EL PERÍMETRO DE LA RED, PRIMER PUNTO A PROTEGER

     La tecnología relacionada con Internet está provocando una auténtica revolución en el mundo de los negocios, obligando a las empresas a redefinir cómo se comunican con los clientes, venden sus productos y establecen relaciones comerciales.

     La decisión de muchas empresas de adoptar Internet como herramienta para crear nuevos negocios ha otorgado a la seguridad en la Red una importancia que antes no tenía. Las compañías necesitan proporcionar acceso a ciertas aplicaciones, datos y recursos importantes, pero, al mismo tiempo, necesitan proteger los elementos que componen su red – redes, sistemas, aplicaciones, y usuarios – tanto en el acceso a Internet como a las diferentes intranets y extranets. Éste es el campo que pretende cubrir un firewall

     La misión de un firewall es restringir el acceso a una parte de la red. Se puede utilizar tanto para evitar que alguien del exterior de la red entre a servidores internos como para que los usuarios internos accedan a determinados recursos exteriores. Generalmente la instalación de un firewall se realiza en el punto en el que la red empresarial se conecta al exterior, ya que por allí deben pasar obligatoriamente todas las comunicaciones.

     Dado que todo el tráfico que entra desde Internet o sale desde la red interna lo hace a través del firewall, éste puede examinarlo y posee la potestad de decidir si es aceptable o no y si lo hará llegar a su destinatario. Ahora bien, es fundamental definir correctamente lo que significa "aceptable".

     Para ello se confecciona una política de seguridad (las reglas del firewall), en la que se establece claramente qué tipo de tráfico está permitido, entre qué origen y qué destino, qué servicios se habilitan, qué contenidos se admiten, etc. Dependiendo de cada caso concreto, existirán políticas altamente restrictivas -en las que prácticamente nada está permitido- y otras muy permisivas, en las que no se habilitan apenas prohibiciones. La clave reside en alcanzar un compromiso entre las necesidades de seguridad y la comodidad.

     Cerca del 90% de los virus informáticos que entran en las empresas lo hacen a través del correo electrónico. Esta elevada cifra se debe fundamentalmente al elevado uso que se produce del mismo por parte del usuario, que no solamente intercambia mensajes de texto para fines empresariales, sino que en un elevado tanto por ciento de los mensajes se incluyen ficheros adjuntos, tales como documentos, presentaciones, etc.

     En la práctica los usuarios del correo intercambian no sólo mensajes con fines laborales, sino con otras personas, en muchos casos ajenas a la empresa, a las que se les mandas bromas, chistes, ejecutables humorísticos, etc.

     Recibir un e-mail con un determinado mensaje extraño, o con un ejecutable que no tiene nada que ver con el trabajo se convierte en tan habitual como los mensajes internos de la empresa.

     Si dejamos aparte las consideraciones sobre la legalidad o ilegalidad, tanto de manejar este tipo de mensajes como su control por parte de la empresa, se ve absolutamente necesario evitar que en los servidores de correo se almacenen ficheros que puedan resultar peligrosos para la seguridad de la compañía.

     Cualquier código ejecutable que penetre en la empresa puede ser susceptible de contener virus. No debemos esperar que porque no se haya desarrollado todavía un determinado tipo de virus en un determinado sistema no haya peligro para la red. Desde los obvios, como los ficheros EXE o COM, hasta los más insólitos, como algunas versiones de Shockwave Flash, todos ellos pueden contener código maligno en mayor o menor grado. Por tanto, el filtrado de los elementos adjuntos al correo electrónico debe estar activo en todo momento.

     El correo web es la solución más útil para las personas que necesitan consultar sus mensajes desde cualquier parte del mundo. Mientras que la configuración de un lector de correo POP a veces es complicada, el acceso a una página web es básico en cualquier ordenador conectado a Internet.

     Los correos electrónicos que se leen en páginas web conllevan un peligro no siempre apreciado a simple vista. Muchos firewalls analizan SMTP y POP3 para evitar los virus por correo electrónico, pero en el caso de los correos web la información viaja por HTML, por lo que el análisis puede no llevarse a cabo.

     El análisis de código HTML debe producirse con los mismos niveles de seguridad que emplean los administradores con el tráfico SMTP y POP3. Un virus que se propague por correo electrónico también va a difundirse a través de un correo web, además con consecuencias negativas para el propietario de la máquina, ya que las direcciones de correo electrónico que un gusano emplearía para difundirse serían las del ordenador en el cual se consulta el correo, no las de la dirección de correo web.

