ambientes
    extremadamente secos el nivel de electricidad
    estática es elevado, lo que, como veremos
    más tarde, puede transformar un pequeño contacto
    entre una persona y un circuito, o entre diferentes componentes
    de una máquina, en un daño irreparable al hardware
    y a la información. No obstante, niveles de humedad
    elevados son perjudiciales para los equipos porque pueden
    producir condensación en los circuitos integrados, lo que
    origina cortocircuitos que evidentemente tienen efectos negativos
    sobre cualquier elemento electrónico de una
    máquina.

    Controlar el nivel de humedad en los entornos habituales
    es algo innecesario, ya que por norma nadie ubica estaciones en
    los lugares más húmedos o que presenten situaciones
    extremas; no obstante, ciertos equipos son especialmente
    sensibles a la humedad, por lo que es conveniente consultar los
    manuales de
    todos aquellos de los que tengamos dudas. Quizás sea
    necesario utilizar alarmas que se activan al detectar condiciones
    de muy poca o demasiada humedad, especialmente en sistemas de
    alta disponibilidad o de altas prestaciones, donde un fallo en un
    componente puede ser crucial.

    Cuando ya no se habla de una humedad más o menos
    elevada sino de completas inundaciones, los problemas generados
    son mucho mayores. Casi cualquier medio (una máquina, una
    cinta, un router…) que entre en contacto con el agua queda
    automáticamente inutilizado, bien por el propio
    líquido o bien por los cortocircuitos que genera en los
    sistemas electrónicos.

    Evidentemente, contra las inundaciones las medidas
    más efectivas son las de prevención (frente a las
    de detección); podemos utilizar detectores de agua en los
    suelos o
    falsos suelos de las salas de operaciones, y apagar
    automáticamente los sistemas en caso de que se activen.
    Tras apagar los sistemas podemos tener también instalado
    un sistema automático que corte la corriente: algo muy
    común es intentar sacar los equipos – previamente apagados
    o no – de una sala que se está empezando a inundar; esto,
    que a primera vista parece lo lógico, es el mayor error
    que se puede cometer si no hemos desconectado completamente el
    sistema eléctrico, ya que la mezcla de corriente y agua
    puede causar incluso la muerte a
    quien intente salvar equipos. Por muy caro que sea el hardware o
    por muy valiosa que sea la información a proteger, nunca
    serán magnitudes comparables a lo que supone la
    pérdida de vidas humanas. Otro error común
    relacionado con los detectores de agua es situar a los mismos a
    un nivel superior que a los propios equipos a salvaguardar
    (<incluso en el techo, junto a los detectores de humo!);
    evidentemente, cuando en estos casos el agua llega al detector
    poco se puede hacer ya por las máquinas o la
    información que contienen.

    Medidas de protección menos sofisticadas pueden
    ser la instalación de un falso suelo por encima del suelo
    real, o simplemente tener la precaución de situar a los
    equipos con una cierta elevación respecto al suelo, pero
    sin llegar a situarlos muy altos por los problemas que ya hemos
    comentado al hablar de terremotos y vibraciones.

    1.3 Desastres Del
    Entorno

    1.3.1 Electricidad
    Quizás los problemas derivados del entorno de trabajo
    más frecuentes son los relacionados con el sistema
    eléctrico que
    alimenta nuestros equipos; cortocircuitos, picos de
    tensión, cortes de flujo…a diario amenazan la integridad
    tanto de nuestro hardware como de los datos que almacena o que
    circulan por él.
    El problema menos común en las instalaciones modernas son
    las subidas de tensión, conocidas como `picos' porque
    generalmente duran muy poco: durante unas fracciones de segundo
    el voltaje que recibe un equipo sube hasta sobrepasar el
    límite aceptable que dicho equipo soporta. Lo normal es
    que estos picos apenas afecten al hardware o a los datos gracias
    a que en la mayoría de equipos hay instalados fusibles,
    elementos que se funden ante una subida de tensión y dejan
    de conducir la corriente, provocando que la máquina
    permanezca apagada. Disponga o no de fusibles el equipo a
    proteger (lo normal es que sí los tenga) una medida
    efectiva y barata es utilizar tomas de tierra para
    asegurar aún más la integridad; estos mecanismos
    evitan los problemas de sobretensión desviando el exceso
    de corriente hacia el suelo de una sala o edificio, o simplemente
    hacia cualquier lugar con voltaje nulo. Una toma de tierra
    sencilla puede consistir en un buen conductor conectado a los
    chasis de los equipos a proteger y a una barra maciza,
    también conductora, que se introduce lo más posible
    en el suelo; el coste de la instalación es pequeño,
    especialmente si lo comparamos con las pérdidas que
    supondría un incendio que afecte a todos o a una parte de
    nuestros equipos.
    Incluso teniendo un sistema protegido con los métodos
    anteriores, si la subida de tensión dura demasiado, o si
    es demasiado rápida, podemos sufrir daños en los
    equipos; existen acondicionadores de tensión comerciales
    que protegen de los picos hasta en los casos más extremos,
    y que también se utilizan como filtros para ruido
    eléctrico. Aunque en la mayoría de situaciones no
    es necesario su uso, si nuestra organización tiene
    problemas por el voltaje excesivo quizás sea conveniente
    instalar alguno de estos aparatos.

    Un problema que los estabilizadores de tensión o
    las tomas de tierra no pueden solucionar es justamente el
    contrario a las subidas de tensión: las bajadas,
    situaciones en las que la corriente desciende por debajo del
    voltaje necesario para un correcto funcionamiento del sistema,
    pero sin llegar a ser lo suficientemente bajo para que la
    máquina se apague. En estas situaciones la máquina
    se va a comportar de forma extraña e incorrecta, por
    ejemplo no aceptando algunas instrucciones, no completando
    escrituras en disco o memoria, etc. Es una situación
    similar a la de una bombilla que pierde intensidad
    momentáneamente por falta de corriente, pero trasladada a
    un sistema que en ese pequeño intervalo ejecuta miles o
    millones de instrucciones y transferencias de datos.

    Otro problema, muchísimo más habituales
    que los anteriores en redes eléctricas modernas, son los
    cortes en el fluido eléctrico que llega a nuestros
    equipos. Aunque un simple corte de corriente no suele afectar al
    hardware, lo más peligroso (y que sucede en muchas
    ocasiones) son las idas y venidas rápidas de la corriente;
    en esta situación, aparte de perder datos, nuestras
    máquinas pueden sufrir daños.

