INDICE

BENCHMARKING *

FIREWALLS *

BENCHMARKING

Introducción

El benchmarking es una evaluación comparativa o prueba de referencia para determinar la eficiencia de un sistema. Esta prueba de referencia es por lo general de una computadora o de un dispositivo periférico pero también aplica a organizaciones. Es por tal motivo que resulta imperante separar el benchmarking en dos clases diferentes para un mejor entendimiento:

Benchmarking Administrativo

Se trata de un proceso que estimula cambios y mejoras en las organizaciones en base a información recopilada, midiendo así el desempeño, tanto propio como el de otros. Las principales características son:

• Proceso sistemático, formal y organizado para promover un conjunto de acciones en un orden particular.

• Es continuo porque tiene lugar en un período de tiempo más o menos extenso, para poder demostrar la dinamicidad de las estrategias comerciales o de sus resultantes.

• Permite diagnosticar, medir, comparar y evaluar entre otras cosas los servicios, procesos de trabajo, funciones, etc.

VENTAJAS

• Facilitando el aprendizaje sobre uno mismo y los demás enfocando el estudio de éstos últimos en cómo se prestan o realizan los servicios y no tanto en qué servicio se realiza o se presta.

• Benchmarking puede aplicarse a cualquier organización, institución o establecimiento que produzca resultados similares o no; buscando en su investigación la mejores prácticas comerciales para implementar en las áreas a mejorar.

• Benchmarking parte de una investigación inicial para detectar las empresas que son conocidas en el área examinada y establecer así las mejores de su clase o representantes de las mejores prácticas.

• Todo el análisis previo permite establecer comparaciones organizacionales y determinar las estrategias a seguir hacia el mejoramiento del área en cuestión.

¿CÓMO SE HACE?

¿Puede una organización "aprender de otros"?. La respuesta es "sí", hoy más que nunca debido a las duras condiciones del mercado en nuestro país, necesita hacerlo para lograr una eficiente competitividad. Cuando se decide aplicar una estrategia de calidad Total, tal como un proceso de benchmarking, se están involucrando actividades de:

1. planificación,
2. organización
3. análisis

Todos los puntos anteriores responden a objetivos específicos de aprendizaje, orientados a descubrir, emplear y adaptar nuevas estrategias para las diversas áreas de la organización. Al analizar otras organizaciones se hace una ineludible comparación con la propia, adoptando un nuevo punto de vista, una óptica diferente que hace percibir nuestra organización "desde afuera".

INTRABENCHMARCKING

• Esta situación abre nuestras perspectivas y amplía nuestros horizontes señalándonos una gama de nuevas posibilidades en lo referente a las acciones a seguir para mejorar los servicios, productos o aspectos en estudio.

• En este contexto, el benchmarking se convierte en una herramienta fundamental de búsqueda externa de ideas y estrategias.

• Consideremos que la actividad de benchmarking puede ser también interna. Esta posibilidad se presenta cuando en una organización más de un área, departamento o división llevan a cabo tareas o funciones similares o coincidentes en algunos aspectos.

• Los diferentes grados de eficacia y eficiencia registrados entre distintos sectores de una misma empresa, hace posible la aplicación de procesos de benchmarking internos y descubrir así las "mejores prácticas de la organización". Luego las estrategias detectadas son adaptadas y trasladadas a los sectores que puedan beneficiarse con ellas.

Benchmarking cuantitativo en cómputo

No podemos descartar la idea de benchmarking como punto alejado del computo, de hecho se puede dar el caso de no diferenciar el límite entre la administrativa y la cuantitativa, ya que las dos comparten el mismo fin Evaluar. Cuando se le recomienda a la empresa utilizar el benchmarking en cómputo

• Una empresa hace benchmarking cuando decide mejorar el proceso de su negocio comparándolo con el proceso y las técnicas de mejoramiento de una segunda organización. (Software, equipo, instalaciones)

• Al hacerlo, espera reducir el tiempo que demandan algunas etapas del procesamiento y mejorar la eficiencia de sus actuales procesos. (aplicaciones que no funcionan al 100%, mejoras, nuevas necesidades )

Etapas

Para lograr estos objetivos deberá cubrir cuatro etapas.:

• En la primera, deberá planificar. Los gerentes de división deberán comenzar por elegir los procesos que desean mejorar (por ejemplo, el sistema de distribución), seleccionar la empresa que más se destaque en eso (distribución) y decidir cómo van a medir las diferencias entre los dos procesos. Pero no sin la participación activa del área de sistemas.

