Seguridad de la Información - fbelmont.utj.edu.mxfbelmont.utj.edu.mx/docum/SegurInform.pdf · El...

SEGURIDAD DE LA INFORMACIÓN

Pág. 1

UNIVERSIDAD TECNOLÓGICA DE JALISCO

Guadalajara, Jalisco a 6 Septiembre de 2010 Actualización: Junio 2016

Por: M.C. Felipe Belmont Polanco


Pág. 2

Unidades temáticas I.- Introducción a la seguridad informática. 1.1.- ¿Cómo definir la seguridad informática? 1.2.- Terminologías actuales en seguridad. 1.3.- Elementos esenciales de la seguridad. 1.4.- Clasificación de la seguridad informática. 1.5.- ¿Que son las normas de seguridad? 1.6.- ¿Que son las políticas de seguridad? 1.7.- La información como activo. 1.8.- Lo atractivo del delito informático. 1.9.- Malware. 1.10.- Tipos de malware. 1.11.- Virus. 1.12.- Tipos de virus. 1.13.- Criptografía. 1.14.- Criptosistemas. 1.15.- Ataques informáticos. 1.16.- Tipos de ataque. II.- Administración de la seguridad. 2.1.- Normativas de administración de seguridad. 2.2.- Las publicaciones NIS. 2.3.- La norma COBIT. 2.4.- La norma AS/NZS ISO/IEC 17799:2001. 2.5.- Administración del riesgo. III.- Sistemas de seguridad.


Pág. 3

Evaluación.

Cortes I II III Examen __ % __ % __ % Tareas __ % __ % Proyecto integradora __ % Cero faltas/Cumplir reglamento __ % 10 % Bibliografía.


Pág. 4

Introducción a la seguridad informática. ¿Cómo definir la seguridad informática?

Si nos atenemos a la definición de la Real Academia de la Lengua RAE, seguridad es la “cualidad de seguro”. Buscamos ahora seguro y obtenemos “libre y exento de todo peligro, daño o riesgo”. A partir de estas definiciones no podríamos aceptar que seguridad informática es “la cualidad de un sistema informático exento de peligro”, por lo que habrá que buscar una definición más apropiada, considerando para ello que la seguridad no es un producto, sino un proceso..

Podríamos aceptar una primera definición más o menos aceptable de seguridad informática sería, un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. Concienciarlas de su importancia en el proceso será algo crítico. La seguridad informática no es un bien medible, en cambio sí podríamos desarrollar diversas herramientas para cuantificar de alguna forma nuestra inseguridad informática Casos para ver cómo está el mundo de la seguridad informática.

19 de Enero de 2001: Un intruso borra la página web de la Presidencia de Bulgaria. 25 de Enero de 2001: Denegación de servicio de las páginas web de Microsoft en los Estados Unidos y Europa. Febrero 2001: Cientos de empresas austríacas sufrieron robos de datos que permitieron a los crackers hacer llamadas telefónicas a lugares de todo el mundo, a cuenta de dichas empresas, por supuesto. 4 de Febrero de 2001: Los sistemas del Foro Económico Internacional, reunido en Davos, fue invadido por intrusos. Consiguieron información altamente confidencial y con el número de las tarjetas de crédito de los más altos mandatarios mundiales. 9 de Marzo de 2001: Crackers rusos y ucranianos consiguieron cerca de un millón de números de tarjetas de crédito robadas de las bases de datos de bancos norteamericanos y empresas de comercio electrónico por Internet.

¿Quién va a querer atacarme, si no tengo nada importante? Es un error este planteamiento: todo sistema es extremadamente valioso como plataforma de ataque contra otro sistema verdaderamente importante. Como por ejemplo, hacker utiliza el ordenador de Juan Pérez para entrar al Ministerio de Fomento.