    La forma más efectiva de proteger nuestros
    equipos contra estos problemas de la corriente
    eléctrica es utilizar una SAI (Servicio de Alimentación
    Ininterrumpido) conectada al elemento que queremos proteger.
    Estos dispositivos mantienen un flujo de corriente correcto y
    estable de corriente, protegiendo así los equipos de
    subidas, cortes y bajadas de tensión; tienen capacidad
    para seguir alimentando las máquinas incluso en caso de
    que no reciban electricidad (evidentemente no las alimentan de
    forma indefinida, sino durante un cierto tiempo – el necesario
    para detener el sistema de forma ordenada). Por tanto, en caso de
    fallo de la corriente el SAI informará a la máquina
    Unix, que a través de un programa como /sbin/powerd recibe
    la información y decide cuanto tiempo de corriente le
    queda para poder pararse correctamente; si de nuevo vuelve el
    flujo la SAI vuelve a informar de este evento y el sistema
    desprograma su parada. Así de simple: por poco más
    de diez mil pesetas podemos obtener una SAI pequeña,
    más que suficiente para muchos servidores, que nos va a
    librar de la mayoría de los problemas relacionados con la
    red eléctrica.
    Un último problema contra el que ni siquiera las SAIs nos
    protegen es la corriente estática, un fenómeno
    extraño del que la mayoría de gente piensa que no
    afecta a los equipos, sólo a otras personas. Nada
    más lejos de la realidad: simplemente tocar con la mano la
    parte metálica de teclado o un conductor de una placa
    puede destruir un equipo completamente. Se trata de corriente de
    muy poca intensidad pero un altísimo voltaje, por lo que
    aunque la persona no sufra ningún daño –
    sólo un pequeño calambrazo – el ordenador sufre una
    descarga que puede ser suficiente para destrozar todos sus
    componentes, desde el disco duro hasta la memoria RAM. Contra el
    problema de la corriente estática existen muchas y muy
    baratas soluciones: spray antiestático, ionizadores
    antiestáticos…No obstante en la mayoría de
    situaciones sólo hace falta un poco de sentido
    común del usuario para evitar accidentes: no tocar
    directamente ninguna parte metálica, protegerse si debe
    hacer operaciones con el hardware, no mantener el entorno
    excesivamente seco…

    1.3.2 Ruido
    Eléctrico

    Dentro del apartado anterior podríamos haber hablado del
    ruido eléctrico como un problema más relacionado
    con la electricidad; sin embargo este problema no es una
    incidencia directa de la corriente en nuestros equipos, sino una
    incidencia relacionada con la corriente de otras máquinas
    que pueden afectar al funcionamiento de la nuestra. El ruido
    eléctrico suele ser generado por motores o por
    maquinaria pesada, pero también puede serlo por otros
    ordenadores o por multitud de aparatos y se transmite a
    través del espacio o de líneas eléctricas
    cercanas a nuestra instalación.

    Para prevenir los problemas que el ruido
    eléctrico puede causar en nuestros equipos lo más
    barato es intentar no situar hardware cercano a la maquinaria que
    puede causar dicho ruido; si no tenemos más remedio que
    hacerlo, podemos instalar filtros en las líneas de
    alimentación que llegan hasta los ordenadores.
    También es recomendable mantener alejados de los equipos
    dispositivos emisores de ondas, como
    teléfonos móviles, transmisores de radio o
    walkie-talkies; estos elementos puede incluso dañar
    permanentemente a nuestro hardware si tienen la suficiente
    potencia de
    transmisión, o influir directamente en elementos que
    pueden dañarlo como detectores de incendios o
    cierto tipo de alarmas.

    1.3.3 Incendios Y Humo
    Una causa casi siempre relacionada con la electricidad son los
    incendios, y con ellos el humo; aunque la causa de un fuego puede
    ser un desastre natural, lo habitual en muchos entornos es que el
    mayor peligro de incendio provenga de problemas eléctricos
    por la sobrecarga de la red debido al gran número de
    aparatos conectados al tendido. Un simple cortocircuito o un
    equipo que se calienta demasiado pueden convertirse en la causa
    directa de un incendio en el edificio, o al menos en la planta,
    donde se encuentran invertidos millones de pesetas en
    equipamiento.

    Un método efectivo contra los incendios son los
    extintores situados en el techo, que se activan
    automáticamente al detectar humo o calor. Algunos
    de ellos, los más antiguos, utilizaban agua para apagar
    las llamas, lo que provocaba que el hardware no llegara a sufrir
    los efectos del fuego si los extintores se activaban
    correctamente, pero que quedara destrozado por el agua expulsada.
    Visto este problema, a mitad de los ochenta se comenzaron a
    utilizar extintores de halón; este compuesto no conduce
    electricidad ni deja residuos, por lo que resulta ideal para no
    dañar los equipos. Sin embargo, también el
    halón presentaba problemas: por un lado, resulta
    excesivamente contaminante para la atmósfera, y por otro
    puede asfixiar a las personas a la vez que acaba con el fuego.
    Por eso se han sustituido los extintores de halón (aunque
    se siguen utilizando mucho hoy en día) por extintores de
    dióxido de carbono, menos
    contaminante y menos perjudicial. De cualquier forma, al igual
    que el halón el dióxido de carbono no es
    precisamente sano para los humanos, por lo que antes de activar
    el extintor es conveniente que todo el mundo abandone la sala; si
    se trata de sistemas de activación automática
    suelen avisar antes de expulsar su compuesto mediante un
    pitido.

    Aparte del fuego y el calor generado, en un incendio
    existe un tercer elemento perjudicial para los equipos: el humo,
    un potente abrasivo que ataca especialmente los discos
    magnéticos y ópticos. Quizás ante un
    incendio el daño provocado por el humo sea insignificante
    en comparación con el causado por el fuego y el calor,
    pero hemos de recordar que puede existir humo sin necesidad de
    que haya un fuego: por ejemplo, en salas de operaciones donde se
    fuma. Aunque muchos no apliquemos esta regla y fumemos demasiado
    – siempre es demasiado – delante de nuestros equipos,
    sería conveniente no permitir esto; aparte de la suciedad
    generada que se deposita en todas las partes de un ordenador,
    desde el teclado hasta el monitor,
    generalmente todos tenemos el cenicero cerca de los equipos, por
    lo que el humo afecta directamente a todos los componentes;
    incluso al ser algo más habitual que un incendio, se puede
    considerar más perjudicial – para los equipos y las
    personas – el humo del tabaco que el de
    un fuego.
    En muchos manuales de seguridad se insta a los usuarios,
    administradores, o al personal en general a intentar controlar el
    fuego y salvar el equipamiento; esto tiene, como casi todo, sus
    pros y sus contras. Evidentemente, algo lógico cuando
    estamos ante un incendio de pequeñas dimensiones es
    intentar utilizar un extintor para apagarlo, de forma que lo que
    podría haber sido una catástrofe sea un simple
    susto o un pequeño accidente. Sin embargo, cuando las
    dimensiones de las llamas son considerables lo último que
    debemos hacer es intentar controlar el fuego nosotros mismos,
    arriesgando vidas para salvar hardware; como sucedía en el
    caso de inundaciones, no importa el precio de nuestros equipos o
    el valor de
    nuestra información: nunca serán tan importantes
    como una vida humana. Lo más recomendable en estos casos
    es evacuar el lugar del incendio y dejar su control en manos de
    personal especializado.