• Luego viene la etapa de hacer, en la que se mide el proceso de los otros y luego el propio.(Muchos personas a cargo no revisan adecuadamente y despectivamente se refieren a su competencia, sin darse cuenta que están mejorando un aspecto determinado de su entorno, sistemas, equipo, R.H., etc., el cuál después de un corto tiempo puede ser un dolor de cabeza)

• La siguiente es la etapa de comparar, en el ejemplo de los dos sistemas de distribución, buscando los detalles en los que se es más eficiente. Luego se procura encontrar facilitadores, herramientas, políticas o prácticas de trabajo que conduzcan a una calidad superior. (como Outsourcing, equipo, estrategias, software ). Pueden determinar con toda la información disponible si están haciendo bien o no su trabajo, para desandar el camino antes de que sea tarde con lo que se gana en muchos aspectos(tiempo de desarrollo, contratación de personal, equipo mejor utilizado, etc.,)

• Finalmente, surge la etapa de actuar. Los gerentes adaptan, y en algunos casos mejoran, los procesos del socio observado. (Normalmente se tiene una enseñanza, con la que se puede determinar lo importante a utilizar ya, con más tiempo y lo inútil o no recomendado, por costo o experiencia.)

Tipos de Benchmark en la Computación

La mejor prueba de conteo es el verdadero conjunto de programas de aplicación y archivos de datos que la organización utilizará. Ejecutar una prueba de cotejo en una computadora de usuario único es razonablemente efectivo, sin embargo, obtener resultados significativos de una prueba de cotejo de un sistema multiusuario es una tarea complicada. A menos que el ambiente del usuario final pueda duplicarse con precisión, la prueba de cotejo será de escaso valor. Puede ser más efectivo hallar una organización usuaria con similar ambiente de procesamiento y simplemente controlar la operación . Dentro de las pruebas contamos con las siguientes que son las de mayor relevancia.

1. Linkpack: Un paquete de programas FORTRAN para álgebra lineal numérica, que se usa frecuentemente para crear programas de cotejo destinados a evaluar el rendimiento de una computadora en operaciones de punto flotante.
2. Dhrystones: Un programa para pruebas de evaluación que verifica una mezcla general de instrucciones. Los resultados del programa se expresan en Dhrrystones por segundo, que es la cantidad de veces que el programa puede ser ejecutado en un segundo. Nótese la diferencia con Whestones, que verifica operaciones de punto flotante.
3. Whetstones: Programa de pruebas de evaluación que comprueba las operaciones de punto flotante. Los resultados del programa se expresan en Whetstones por segundo. El Whetstones I comprueba operaciones de punto flotante de 32 bits, y el Whetstones II de 64 bits. Nótese la diferencia con Dhrystones, que comprueba una mezcla general de instrucciones.
4. Khornerstones: Una prueba de cotejo provista por Workstation Laboratories que mide el rendimiento de la CPU, entrada/salida y punto flotante.
5. TPC-C: Es una prueba que se realiza para demostrar la eficiencia de servidores en base al número de clientes que se encuentran conectadas a él y se mide el tiempo en que el servidor los atiende.

Siendo la computación una parte fundamental en diferentes organizaciones, una herramienta cuyo fin primordial es la administración, control, soporte, desarrollo de los medios cibernéticos.

Caso practico

Como parte del presente trabajo ponemos el siguiente caso práctico de benchmarking:

EL SERVIDOR ULTRA ENTERPRISE 4000 DE SUN FIJA UN NUEVO RECORD EN INFORMIX PARA LA PRUEBAS DE "TPC-C BENCHMARK"

Sun, Informix proporcionan el mejor Precio/Rendimiento desde el rango Medio hasta el Terminal en la Clase de Servidores

MOUNTAIN VIEW, Calif. - a 24 de Febrero de 1997 –

• Sun Microsystems, Inc. hoy a anunciado otro récord para su popular línea de servidores Ultra^TM Enterprise^TM.

El sistema Ultra Enterprise 4000, ejecutando el ambiente operativo Solaris^TM , alcanzó un récord de rendimiento para el INFORMIX-OnLine Dynamic Serverprueba "C" del Consejo de Procesamiento de Transacciones (the Transaction Processing Council Benchmark C TPC-C). ^TM en la

• Este resultado, con los números de la prueba líder reportados con el servidor Ultra Enterprise 6000 el mes pasado, le da a Sun el número uno y dos lugares para los sistemas multiprocesamiento simétricos TPC-C symmetrical multiprocessing (SMP), y establece que los servidores Ultra Enterprise proporcionan el mejor rendimiento de la industria en un sólo sistema para aplicaciones de procesamiento de transacciones en línea (OLTP).

