viernes, 12 de abril de 2013

PROBLEMAS COMUNES EN EL PROCESO DE APAGADO DE WINDOWS XP


Al intentar apagar su Sistema Operativo puede que presentealgunos de los siguientes defectos:
* El equipo deja de responder y se bloquea
* Recibe un mensaje similar al siguiente: “Ahora puede apagar su equipo con seguridad”
* El equipo se reinicia cuando se le ordena apagar el  equipo
* Windows XP se reinicia inesperadamente
* Durante una actualización del sistema operativo, Windows no detecta que el equipo es compatible con ACPI.


SOLUCIONES

Configurar correctamente su HAL y su BIOS 

 Verificar si se tiene una Fuente AT ó Fuente ATX: Para ello basta con hacer una inspección a la caja donde se encuentra la mainboard y compruebe que tipo de conector llega desde la fuente a la Board.
Si tiene Fuente ATX: Configuraremos el sistema para que apague automáticamente.  Verificaremos la HAL correcta y de no ser así, instalaremos la indicada : Inicie Windows, Click en Inicio > Panel de control > doble click en Sistema > Click en la pestaña Hardware > Click en el botón Administrador de dispositivos

> Ahora expanda la lista de Equipo. * Si debajo de Equipo, aparecen alguna de las siguientes HAL:

- Interfaz avanzada de configuración y energía (ACPI)
- Monoprocesador ACPI de PC
- Equipo multiprocesador ACPI
- Multiprocesador Compaq SystemPro o 100% compatible
- Equipo compatible con Advanced Configuration and Power Interface (ACPI)




Windows pareciera estar instalado con la HAL correcta. No necesitará cambiar la HAL. A continuación verifique en el  BIOS la Configuración de Energía Correcta:
1. Configuraremos en el BIOS la Administración de Energía correcta : Reinicie el equipo y entre al BIOS  (usando la tecla Supr ó Delete ó F1, dependiendo de cual sea la tecla con la que ingresa al BIOS) y asegúrese de que la configuración en el BIOS para Power ó Power Management, estén seleccionadas las siguientes opciones (dependiendo de su BIOS, puede que solo aparezca una de las opciones aquí listadas)

Power Management: ACPI/APM ó ACPI
Power Management/APM: Yes
ACPI Aware OS: Yes
APM Aware OS: Yes

2. Luego salga ("Exit"), Guarde los cambios ("Exit saving changes") e inicie Windows.
* Pero si en cambio, aparece alguna de las siguientes HAL, necesitará cambiar la HAL para que el apagado se realice correctamente:
- PC estándar
- Equipo monoprocesador MPS
- Equipo multiprocesador MPS



Si el suyo es el último caso, por lo que debe cambiar de HAL, realice estos pasos:
1. Click en Inicio > Panel de control > Doble click en Sistema > Click en la pestaña Hardware > Click en el botón Administrador de dispositivos > Ahora expanda la lista de Equipo
2. Click derecho sobre el único ítem dentro de Equipo y de click en Actualizar controlador 3. (sólo si le hace esta pregunta) A la pregunta Desea que Windows se conecte a Windows Update para buscar software?, marque No por el momento y click en Siguiente.
4. A la pregunta Que desea que haga el asistente, marque Instalar desde una lista u ubicacion específica (avanzado) y click en Siguiente.
5. Ahora en Elija sus opciones de búsqueda e instalación, marque No buscar. Seleccionaré el controlador que se va a instalar. y click en Siguiente.
6. En la lista que se mostrará, marque alguna de las siguientes opciones: Interfaz avanzada de configuración y energía (ACPI) ó Equipo compatible con Advanced Configuration and Power Interface (ACPI) y click en Siguiente.
7. Una vez termina de instalar el nuevo software de la HAL, click en Aceptar y click en reiniciar el equipo cuando se le pregunte (para que los cambios se apliquen).
I M P O R T A N T E    No inicie Windows aún, primero efectúe el siguiente paso:

8. Configuraremos en el BIOS la Administración de Energía correcta : Entre al BIOS (usando la tecla Supr ó Delete ó F1, dependiendo de cual sea la tecla con la que ingresa al BIOS) y cambie la configuración en el BIOS para Power ó Power Management, seleccione las siguientes opciones (dependiendo de su BIOS, puede que solo aprezca una de las opciones aquí listadas)

Power Management: ACPI/APM ó ACPI
Power Management/APM: Yes
ACPI Aware OS: Yes
APM Aware OS: Yes

Luego salga ("Exit"), Guarde los cambios ("Exit saving changes") e inicie Windows.
9. Una vez se inicie su sistema, el sistema detectará, instalará y configurará automáticamente todos los dispositivos de su sistema para que concuerden con la nueva HAL. Aunque en la mayoría de casos NO es así, es posible que se le pidan instaladores de algunos dispositivos (tenga a la mano el CD de XP y drivers de su sistema). Apenas concluya de instalar, es posible que el sistema le pida reiniciar el equipo de nuevo, hágalo. A partir de ahora el equipo se apagará automáticamente.


Si tiene Fuente AT: Configuraremos el sistema para que apague manualmente. 

Verificaremos la HAL correcta y de no ser así, instalaremos la indicada : Inicie Windows  Click en Inicio > Panel de control > Doble click en Sistema > Click en la pestaña Hardware > Click en el botón Administrador de dispositivos > Ahora expanda la lista de Equipo  * Si debajo de Equipo, aparecen alguna de las siguientes HAL:
- PC estándar
- Equipo monoprocesador MPS
- Equipo multiprocesador MPS

Windows pareciera estar instalado con la HAL correcta. No necesitará cambiar la HAL. A continuación erifique en el BIOS la Configuración de Energía correcta:
1. Configuraremos en el BIOS la Administración de Energía correcta : Reinicie el equipo y entre al BIOS (usando la tecla Supr ó Delete ó F1, dependiendo de cual sea la tecla con la que ingresa al BIOS) y asegúrese de que la configuración en el BIOS para Power ó Power Management, esten seleccionadas las siguientes opciones (dependiendo de su BIOS, puede que solo aparezca una de las opciones aquí listadas)

Power Management: Disabled
Power Management/APM: No
ACPI Aware OS: No
APM Aware OS: No

2. Luego salga ("Exit"), Guarde los cambios ("Exit saving changes") e inicie Windows. * Pero si en cambio, aparece alguna de las siguientes HAL, necesitará cambiar la HAL para que el apagado se realice correctamente:
- Interfaz avanzada de configuración y energía (ACPI)
- Monoprocesador ACPI de PC
- Equipo multiprocesador ACPI
- Multiprocesador Compaq SystemPro o 100% compatible
- Equipo compatible con Advanced Configuration and Power Interface (ACPI)