    1.3.4 Temperaturas Extremas
    No hace falta ser un genio para comprender que las temperaturas
    extremas, ya sea un calor excesivo o un frío intenso,
    perjudican gravemente a todos los equipos. Es recomendable que
    los equipos operen entre 10 y 32 grados Celsius, aunque
    pequeñas variaciones en este rango tampoco han de influir
    en la mayoría de sistemas.

    Para controlar la temperatura
    ambiente en el entorno de operaciones nada mejor que un
    acondicionador de aire, aparato que
    también influirá positivamente en el rendimiento de
    los usuarios (las personas también tenemos rangos de
    temperaturas dentro de los cuales trabajamos más
    cómodamente). Otra condición básica para el
    correcto funcionamiento de cualquier equipo que éste se
    encuentre correctamente ventilado, sin elementos que obstruyan
    los ventiladores de la CPU. La organización física
    del computador también es decisiva para evitar
    sobrecalentamientos: si los discos duros, elementos que pueden
    alcanzar temperaturas considerables, se encuentran excesivamente
    cerca de la memoria RAM, es muy probable que los módulos
    acaben quemándose.

    2.
    Protección De Los Datos

    La seguridad física también implica una
    protección a la información de nuestro sistema,
    tanto a la que está almacenada en él como a la que
    se transmite entre diferentes equipos. Aunque los apartados
    comentados en la anterior sección son aplicables a la
    protección física de los datos (ya que no olvidemos
    que si protegemos el hardware también protegemos la
    información que se almacena o se transmite por él),
    hay ciertos aspectos a tener en cuenta a la hora de
    diseñar una política de seguridad física que
    afectan principalmente, aparte de a los elementos físicos,
    a los datos de nuestra organización; existen ataques cuyo
    objetivo no es destruir el medio físico de nuestro
    sistema, sino simplemente conseguir la información
    almacenada en dicho medio.

    2.1 Eavesdropping
    La interceptación o eavesdropping, también conocida
    por passive wiretapping es un proceso mediante el cual un agente
    capta información – en claro o cifrada – que no le iba
    dirigida; esta captación puede realizarse por
    muchísimos medios (por ejemplo, capturando las radiaciones
    electromagnéticas, como veremos luego). Aunque es en
    principio un ataque completamente pasivo, lo más peligroso
    del eavesdropping es que es muy difícil de detectar
    mientras que se produce, de forma que un atacante puede capturar
    información privilegiada y claves para acceder a
    más información sin que nadie se de cuenta hasta
    que dicho atacante utiliza la información capturada,
    convirtiendo el ataque en activo.

    Un medio de interceptación bastante habitual es
    el sniffing, consistente en capturar tramas que circulan por la
    red mediante un programa ejecutándose en una
    máquina conectada a ella o bien mediante un dispositivo
    que se engancha directamente el cableado. Estos dispositivos,
    denominados sniffers de alta impedancia, se conectan en paralelo
    con el cable de forma que la impedancia total del cable y el
    aparato es similar a la del cable solo, lo que hace
    difícil su detección. Contra estos ataques existen
    diversas soluciones; la más barata a nivel físico
    es no permitir la existencia de segmentos de red de fácil
    acceso, lugares idóneos para que un atacante conecte uno
    de estos aparatos y capture todo nuestro tráfico. No
    obstante esto resulta difícil en redes ya instaladas,
    donde no podemos modificar su arquitectura; en estos existe una
    solución generalmente gratuita pero que no tiene mucho que
    ver con el nivel físico: el uso de aplicaciones de cifrado
    para realizar las comunicaciones o el almacenamiento de la
    información (hablaremos más adelante de algunas de
    ellas). Tampoco debemos descuidar las tomas de red libres, donde
    un intruso con un portátil puede conectarse para capturar
    tráfico; es recomendable analizar regularmente nuestra red
    para verificar que todas las máquinas activas están
    autorizadas.

    Como soluciones igualmente efectivas contra la
    interceptación a nivel físico podemos citar el uso
    de dispositivos de cifra (no simples programas, sino hardware),
    generalmente chips que implementan algoritmos
    como DES; esta solución es muy poco utilizada ya que es
    muchísimo más cara que utilizar implementaciones
    software de tales algoritmos y en muchas ocasiones la
    única diferencia entre los programas y los dispositivos de
    cifra es la velocidad. También se puede utilizar, como
    solución más cara, el cableado en vacío para
    evitar la interceptación de datos que viajan por la red:
    la idea es situar los cables en tubos donde artificialmente se
    crea el vacío o se inyecta aire a presión;
    si un atacante intenta `pinchar' el cable para interceptar los
    datos, rompe el vacío o el nivel de presión y el
    ataque es detectado inmediatamente. Como decimos, esta
    solución es enormemente cara y solamente se aplica en
    redes de perímetro reducido para entornos de alta
    seguridad.

    Antes de finalizar este punto debemos recordar un
    peligro que muchas veces se ignora: el de la
    interceptación de datos emitidos en forma de sonido o
    simple ruido en nuestro entorno de operaciones. Imaginemos una
    situación en la que los responsables de la seguridad de
    nuestra organización se reúnen para discutir nuevos
    mecanismos de protección; todo lo que en esa
    reunión se diga puede ser capturado por multitud de
    métodos, algunos de los cuales son tan simples que ni
    siquiera se contemplan en los planes de seguridad. Por ejemplo,
    una simple tarjeta de sonido instalada en un PC situado en la
    sala de reuniones puede transmitir a un atacante todo lo que se
    diga en esa reunión; mucho más simple y sencillo:
    un teléfono mal colgado – intencionada o
    inintencionadamente – también puede transmitir
    información muy útil para un potencial enemigo.
    Para evitar estos problemas existen numerosos métodos: por
    ejemplo, en el caso de los teléfonos fijos suele ser
    suficiente un poco de atención y sentido común, ya que
    basta con comprobar que están bien colgados…o incluso
    desconectados de la red telefónica. El caso de los
    móviles suele ser algo más complejo de controlar,
    ya que su pequeño tamaño permite camuflarlos
    fácilmente; no obstante, podemos instalar en la sala de
    reuniones un sistema de aislamiento para bloquear el uso de estos
    teléfonos: se trata de sistemas que ya se utilizan en
    ciertos entornos (por ejemplo en conciertos musicales) para
    evitar las molestias de un móvil sonando, y que trabajan
    bloqueando cualquier transmisión en los rangos de
    frecuencias en los que trabajan los diferentes operadores
    telefónicos. Otra medida preventiva (ya no para voz, sino
    para prevenir la fuga de datos vía el ruido ambiente) muy
    útil – y no muy cara – puede ser sustituir todos los
    teléfonos fijos de disco por teléfonos de teclado,
    ya que el ruido de un disco al girar puede permitir a un pirata
    deducir el número de teléfono marcado desde ese
    aparato.