• "Servidores Ultra Enterprise de Sun se siguen mejorando -- Ellos continúan fijando récords industriales para el desempeño y el precio/rendimiento," comenta John Shoemaker, vicepresidente y gerente general del Grupo de Servidores Corporativos y Almacenaje de Sun Microsystems Computer Company. "Los Clientes se benefician de la escalabilidad del hardware y el ambiente operativo de Sun, y la aplicaciones - juntos, proporcionando una solución efectiva en costo que es apalancada a través de los grandes entornos corporativos."

• Alcanzando una razón de 15,461.87 TPC-C transacciones por minuto (tpmC), el servidor Ultra Enterprise 4000 sobrepaso los resultados en un sólo nodo del resto de los proveedores de cómputo, incluyendo al Digital's Alphaserver 8400 - y aun reta los números mostrados por IBM's RS6000 cluster. El servidor Ultra Enterprise 4000 también fija un nueva marca en precio/rendimiento de $134 per tpmC. El número en precio/rendimiento es el mejor registrado para servidores desde el rango medio hasta el rango alto (arriba de 10,000 tpmC) ejecutando cualquier RDBMS - retando por más de 25 por ciento los $187 por tpmC marca hecha por un HP 9000 Model K460 Enterprise. Esto también de muestra 50 por ciento mejor precio/rendimiento que los $277 por tpmC alcanzado por el Digital AlphaServer 8400.

• La configuración del sistema de prueba consistió de 14 - 250 MHz procesadores UltraSPARC^TM y 5 gigabytes de memoria con siete sistemas de arreglo de discos SPARCstorage^TM Array^TM 112 y un SPARCstorage Array 210 RSM. El sistema total ejecutando el ambiente operativo Solaris y el servidor INFORMIX-OnLine que estará disponible en Agosto del 1997.

• "OnLine Dynamic Server continua siendo un líder industrial en términos de rendimiento," dijo Tim Shetler, vicepresidente de administración de productos, de Informix. "La más reciente prueba demuestra que el poder de nuestra escalable arquitectura DSA aparecida con los servidores lideres de Sun proporcionan una solución ideal para las grandes aplicaciones de 'data warehousing' y de OLTP."

Dentro de los diferentes ámbitos están los de evaluara las computadoras que tenemos para ver su desempeño y poder decir cual es la mejor, con diversos software se pudieron medir el desempeño de 4 computadoras, diferentes entre cada una de ellas y se compararon los resultados, el software usado es para evaluar el desempeño del bus de datos de la tarjeta madre y el otro para medir el desempeño de las tarjetas de vídeo. El software es ejecutado bajo DOS. En la actualidad hay software de todos tamaños y que miden diferentes cosas, cada uno tan complejo como uno lo necesita.

Las pruebas se realizaron con software gratuito, la prueba del bus se realizo con el programa BUSPERF llamado PC BUS PERFORMANCE ANALIZER hecho por PC-TECH el cual evalúa el desempeño del bus de la motherboard o tarjeta madre, a través de llamadas al IO de la computadora. Mientras que el software para la tarjeta de vídeo se denomina CHRIS ·D Benchmark, el cual fue desarrollado por un estudiante de la universidad de California.

El cual evalúa el desempeño de la tarjeta de vídeo en dos modos (320 X 200 a 256 colores y a 640 X 480 a 256 colores) sacando un promedio con diferentes velocidades que se obtuvieron del CPU de la memoria y de operaciones de punto flotante y consiste en que tan rápido puede asignar texturas a un polígono en movimiento.

Características de las computadoras :

Resultados:

FIREWALLS

Introducción

Es importante tener una política se seguridad de red efectiva y bien pensada la cual pueda proteger la inversión y recursos de información de su compañía. Una política de seguridad de red justifica su uso, si vale la pena proteger los recursos e información que tiene su organización en las redes. La mayoría de las organizaciones tienen información sensible y secretos importantes en sus redes. Esta información debería ser protegida contra el vandalismo del mismo modo que otros bienes valiosos como propiedad de la corporación y edificios de oficinas.

La mayoría de los diseñadores de redes, por lo general, empiezan con la implantación de soluciones de barreras de protección antes de que algún problema de seguridad de red haya sido identificado en forma acertada. Tal vez una razón para esto sea que establecer una política efectiva de seguridad de red signifique formular algunas preguntas difíciles con relación a qué tipos de servicios de trabajo y recursos de Internet va a permitir que tengan acceso los usuarios, y cuáles tendrá que restringir debido a los riesgos de seguridad.

Si sus usuarios tienen un acceso irrestricto a la red, podrá ser difícil adoptar una política que restrinja su acceso.

Debe tener presente que la política de red que debería usar es tal, que no disminuirá la capacidad de su organización.