Pág. 5

Terminologías actuales en seguridad

El nombre hacker: neologismo utilizado para referirse a un experto (Gurú) en varias o alguna rama técnica relacionada con las tecnologías de la información y las telecomunicaciones: programación, redes, sistemas operativos.

Cracker: (criminal hacker, 1985). Un cracker es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño a su objetivo.

Hacker ético: profesionales de la seguridad que aplican sus conocimientos de hacking con fines defensivos y legales.

Diremos hacker siempre, pero hay que fijarse en el contexto. Elementos esenciales de la seguridad.

Confidencialidad: tiene que ver con la ocultación de información o recursos. Autenticidad: es la identificación y garantía del origen de la información. Integridad: Se refiere a cambios no autorizados en los datos. Disponibilidad: Posibilidad de hacer uso de la información y recursos deseados.

Clasificación de la seguridad informática.

Seguridad Organizacional: Dentro de este, se establece el marco formal de seguridad que debe sustentar la institución, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.

Seguridad Lógica: Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.

Seguridad Física: Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos.

Seguridad Legal: Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red institucional bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos institucionales en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas.


Pág. 6

¿Que son las normas de seguridad? Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional. ¿Que son las políticas de seguridad? Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos. Importancia de los manuales de normas y políticas Como parte integral de un Sistema de Gestión de Seguridad de la Información (SGSI), un manual de normas y políticas de seguridad, trata de definir; ¿Qué?, ¿Por qué?, ¿De qué? y ¿Cómo? se debe proteger la información. Estos engloban una serie de objetivos, estableciendo los mecanismos necesarios para lograr un nivel de seguridad adecuado a las necesidades establecidas dentro de la institución. Estos documentos tratan a su vez de ser el medio de interpretación de la seguridad para toda la organización. La información como activo. Podemos definir como activo al conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el ambiente informático llámese activo a los bienes de información y procesamiento, que posee la institución. Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. La información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita “Protección Adecuada”.


Pág. 7

Tipos de información. Por la cantidad de datos que procesa una organización, es posible requerir de diversos elementos en los que se debe plasmar o almacenar la información y algunos de estos elementos pueden ser.

Impresos o escritos en papel. Almacenada electrónicamente. La que se transmite por correo o en forma electrónica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de información.

Lo atractivo del delito informático. Suponiendo que todos entendemos más o menos qué es un delito informático, algo no muy banal dado que muchos países no se ponen de acuerdo, parece ser que es un buen negocio.

Objeto pequeño: la información que se ataca está almacenada en contenedores pequeños, no es necesario un camión para robar un banco, llevarse las joyas, el dinero, etc.

Contacto físico: no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del propio delincuente. Alto valor: el objeto codiciado tiene un alto valor. Los datos (el contenido a robar) puede valer mucho más que el soporte que los almacena: servidor, computador, disco, CD, etc.

Malware. Hoy en día ya no se habla sencillamente de virus, ni de gusanos, la jerga utilizada para este tipo de programas nocivos que infectan continuamente nuestras computadoras ha cambiado de tal manera que se podría decir que existe una amplia variedad de malware o de estos códigos maliciosos. Desde una página perteneciente a Kaspersky Labs: Los programas maliciosos pueden dividirse en los siguientes grupos: gusanos, virus, caballos de Troya o troyanos, utilidades para hackers y otros tipos de programas maliciosos. Todos ellos han sido diseñados para causar daños al equipo infectado o a otros equipos conectados a redes. Según Wikipedia: Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado), es un software que tiene como objetivo infiltrarse o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un spyware.


Pág. 8

Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Se puede concluir que Malware es un término de amplio espectro, que abarca a todos los programas creados con el fin de realizar comandos no autorizados e intrusivos en una computadora o sistema computacional. Sus consecuencias pueden ser variadas, yendo de prácticamente imperceptibles a catastróficamente perjudiciales, pero en general, el simple hecho de cometer una intrusión y realizar actividades no establecidas y permitidas por el usuario, define el programa como Malware. Existe la CME (Common Malware Enumeration), una organización que tiene como finalidad identificar a los nuevos malware que aparecen en la red. Tipos de Malware.