    2.2 Backups
    En este apartado no vamos a hablar de las normas para establecer
    una política de realización de copias de seguridad
    correcta, ni tampoco de los mecanismos necesarios para
    implementarla o las precauciones que hay que tomar para que todo
    funcione correctamente; el tema que vamos a tratar en este
    apartado es la protección física de la
    información almacenada en backups, esto es, de la
    protección de los diferentes medios donde residen nuestras
    copias de seguridad. Hemos de tener siempre presente que si las
    copias contienen toda nuestra información tenemos que
    protegerlas igual que protegemos nuestros sistemas.
    Un error muy habitual es almacenar los dispositivos de backup en
    lugares muy cercanos a la sala de operaciones, cuando no en la
    misma sala; esto, que en principio puede parecer correcto (y
    cómodo si necesitamos restaurar unos archivos) puede
    convertirse en un problema: imaginemos simplemente que se produce
    un incendio de grandes dimensiones y todo el edificio queda
    reducido a cenizas. En este caso extremo tendremos que unir al
    problema de perder todos nuestros equipos – que seguramente
    cubrirá el seguro, por lo que no se puede considerar una
    catástrofe – el perder también todos nuestros
    datos, tanto los almacenados en los discos como los guardados en
    backups (esto evidentemente no hay seguro que lo cubra). Como
    podemos ver, resulta recomendable guardar las copias de seguridad
    en una zona alejada de la sala de operaciones, aunque en este
    caso descentralicemos la seguridad y tengamos que proteger el
    lugar donde almacenamos los backups igual que protegemos la
    propia sala o los equipos situados en ella, algo que en ocasiones
    puede resultar caro.
    También suele ser común etiquetar las cintas donde
    hacemos copias de seguridad con abundante información
    sobre su contenido (sistemas de ficheros almacenados, día
    y hora de la realización, sistema al que corresponde…);
    esto tiene una parte positiva y una negativa. Por un lado,
    recuperar un fichero es rápido: sólo tenemos que ir
    leyendo las etiquetas hasta encontrar la cinta adecuada. Sin
    embargo, si nos paramos a pensar, igual que para un administrador
    es fácil encontrar el backup deseado también lo es
    para un intruso que consiga acceso a las cintas, por lo que si el
    acceso a las mismas no está bien restringido un atacante
    lo tiene fácil para sustraer una cinta con toda nuestra
    información; no necesita saltarse nuestro cortafuegos,
    conseguir una clave del sistema o chantajear a un operador:
    nosotros mismos le estamos poniendo en bandeja toda nuestros
    datos. No obstante, ahora nos debemos plantear la duda habitual:
    si no etiqueto las copias de seguridad, ¿cómo puedo
    elegir la que debo restaurar en un momento dado? Evidentemente,
    se necesita cierta información en cada cinta para poder
    clasificarlas, pero esa información nunca debe ser algo
    que le facilite la tarea a un atacante; por ejemplo, se puede
    diseñar cierta codificación que sólo
    conozcan las personas responsables de las copias de seguridad, de
    forma que cada cinta vaya convenientemente etiquetada, pero sin
    conocer el código sea difícil imaginar su
    contenido. Aunque en un caso extremo el atacante puede llevarse
    todos nuestros backups para analizarlos uno a uno, siempre es
    más difícil disimular una carretilla llena de
    cintas de 8mm que una pequeña unidad guardada en un
    bolsillo. Y si aún pensamos que alguien puede sustraer
    todas las copias, simplemente tenemos que realizar backups
    cifrados…y controlar más el acceso al lugar donde las
    guardamos.

    2.3 Otros Elementos
    En muchas ocasiones los responsables de seguridad de los sistemas
    tienen muy presente que la información a proteger se
    encuentra en los equipos, en las copias de seguridad o circulando
    por la red (y por lo tanto toman medidas para salvaguardar estos
    medios), pero olvidan que esa información también
    puede encontrarse en lugares menos obvios, como listados de
    impresora, facturas telefónicas o la propia documentación de una
    máquina.