Si el suyo es el último caso, por lo que debe cambiar de HAL, realice estos pasos:
1. Click en Inicio > Panel de control > Doble click en Sistema > Click en la pestaña Hardware > Click en el botón Administrador de dispositivos > Ahora expanda la lista de Equipo
2. Click derecho sobre el único ítem dentro de Equipo y de click en Actualizar controlador
3. (sólo si le hace esta pregunta) A la pregunta Desea que Windows se conecte a Windows Update para buscar software?, marque No por el momento y click en Siguiente.
4. A la pregunta Que desea que haga el asistente, marque Instalar desde una lista u ubicación específica (avanzado) y click en Siguiente.
5. Ahora en Elija sus opciones de búsqueda e instalación, marque No buscar. Seleccionaré el controlador que se va a instalar. y click en Siguiente.
6. En la lista que se mostrará, marque la siguiente opción:  PC estándar y click en Siguiente.
7. Una vez termina de instalar el nuevo software de la HAL, click en Aceptar y click en reiniciar el equipo cuando se le pregunte (para que los cambios se apliquen).
I M P O R T A N T E No inicie Windows aún, primero efectúe el siguiente paso:
8. Configuraremos en el BIOS la Administración de Energía correcta : Entre al BIOS (usando la tecla Supr ó Delete ó F1, dependiendo de cual sea la tecla con la que ingresa al BIOS) y cambie la configuración en el BIOS para Power ó Power Management, seleccione las siguientes opciones (dependiendo de su BIOS, puede que solo aparezca una de las opciones aquí listadas)

Power Management: Disabled
Power Management/APM: No
ACPI Aware OS: No
APM Aware OS: No

Luego salga ("Exit"), Guarde los cambios ("Exit saving changes") e inicie Windows.
9. Una vez se inicie su sistema, el sistema detectará, instalará y configurará automáticamente todos los dispositivos de su sistema para que concuerden con la nueva HAL. Aunque en la mayoría de casos NO es así, es posible que se le pidan instaladores de algunos dispositivos (tenga a la mano el CD de XP y drivers de su sistema). Apenas concluya de instalar, es posible que el sistema le pida reiniciar el equipo de nuevo, hágalo.

A partir de ahora el equipo mostrara un aviso en el sentido de que Puede apagar el equipo. Apague usando el botón de encendido de su Caja AT.



Activando compatibilidad APM (sólo XP)

* Click derecho en el escritorio de Windows, Click en la opción Propiedades, click en la pestaña Protector de pantalla, click en el botón Energía, click en la pestaña APM, marca la casilla habilitar la compatibilidad con la administración avanzada de energía y click en Aceptar
* Reinicia para aplicar los cambios.
* Una vez cargue Windows debemos darle en Apagar el Equipo para probar si funcionó la solución.

Configurando en el Registro de Windows (sólo si su fuente es ATX) 

 Si su equipo solía apagarse automáticamente, y ahora no lo hace, debemos hacer algunos cambios en el Registro de Windows. Estos pasos solo funcionan si su Fuente de Alimentación es ATX
* Click en el botón Inicio, Click en Ejecutar, escribe lo siguiente: Regedit y click en Aceptar
* Ahora estaremos en el registro de Windows:
1. Ve a la siguiente clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon

























Publicado por en No hay comentarios:

Pequeña solución para Internet Explorer lento.

si

¿Internet Explorer funciona con lentitud? Puedes probar estas cuatro cosas

Actualizar a una versión más reciente de Internet Explorer

     1Descarga una versión más reciente de Internet Explorer y podrás experimentar una navegación web más rápida y con mayor capacidad de respuesta. Si estás utilizando Windows 7 oWindows Vista, descarga Internet Explorer 9. Si estás utilizando Windows XP, descarga Internet Explorer 8.

2

Restablecer configuración de Internet Explorer

Si Internet Explorer deja de responder o funcionar, o si encuentras errores que indican queInternet Explorer necesita cerrarse, o si la exploración es muy lenta, es posible que debas restablecer la configuración de Internet Explorer. Al restablecer la configuración de Internet Explorer, básicamente vuelves a usar una versión nueva de Internet Explorer.
Para restablecer la configuración de Internet Explorer de manera automática, ejecuta la herramienta de corrección de configuración de Internet Explorer.

Para ejecutar la herramienta de corrección de configuración de Internet Explorer

  1. Haz clic en el botón siguiente:
    Botón de corrección de MicrosoftSolucionar este problema
  2. Si se te pregunta si deseas ejecutar o guardar el archivo, haz clic en Ejecutar y sigue los pasos del asistente.

    3Comprueba tu conexión a Internet

    La lentitud en la conexión a Internet se puede deber a varios factores, como el tipo de conexión, la presencia de spyware, virus y otros programas, o a factores externos, como una alta densidad de tráfico en un sitio web.

    4

    Deshabilitar complementos

    Si bien los complementos del explorador pueden mejorar tu experiencia en línea, ocasionalmente pueden interferir u ocasionar conflictos con otras herramientas de software de tu equipo. Intenta iniciarInternet Explorer sin complementos para comprobar si el problema se soluciona.
    Si al deshabilitar los componentes se soluciona el problema, deberías considerar usar la herramienta de administración de complementos (en el menú Herramientas) para desactivar todos los complementos y activarlos únicamente a medida que los uses. Esto te permitirá identificar el complemento que está causando el problema.
    Para deshabilitar automáticamente los complementos, ejecuta la herramienta de corrección de complementos de Internet Explorer.

    Para ejecutar la herramienta de corrección de complementos de Internet Explorer

    1. Haz clic en el botón siguiente:
      Botón de corrección de MicrosoftSolucionar este problema
    2. Si se te pregunta si deseas ejecutar o guardar el archivo, haz clic en Ejecutar y sigue los pasos del asistente.
    Para obtener más información acerca de los complementos:
Publicado por en No hay comentarios:

Categorías de soporte comunes.


La esencia del soporte informativo es ayudar a que los usuarios resuelvan los problemas con los que se encuentran. Con frecuencia se le llama solución de problemas.