Una política de red que evita que los usuarios cumplan con sus tareas en forma efectiva, puede tener consecuencias indeseables: los usuarios de la red podrán encontrar formas de ignorar su política de red, convirtiéndola en algo inútil.

Una política de seguridad de red efectiva es algo que todos los usuarios de la red y administradores pueden aceptar, y están dispuestos a reforzar.

Política de seguridad del sitio

Una organización puede tener muchos sitios y cada uno contar con sus propias redes. Si la organización es grande, es muy probable que los sitios tengan diferentes administradores de red, con diferentes metas y objetivos. Si estos sitios no están conectados por medio de una red interna, cada uno de ellos podrá tener sus propias políticas de seguridad de red. Sin embargo, si los sitios están conectados por una red interna, la política de red deberá agrupar las metas de todos los sitios que estén interconectados.

En general, un sitio es cualquier parte de la organización que posee computadoras y recursos relacionados con la red. Dichos recursos incluyen, pero no se limitan a los siguientes:

• Estaciones de trabajo
• Computadoras anfitrión y servidores
• Dispositivos de Interconexión: routers, bridges, etc.
• Servidores de terminal
• Software para red y aplicaciones
• Cables de red
• Información en archivos y bases de datos
• La política de seguridad del sitio debe tomar en cuenta la protección de estos recursos.

¿Qué es un Firewall ?

En términos sencillos, es una barrera colocada entre una red interna y redes exteriores. Su principal objetivo es proteger a la red interna de accesos no autorizados de usuarios en redes externas. Una red externa puede ser cualquier red pública u otra red en la misma organización. El firewall forma parte integral de la Política de Seguridad de la Organización y maneja los riesgos asociados a las redes, controlando y monitoreando los accesos desde otras redes. (ver anexo)

Los firewalls son un tipo de seguridad muy efectiva en redes. Intenta prevenir los ataques de usuarios externos a la red interna. Tiene múltiples propósitos:

• Restringir la entrada a usuarios a puntos cuidadosamente controlados.

• Prevenir los ataques.

• Restringir los permisos de los usuarios a puntos cuidadosamente controlados.

Un firewall es a menudo instalado en el punto donde la red interna se conecta con Internet. Todo tráfico externo de Internet hacia la red interna pasa a través del firewall, así puede determinar si dicho tráfico es aceptable, de acuerdo a sus políticas de seguridad.

Lógicamente un firewall es un separador, un analizador, un limitador. La implementación física varía de acuerdo al lugar. A menudo, un firewall es un conjunto de componentes de hardware como lo puede ser un router, un host o una combinación de routers, computadoras y redes con software apropiado.

Rara vez es un simple objeto físico. Usualmente esta compuesto por múltiples partes y alguna de esas partes puede realizar otras tareas. La conexión de Internet también forman parte del firewall.

Un Firewall es vulnerable, él no protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna.

Un Firewall es la forma más efectiva de conectar una red a Internet y proteger su red.

Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad.

Como una regla podemos decir; que entre más servicios se permita que accesen los usuarios internos en Internet, más riesgo se corre de que un intruso (generalmente un hacker) explote las pequeñas fallas que esos accesos crean. Una manera de restringir el uso interno de las redes es colocar los firewalls de manera interna para proteger las áreas mas vulnerables de la red, como los sistemas financieros y los de recursos humanos.

Las dos principales aproximaciones usadas para construir Firewalls hoy son:

• Filtrado de paquetes.
• Servicio Proxy.

Filtrado de paquetes

El sistema de filtrado de paquetes rutea paquetes entre host internos y externos, pero de manera selectiva. Permite bloquear cierto tipo de paquetes de acuerdo con la política de seguridad de la red. El tipo de ruteo usado para filtra paquetes en un Firewall es conocido como "screening router".

Se puede rutear selectivamente paquetes desde o hacia su sitio:

1. Bloquear todas las conexiones que entran desde sistemas externos, excepto las conexiones SMTP (solo recibirá mails).
2. Bloquear todas las conexiones que provienen de un determinado lugar que se considera peligroso.
3. Permitir servicio de Mail y FTP, pero bloqueando servicios peligrosos como TFTP, RPC, servicios "r" (rlogin, rsh, etc), etc.

Para entender como se filtra un paquete, se necesita conocer la diferencia entre ruteo ordinario y "screening router".

• Un ruteo ordinario simplemente mira la dirección destino de cada paquete y elige el mejor camino que el conoce hacia la dirección destino. La decisión sobre como atender el paquete se basa solamente en el destino del paquete.