    Imaginemos una situación muy típica en los
    sistemas Unix: un usuario, desde su terminal o el equipo de su
    despacho, imprime en el servidor un documento de cien
    páginas, documento que ya de entrada ningún
    operador comprueba – y quizás no pueda comprobar, ya que
    se puede comprometer la privacidad del usuario – pero que puede
    contener, disimuladamente, una copia de nuestro fichero de
    contraseñas. Cuando la impresión finaliza, el
    administrador lleva el documento fuera de la sala de operaciones,
    pone como portada una hoja con los datos del usuario en la
    máquina (login perfectamente visible, nombre del fichero,
    hora en que se lanzó…) y lo deja, junto a los documentos
    que otros usuarios han imprimido – y con los que se ha seguido la
    misma política – en una estantería perdida en un
    pasillo, lugar al que cualquier persona puede acceder con total
    libertad y llevarse la impresión, leerla o simplemente
    curiosear las portadas de todos los documentos. Así, de
    repente, a nadie se le escapan bastante problemas de seguridad
    derivados de esta política: sin entrar en lo que un
    usuario pueda imprimir – que repetimos, quizás no sea
    legal, o al menos ético, curiosear -, cualquiera puede
    robar una copia de un proyecto o un examen, obtener
    información sobre nuestros sistemas de ficheros y las
    horas a las que los usuarios suelen trabajar, o simplemente
    descubrir, simplemente pasando por delante de la
    estantería, diez o veinte nombres válidos de
    usuario en nuestras máquinas; todas estas informaciones
    pueden ser de gran utilidad para un atacante, que por si fuera
    poco no tiene que hacer nada para obtenerlas, simplemente darse
    un paseo por el lugar donde depositamos las impresiones. Esto,
    que a muchos les puede parecer una exageración, no es ni
    más ni menos la política que se sigue en muchas
    organizaciones hoy en día, e incluso en centros de proceso
    de datos, donde a priori ha de haber una mayor
    concienciación por la seguridad informática.
    Evidentemente, hay que tomar medidas contra estos problemas. En
    primer lugar, las impresoras, plotters, faxes, teletipos, o
    cualquier dispositivo por el que pueda salir información
    de nuestro sistema ha de estar situado en un lugar de acceso
    restringido; también es conveniente que sea de acceso
    restringido el lugar donde los usuarios recogen los documentos
    que lanzan a estos dispositivos. Sería conveniente que un
    usuario que recoge una copia se acredite como alguien autorizado
    a hacerlo, aunque quizás esto puede ser imposible, o al
    menos muy difícil, en grandes sistemas (imaginemos que en
    una máquina con cinco mil usuarios obligamos a todo
    aquél que va a recoger una impresión a
    identificarse y comprobamos que la identificación es
    correcta antes de darle su documento…con toda seguridad
    necesitaríamos una persona encargada exclusivamente de
    este trabajo), siempre es conveniente demostrar cierto grado de
    interés
    por el destino de lo que sale por nuestra impresora: sin llegar a
    realizar un control férreo, si un atacante sabe que el
    acceso a los documentos está mínimamente controlado
    se lo pensará dos veces antes de intentar conseguir algo
    que otro usuario ha imprimido.
    Elementos que también pueden ser aprovechados por un
    atacante para comprometer nuestra seguridad son todos aquellos
    que revelen información de nuestros sistemas o del
    personal que los utiliza, como ciertos manuales (proporcionan
    versiones de los sistemas operativos utilizados), facturas de
    teléfono del centro (pueden indicar los números de
    nuestros módems) o agendas de operadores (revelan los
    teléfonos de varios usuarios, algo muy provechoso para
    alguien que intente efectuar ingeniería social contra
    ellos). Aunque es conveniente no destruir ni dejar a la vista de
    todo el mundo esta información, si queremos eliminarla no
    podemos limitarnos a arrojar documentos a la papelera: en el
    capítulo siguiente hablaremos del basureo, algo que aunque
    parezca sacado de películas de espías realmente se
    utiliza contra todo tipo de entornos. Es recomendable utilizar
    una trituradora de papel, dispositivo que dificulta
    muchísimo la reconstrucción y lectura de un
    documento destruido; por poco dinero podemos conseguir uno de
    estos aparatos, que suele ser suficiente para acabar con
    cantidades moderadas de papel.

    3.
    Radiaciones Electromagnéticas

    Este es un tema que ha cobrado especial importancia
    (especialmente en organismos militares) a raíz del
    programa TEMPEST, un término (Transient ElectroMagnetic
    Pulse Emanation STandard) que identifica una serie de
    estándares del gobierno
    estadounidense para limitar las radiaciones eléctricas y
    electromagnéticas del equipamiento electrónico,
    desde estaciones de trabajo hasta cables de red, pasando por
    terminales, mainframes, ratones…
    La idea es sencilla: la corriente que circula por un conductor
    provoca un campo electromagnético alrededor del conductor,
    campo que varía de la misma forma que lo hace la
    intensidad de la corriente. Si situamos otro conductor en ese
    campo, sobre él se induce una señal que
    también varía proporcionalmente a la intensidad de
    la corriente inicial; de esta forma, cualquier dispositivo
    electrónico (no sólo el informático) emite
    continuamente radiaciones a través del aire o de
    conductores, radiaciones que con el equipo adecuado se pueden
    captar y reproducir remotamente con la consiguiente amenaza a la
    seguridad que esto implica. Conscientes de este problema –
    obviamente las emisiones de una batidora no son peligrosas para
    la seguridad, pero sí que lo pueden ser las de un
    dispositivo de cifrado o las de un teclado desde el que se
    envíen mensajes confidenciales – en la década de
    los 50 el gobierno de Estados Unidos
    introdujo una serie de estándares para reducir estas
    radiaciones en los equipos destinados a almacenar, procesar o
    transmitir información que pudiera comprometer la
    seguridad nacional. De esta forma, el hardware certificado
    TEMPEST se suele usar con la información clasificada y
    confidencial de algunos sistemas gubernamentales para asegurar
    que el eavesdropping electromagnético no va a afectar a
    privacidad de los datos.

    Casi medio siglo después de las primeras investigaciones
    sobre emanaciones de este tipo, casi todos los países
    desarrollados y organizaciones militares internacionales tienen
    programas similares a TEMPEST con el mismo fin: proteger
    información confidencial. Para los gobiernos, esto es algo
    reservado a informaciones militares, nunca a organizaciones
    `normales' y mucho menos a particulares (la NRO, National
    Reconnaissance Office, eliminó en 1992 los
    estándares TEMPEST para dispositivos de uso
    doméstico); sin embargo, y como ejemplo – algo extremo
    quizás – de hasta que punto un potencial atacante puede
    llegar a comprometer la información que circula por una
    red o que se lee en un monitor, vamos a dar aquí unas
    nociones generales sobre el problema de las radiaciones
    electromagnéticas.

    Existen numerosos tipos de señales
    electromagnéticas; sin duda las más peligrosas son
    las de video y las de transmisión serie, ya que por sus
    características no es difícil interceptarlas con el
    equipamiento adecuado y. Otras señales que a priori
    también son fáciles de captar, como las de enlaces
    por radiofrecuencia o las de redes basadas en infrarrojos, no
    presentan tantos problemas ya que desde un principio los
    diseñadores fueron conscientes de la facilidad de
    captación y las amenazas a la seguridad que una captura
    implica; esta inseguridad
    tan palpable provocó la rápida aparición de
    mecanismos implementados para dificultar el trabajo de un
    atacante, como el salto en frecuencias o el espectro disperso o
    simplemente el uso de protocolos cifrados. Este tipo de emisiones
    quedan fuera del alcance de TEMPEST, pero son cubiertas por otro
    estándar denominado NONSTOP, también del
    Departamento de Defensa estadounidense.
    Sin embargo, nadie suele tomar precauciones contra la radiación
    que emite su monitor, su impresora o el cable de su módem.
    Y son justamente las radiaciones de este hardware desprotegido
    las más preocupantes en ciertos entornos, ya que lo
    único que un atacante necesita para recuperarlas es el
    equipo adecuado. Dicho equipo puede variar desde esquemas
    extremadamente simples y baratos – pero efectivos hasta complejos
    sistemas que en teoría
    utilizan los servicios de inteligencia
    de algunos países. La empresa Consumertronics
    (www.tsc-global.com) fabrica y vende diversos dispositivos de
    monitorización.