Las causas de los problemas caen en diferentes categorías, y uno de los primeros pasos en la solución de los mismos, es identificar a que categoría es probable que pertenezca la falla. Se pueden dividir en las siguientes categorías:

Mantenimiento correctivo.
Este mantenimiento también es denominado “mantenimiento reactivo”, tiene lugar luego que ocurre una falla o avería, es decir, solo actuará cuando se presente un error en el sistema. En este caso si no se produce ninguna falla, el mantenimiento será nulo, por lo que se tendrá que esperar hasta que se presente el desperfecto para recién tomar medidas de corrección de errores. Este mantenimiento trae consigo las siguientes consecuencias:

·         Suspensiones no previstas en el proceso productivo, disminuyendo las horas operativas.
·         Afecta las cadenas productivas, es decir, que los ciclos productivos posteriores se verán detenidos a la espera de la corrección de la etapa anterior.
·         Presenta costos por reparación y repuestos no presupuestados, por lo que se dará el caso que por falta de recursos económicos no se podrán comprar los repuestos en el momento deseado. La planificación del tiempo que estará el sistema fuera de operación no es predecible.

Mantenimiento preventivo.
Este mantenimiento también es denominado “mantenimiento planificado”, tiene lugar antes de que ocurra una falla o avería, se efectúa bajo condiciones controladas sin la existencia de algún error en el sistema. Se realiza a razón de la experiencia y pericia del personal a cargo, los cuales son los encargados de determinar el momento necesario para llevar a cabo dicho procedimiento; el fabricante también puede estipular el momento adecuado a través de los manuales técnicos.

Presenta las siguientes características:

·         Se realiza en un momento en que no se está produciendo, por lo que se aprovecha las horas ociosas de la planta.
·         Se lleva a cabo siguiente un programa previamente elaborado donde se detalla el procedimiento a seguir, y las actividades a realizar, a fin de tener las herramientas y repuestos necesarios “a la mano”.
·         Cuenta con una fecha programada, además de un tiempo de inicio y de terminación preestablecido y aprobado por la directiva de la empresa.
·         Está destinado a un área en particular y a ciertos equipos específicamente. Aunque también se puede llevar a cabo un mantenimiento generalizado de todos los componentes de la planta.
·         Permite a la empresa contar con un historial de todos los equipos, además brinda la posibilidad de actualizar la información técnica de los equipos.
·         Permite contar con un presupuesto aprobado por la directiva.

Mantenimiento predictivo.
Consiste en determinar en todo instante la condición técnica (mecánica y eléctrica) real de la máquina examinada, mientras esta se encuentre en pleno funcionamiento, para ello se hace uso de un programa sistemático de mediciones de los parámetros más importantes del equipo. El sustento tecnológico de este mantenimiento consiste en la aplicaciones de algoritmos matemáticos agregados a las operaciones de diagnóstico, que juntos pueden brindar información referente a las condiciones del equipo. Tiene como objetivo disminuir las paradas por mantenimientos preventivos, y de esta manera minimizar los costos por mantenimiento y por no producción. La implementación de este tipo de métodos requiere de inversión en equipos, en instrumentos, y en contratación de personal calificado.

Técnicas utilizadas para la estimación del mantenimiento predictivo:

·         Analizadores de Fourier (para análisis de vibraciones)
·         Endoscopia (para poder ver lugares ocultos)
·         Ensayos no destructivos (a través de líquidos penetrantes, ultrasonido, radiografías, partículas magnéticas, entre otros)
·         Termovisión (detección de condiciones a través del calor desplegado)
·         Medición de parámetros de operación (viscosidad, voltaje, corriente, potencia, presión, temperatura, etc.)

Mantenimiento proactivo.
Este mantenimiento tiene como fundamento los principios de solidaridad, colaboración, iniciativa propia, sensibilización, trabajo en equipo, de modo tal que todos los involucrados directa o indirectamente en la gestión del mantenimiento deben conocer la problemática del mantenimiento, es decir, que tanto técnicos, profesionales, ejecutivos, y directivos deben estar conscientes de las actividades que se llevan a cabo para desarrollar las labores de mantenimiento. Cada individuo desde su cargo o función dentro de la organización, actuará de acuerdo a este cargo, asumiendo un rol en las operaciones de mantenimiento, bajo la premisa de que se debe atender las prioridades del mantenimiento en forma oportuna y eficiente. El mantenimiento proactivo implica contar con una planificación de operaciones, la cual debe estar incluida en el Plan Estratégico de la organización. Este mantenimiento a su vez debe brindar indicadores (informes) hacia la gerencia, respecto del progreso de las actividades, los logros, aciertos y también errores. 
Publicado por en No hay comentarios:

jueves, 11 de abril de 2013

Help Desk (Mesa de ayuda)


¿Qué es un Help Desk?
Un Help Desk es una parte del grupo de soporte técnico establecido por una organización para mantener operando sus PCs en forma eficiente. Por lo general, la organización tiene un gran número de PCs. El Help Desk lo opera, en la mayoría de los casos, un grupo de técnicos a quienes algunas veces se les llama analistas de Help Desk o técnicos de soporte; ellos están capacitados para arreglar todo tipo de PCs y aplicaciones de software que usa dicha organización. El número de PCs determina, por lo general, el número de técnicos del Help Desk. Contrario a lo que se pueda pensar, los técnicos no están sentados físicamente ante un escritorio: el Help Desk es realmente otro término empleado para denominar al departamento de ayuda.
En la mayoría de las organizaciones, el Help Desk es parte del departamento de informática (TI). La función de un Help Desk varía mucho pero, por lo general, proporciona soporte reactivo y proactivo, tanto para PCs como para el usuario final. A través del soporte reactivo, el Help Desk resuelve problemas que el usuario reporta y lo ayuda a realizar las tareas necesarias para llevar a cabo un proyecto. También trata diversos problemas, tales como casos de virus en la PC. A través del soporte proactivo, el Help Desk trabaja para evitar que ocurran problemas. Por ejemplo, sus técnicos les enseñan a los usuarios cómo realizar tareas que les ayudarán a evitar problemas comunes relacionados con las PCs antes de que estos ocurran. De esta forma, cuanto más soporte proactivo proporcione un Help Desk, menos soporte reactivo tendrá que realizar.