• En "screening router", mira el paquete más detalladamente. Además de determinar si el paquete puede ser ruteado o no a la dirección destino, determina si debe o no debe ser ruteado de acuerdo a la política de seguridad. La comunicación entre la red interna y externa tiene una enorme responsabilidad. Realizar el ruteo y la decisión de rutear es la única protección al sistema. Si la seguridad falla, la red interna estará expuesta. Un "screening router" puede permitir o denegar un servicio, pero no puede proteger operaciones individuales dentro del servicio.

Casi todos los dispositivos actuales de filtro de paquetes (enrutadores de selección o compuertas de filtro de paquetes) operan de la siguiente forma:

1. El criterio de filtro de paquete debe almacenarse para los puertos del dispositivo para filtro de paquetes. El criterio de filtro de paquetes se conoce como reglas de filtro de paquetes.
2. Cuando un paquete llega al puerto, los encabezados de los paquetes se analizan. La mayoría de los filtros los campos sólo en los encabezados IP, TCP o UDP.
3. Las reglas del filtro de paquete se almacenan en un orden específico. Cada regla se aplica al paquete en el mismo orden en que la regla del filtro de paquetes se almacenó.
4. Si una regla bloque la transmisión o recepción del paquete, el paquete no se acepta.
5. Si una regla permite la transmisión o recepción de un paquete, el paquete sigue su camino.
6. Si un paquete no satisface ninguna regla, el bloqueado. Es decir aquello que no esté expresamente permitido, se prohibe.

Para las reglas 4 y 5, deberá observar que es importante colocar las reglas en orden correcto. Un error común al configurar las reglas del filtro de paquetes es hacerlo en desorden. Si dichas reglas se colocan en un orden equivocado, podría terminar denegando servicios válidos, mientras que permitiría los servicios que deseable denegar. De sus desventajas que debe haber conocimiento preciso de la red, del transporte y hasta de los protocolos de aplicación. Otro problema es que son susceptibles al engaño IP, el cual consiste en el cambio de direcciones de IP de los encabezados de paquetes hasta que alguno sea aceptado.

Servicio Proxy

Proxy es un sistema intermediario entre hosts internos de una red y los hosts de Internet de forma tal que reciba las requisiciones de unos y se las pase a los otros previa verificación de accesos y privilegios. Este sistema puede correr en hosts "dual-homed" o hosts "bastion" los cuales serán llamados Servidores Proxy.

Los sistemas Proxy son efectivos solo si se utilizan junto a métodos de restricción de tráfico IP entre clientes y servidores reales. De este modo, un cliente no podrá "bypasear" (hacer el pase) el servidor Proxy para comunicarse con un servidor real utilizando este protocolo.

Funcionamiento

• El programa cliente del usuario se comunica con el servidor Proxy enviando pedido de conexión con un servidor real.

• El servidor Proxy evalúa esta requisición y decide si se permitirá la conexión.

• Si el servidor Proxy permite la conexión, envía al servidor real la solicitud recibida desde el cliente. De este modo, un servidor Proxy se ve como "Servidor" cuando acepta pedidos de clientes y como "cliente" cuando envía solicitudes a un servidor real.

• Una vez que establecida la comunicación entre un cliente y un servidor real, el servidor Proxy actúa como un retransmisor pasando comandos y respuestas de un lado a otro.

Un punto importante a tener en cuenta en este tipo de conexión es que es totalmente transparente. Un usuario nunca se entera de que existe un "intermediario" en la conexión que ha establecido.

La comunicación entre el programa cliente y el servidor Proxy puede realizarse de dos formas distintas:

1. Custom Client Software: El cliente debe saber como opera el servidor Proxy, como contactarlo, como pasar la información al servidor real, etc. Se trata de un software cliente standard que ha sido modificado para que cumpla ciertos requerimientos.
2. Custom User Procedures. El usuario utiliza un cliente standard para conectarse con un servidor Proxy y usa diferentes procedimientos (comandos del servidor Proxy) para pasar información acerca del servidor real al cual quiere conectarse. El servidor Proxy realiza la conexión con el servidor real

Tipos de servidores Proxy

Existen dos tipo básicos de servidores Proxy. Estos son:

1. Servidor Proxy de Aplicación: Es un servidor que conoce sobre una aplicación en particular y provee servicios Proxy para ella. Residen en el firewall actuando como servidores y clientes. Entiende e interpreta comandos de un protocolo en particular. Trabajan en la capa de aplicación. Con este tipo de servidores es necesario contar con uno de ellos para cada servicio. A veces el Proxy tiene problemas con el manejo de UDP´s, que muchas aplicaciones multimedia y aplicaciones de colaboración la utilizan. Recibe también el nombre de servidor Dedicado.
2. Servidor Proxy de insepección de estado: Actúa de forma transparente entre las redes internas y externa, inspeccionando los paquetes en la capa de enlace de datos o de red mientras estos pasan, aquí se actúa d3e manera mas sofisticado que un simple filtro de paquetes (estos solo checan las direcciones de origen y de destino), esto se debe a que se puede llevar el conteo de las sesiones entre un cliente y un servidor de manera inteligente. El firewall permitirá que una respuesta regrese desde un servidor sólo si se ha hecho una petición autorizada desde el cliente.