    Pero, ¿cómo podemos protegernos contra el
    eavesdropping de las radiaciones electromagnéticas de
    nuestro hardware? Existe un amplio abanico de soluciones, desde
    simples medidas de prevención hasta complejos y caros
    sistemas para apantallar los equipos. La solución
    más barata y simple que podemos aplicar es la distancia:
    las señales que se transmiten por el espacio son atenuadas
    conforme aumenta la separación de la fuente, por lo que si
    definimos un perímetro físico de seguridad lo
    suficientemente grande alrededor de una máquina,
    será difícil para un atacante interceptar desde
    lejos nuestras emisiones. No obstante, esto no es aplicable a las
    señales inducidas a través de conductores, que
    aunque también se atenúan por la resistencia e
    inductancia del cableado, la pérdida no es la suficiente
    para considerar seguro el sistema.

    Otra solución consiste en la confusión:
    cuantas más señales existan en el mismo medio,
    más difícil será para un atacante filtrar la
    que está buscando; aunque esta medida no hace imposible la
    interceptación, sí que la dificulta enormemente.
    Esto se puede conseguir simplemente manteniendo diversas piezas
    emisoras (monitores, terminales, cables…) cercanos entre
    sí y emitiendo cada una de ellas información
    diferente (si todas emiten la misma, facilitamos el ataque ya que
    aumentamos la intensidad de la señal inducida).
    También existe hardware diseñado
    explícitamente para crear ruido electromagnético,
    generalmente a través de señales de radio que
    enmascaran las radiaciones emitidas por el equipo a proteger;
    dependiendo de las frecuencias utilizadas, quizás el uso
    de tales dispositivos pueda ser ilegal: en todos los
    países el espectro electromagnético está
    dividido en bandas, cada una de las cuales se asigna a un
    determinado uso, y en muchas de ellas se necesita una licencia
    especial para poder transmitir. En España
    estas licencias son otorgadas por la Secretaría General de
    Comunicaciones, dependiente del Ministerio de Fomento.

    Por último, la solución más
    efectiva, y más cara, consiste en el uso de dispositivos
    certificados que aseguran mínima emisión,
    así como de instalaciones que apantallan las radiaciones.
    En el hardware hay dos aproximaciones principales para prevenir
    las emisiones: una es la utilización de circuitos
    especiales que apenas emiten radiación (denominados de
    fuente eliminada, source suppressed), y la otra es la
    contención de las radiaciones, por ejemplo aumentando la
    atenuación; generalmente ambas aproximaciones se aplican
    conjuntamente. En cuanto a las instalaciones utilizadas para
    prevenir el eavesdropping, la idea general es aplicar la
    contención no sólo a ciertos dispositivos, sino a
    un edificio o a una sala completa. Quizás la
    solución más utilizada son las jaulas de Faraday
    sobre lugares donde se trabaja con información sensible;
    se trata de separar el espacio en dos zonas
    electromagnéticamente aisladas (por ejemplo, una sala y el
    resto del espacio) de forma que fuera de una zona no se puedan
    captar las emisiones que se producen en su interior. Para
    implementar esta solución se utilizan materiales
    especiales, como algunas clases de cristal, o simplemente un
    recubrimiento conductor conectado a tierra.

    Antes de finalizar este punto quizás es
    recomendable volver a insistir en que todos los problemas y
    soluciones derivados de las radiaciones electromagnéticas
    no son aplicables a los entornos o empresas
    normales, sino que están pensados para lugares donde se
    trabaja con información altamente confidencial, como
    ciertas empresas u organismos militares o de inteligencia.
    Aquí simplemente se han presentado como una
    introducción para mostrar hasta donde puede llegar la
    preocupación por la seguridad en esos lugares. La
    radiación electromagnética no es un riesgo
    importante en la mayoría de organizaciones ya que suele
    tratarse de un ataque costoso en tiempo y dinero, de forma que un
    atacante suele tener muchas otras puertas para intentar
    comprometer el sistema de una forma más
    fácil.