¿Cómo trabaja un Help Desk?
El Help Desk es considerado el primer nivel de soporte técnico y se le conoce comúnmente como soporte de nivel 1. Los técnicos de soporte de este nivel suelen ser técnicos generales quienes tienen amplios (pero no necesariamente profundos), conocimientos de los tipos de problemas que se les pueden presentar a los usuarios finales. Muchas organizaciones tienen también niveles de soporte adicionales. Por ejemplo, el de nivel 2 proporciona soporte en áreas especializadas tales como redes, sistemas operativos o aplicaciones específicas de software. Los técnicos de nivel 2 son parte del grupo de soporte, pero por lo general no se consideran parte del Help Desk.
Un Help Desk maneja sus tareas usando un sistema de solicitud por boletas. Cuando los usuarios tienen algún problema con sus PCs, llenan una boleta de Help Desk, ya sea por teléfono o en línea. En el sistema de solicitud por boleta se catalogan las peticiones de ayuda de varias maneras. Una de ellas puede ser el tipo de programa para el cual se necesita la ayuda; otra, el departamento en el cual trabaja el usuario final.
Además de responder a las solicitudes por boleta, los técnicos de soporte del Help Desk llevan a cabo las revisiones de inventario y realizan diversas rutinas de mantenimiento y actualización de las PCs y redes dentro de la organización. Otra función importante del Help Desk es la de recolección y uso de datos. Todas las peticiones se registran en una base de datos. Estas solicitudes proporcionan información valiosa que la organización puede usar a su conveniencia para tomar decisiones acerca del mejoramiento del soporte técnico, comprar nuevas PCs y software, sistemas de actualización y determinar la necesidad de implementar más programas de capacitación.


Funciones de los miembros del equipo de Help Desk
El equipo de Help Desk cubre varias funciones. Las personas en su equipo pueden realizar una o más funciones. Cada función enfatiza diferentes tareas y se realiza mejor por una persona con características o cualidades específicas.
Técnico
Cada miembro del equipo de Help Desk de su escuela es considerado un técnico. Los miembros del equipo pueden tener también otros puestos, como líder de equipo o analista de datos, los cuales se tratarán más adelante; sin embargo, las funciones más importantes son las de los técnicos. Sin técnicos que resuelvan y eviten problemas no hay equipo que dirigir o datos que analizar.
Las funciones típicas de un técnico incluyen:
 •  Proporcionar en promedio por lo menos cinco horas de servicio por semana en el Help Desk y registrar esas horas en la base de datos de forma precisa y apropiada;
 • Responder a las solicitudes por boleta con lo mejor de sus habilidades;
 • Realizar las rutinas de mantenimiento programadas de manera periódica;
 • Si es posible, trabajar como asistente de laboratorio;
 • Dar seguimiento a las solicitudes por boleta hasta que se cierran;
 •  Participar en las juntas semanales y en todas las sesiones de capacitación que se requieran;
 •  Hacer un esfuerzo continuo para proporcionarle un servicio de alta calidad al cliente.
En grandes organizaciones, los técnicos del Help Desk se especializan a veces en un área en particular, como soporte de hardware o soporte de sistemas operativos. Cuanto más especializado sea el conocimiento de un técnico, es menos probable que resulte capaz de resolver una gran variedad de problemas. Para el equipo de Help Desk de su escuela, los técnicos deben tratar de obtener la más amplia base de conocimientos posible.




Funciones de los líderes de equipo
La función global de un líder de equipo es la de gerente de alumnos de Help Desk. Su responsabilidad general es la de usar sus habilidades organizativas, de comunicación y de liderazgo para asegurar que el Help Desk opere de manera óptima. Además de su trabajo como técnico, las responsabilidades específicas cotidianas de un líder de equipo incluyen:
   Coordinar el programa semanal para asegurar una cobertura máxima de Help Desk;
  Supervisar la respuesta oportuna a las solicitudes por boleta;
  Asegurar que se lleven a cabo las tareas de mantenimiento de rutina;
  Brindar asistencia en la coordinación de los proyectos especiales;
  Asegurar que los técnicos registren apropiadamente los datos de Help Desk;
  Facilitar la comunicación entre los miembros del equipo;
  Mantener al maestro o al asesor facultado informado en forma periódica;
   Supervisar el cuidado de la base de operaciones del equipo o del lugar donde los miembros de Help Desk hacen su trabajo y guardan sus herramientas.
Su equipo de Help Desk debe decidir el número de líderes de equipo que necesite y cómo se deben dividir las funciones entre ellos. También puede delegar algunas de esas funciones en su consejero de facultad.


Funciones de analista de datos
El analista de datos maneja datos e información relacionada con el Help Desk. Las solicitudes por boleta que se han llenado proporcionan datos que se pueden usar para mejorar la calidad de los servicios del Help Desk. Este mejoramiento continuo es un componente esencial para su éxito. El analista de datos es responsable de asegurarse de que éstos se recolectan y se usan de forma efectiva. Además de su trabajo como técnico, las responsabilidades específicas cotidianas del analista de datos incluyen:
   Recopilar reportes de manera periódica para el equipo de Help Desk y para el maestro / consejero de la facultad;
   Coordinar esfuerzos para usar los datos de Help Desk con el propósito de apoyar y modificar los servicios y para determinar las necesidades de capacitación del equipo de Help Desk;
   Trabajar con el maestro / consejero de la facultad para planear e implementar encuestas sobre el servicio al cliente.
Publicado por en No hay comentarios:

Deteccion de intrusos


  • Concepto de Intruso
    Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.

    • 1.2 Tipos de Intrusos
    Los intrusos se clasifican principalmente de acuerdo al lugar al que pertenecen en:
    Intrusos de Fuera.
    La mayoría de las personas piensan que el mundo exterior es la amenaza más grande a su seguridad; debido a que ha sido difundido por los medios de comunicación un miedo hacia los “hackers” que entran a través de Internet. La realidad, es que los hackers representan una pequeña parte de las amenazas reales a las que se enfrenta una compañía.
    Intrusos de Adentro.
    Estudios realizados por el FBI han revelado que el 80% de las intrusiones y de los ataques provienen de dentro de las organizaciones. Es muy lógico si se piensa que una persona de adentro conoce el esquema del sistema, donde se encuentran la información valiosa y la localización de puntos y sistemas de seguridad.
    Por lo anterior hay que desechar la idea de que la mayoría de las medidas de seguridad deben estar puestas para proteger al interior de un “malévolo” exterior, ya que realmente gran parte de las intrusiones ocurren desde adentro de las organizaciones. Es necesario un mecanismo que detecte ambos tipos de Intrusos, los externos y los internos. Un sistema detector de intrusos efectivo detecta ambos tipos de ataques en un alto grado.
    1.3 Políticas de seguridad para evitar intrusiones
    Una Política de Seguridad define lo que se permite y lo que se niega en un sistema. Hay dos filosofías básicas detrás de cualquier política de seguridad:
  • Prohibitiva.- En esta política todo aquello que no esta expresamente permitido es negado