Ventajas

Las ventajas de utilizar servidores Proxy son:

0. Permite a los usuarios acceder a los servicios de Internet ocultando totalmente la red interna.
1. Permite un buen servicio de logs a nivel de cada aplicación. Debido a que todo el tráfico pasa a través del servidor Proxy se puede registrar gran cantidad de información con fines de auditoria y seguridad.
2. Proveen soporte para un conjunto grande de protocolos.

Desventajas

Las desventajas de utilizar servidores Proxy son:

0. A menudo se requiere la modificación del software cliente.
1. Hay software que esta disponible solo para ciertas plataformas: Por Ej: IGATEWAY es un package Proxy para FTP y TELNET de SUN que corre SOLO sobre SUN. La disponibilidad de estos tipos de paquetes a menudo no es inmediata.
2. En el caso de servidores Proxy de Aplicación se requiere un servidor Proxy para cada servicio.
3. Algunos servicios no son viables para trabajar con servidores Proxy (nuevos protocolos y servicios como realaudio) o difícil implementación.
4. El uso de servidores Proxy introduce algún retardo en las comunicaciones. Decrementa el rendimiento de la red.
5. Los servidores Proxy de circuitos no brindan control especifico sobre las aplicaciones

Qué puede hacer un Firewall ?

Un Firewall es un punto de decisiones de seguridad

Todo tráfico de entrada y salida pasa a través de un único punto de chequeo. Un Firewall provee varios niveles de seguridad porque el concentra sus medidas de seguridad en este único punto, donde se conecta la red con Internet.

Enfocar su seguridad de esta manera es más eficiente que expandir sus decisiones de seguridad. Aunque los Firewall son costosos, muchos sitios encontraron que concentrando la seguridad de hardware y software en un Firewall es menos caro y más efectivo que otros mecanismos de seguridad.

Un Firewall puede exigir políticas de seguridad

Algunos servicios que la gente utiliza en Internet son inseguros. El Firewall es un "policía de tránsito" para esos servicios. El impone la política de seguridad de la red, permitiendo solo algunos servicios con sus reglas.

Un Firewall puede ser llamado para ayudar a reforzar políticas más complicadas. Por ejemplo, ciertos sistemas con Firewall solo permiten transferir archivos de y hacia Internet, pero usando otro mecanismo de control, se puede determinar que usuarios tienen esa capacidad.

Dependiendo de la tecnología que se elija para implementar un Firewall, este debe tener cierta capacidad para reforzar sus políticas.

Un Firewall puede eficientemente registrar la actividad en Internet

Como todo el tráfico pasa a través del Firewall, este provee una buena forma de recolectar información sobre el uso del sistema y de la red. El puede registrar que ocurrió entre la red protegida y la red externa.

Un Firewall limita su exposición

Un Firewall puede ser usado para proteger una sección de otra dentro de su red. Un problema en una sección puede extenderse a toda la red, por lo tanto la existencia de Firewall limita los daños que un problema de seguridad de la red pueda causar a toda la red.

Qué no puede hacer un Firewall ?

Los firewalls ofrecen excelente protección a posibles amenazas, pero no son una solución completamente segura. Ciertas amenazas están fuera del control del Firewall.

Un Firewall no puede proteger acciones ilegales de los usuarios internos

Un firewall puede tener un sistema de usuarios capaz de enviar información privada fuera de la organización sobre una conexión de red; pero podría simplemente no tener una conexión de red.Pero el mismo usuario puede copiar datos en disco, tape, papel y enviarlo fuera de su compañía en su portafolios.

Si el ataque es realmente dentro de firewall, un firewall puede virtualmente notarlo. Los usuarios internos pueden robar datos, dañar hardware y software y modificar programas cerca del firewall. Las amenazas internas requieren una seguridad interna, tal como un host de seguridad y educación a los usuarios.

Un Firewall no puede proteger las conexiones que no pasan por él

Un firewall puede efectivamente controlar el tráfico que pasa a través de él, pero no el que no pasa. Un firewall no tiene forma de prevenir intrusos que se comunican a través de un modem.