     El filtrado de contenido debe funcionar a dos niveles distintos: en los servidores de correo corporativo y en las pasarelas que proporcionen salida de información a Internet. Usar únicamente filtrado de contenidos en uno de los puntos proporcionaría una protección inadecuada por las siguientes razones:

• Si se emplea únicamente en los servidores internos de correo, cualquier utilización del correo electrónico con herramientas distintas a las corporativas produciría un agujero en el filtrado. Baste pensar que en cualquier plataforma Windows, posterior a Windows 98, aparece Outlook Express como lector de correo electrónico por defecto. Y leer el correo electrónico sin necesidad de pasar por el servidor corporativo, por ejemplo Exchange Server, es muy fácil, pero siempre deberá atravesar el firewall.

• Si únicamente se dispone de filtrado en el servidor de correo externo, los correos electrónicos que no pasen por el firewall se verán libres del control. Es decir, que un virus, un "hoax", un mensaje inapropiado o cualquier mensaje que la empresa no considere necesario no saldrá de la empresa, pero su circulación será inevitable dentro de la misma, con lo que el problema, si bien no sale al exterior, estará en la red interna sin control.

     El filtrado debe ser un elemento integrado con el resto de sistemas que estén manejando el correo electrónico. Colocar dos sistemas distintos de análisis, como puede ser un antivirus y un sistema de filtrado, o un mecanismo de firma corporativa y un filtrado, producirán un retraso inaceptable en la entrega y en el envío del correo electrónico, que si bien puede ser muy poco significativo, puede producir saturaciones puntuales y caídas en la efectividad del servicio de correo.

     El filtrado debe poder hacerse en función de dos parámetros:

• El asunto del mensaje de correo electrónico. Permitiría eliminar drásticamente el "spam" y determinados mensajes publicitarios o los "hoaxes".

• Los ficheros que vayan adjuntos, lo que posibilita limitar ficheros bien por nombre, por extensión o por ambos.

     Mediante el filtro, el administrador del sistema podrá actuar sobre ficheros o mensajes perniciosos, sin tener que detener el servidor de correo ni el firewall y llevar un exhaustivo control de la mensajería entrante y saliente sin interferir en ella.

SEGURIDAD ON LINE, HIGIENE BÁSICA

     A raíz de un artículo anterior, en el que tratamos el tema de la seguridad online, hemos recibido numerosas consultas de lectores que nos preguntan sobre lo que se debe hacer para poder disfrutar con seguridad de nuestra nueva autopista de información doméstica.

     Lo primero sería tener la mínima precaución de instalar en nuestro sistema un software que pueda evitarnos disgustos posteriores. Entre ellos, debemos tener algún programa que sea capaz de detectar si existe algún proceso en nuestro ordenador que pueda suponernos algún peligro, además de avisarnos cuando un fichero peligroso trate de instalarse en nuestro ordenador.

     Este software también debe ser capaz de detectar todo aquello que pueda parecer sospechoso, aún sin tener información previa acerca de ello. Si se conoce al enemigo es fácil verlo, pero ¿si no es así? Por eso, el programa debe ser capaz de localizar comportamientos peligrosos sin que nadie le haya dicho antes que ese código es dañino.

     Además, ese software debe trabajar a muy bajo nivel, es decir, que en cuanto esté entrando algo a través del cable, tiene que "enterarse" de lo que está pasando mucho antes que ningún otro programa y avisarnos. Por ejemplo, en un correo electrónico que se active simplemente con la vista previa, sin necesidad de abrir el mensaje ni los ficheros adjuntos, deberíamos recibir un aviso antes de que el programa lector del correo nos notifique que ha recibido un mensaje.

     Otra característica del programa es que debería ser independiente del resto del software que se utiliza en el equipo. Es decir, que la protección debe ser la misma si navegamos por Internet utilizando Microsoft Internet Explorer, Netscape Navigator u Opera. O si recibo el correo con Eudora, que la protección funcione también en Outlook Express o Pegasus.

     Ha sido difícil no mencionar hasta ahora el tipo exacto de software que necesitamos, pero lo he conseguido. Se trata, simplemente, de un antivirus. Aunque muchas personas crean que estos programas únicamente nos van a proteger de los virus, son también parte fundamental de la protección contra ataques informáticos. Si yo no permito que entre en mi equipo ninguna porción de software, nadie va a poder después lanzar un ataque desde mi sistema, controlar mi equipo o ninguna otra de las tareas predilectas de los crackers.

     Si bien, en principio, los antivirus se diseñan para analizar códigos maliciosos (es decir, el software que entra en el equipo y encontrar en él código peligroso), también sirven para detectar troyanos, puertas traseras, etc. Para ello, bastará con añadirle a su base de datos información sobre dichos aspectos. Si esto se hace así, cuando un hacker quiera introducir su programa en mi equipo debe pasar por el filtro de mi antivirus, que lo detectará y me alertará.