  • Permisible.- En esta política todo lo que no esta negado expresamente es permitido

    • Generalmente, un lugar que es más paranoico sobre seguridad toma la primera opción. Se usara una política que detalla exactamente los funcionamientos u operaciones que se permite en un sistema. Cualquier otra operación que no este detalla en éste documento de la política será considerada como ilegal dentro del sistema. Es claro que este tipo de políticas se prestan bien para un ambiente militar, y estos tipos de políticas son raros en establecimientos civiles.
    La segunda filosofía está más ligada al espíritu de la informática. Los usuarios de computadoras siempre han intentado usar el potencial de las computadoras al máximo, aun cuando esto signifique violar las reglas. Esto era aceptable con tal de que el trabajo se realizara bien y completo en el tiempo necesario, y nadie resultaba afectado.
    Desgraciadamente, esta filosofía no funciona bien en los ámbitos de trabajo actuales. El espíritu competitivo tiende a nublar la ética profesional cuando un usuario se entromete con los archivos de otro usuario. De hecho, el sabotaje puede ser una norma de conducta en algunos ambientes laborales donde la supervivencia se logra con una competencia extrema.
    La mayoría de los usuarios se comportará según un conjunto de reglas "sociales". Estas reglas los animan a respetar la privacidad y el trabajo de los demás. Semejante población de usuarios tiene una alianza de funcionamiento basada en la confianza, y la confianza es fácil subvertir. Una población de usuarios confiables es contaminada fácilmente por un usuario “malévolo”, que intente emplear mal los sistemas.
    1.4 Detección de Intrusiones
    Antes de hablar sobre la detección de intrusiones es necesario definir que es una intrusión.
    Intrusión.- Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.
    Las intrusiones se clasifican de la siguiente manera:
  • Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.

  • Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.

    • Mientras las intrusiones de mal uso sigan patrones bien definidos pueden ser detectadas haciendo un análisis y chequeo en la información de auditoria y reportes del sistema. Por ejemplo, un intento de crear un archivo invalido puede ser descubierto examinando los mensajes en los Logs que son resultado de las llamadas al sistema.
    Las intrusiones anómalas son descubiertas observando desviaciones significantes del comportamiento normal del sistema. El modelo clásico para el descubrimiento de la anomalía fue propuesto por Denning. En el se propone la construcción de un modelo que contiene métricas que se derivan del funcionamiento del sistema.
    Una métrica se define como: una variable aleatoria x que representa una medida cuantitativa acumulada durante un periodo.
    Estas métricas se calculan de los parámetros del sistema disponibles como promedio de carga del CPU, número de conexiones de la red por minuto, número de procesos por usuario y cualquier otro tipo de medida disponible que describa un cierto consumo de recursos en un periodo definido.
    Una anomalía puede ser un síntoma de una posible intrusión. Dado un conjunto de métrica que definen el uso normal del sistema, podemos asumir que la explotación de las vulnerabilidades de un sistema involucra el uso anormal del sistema, por consiguiente, ser pueden descubrir violaciones al sistema a partir de patrones anormales del uso del sistema.
    El descubrimiento de anomalías también se realiza por medio de otros mecanismos, como redes neuronales, técnicas de clasificación de maquinas que aprenden (machine learning), e incluso sistemas que imitan la inmunidad biológica.
    Las intrusiones anómalas son más difíciles de detectar. No hay patrones fijos que puedan ser monitoreados. Idealmente nos gustarían un sistema que combine la capacidad de las personas de localizar patrones y la vigilancia que brinde un programa de computadora. Así siempre se estaría supervisando el sistema para detectar las intrusiones potenciales, pero podría ignorar las intrusiones falsas, si ellas resultaran ser acciones legítimas de usuarios.
    Muchos sistemas de detección intrusiones basan sus operaciones en el análisis de los rastros de accesos al Sistema Operativo. Estos datos forman una huella del uso del sistema en un cierto tiempo. Es una fuente conveniente de datos y es fácilmente disponible en la mayoría de los sistemas. De estas observaciones, los Sistemas de Detección de Intrusiones calcularán métrica sobre el estado total del sistema, y decidirán si está ocurriendo una intrusión.
    Un sistema de detección de intrusiones deberá también realizar su propio monitoreo del sistema. Puede ir incrementando las estadísticas que dan el perfil de uso del sistema. Esta estadística se puede derivar de una variedad de fuentes tales como uso de la CPU, entradas y salidas del disco, uso de la memoria, actividades por usuario, número de conexiones hechas, etc. Las estadísticas se debe actualizar continuamente para reflejar el estado actual del sistema. Además se debe correlacionar con un modelo interno que permita que el sistema detector de intrusiones determinen si una serie de acciones constituyen una intrusión potencial.
    SISTEMA DE DETECCIÓN DE INTRUSIONES
    2.1 Concepto
    Los sistemas informáticos se apoyan en los Sistemas de Detección de Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal manejo y del uso indebido de la información de una organización. Logran esta meta, recopilando la información de una gran variedad de fuentes del sistema y de la red y analizando la información que contribuye a los síntomas de los problemas de seguridad de la misma, y permiten que el usuario especifique las respuestas en tiempo real a las violaciones.
    Los productos de detección de intrusos son aplicaciones que monitorean activamente los sistemas operativos y el tráfico de red, con el objeto de detectar ataques y violaciones a la seguridad.
    Es decir, los IDS son herramientas de seguridad en red que recopilan información de una variedad de fuentes del sistema, analizan la información de los parámetros que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la actividad detectada, y finalmente informan el resultado del proceso de la detección.
  • Objetivos

    • Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es necesario que cumplan con los objetivos que tienen asignados, estos consisten en el cumplimiento de los siguientes puntos:
    • Vigilar y analizar la actividad de los usuarios y del sistema.
    • Revisar las configuraciones del sistema y de las vulnerabilidades.
    • Evaluar la integridad de los archivos críticos del sistema y de los datos.
    • Reconocimiento de los modelos de la actividad que reflejan ataques conocidos.
    • Análisis estadístico para los modelos anormales de la actividad.
    • Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida.
    • Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización.
    La combinación de estas características hace que sea más fácil para los encargados del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta actividad en curso de la intervención y de la evaluación, es una práctica necesaria de una sana gerencia de seguridad.
  • Tipos

