Cómo instalar mecanismos de seguridad en Internet

La generalización del empleo comercial de Internet ha supuesto un aumento de los mecanismos de seguridad. Estas herramientas están triunfando en el mercado y evolucionan a una gran velocidad, lo que hace complicada la elección para los usuarios. Antes de decidir la presencia de una empresa en Internet, el Director de Sistemas de la Información (DSI) debe proyectar unos sistemas de seguridad básicos, así como planificar su posterior gestión y mantenimiento. Los cortafuegos y los túneles se presentan como dos de las opciones más comunes.

Los cortafuegos son el primer mecanismo de defensa ante posibles intrusos. No son sino una combinación de hardware y software que funciona como un barrera entre los recursos Internet de una organización y el mundo exterior. La mayoría de las opciones existentes en la actualidad se pueden dividir en dos grandes grupos: pasarelas y filtros, aunque hay soluciones que combinan ambas opciones.

En el caso de las pasarelas, también hay diversas posibilidades. Una de las más populares es la de implementar una pasarela de aplicación, que restringe el acceso de los usuarios a una aplicación concreta. Según este modelo, los usuarios deben emplear un log-in específico para alcanzar la base de datos o aplicación que se quiere proteger. A pesar de que ofrecen un nivel de seguridad relativamente sólido, los administradores de red pueden tener dificultades para la configuración de las pasarelas, y también complican la navegación de los usuarios finales. La necesidad de encaminar el tráfico de red interno y externo por un único punto incrementa el riesgo de crear cuellos de botella. De ahí que los fabricantes suelan ofrecer esta tecnología con filtros de paquetes, lo que proporciona una solución de seguridad más rápida, aunque potencialmente menos efectiva.

Estos filtros encaminan los paquetes Internet Protocol (IP) basándose en la dirección de origen, lo que significa que un paquete sólo es aceptado si se ha originado en una localización autorizada, con lo que se asegura que los datos que no provienen de usuarios autorizados no entren en el sistema. El problema es que algunas de estos filtros son demasiado básicos (por ejemplo la mayoría de los que vienen junto con determinados tipos de routers), por lo que no presentan un problema demasiado complicado para los hackers. No es difícil cambiar una dirección IP para presentar el paquete como si proviniera de un sistema autorizado. De ahí que algunos opten por un filtro que examine el paquete para comprobar la dirección IP, pero que también lea los datos contenidos.

Además de mantener lejos a los hackers y a otros intrusos, los cortafuegos pueden utilizarse como barrera contra virus, algo aún no muy común. Es ahora cuando están apareciendo en el mercado las primeras herramientas que pueden realizar estas tareas, aunque algunos analistas creen que es preferible utilizar escáneres de virus convencionales para esta función.

Para algunas organizaciones, los cortafuegos no ofrecen una seguridad total. Por ello recurren al empleo de la tecnología de túneles para Internet, usando paquetes IP encriptados para crear una red privada virtual. El interés por esta opción se justifica, además, por las perspectivas de reducción de los costes de networking, particularmente entre aquellas empresas que necesidad asociar múltiples redes externas con la departamental. Normalmente, las compañías que necesitan conectar dos LAN separadas hacen un leasing de una red privada, con lo que crean una WAN. Con la tecnología de túneles, las redes se conectan a través de los cortafuegos Internet y los datos son enviados en paquetes IP encriptados. Este mecanismo también se puede utilizar para ofrecer seguridad a las redes individuales internas de una organización, de forma que el personal de un departamento no tenga acceso a redes de otra sección. En el lado negativo, muchas de estas soluciones son bastante incompatibles y consumen una gran cantidad del poder de proceso del servidor.

A pesar de los avances en los cortafuegos y túneles, los DSI deben considerar estas tecnologías más como una caja de seguridad que como una fortaleza inexpugnable. Para que sean más efectivos, los cortafuegos deben ser diseñados para adaptarse a las necesidades corporativas. Esto puede implicar la necesidad de almacenar ciertos ficheros especialmente importantes en un servidor específico y altamente protegido.

Tampoco hay que olvidar que la implantación, configuración y gestión de un cortafuegos o un túnel es una tarea bastante complicada, puesto que hay que contar con herramientas de diferentes fabricantes. A pesar de que muchos de estos productos ofrecen GUIs y otras características diseñadas para facilitar su uso, la dificultad sigue siendo alta. De ahí que bastantes organizaciones recurran a consultores e integradores de sistemas para realizar estas tareas.