     Otra cosa sería que algún programa instalado en el equipo tuviera algún fallo en su diseño que permitiera, sin introducir nada extraño, servir a las malas artes. En ese caso, la solución suele estar disponible para tapar el agujero antes de que nos demos cuenta. Todas las empresas de software están constantemente actualizando sus productos contra esos posibles errores, así que la mejor solución sería estar al tanto de las últimas actualizaciones e instalarlas.

     En caso de duda, seguro que en la página web del fabricante de, pongamos, su sistema operativo, encontrará abundante información. Simplemente por tener su licencia (porque usted no utiliza software pirata, ¿verdad?) tiene derecho a esas actualizaciones.

     Y ya que hablamos de actualizaciones, debemos recordar que cualquier antivirus debe actualizarse. ¿Cada cuánto? Pues eso depende del fabricante. Cada uno le dirá que debe hacerlo exactamente con la frecuencia que él publique las actualizaciones, pero no podemos perder de vista que si las empresas están encontrando unos 15 nuevos códigos cada día que pueden causarnos problemas, esperar más de dos o tres días para actualizarnos es un correr un riesgo francamente elevado.

     Otra solución bastante común es la instalación de un firewall personal. El firewall estará monitorizando constantemente todos los puertos usados en nuestro ordenador para vigilar su actividad. Podremos hacer que nunca se abra un puerto determinado, o que nos alerte cuando alguien está analizando los puertos que tengamos abiertos.

     Generalmente estas herramientas no son sencillas de configurar, y no suele ser fácil llegar a dominarlas, por lo que no recomiendo su instalación alegremente. Al contrario de lo que se suele hacer, primero estudie bien el manual y después instale y configure según sus necesidades.

     Para poder controlar la seguridad en nuestras conexiones, disponemos de varios sistemas para saber lo que está pasando en nuestro PC en todo momento. Evidentemente, si tenemos un firewall personal y disponemos de un antivirus actualizado, muchas de estas funciones las realizarán estos programas por sí solos.

     Uno de ellos es comprobar los niveles de seguridad en los navegadores. Generalmente, se pueden establecer distintas condiciones de seguridad en la navegación, desde aceptar todo a rechazar prácticamente cualquier cosa que nos pueda llegar. Lo mejor es buscar un equilibrio entre la navegabilidad segura y la no navegabilidad.

     Existe una poderosa herramienta que nos permite controlar qué conexiones tenemos abiertas en nuestro ordenador; se llama NBTSTAT, y nos ofrece información sobre las conexiones que están activas en nuestro PC. Si utilizamos el parámetro "-a" nos mostrará todas las conexiones. Por ejemplo, si tecleo "NETSTAT –A" en mi ordenador, veo lo siguiente:

TCP FCUADRA:1588 WWW.PANDASOFTWARE.COM:80 ESTABLISHED

     Tras TCP, que nos informa sobre el protocolo usado, la primera palabra nos indica el nombre de la máquina local, seguido del puerto que se está usando. A continuación, el sitio al que estoy conectado y su puerto y, por último, si la conexión está establecida.

     Los puertos más usuales son los utilizados por conexiones http (80), correo electrónico (110 y 25), transferencias FTP (21), conexiones a servidores de noticias con NNTP (119) o chat a través de IRC (194). Todos los puertos entre el 0 y el 1.023 están registrados para servicios estándar, y entre el 1.024 y el 49.151 se han asignado a otras funciones no estándar, pero conocidas.

     Sin embargo, los que van del 49.152 al 65535 son dinámicos y se pueden utilizar para muchas cosas distintas, ¡incluso para que un troyano ejecute sus acciones! Si alguna vez observa que hay un puerto abierto con uno de esos números dinámicos, asústese porque algo raro puede estar pasando. En esta dirección se muestra una lista completa de los puertos.

     Por otro lado, los puertos usados por troyanos y demás 'malware' suelen ser muchos y diversos. Por eso, insertar aquí una lista completa ocuparía todo el espacio del artículo. De todas formas, su proveedor de antivirus podrá ayudarle a averiguar si una conexión se ha establecido por un programa de correo electrónico o por un troyano que intenta entrar en su máquina.

     Si hemos llegado a la conclusión de que alguien o algo está conectado a nuestro PC sin nuestro consentimiento, deberíamos inmediatamente cortar la conexión, revisar con el antivirus todo el sistema y volver a conectar. Otra solución, aunque más temeraria, es intentar entrar en la máquina que, presuntamente, nos está atacando, pero podría resultar peligroso. En sus manos queda...