El Paraíso y el Infierno en Internet

José M. Piquer

``...
algo, en definitiva, que le haría recobrar el paraíso tres o cuatro veces al día, mientras se detenía frente a la vitrina de alguna agencia de viajes, con afiches de un pueblo perdido al final de una playa, o recorría las calles del suburbio al salir del trabajo. Un paraíso de bolsillo, personal e intransferible, en donde no habría necesidad de amor, de palabras, de gestos, una especie de nirvana en que estaría, como ahora, cabeceando lentamente en busca de las figuritas del país de nunca jamás; perfecta, definitvamente sola.
-- Heroína -- repetí.
gif

Frente a Internet, las reacciones son diversas, desde el pánico total (a terroristas y a pornógrafos) hasta la adicción total (de alumnos y oficinistas). En realidad, las dos posturas son correctas, puesto que, al igual que en la vida, el paraíso y el infierno están muy cerca el uno del otro.

Lo que hay que hacer es aprender a vivir en esta jungla, y emular lo que en la vida se conoce como sexo seguro, es decir, divertirse sin correr demasiados riegos. Al igual que en la vida, la seguridad tiene un costo, y siempre implica perderse parte de la diversión.

En Internet, las organizaciones deben elegir su forma de conexión, según los riesgos que están dispuestos a correr y la funcionalidad que quieren obtener. Lo importante es tomar la decisión en conciencia.

En un comienzo, la forma más sencilla de conectarse es como cliente conmutado. Sin embargo, pronto la institución misma quiere conectar su red corporativa a Internet, proveyendo servicios. Ese es el punto de quiebre en la historia, puesto que estamos abriendo las puertas de la institución a usuarios externos.

>Cómo protegerse? >Cuánto protegerse? Siempre encontrará un proveedor que le venda un corta fuegos ( firewall) y le prometa que con eso está seguro y no hay nada más de qué preocuparse. Sin embargo, sin entender bien cómo funciona, y configurarlo específicamente para sus necesidades, un corta fuegos puede transformarse en una trampa mortal para la institución, o en una ilusión de seguridad que puede ser aún más peligrosa.

El concepto de un corta fuegos es muy simple: se trata de aislar la red corporativa de la red externa. De hecho, muchas instituciones diseñan estas soluciones para conectarse a Internet y descubren que en realidad requerían de esa solución mucho antes, desde que están conectados a redes externas (públicas o privadas) que no le pertenecen a la institución.

Claro que con dos redes completamente aisladas, no estamos ayudando mucho a la conectividad. El corta fuegos se configura entonces para proveer algunos servicios hacia la red externa y también hacia la red interna, de modo de permitir interacción de algunas aplicaciones. Los paquetes IP mismos, no se rutean a través del corta fuegos, pero hay un servidor (que se conoce en general como un servidor proxy) en él que hace de cliente hacia afuera y de servidor hacia adentro (ver figura). Se requiere de un servidor para cada aplicación externa que queremos que sea alcanzable desde dentro de la organización. Desde fuera de la organización, el único host visible es el corta fuegos.

Este método es mucho más seguro y simple que usar listas de control de acceso en los routers, donde se discrimina a nivel de paquetes, sin saber de qué aplicación realmente se trata. Por ejemplo, supongo que el port 25 TCP es mail, sin embargo basta con poner un servidor telnet en el port 25 de alguna estación de trabajo, para tener acceso a login remoto sin que ningún router pueda darse cuenta. Al tener un corta fuegos, nadie puede pasarlo sin cambiar configuraciones en él.

Lo que hay que tener claro, es que el asunto no es trivial. No basta con comprar un software plug-and-play y estar en Internet. Hay que tener un grupo humano que entienda lo que está haciendo, y discutir como organización los servicios que se busca tener. Es fácil definir que no habrá login remoto de fuera de la red, pero es difícil argumentar eso al gerente que en InterOp no pudo conectarse a su cuenta!

Hablando de login remoto, el 80 porciento de los ataques exitosos en Internet provienen de passwords adivinadas. Y frente a eso, no hay router ni corta fuegos que ayude. Se requiere un sistema institucional de claves de un solo uso, que sean inmunes a captura en la red.

En resumen, la tecnología existe, pero se requiere de ingeniería para adaptarla a cada institución. La configración del software hecha en el fabricante no puede considerarse confiable, porque es demasiado general.





Jose' Piquer
Sun Mar 24 10:25:06 CST 1996