Conceptos básicos de seguridad en intranet

Como su red intranet está cerrada al público, usted no tiene que preocuparse sobre posibles hackers que intenten acceder a ellas durante la noche. ¿Es esto cierto, o está usted equivocado?. Las intranet son objetivos importantes de empleados disgustados, hackers y competidores. Por ello es necesario plantearse la adopción de sistemas de seguridad que imposibiliten el acceso a la información corporativa a usuarios no deseados.

Las redes internas están adquiriendo ahora todas las propiedades que nos preocupan en las redes públicas -carácter abierto, complejidad y características estándar- y lo que es peor, las intranet controladas por el usuario pueden hacer que la seguridad quede abierta a cualquier tipo de peligro. Las buenas noticias son que las prácticas tecnológicas y de gestión sobre la seguridad pueden trasplantarse perfectamente al entorno intranet. A continuación se presentan algunas herramientas y tácticas eficaces en este sentido.

Tácticas tecnológicas

- Paredes cortafuego. Este software y hardware protector permite impedir el acceso a las redes intranet a usuarios y a actividades no deseadas. Algunas compañías van un paso más allá, fraccionando las redes internas en subredes aisladas mediante paredes cortafuego o firewalls. El inconveniente es que esta balcanización de las redes puede hacer que se sacrifique una conectividad conseguida con esfuerzo.

- Control de accesos. Proteger a los diversos sistemas y aplicaciones mediante contraseñas y otros medios de protección tradicionales puede tener más sentido que utilizar paredes cortafuego. Estas medidas son menos costosas, y es menos probable que bloqueen otras actividades deseadas.

- Barreras antifuego. Algunas empresas utilizan "barreras antifuego" o "fire fences" -que son routers programados con filtrado de paquetes de datos especificado por el usuario- para proteger varias redes intranet.

- Encriptación. Fuera del sector militar, no está muy difundido el uso de la encriptación, pero ésta está emergiendo actualmente como una tecnología de seguridad intranet viable. Sin embargo, la escasa madurez de la tecnología puede hacer que la encriptación se convierta en una "pesadilla de gestión". Los vendedores, en particular los que venden paredes cortafuego, se están apresurando a simplificar los productos.

- Radar contra intrusos. El software de "detección de intrusos" y otras herramientas de auditoría que detectan intrusos ocasionales y actividad sospechosa en la red resultan menos útiles en las redes intranet.

Tácticas de gestión

- Incorporar seguridad. Es posible que compañías con escasa visión dejen de tener en cuenta la seguridad.

Esto se debe a que piensan que ejerce poco impacto sobre la satisfacción del usuario o sobre la cuenta de resultados. Conviene resistir esta tentación e incorporar seguridad desde el comienzo de todo proyecto.

- Políticas sólidas. Las paredes cortafuego y las contraseñas intranet no significan nada si los datos confidenciales aparecen expuestos en un lugar público. Muchos responsables informáticos coinciden: la clave está en establecer unas determinadas normas y políticas por escrito, así como en ofrecer una formación de los empleados en cuestiones de seguridad.Una sugerencia: Registre su documentación de seguridad en hipertexto en las redes intranet. Es una buena forma de enviar documentos de seguridad a las personas adecuadas en el momento oportuno, y además esto convierte a un riesgo de seguridad en un activo de seguridad.

Detrás de la pared

Las redes intranet son darwinianas. Las compañías fuertes y con buena seguridad se harán más fuertes, abordando sin problemas todo lo relativo a las intranets, mientras que las compañías con una seguridad débil deberán enfrentarse a un nuevo mundo de problemas internos.

Afortunadamente, la evolución por definición se basa en el pasado. Muchas prácticas y tecnologías establecidas sobre seguridad Internet pueden implantarse perfectamente dentro de la pared cortafuegos.

El objetivo es el mismo: crear una seguridad sólida sin perder los nervios ni destruir el presupuesto.

Si su seguridad es deficiente, este es el momento de hacerla más efectiva. Contrate a personas externas si es necesario. Naturalmente, el precio puede ser muy alto, pero le ahorrará mucho dinero más adelante. Siga el consejo preventivo de quienes aconsejan actuar a tiempo.

Nuevas paredes cortafuego

Las paredes cortafuego solían pertenecer a categorías bien definidas: filtrado de paquetes, gateway de circuitos o restricción de aplicaciones. Muchas de las nuevas ofertas son híbridas, empleando dos o más mecanismos de filtrado y una combinación de diversas técnicas.

Algunas utilizan autentificación, que requiere que los usuarios se conecten al sistema a través de un servidor mediante una contraseña, mientras que otras utilizan encriptación de datos, que realiza el scrambling de los ficheros de salida que contienen información sensible. Un sistema en el otro extremo la desencripta mediante el algoritmo de encriptación.

- Filtrado de paquetes. Este filtrado (packet filtering) suele ser el primero que se realiza con el tráfico de entrada. Un router examina cada paquete y, siguiendo unas reglas programadas que contiene, acepta mensajes de ciertos servidores o nudos y desecha todos los otros.

- Restricción de aplicaciones. Este software de utilización especial (application proxy) restringe el tráfico de llegada a una aplicación especificada, como por ejemplo el sistema de correo electrónico o Lotus Notes. De forma similar, el tráfico de salida puede ser restringido si procede de una aplicación no autorizada.

- Gateway a nivel de circuito. Este gateway o pasarela (circuit level gateway) conecta un puerto TCP/IP externo con un destino interno, que generalmente es un recurso compartido, como una impresora. Un mecanismo de control de accesos en el gateway determina si el usuario conectado al puerto TCP/IP procede de una fuente autorizada para acceder a la impresora. Si el usuario que va a utilizarlo está autorizado, se deja seguir el mensaje sin comprobarlo.

- Autentificación. Un sistema como Kerberos, que es estándar en el mundo Unix, suministra a un usuario que intenta acceder a la red interna una clave privada que es compartida con un determinado servicio en un host. Cuando un centro de distribución de claves aprueba la citada clave del usuario, desbloquea automáticamente el acceso al servicio host.

- Encriptación. La mayoría de las redes externas que están implantadas en este momento en las compañías, incluyendo, por supuesto, Internet, ofrecen oportunidades para que los dispositivos de escucha detecten y capturen el tráfico según va siendo transmitido. Encriptando una corriente de datos de llegada y transmitiéndola a través de una pared cortafuego se impide que sea interceptada.

Algunos consejos

- Las redes intranet actuales sólo soportan el sistema World Wide Web, y mantienen una relación mal definida con la base instalada de sistemas operativos de red propietarios, como NetWare. Esto cambiará en el futuro. En los próximos cuatro años, el papel del sistema operativo de red propietario perderá importancia al ser mejoradas las redes intranet mediante servicios esenciales basados en estándares. (Forrester Research)

- La tecnología de las redes intranet no es demasiado complicada. Pueden elegirse múltiples formas de conexión. El problema técnico número uno es pasar del estado actual al estado final, es decir, a una red intranet terminada. Se requiere un equilibrio entre el tiempo necesario, los factores económicos y la tecnología actual. ¿Cuándo desechar ciertas cosas, cuándo incorporarlas, y cómo? (KMPG Peat Marwick)

- Tanto si uno lo intenta como si no, las redes intranet van a ser una in