Un Firewall no puede enfrentar completamente nuevas amenazas

Un firewall está diseñado para proteger amenazas conocidas. Sólo un buen diseñador puede también protegerse de nuevas amenazas. Por lo tanto un firewall no puede automáticamente defenderse cuando sucede un nuevo ataque.

Periódicamente la gente descubre nuevas formas de ataque. No se puede poner un firewall y creer que se está protegido para siempre.

Un Firewall no puede protegerse de los virus

Los firewalls no pueden mantener virus de una PC fuera de la red. Algunos firewalls escanean todo el tráfico que pasa a través de él a la red interna; el escaneo es al menos de la dirección de origen y del destino. Con sofisticados filtrados de paquetes o proxy, la protección de virus en firewalls no es muy práctico. Existen simplemente algunos tipos de virus y algunas formas de virus que pueden ocultarse en los datos.

Detectar virus en un paquete al azar de un dato pasando a través del firewall es muy dificultoso, esto requiere:

• Reconocer que el paquete es parte de un programa.

• Determinar a que programa se parece.

• Determinar que el cambio es debido a un virus.

La forma más práctica de atacar el problema de los virus, es a través de la protección del software y de la educación de usuarios de manera practica, ya se están integrando programas antivirus dentro de los firewalls, pero de denigra el rendimiento de la red.

Arquitecturas de Firewalls

Dual-Homed Host Arcuitecture

Una dual-homed host architecture esta construida como un host dual-homed, una computadora con dos interfaces de red. Tal host actúa como router entre las dos redes que el conoce, es capaz de rutear paquetes IP desde una red a otra. Pero los paquetes IP de una red a la otra no son ruteados directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos. El dual-homed host puede proveer varios niveles altos de control.

Screened Host Architecture

Esta arquitectura provee servicios desde un host que está en la red interna, usando un router separado. La principal seguridad está dada por el filtrado de paquetes.

Un host Bastion esta situado en la red interna. Los paquetes filtrados por el "screening router" son checados de tal manera que el host bastion es la única máquina de la red interna a la que los host de Internet pueden abrir conexiones ( por ejemplo un deliver incoming email). Solo cierto tipo de conexiones con permitidas. Cualquier sistema externo que intente acceder al sistema interno deberá conectarse con este host. El host Bastion necesita entonces tener un alto nivel de seguridad.

El filtrado de paquetes también deben permitir al host Bastion abrir conexiones al mundo exterior. La configuración del filtrado de paquetes en un "screening router" debe hacerse como sigue:

1. Permitir a otros host internos conexiones con otros hosts de Internet para ciertos servicios (permitiendo esos servicios con paquetes filtrados)
2. No permitir todas las conexiones desde hosts internos (forzar a esos hosts a usar el servicio de proxy vía el host bastión)

Se puede mezclar y comparar estas aproximaciones para diferentes servicios: algunos pueden ser permitidos directamente filtrando paquetes, mientras que otros directamente vía proxy.

Existen algunas desventajas; la principal es que si un ataque rompe el host bastion, esto no es notado por la red interna. El router también presenta un punto de falla. Si el router está comprometido, la red entera está disponible para ser atacada.

Screened Subnet Architecture

Es la arquitectura más popular. Agrega un nivel extra de seguridad que la arquitectura "screened host", agregando un perímetro a la red, que aísla fuertemente la red interna de Internet.

Los hosts bastiones son las máquinas más vulnerables en la red. Aunque se esfuerce en protegerse, estas son las máquinas que pueden ser atacadas, porque ellas son las máquinas que son vistas por la red externa. Si su red interna es muy abierta, es un objetivo tentador. No hay otra defensa entre esta máquina y las máquinas internas. Al aislar el host bastion en un perímetro, se puede reducir el impacto de atacar al host bastion.

Esta arquitectura tiene dos "screening router", cada uno conectado al perímetro. Uno esta situado entre el perímetro y la red interna y otro entre el perímetro y la red externa. Para destruir la red interna con este tipo de arquitectura, el atacante debe pasar por ambos routers.

Si un atacante logra destruir al host bastion, deberá lograr pasar por el router interno.

Algunos sitios crearon una serie de perímetros entre el mundo externo y la red. Los servicios más peligrosos son pasados de los perímetros más externos a los más internos. La idea es que un ataque a una máquina en el perímetro más externo tendrá una tarea ardua para atacar a las máquinas internas porque deberá atacar todos los niveles de seguridad de todos los demás perímetros.