    • Es importante mencionar antes de describir el funcionamiento de un IDS, los tipos más comunes de estos sistemas en el mercado actual.
    La meta de un IDS es proporcionar una indicación de un potencial o de un ataque verdadero. Un ataque o una intrusión es un acontecimiento transitorio, mientras que una vulnerabilidad representa una exposición, que lleva el potencial para un ataque o una intrusión. La diferencia entre un ataque y una vulnerabilidad, entonces, es que un ataque existe en un momento determinado, mientras que una vulnerabilidad existe independientemente de la época de la observación. Otra manera de pensar en esto es que un ataque es una tentativa de explotar una vulnerabilidad (o en algunos casos, una vulnerabilidad percibida). Esto nos conduce a categorizar varios tipos de IDS.
    Hay cinco diversas categorías de las identificaciones. No todas estas categorías representan la "detección clásica de la intrusión" pero desempeñan un papel en la meta total de intrusiones de detección o de prevención en una red corporativa. Las categorías son:
    • IDS Network-based
    • IDS Host-based
    • IDS Híbridos
    • Inspector de la Integridad del Archivo
    • Explorador de la vulnerabilidad de la Red
    • Explorador de la vulnerabilidad del Host
    Los tres primeros puntos son tipos de IDS y los tres puntos restantes son herramientas de detección de vulnerabilidad.
    Una intrusión, explota una vulnerabilidad específica y debe ser detectada cuanto antes, después de que comience. Por esta razón, las herramientas de la detección de la intrusión deben de ejecutarse con más frecuencia que los exploradores de vulnerabilidad. Los sistemas de la detección de la intrusión (IDS) examinan el sistema o la actividad de la red para encontrar intrusiones o ataques posibles.
    Como mencionamos anteriormente, hay dos tipos básicos de sensores de IDS: network-based host-based. Los sensores network-based se encargan de monitorear las conexiones de red, observar el tráfico de paquetes TCP, y así poder determinar cuando se está realizando un ataque. Los sensores host-based se ejecutan en los sistemas -servidores, workstations o en las máquinas de usuarios - y localizan alguna actividad sospechosa en el nivel del sistema. Buscan las cosas que pueden indicar actividad sospechosa, tal como tentativas de conexión fallidas. Los encargados de los IDS actúan como un centro centralizado de vigilancia, recibiendo datos de los sensores y accionando alarmas.
    IDS basados en Red
    Los sistemas network-based actúan como estupendos detectores, es decir, ellos observan el tráfico en las capas del TCP/IP y buscan modelos conocidos de ataque, como los que generalmente realizan los hakers o los ataques al web server. Tales sistemas hacen frente a desafíos significativos, especialmente en los ambientes cambiantes donde los detectores no ven todo el tráfico en la red. Además, la mayoría de los sistemas network-based pueden buscar solamente los modelos de abuso que se asemejan al estilo de los ataques de los hackers, y esos perfiles están cambiando constantemente. Los sistemas network-based son también propensos a los positivos falsos. Por ejemplo, si el web server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el sistema está bajo un ataque, aunque en realidad, no lo sea. Típicamente, un sistema basado en red no va a buscar la otra actividad sospechosa, tal como que alguien de su entorno de trabajo, intente tener acceso a los datos financieros de su compañía. Por supuesto, los detectores de la red se pueden adaptar para buscar apenas sobre cualquier tipo de ataque, pero es un proceso laborioso. Los sistemas network-based son los más comunes, y examinan el paso del tráfico de la red para las muestras de la intrusión.
    Los sistemas basados en red son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. Este tipo de detección integrada a la red "husmea" el cable y compara los patrones de tráfico, en vivo, con listas internas de "rúbricas" de ataque.
    IDS basados en Host
    Los sistemas host-based emplean un diverso procedimiento para buscar a los malos individuos. No característico de los detectores, los sistemas host-based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras que ocurren. En comparación con los IDS basados en red, estos sistemas obligan a definir lo que se considera como actividades ilícitas, y a traducir la política de la seguridad a reglas del IDS. Los IDS host-based se pueden también configurar para buscar tipos específicos de ataques mientras que no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede ser desperdiciador de tiempo. Es decir, los sistemas host-based observan al usuario y la actividad del proceso en la máquina local para las muestras de la intrusión.
    Los sistemas relacionados al host se despliegan de la misma forma que los escáners antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes.
    Ambas formas de detección pueden reaccionar cuando identifican un ataque. Los dos enfoques tienen puntos fuertes y débiles. Los sistemas basados en red casi no se hacen notar y son independientes de la plataforma; se pueden desplegar con poco o ningún impacto sobre las redes de producción. Sin embargo, estos sistemas tienen que superar varios obstáculos importantes. Por ejemplo, la tecnología se basa en la capacidad del sensor para ver todo el tráfico de red. En un entorno conmutado, esta situación complica demasiado la vida, ya que es preciso utilizar espejos de puertos. Pocos sistemas basados en red pueden manejar una línea de 100 Mbps saturada, y ya no hablemos de velocidades de gigabits.
    Los sistemas basados en host no tienen problemas de ancho de banda; no obstante sólo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan un sistema operativo no reconocido, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los sistemas basados en red, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos. 
    IDSs Híbridos
    Los vendedores han observando las limitaciones que presentan los IDS network-based y los IDS host-based, y han concluido en combinar ambos sistemas para mejorar su capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS. RealSecure de Internet Security Systems (ISS), CyberCop de Network Associates (NAI) y CMDS de ODS son ejemplos de soluciones que han adoptado este acercamiento híbrido de IDS.
    RealSecure, por ejemplo, originalmente se basaba en un sensor network-based, pero ahora tiene detección host-based de la intrusión también. CyberCop ofrece actualmente solamente las IDS host-based, pero se está moviendo hacia una nueva configuración de la " fusión " que incorpore detectores de red IDS host-based. Y CMDS trabaja con la red y la información de IDS host-based para buscar ataques.
  • Características

    • Las características de un buen IDS deben tratar las siguientes cuestiones, sin importar en que mecanismo se basen:
  • Debe ejecutarse continuamente sin la supervisión humana. El sistema debe ser bastante confiable y permitir que se ejecute en el fondo del sistema que es observado. Sin embargo, no debe ser un "rectángulo negro". Es decir, sus funcionamientos internos deben ser observables desde el exterior.

  • Debe ser tolerante a fallos, en el sentido de que debe mantenerse ante un fallo del sistema, además no debe de poder reiniciar el sistema.

  • Debe resistir el cambio. El sistema puede vigilarse para asegurarse de que no ha sido alterado.

  • Debe imponer los gastos mínimos para el sistema.

  • Debe observar desviaciones del comportamiento normal.