    Anexo 3. LISTA DE COMPATIBILIDAD
    DE HARDWARE RED HAT 8.0

    2 the Max
    3Com
    3DFX
    3Dvision
    3Ware
    4Lan
    A-Trend
    ACARD
    ACTiSYS
    AGFA
    AIBrain
    Ali
    AMD
    AMI
    Aopen
    APC
    AST
    AT
    ATC
    ATEN
    ATI
    ATI XL
    Abit
    Abocom
    AccelStar
    Accent
    Accton
    Acer Inc.
    Acorp
    AdLib
    Adaptec
    Adaptec (Cogent)
    Addtron
    Adobe/Various
    Advance Logic
    Advanced Computer & Network Corporation
    Advanced Gravis
    Advaned Gravis
    Advansys
    Advantech
    Aironet
    Allied Telesis
    Allied Telesyn
    Alps
    Alteon
    AmbiCom
    Analog Devices
    Ansel Communications
    Anvil
    AnyCom
    Apollo
    Apple
    Archtek
    Argosy
    Aristo
    Ark
    Arowana
    Artec/Ultima
    Asus
    Atelco
    Aureal
    Aztec
    Aztech
    BEKO
    Baytech
    Billionton
    Breezenet
    Bull
    BusLogic
    BusLogic/Mylex
    C-Media
    C.Itoh
    CADMUS
    CMD
    CNET
    CNet (C-Net)
    COMPU-SHACK
    CONTEC
    COPS
    Cabletron
    California Access
    Canon
    Canon
    Caravelle
    CeLAN
    Chaintech
    Chips & Technologies
    Cirrus Logic
    Cisco
    Cisco (Aironet)
    Compex
    Compex Readylink
    Compex/ReadyLINK
    Comtrol
    Connectware
    Corega
    Creative Labs
    Creative Technology
    Creative/Ensoniq
    Crystal Audio
    Crystal LAN
    CyQve
    Cyclades
    Cyrix
    D-Link
    DEC
    DEC
    DTC
    Danpex
    DataStor
    Datatrek
    Dayna
    Dayna Communications
    Daystar Digital
    Dell
    Diamond
    Diamond Multimedia
    Digi International
    Digicom
    Digital Equipment Corporation
    Digital Etherworks
    Digital Mobile Media
    Dot Hill
    DynaLink
    EFA
    EONtronics
    EP-210
    ESS
    EXP
    EZLink
    Eagle
    Edimax Technology
    Egenera
    Eiger Labs
    Elecom
    Elsa
    Ensoniq
    Enterasys(Cabletron)
    Epson
    EtherPRIME
    Eurologic
    Everex
    ExpertColor
    Explorer
    Extended Systems
    Farallon
    FastStor
    FiberLine
    Fidelity International Technology
    Flagpoint
    Force Computers
    Freecom
    FreedomLine
    Fujitsu
    Fujitsu Siemens Computers
    Funai
    Future Domain
    GVC
    Gainward
    Gateway
    Gateway 2000
    GemTek
    General Instruments
    Generic
    Genius
    Genoa
    Gigabyte
    Goldstar
    Gravis
    Greenwich
    Grey Cell
    H45 Technologies
    Hamlet
    Hawking
    Hayes
    Hercules
    Hewlett Packard
    High Point Technologies
    Hitachi
    Hypertec
    IBM
    IC-Card
    ICL
    IDE
    IDT
    IO DATA
    IODATA
    IOtech
    Imagen
    Infotel
    Intel
    Iomega
    Jaton
    KT Technology
    KTI
    Katron
    KingByte
    Kingmax Technology
    Kingston
    Kotobuki
    LANEED
    LSI Logic
    Lanix
    Lantech
    Level One
    LevelOne
    Lexmark
    Linksys
    Linksys
    LinuxWizardry
    Logitec
    Logitech
    Longshine
    Lucent
    Lucent
    Lucent (AT&T GIS, NCR)
    MAST
    MCD601p
    MKE
    Macnica
    Matrox
    Matushita
    Maxtech
    MediaTrix
    MediaVision
    Megahertz
    Megahertz/U.S. Robotics
    Melco
    Melco/SMC
    MiCom
    MicroSolutions
    MicroStar
    Microcom
    Microdyne
    Microgate
    Micron
    Micronet
    Microsoft
    Microtech
    Microtek
    Midori
    Miro
    Mitac
    Mitsubishi
    Motorola
    Multi-Tech Systems Inc.
    Mylex
    NAKAGAWA METAL CO.,LTD.
    NCR
    NDC
    NE2000
    NEC
    NEC Computers International
    NEC/Bull
    NOVAC
    NS
    NVIDIA
    National Instruments PCMCIA-485
    National Semiconductor
    NeoMagic
    NetVin
    NetVista
    NetVista A21
    NetVista X40
    Netgear
    Network General
    New Media
    NextCom
    Noteworthy
    Novadata
    Novell
    Novell/National
    Number Nine
    OPTi
    Okidata
    Olicom
    OnSpec
    Optics
    Ositech
    OvisLink
    PDPI
    PSS
    Packet Engines
    Panasonic
    Penguin Computing
    Philips
    Pioneer
    Planet
    Planex
    Pony Computer
    Portable Add-ons
    PreMax
    Precision WorkStation
    Pretec
    Pro Audio Spectrum
    Prolink
    Promise Technology Inc.
    Proteon
    Psion
    PureData
    Qlogic
    Quantum
    Quark
    Quatech
    RATOC
    RLX Technologies
    Racal
    RadioTrack
    Raven
    Raytheon
    Real3D
    Realtek
    Red Creek Communications
    Relia
    Reliasys
    Ricoh
    Rover
    S3
    SANbloc
    SCM
    SDL Communications
    SF16MI
    SGI
    SMC
    SOHOware
    STB
    SVEC
    Sangoma
    Sanyo
    SeaLevel Systems
    ServeLinux
    ServeLinux Rackmount
    Sharp
    Shuttle Technologies
    SiS
    Simple Technologies
    Sky
    Socket Communications
    Sony
    Sound Blaster
    Soundblaster
    Spacewalker/Shuttle
    Star
    SuperMicro
    SuperSocket
    Surecom
    SysKonnect
    TDK
    TRENDnet
    Tangent
    Target
    Teac
    Tekram
    Telecom Device
    Thomas Conrad
    Thomas-Conrad
    ThrustMaster
    Toshiba
    Trident
    Trimble Mobile
    Trust
    Tseng
    TurboGraFX
    Turtle Beach
    Typhoon
    UNEX
    Umax
    VIA
    VIA Technologies
    Various
    Vegas
    Volktek
    WIPRO
    WTI
    WebGear
    Winbond
    Winchester Systems
    Winmodem
    Wipro
    Wipro Infotech
    WiseCom
    X Test Testing
    Labs
    Xerox
    Xircom
    Yamaha
    Yellowfin
    ZONET
    ZZ(None)
    Znyx
    Zoltrix
    Zynx
    make
    microSOUND

    Anexo 4. DIAGRAMAS

     

    Fig.1 Estructura de Modelo OSI y TCP/IP

     

    Fig.2 Funcionamiento del Servidor Web Fig. 3
    Funcionamiento del Firewall

    Fig. 4 Router de Filtrado de
    Paquetes
    Anexo 5. HARDWARE DE SEGURIDAD RECOMENDADO

    Routers de acceso modular de la serie Cisco 2600
    Especificaciones técnicas

    • Procesador: Motorola MPC860 40 MHz (Cisco 261X),
      Motorola MPC860 50 MHz (Cisco 262x)
    • Memoria Flash: 4 a 16
      MB (32 MB máx. en Cisco 262x)
    • Memoria de sistema (DRAM): de 24 a 64 MB
    • Ranuras para tarjetas de interfaz WAN: 2
    • Ranuras para módulos de red: 1
    • Ranura AIM: 1
    • Consola/velocidad auxiliar: 115,2 Kbps
      (máxima)
    • Anchura: 17,5 pulgadas (44,5 cm.)
    • Altura: 1,69 pulgadas (4,3 cm.)
    • Profundidad: 11,8 pulgadas (30 cm.)
    • Peso (mín.): 8,85 lb. (4,02 kg)
    • Peso (máx.): 10,25 lb. (4,66 kg)
    • Disipación de potencia: 72 W
      (máximo)
    • Voltaje de corriente
      alterna (CA) de entrada: de 100 240 VCA
    • Frecuencia: de 47 64 Hz
    • Tensión de entrada CA: 1,5
      amperios
    • Voltaje de corriente continua (CC) de entrada: -38V a
      -75 V
    • Tensión CC de entrada 2 amperios
    • Temperatura de funcionamiento: de 32 a 104 F (de 0 a
      40 C)
    • Temperatura de no funcionamiento: de -13 a 158 F (de
      -25 a 70 C)
    • Humedad relativa: de 5 a 95% sin
      condensación
    • Nivel de ruido (mín.): 38 dbA
    • Nivel de ruido (máx.): 42 dbA