1. Perímetro: Es un nivel de seguridad, una red adicional entre la red externa y la interna. Si un ataque logra romper el firewall más externo, el perímetro ofrecerá un nivel adicional de protección entre la red interna y el atacante.
2. Host bastion: Situado en perímetro, este host es el punto de contacto para establecer comunicación desde el mundo exterior.
3. Router exterior: Situado entre le mundo externo y el perímetro. Realiza un filtrado de paquetes. La regla de filtrado de paquetes debe ser esencialmente la misma en ambos routers. Las reglas de filtrado de paquetes son las que protegen las máquinas del perímetro ( el host bastion y el router interno ); por lo tanto no es necesario una protección muy fuerte, porque los hosts del perímetro son hosts de seguridad
4. Router Interior: Ubicado entre la red interna y el perímetro. Este router no realiza el principal filtrado de paquetes. El permite seleccionar servicios de la red interna.Los servicios que este router permite entre el host bastion y la red interna no necesariamente son los mismos que permite el router externo. La razón para limitar los servicios entre el host bastion y la red interna es que reduce el número de máquinas que pueden ser atacadas desde el host bastion.

Como dato curioso en Estados Unidos existen 2 bancos pioneros en Home Banking que reciben aproximadamente 2500 ataques mensuales de hackers.

La mayor parte los firewalls pueden manejar sin problema paquetes al transportar HTTP, SMTP y NNTP, m}as sin embargo ya los firewalls actuales han podido superarse, los usuarios demandan soporte para nuevos servicios y protocolos como las aplicaciones distribuidas. Las redes en la actualidad enfrentan riesgos a causa de aplicaciones en JAVA que se bajan de Internet y que pueden afectar a la computadora además de virus que se asocian a los mensajes de correo electrónico o archivos transferibles. Un enfoque sencillo pero ineficaz es detener todos los archivos y pequeñas aplicaciones JAVA, un producto que previene lo anterior es el Norton Antivirus for Firewalls de Symantec.

Las aplicaciones multimedia y de colaboración, como RealAudio (prgressive Networks), Netmeeting (Microsoft) a menudo usan UDP para poder funcionar adecuadamente, el UDP no distingue entre paquetes de petición y de respuesta, debido a que los paquetes UDP son "caballeros" respecto a los puertos que usan, los firewalls deben ser muy inteligentes para manejarlos. Los firewalls que manejan la inspección de estado monitorean, por lo general, el canal de control TCP para determinar qué puerto UDP debe permitir para la sesión, los proxy basados en aplicación necesitan proxis especiales que por lo general únicamente contemplan el uso de RealAudio

Las redes privadas virtuales son un enlace remoto a través de Internet, usando su infraestructura para conectar dos oficinas de una organización o de dos diferentes y se usan firewalls para suy protección. Con el acceso remoto, el usuario llama a su PSI local, y luego se conecta a us red a través de Internet. El protocolo Point to Point Tunneling (por Microsoft y Ascends) y el Layer Two Forwarding también conocido como LF2 (CYSCO) se combinaron y dieron lugar al protocolo Layer Two Tunneling conocido como L2TP, con el fin de ser viable la conexión remota, con este estándar se permite que el proceso de autentificación y de autorización sea trasladado desde el ISP hacia el servidor localizado en cualquier parte de Internet y de esta manera puede implementarse un firewall.

Como las VPN´s usan una combinación de autentificación, codificación e integridad de mensajes para crear la conexión a través de Internet. Los métodos de autentificación van desde la sencilla autentificación del nombre de usuario hasta las tarjetas de seguridad como la de SecureID de Security Dynamics.

BIBLIOGRAFIA

Libros

"REDES DE COMPUTADORES"

Uyless Black

Addison-wesley

Revistas

PC MAGAZINE EN ESPAÑOL

Volúmen 8 número 7

Sección de redes

PC MAGAZINE EN ESPAÑOL

Volúmen 9 número 1

Sección de redes

Ligas de internet:

http://www.penta.ufrgs.br/gereseg/unlp/t12home.htm

http://www.cisco.com/warp/public/751/pix/_sp_pie_ds.htm

http://www.add.es/html/body_firewall_scanner.html

http://www.seidor.es/seidor/isp/seguridad.htm

http://netecsa.com/bwfs/introseguridad/default.htm

http://www.fics.edu.pe/articulos/info5/firewall.htm

http://www.nuia.com.ar/nuia37/FIREWALL.HTM

http://www.nalejandria.com/00/colab/bench2.htm

http://www.nalejandria.com/00/colab/bench3.htm

http://gente.pue.udlap.mx/~jtambore/benchmarking/benchmarking.html

http://www.sun.com.mx/noticias/sap_sun_rec2.html

http://www.sun.com.mx/noticias/tpc_informix2.html

http://www.goyanet.com.ar/1000sitiosweb/com/SHAR003.HTM