  • Debe ser adaptado fácilmente al sistema en cuestión. Cada sistema tiene un diverso modelo de uso, y el mecanismo de la defensa debe adaptarse fácilmente a estos modelos.

  • Debe hacer frente a comportamiento del sistema que cambia en un cierto periodo de tiempo, mientras que se están agregando las nuevas aplicaciones. El perfil del sistema cambiará en un cierto plazo, y el IDS debe poder adaptarse.

  • Finalmente, debe ser difícil engañar.

    • Algunos sistemas proporcionan ciertas características adicionales, incluyendo:
    • La instalación automática de correcciones lógicas al software.
    • Instalación y operación de los servidores que registran la información de intrusos.
    Los tipos de errores que probablemente puedan ocurrir en el sistema, se pueden categorizar cuidadosamente como:
    • Positivo falso
    • Negativa falsa,
    • Errores de cambio.
    Un positivo falso ocurre cuando el sistema clasifica una acción como anómala (una intrusión posible) cuando es una acción legítima. Una negativa falsa ocurre cuando ha ocurrido una acción intrusa real pero el sistema permite que pase como no intruso. Un error de cambio, ocurre cuando un intruso modifica la operación del detector de la intrusión para forzar a que ocurran negativas falsas. Los errores positivos falsos conducirán a los usuario del IDS a no hacer caso de su salida, pues clasificará acciones legítimas como intrusiones. Las ocurrencias de este tipo de error se deben reducir al mínimo (puede no ser posible eliminarlas totalmente), para proporcionar la información útil a los operadores. Si muchos positivos falsos se generan también, los operadores vendrán no hacer caso de la salida del sistema en un cierto plazo, que puede conducir a una intrusión real que es detectada pero no hecha caso por los usuarios.
    Un error negativo falso ocurre cuando procede una acción aunque es una intrusión. Los errores negativos falsos son más serios que errores positivos falsos porque dan un sentido engañoso de la seguridad. Permitiendo que todas las acciones procedan, una acción sospechosa no será traída a la atención del operador. El IDS ahora es un defecto, pues la seguridad del sistema es menor que la que era antes de que el IDS fuera instalado. Los errores de cambio son más complejos Un intruso podría utilizar conocimientos sobre los mecanismos internos de un IDS para alterar su operación, permitiendo posiblemente que el comportamiento anómalo proceda. El intruso podría entonces violar los apremios operacionales de la seguridad del sistema. Esto se puede descubrir por un operador humano que examina los registros del detector de la intrusión, pero parecería que el IDS todavía trabaja correctamente.
    El uso del término "detección de intrusos" está proliferando en todos lados. Los medios de comunicación y la gente de mercadotecnia utilizan la frase a diestra y siniestra. A cualquier tipo de herramienta se le describe como sistema de detección de intrusos, desde analizadores de logs de web hasta productos de administración de activos.
    Los sistemas de detección de intrusos pueden ayudar a los administradores a mantener vigilados los sistemas y las redes, estos productos pueden, en tiempo real, percatarse de cuándo está ocurriendo un ataque. Esto ofrece al administrador la oportunidad de reaccionar ante las agresiones o incluso marcarles el alto -lo cual es mucho mejor que recibir a las cuatro de la mañana una llamada telefónica de alguien que dice que el sitio web se ve un poco diferente--. En muchos casos, el costo de un sistema de detección de intrusos se puede justificar tan sólo por su valor "forense". Si un sistema fue violado y sus logs están contaminadas, este tipo de sistemas pueden ahorrar a los administradores los días que llevaría averiguar qué pasó exactamente.
    Los sistemas de detección de intrusos son excelentes adiciones al arsenal de seguridad; sin embargo, no son el factor que permitirá ganar la guerra. Si una compañía posee redes de alta disponibilidad o muy expuestas, la tecnología podría resultar muy valiosa. No obstante, si la empresa todavía está batallando con políticas, procedimientos y bloqueos de hosts, será necesario dejar para después la detección de intrusos y ocuparse primero de lo básico.
  • Ventajas y Desventajas

    • Cada nuevo mercado sufre de la exageración y de la idea falsa, algunas de las demandas hechas en materia de comercialización son razonables y otras son engañosas. Los Sistemas de Detección de Intrusiones, tienen sus ciertas ventajas y desventajas, mismas que se analizan en los siguientes párrafos.
    Ventajas
  • Pueden prestar un mayor grado de integridad al resto de su infraestructura de seguridad. Los IDS proporcionan capas adicionales de protección a un sistema asegurado. La estrategia de un atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan, que anulan o que protegen. Los IDS la intrusión pueden reconocer estos primeros sellos de ataque, y potencialmente responden a ellos, atenuando daños Además, cuando estos dispositivos fallan, debido a la configuración, al ataque, o al error del usuario, los IDS puede reconocer el problema y notificar a la gente adecuada.

  • Los encargados del sistema, pueden tener fuentes de información a menudo obtusas del sistema, diciéndole lo qué realmente está sucediendo en sus sistemas. Los rastros de intervención del sistema operativo y otros registros de sistemas son información clave sobre lo que se está intentando realizar sobre sus sistemas. Son también a menudo incomprensibles. Los IDS permiten que los administradores y los encargados templen, que ordenen, y que comprendan lo que les dicen estas fuentes de información, a menudo revelando problemas antes de que ocurra la pérdida

  • Pueden rastrear la actividad del usuario de la punta de entrada a la punta de salida o del impacto. En el acontecimiento inverosímil que un intruso consigue más allá de un dispositivo de la defensa del perímetro, tal como un firewall, las identificaciones proporcionan una manera de coger sus acciones. Además, las identificaciones pueden detectar las acciones de un "mal individuo " ya dentro, un ataque ya iniciado o un camino previamente desconocido de la entrada a la red.

  • Pueden reconocer y señalar alteraciones a los archivos críticos del sistema y de datos. Las herramientas de integridad del archivo utilizan sumas de comprobación criptográficas fuertes por bloques, y en el caso de un problema, comprobar rápidamente el fragmento del daño.

  • Pueden manchar los errores de su configuración de sistema que tienen implicaciones de la seguridad, corrigiéndolas a veces si el usuario desea. Los productos de revisión de vulnerabilidad permiten la revisión y la diagnosis constantes de las configuraciones del sistema que pudieron causar problemas de la seguridad.

  • Pueden reconocer cuando su sistema parece ser vulnerable a los ataques determinados. Los productos de detección de vulnerabilidad también permiten que el administrador de un sistema se determine rápidamente lo que deben ser los ataques de preocupación.