    Software Cisco IOS
    Al ser compatible con toda la gama de conjuntos de
    características de software Cisco IOS disponibles, la
    serie Cisco 2600
    puede operar la gama de servicios de red más amplia del
    mercado. Los conjuntos de características base admiten los
    protocolos y estándares más utilizados, tales como
    NAT, OSPF, Border Gateway Protocol (BGP), Remote Access Dial-In
    User Service (RADIUS), IP Multicast, RMON y las
    características de optimización de WAN (como
    Bandwidth on Demand; Custom, Priority and Weighted Fair Queuing,
    Dial Back-up y RSVP). Los conjuntos de características
    "Plus" contienen un número adicional de
    características de valor añadido, como por ejemplo
    los protocolos de mainframe de legado, DLSw, L2TP, L2F,
    integración de voz/datos, modo de transferencia
    asíncrona (ATM), VLAN, Netflow, etc. Otros conjuntos de
    características incluyen cifrado IPSec y 3DES, así
    como capacidades de firewall certificadas ICSA.

    Cisco Systems tiene más de 200 oficinas en los
    siguientes países. Las direcciones, números de
    teléfono y de fax pueden
    encontrarse en el
    s i t i o We b C i s c o C o n n e c t i o n O n l i n e : h t t
    p : / / w w w. c i s c o . c o m / o f f i c e s .

    The
    world-leading Cisco PIX 500 Series Firewalls are purpose-built
    security appliances that deliver unprecedented levels of
    security, performance and reliability. These platforms provide
    robust, enterprise-class security services including stateful
    inspection firewalling, standards-based IPsec Virtual Private
    Networking (VPN), intrusion
    protection and much more in cost-effecective, easy to deploy
    solutions. Ranging from compact, plug-n-play desktop firewalls
    for small/home offices to carrier class gigabit firewalls for the
    most demanding enterprise and service provider environments, the
    Cisco PIX 500 Series Firewall consists of the following five
    models:

    • The Cisco PIX 535 Firewall, intended for large
      Enterprise and Service Provider environments, provides over 1
      Gbps of firewall throughput with the ability to handle up to
      500,000 concurrent connections. Certain PIX 535 models include
      stateful high-availability capabilities, as well as integrated
      hardware acceleration for VPN, providing up to 95 Mbps of 3DES
      VPN and support for 2,000 IPsec tunnels. The Cisco PIX 535
      provides a modular chassis with support for up to 10 10/100
      Fast Ethernet
      interfaces or 9 Gigabit Ethernet interfaces.
    • The Cisco PIX 525 Firewall, intended for Enterprise
      and Service Provider environments, provides over 360 Mbps of
      firewall throughput with the ability to handle as many as
      280,000 simultaneous sessions. Certain PIX 525 models include
      stateful high-availability capabilities, as well as integrated
      hardware acceleration for VPN, providing up to 70 Mbps of 3DES
      VPN and support for 2,000 IPsec tunnels. The PIX 525 provides a
      modular chassis with support for up to 8 10/100 Fast Ethernet
      interfaces or 3 Gigabit Ethernet interfaces.
    • The NEW Cisco PIX 515E Firewall intended for
      Small-to-Medium Business and Enterprise environments, provides
      up to 188 Mbps of firewall throughput with the ability to
      handle as many as 125,000 simultaneous sessions. Certain PIX
      515E models includes stateful high-availability capabilities,
      as well as integrated support for 2,000 IPsec tunnels. The PIX
      515E provides a modular chassis with support for up to six
      10/100 Fast Ethernet interfaces.
    • The NEW Cisco PIX 506E Firewall, intended for Remote
      Office/Branch Office environments, provides up to 20 Mbps of
      firewall throughput and 16 Mbps of 3DES VPN throughput. The PIX
      506E uses a compact, desktop chassis and provides two
      auto-sensing 10Base-T interfaces.
    • The Cisco PIX 501 Firewall, intended for Small Office
      and Enterprise Teleworker environments, provides up to 10 Mbps
      of firewall throughput and 3 Mbps of 3DES VPN throughput. The
      PIX 501 delivers enterprise-class security in a compact,
      plug-n-play security appliance, and includes an integrated
      4-port Fast Ethernet (10/100) switch and one 10Base-T
      interface.

     

    Principio del formulario

    Final del formulario

    Hide photos

    Sort by
    Name

    Sort by
    Rating

    Sort by
    Price

    Compare

    SonicWALL PRO

    Firewall , Sonic Systems


    6 reviews

    Lowest price:
    $1365

    Compare

    VPN Firewall

    Firewall , Lucent


    2 reviews

    Lowest price:
    $59194

    Compare

    PIX Series

    Firewall , Cisco Systems


    2 reviews

    Lowest price:
    $987

    Compare


    D-Link DI-701 Residential Gateway

    Router Gateway Firewall , D-Link


    5 reviews


    Anexo 6. SOFTWARE
    RECOMENDADO

    Productos certificados IPSEC por

    ICSA (International Computer Security
    Association)

    Programas de certificación:

    • Versión 1.0 (requisitos básicos de
      autenticación, integridad y
      confidencialidad)
    • Versión 1.0A (incluye SHA1, ESP
      NULL)
    • Strong Cryto (Scr) (incluye 3DES, DH grupo 2,
      opcional CAST, IDEA, RC5)
    • Enhanced Funcionality (idem v 1.0A más
      compresión)
    • Versión 1.1 (idem v 1.0A más
      certificados)
    • Enhanced Certificate Authority (idem Versión
      1.1 más procesamiento automatizado de
      certificados)

     

     

     

    Autor:

    Ing. Silvio A. Sandoval Ramos

    24 años
    11 de Diciembre de 2002
    Titulo: Servidores Web Seguros
    Categoría: Computación
    Abstracto
    Un análisis de la tecnología necesaria para la
    implementación de Servidores Web seguros. Se presentan
    Sistemas Operativos en los que se puede desarrollar este tipo de
    tecnología. Se mencionan las utilidades y herramientas de
    seguridad que incluye Red Hat Linux 8.0 así como una breve
    descripción de Apache (https). Se explican las distintas
    tecnologías de seguridad ya sea software o hardware como
    SPX, IPSec, Firewalls, Proxyservers, Routers de selección,
    Firewalls de Encriptación, etc. Así como
    técnicas de Protección que combinan este tipo de
    Hardware y Software. Se hace pauta en las consideraciones para el
    desempeño satisfactorio del equipo: las particiones del
    disco duro; los arreglos RAID y la protección
    física del servidor.

     

     

     

     

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter