El proceso de publicación y la gestión de un servidor web

Seguridad en entornos de red

Todos sabemos que cada día aumenta el número de redes de ordenadores instalados por todo el mundo y que, además, muchas se conectan a la red Internet, lo cual permite el acceso a un gran volumen de información, posibilidades de búsqueda e investigación, transacciones comerciales, etc. Sin embargo, esto también puede comportar un cierto riesgo hacia nuestra información.

Hay una premisa muy importante que es preciso tener en cuenta: cuando se conecta una red a Internet, se debe proteger de la misma forma que protegemos nuestra casa cerrando la puerta cuando nos vamos. En el ciberespacio hay personas que, ya sea por placer, por intrusismo o por malicia buscan los espacios de red no protegidos para dominarlos, extraer de ellos información privilegiada, destruirla o demostrar simplemente la debilidad de determinados sistemas para cimentar su ego. Estos individuos, denominados hackers, intentan acceder ilegalmente a determinados sistemas con una finalidad concreta..., ¿o son los crackers? Independientemente de quién sea esta persona o grupo de personas, y sea cual sea su motivación, son enemigos potenciales frente a los cuales se deben proteger los sistemas de red.

Por esta razón, se ha implementado una política de seguridad del entorno de red que accede a Internet, y se ha creado una estructura de protección que ayude a solucionar los posibles problemas de seguridad, adaptando en cada caso la protección que mejor se adecue al sistema, pero partiendo de las premisas siguientes:

Determinar en cada caso qué se quiere proteger y qué nivel de seguridad es el más adecuado.

Determinar de quién hay que protegerse, según la complejidad de la infraestructura de red.

Determinar cuáles son los riesgos de perder o comprometer información, o, incluso, valorar en qué medida la implementación de seguridad puede interferir en el funcionamiento general del sistema.

Implementar propiamente los diferentes sistemas de protección, ya sea con palabras de paso, encriptación de ficheros, cortafuegos (firewalls), etc.

Revisar constantemente el sistema de seguridad implementado, para mejorarlo si hace falta y encontrar, en el peor de los casos, el posible origen de su vulnerabilidad.

Determinar cómo proteger la información privada de la pública.

Determinar quién accederá al sistema y con qué privilegios en cada caso.

Existen también diferentes conceptos o componentes para hacer que la política emprendida sobre la seguridad de un sistema sea válida y exitosa:

Las identidades: son los nombres de dominios que se utilizan para diferenciarlos de acuerdo con su importancia.

La autenticación: es el método que utilizan las redes para verificar que una identidad de usuario es la correcta y no ha sido manipulada o no es la que dice ser.

La integridad de las comunicaciones: es el sistema que permite demostrar y verificar que una transacción enviada por el servidor es la misma y que no ha sido modificada durante la transmisión de datos.

La privacidad de las comunicaciones: es el sistema de redes para ocultar un mensaje a toda persona ajena al destinatario. En la mayoría de los casos, se utiliza el sistema de encriptación de datos.

La autorización: es el método por el cual se comprueba que una determinada identidad de usuario puede acceder o no a alguna parte del servidor o a cualquier información con criterios de privilegios, con la finalidad de autorizar el paso o la accesibilidad a diferentes datos u objetos.

La auditoría: es el procedimiento por el cual el propio sistema se encarga de almacenar y gestionar cada una de las transacciones que se han llevado a cabo en su interior, para verificarlas con posterioridad.

En el contexto de la seguridad en Internet, es necesario establecer una serie de conceptos básicos que nos ayuden a comprender por qué y dónde hace falta estar seguros de una transmisión:

Seguridad en el cliente: hace referencia a la seguridad en su propio sistema, y afecta sólo al propio usuario, que es quien está en posesión de la mayor parte del control. En este sentido, pueden configurarse en el cliente diferentes métodos de seguridad a partir de las preferencias de cada navegador.

Seguridad en el servidor: corresponde básicamente a la figura del administrador del sistema cuando implementa los diferentes sistemas de protección de los servidores para, por una parte, evitar el posible acceso no autorizado y, por otra, mantener el rigor y la impermeabilidad de la información contenida.

Conexiones seguras: hace referencia a la seguridad cuando un cliente y un servidor se comunican entre sí. Si la línea de conexión es segura, la garantía de seguridad siempre será mayor, y puesto que las transacciones por medio de la Red son potencialmente inseguras, conviene, en la medida de lo posible, establecer una transmisión segura de los datos.

Transmisiones seguras de datos: se focalizan en los diferentes protocolos que utilizamos, que pueden incorporar distintos métodos de seguridad en la transmisión de datos. Preferentemente hablaremos de la codificación firmas digitales para evitar la posible modificación de la información.