    • La gran ventaja de utilizar productos de detección de intrusos es que proporcionan a los administradores una visión en tiempo real de lo que realmente está ocurriendo en la red. Sin monitoreo activo, muchos sitios están volando a ciegas. Pocas personas revisan sus logs de sistema y quienes lo hacen casi nunca las examinan en tiempo real. Peor aún, muy pocas organizaciones han instalado mecanismos de loggins seguros; si un host es violado en el nivel de raíz o de administrador, está a merced de las técnicas de borrado de logs. La consecuencia es una serie de posibles pesadillas, sin tener idea de cómo entraron los intrusos, qué hicieron ni qué tan lejos llegaron.
    Desventajas
  • La seguridad es un área compleja con posibilidades y dificultades innumerables. No hay soluciones mágicas a los problemas de la seguridad de la red, y los productos de la detección de la intrusión no son ninguna anomalía a esta regla. Sin embargo, como parte de una gerencia comprensiva de la seguridad saben desempeñar un papel vital en la protección de sus sistemas.

  • No pueden compensar para los mecanismos débiles de la identificación y de la autentificación. Una infraestructura de la seguridad que incluye la detección fuerte de I&A y de la intrusión es más fuerte de una que contiene solamente uno o la otra.

  • No pueden conducir investigaciones de ataques sin la intervención humana. Uno debe realizar la dirección del incidente. Uno debe investigar los ataques, determinarse, en lo posible, el partido responsable, después diagnosticar y corregir la vulnerabilidad que permitió que ocurriera el problema, señalando el ataque y los detalles a las autoridades donde se requiera.

  • No pueden intuir el contenido de la política organizacional de la seguridad. Los sistemas expertos de la detección de la intrusión aumentan de valor cuando se permiten funcionar como alarmas de hacker.

  • No pueden compensar para los problemas en la calidad o integridad de la información que el sistema proporciona. Es decir la " basura es basura " todavía se aplica.

  • No pueden analizar todo el tráfico en una red ocupada. La detección network-based de la intrusión es capaz de vigilar tráfico de una red, pero solamente a una punta.

  • No pueden ocuparse siempre de los problemas que implican ataques del nivel de paquete. Hay debilidades en sistemas la detección de la intrusión de la red. El corazón de las vulnerabilidades implica la diferencia entre la interpretación de IDS's del resultado de una transacción de la red (basada en su reconstrucción de la sesión de la red) y del nodo de destinación para la dirección real de esa sesión de la red de la transacción. Por lo tanto, un adversario bien informado puede enviar la serie de paquetes hechos fragmentos y de otra manera cuidados que eludan la detección, pero lanza ataques contra el nodo de destinación. Peor todavía, un adversario puede utilizar esta clase de manipulación del paquete para lograr una negación del ataque del servicio contra las identificaciones sí mismo por la memoria que desborda afectada un aparato para las coletas entrantes del paquete.

    • 2.6 IDS y Firewalls
    Una idea errónea pero generalizada acerca de los firewalls, es que garantizan la protección de una red. Aunque es indudable que esta tecnología es necesaria, por sí sola no determina que la red sea segura. Un firewall no posee poderes místicos; deja entrar algunos paquetes y bloquea el paso de otros. Lo que hay que recordar es que tan pronto como se dejan entrar algunos paquetes, aunque éstos hayan atravesado un firewall, la red de la empresa está en riesgo. Por tal motivo, es crucial contar con expertos que entiendan qué paquetes hay que dejar entrar y cómo minimizar los riesgos que implica el permitirles el acceso. Dado que el firewall está situado en un punto muy estratégico de la red, no es sorprendente que los fabricantes añadan otros servicios. Varios firewalls incluyen funciones de autenticación, capacidades VPN, filtrado de URL, escaneo de virus e incluso integración con sistemas de detección de intrusos.
    Axent Technologies, Check Point y Cisco se cuentan entre los fabricantes que han integrado software para detección de intrusos en los firewalls, el cual activa automáticamente filtros si el software cree haber detectado un ente extraño.
    La funcionalidad básica del firewall, que se concentra en filtrar paquetes con base en aplicaciones y direcciones IP; casi todos los productos cumplen su promesa. El problema radica en decidir qué servicios se deben ejecutar en el hardware de firewall, además del filtrado básico de paquetes. La tentación de añadir soluciones debe moderarse, en la inteligencia de que la ejecución de más programas podría hacer lento o desestabilizar al firewall.
    Por último, tenga presente que un firewall no se puede descartar que los paquetes que el firewall deja entrar en la red formen parte de un ataque.
    Una pregunta común es cómo la detección de la intrusión complementa firewalls. Una forma de caracterizar la diferencia es proporcionada clasificando la violación de la seguridad por fuente -- si vienen fuera de la red de la organización o de dentro. Acto de los firewalls re como barrera entre las redes (internas) corporativas y el mundo exterior (Internet), y tráfico entrante del filtro según una política de la seguridad.
    Esto es una función valiosa y sería suficiente protección era él no para estos hechos:
  • No todo el acceso de Internet ocurre a través del firewall

    • Los usuarios por diversas circunstancias instalaron en ocasiones conexiones desautorizadas del módem entre sus sistemas conectados con la red interna y los abastecedores de acceso de Internet del exterior u otras proveedoras de Internet. El firewall no puede atenuar el riesgo asociado a las conexiones que nunca considera.
  • No toda la amenaza se origina fuera del firewall.

    • Hay ocasiones que se ha detectado que los problemas se originan dentro de la organización Una vez más el firewall ve solamente tráfico en los límites entre la red interna y el Internet. Si la seguridad de reflejo del tráfico nunca práctica una abertura flujos más allá del firewall, no puede considerar los problemas.
    Actualmente más organizaciones utilizan la encripción para proteger sus archivos y las conexiones públicas de la red, el punto importante será proteger aquella información que no este protegida dentro de la red interna. Es aquí donde la detección de intrusiones toma parte ya que solo se ocupa del tráfico en la red interna.
    Por lo tanto, llegarán a ser aún más importantes como las infraestructuras de la seguridad se desarrollan.
  • Los firewalls están conforme a ataque ellos mismos

    • Una estrategia común del ataque es utilizar un túnel para desviar protecciones del firewall. El hacer un túnel es la práctica de encapsular un mensaje en un interior del protocolo (que se pudo bloquear por los filtros del firewall) un segundo mensaje.

    Publicado por en No hay comentarios:
    Suscribirse a: Entradas (Atom)