Adware: Contracción de Advertisement y software, este software muestra o baja anuncios publicitarios que aparecen inesperadamente en el equipo, pudiendo hacerlo simultáneamente cuando se está utilizando la conexión a una página Web o después de que se ha instalado en la memoria de la computadora.

Spyware: Es un software espía. Cualquier aplicación informática que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de malware que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. Este es uno de los programas maliciosos más comunes hoy en día.

Keylogger: Un keylogger es un malware del tipo daemon. Son programas espías para espiar y robar información, monitorear el sistema, registrando las pulsaciones del teclado, para robar las claves, tanto de páginas financieras y correos electrónicos como cualquier información introducida por teclado, en el equipo utilizado para saber lo que la víctima ha realizado como conversaciones que la misma tuvo, saber donde ha entrado, qué ha ejecutado, qué ha movido, etc.

Rootkit: El Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos.

Exploit: Exploit (del inglés to exploit, explotar, aprovechar) es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa (Sistema operativo).


Pág. 9

Ransomware: El término se utiliza para hacer referencia a aquellos malware que "secuestran" archivos y piden "rescate" en dinero por ellos. Por lo general estos programas malignos encriptan la información de algunos archivos considerados importantes para el usuario, y no entregan la clave para lograr desencriptarlos si el usuario no paga. Estos virus también son llamados criptovirus.

Scumware: Scumware es cualquier software que hace cambios significativos en la apariencia y funciones de las páginas Web sin permiso del Administrador (Webmaster) o propietarios.

Crimeware: Un crimeware puede robar datos confidenciales, contraseñas, información bancaria, etc. y también puede servir para robar la identidad o espiar a una persona o empresa. El término fue ideado por Peter Cassidy, secretario general del Anti-Phishing Working Group, para distinguir este tipo de programas de otros malignos como malwares, spywares, adwares, etc. (aunque muchas veces éstos emplean técnicas similares para propagarse o actuar).

Virus (Malware infecciosos). A mediados de los ‘80, Basit y Amjad Alvi de Lahore, de Pakistán, descubrieron que la gente pirateaba sus programas. Ellos respondieron escribiendo el primer virus informático, un programa que se copiaría a sí mismo y un mensaje de copyright en cada copia de un disquete que sus clientes hicieran. A partir de esta simple idea surgió una nueva contracultura. Hoy nuevos virus se extienden por todo el planeta en horas y las amenazas víricas son noticia. Un virus informático es un programa con la capacidad de transmitirse entre ordenadores y redes, generalmente sin el conocimiento de los usuarios. Los virus pueden tener indeseables efectos secundarios. Desde molestar con absurdos mensajes hasta borrar todo el contenido del disco duro. Características comunes.

Dañino: Todo virus causa daño, ya sea de forma implícita, borrando archivos o modificando información, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen virus cuyo fin es simplemente algún tipo de broma. Autoreproductor: La característica que más diferencia a los virus es ésta, ya que ningún otro programa tiene la capacidad de autoreplicarse en el sistema. Subrepticio: Característica que le permite ocultarse al usuario mediante diferentes técnicas, como puede ser mostrarse como una imagen, incrustarse en librerías o en programas.


Pág. 10

Tipos de virus.

Encriptados: Más que un tipo de virus, son una técnica que usan diversos virus, los cuales se descifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera lo que intentan es evitar o dificultar ser detectados por los antivirus.

Virus polimórficos: La diferencia esencial con los virus encriptados es que éstos se cifran/descifran de forma distinta en cada una de sus infecciones. Así consiguen impedir que los antivirus los localicen a través de la búsqueda de cadenas o firmas. Por esta característica, este tipo de virus son los más difíciles de detectarse.

Troyanos: Un caballo de Troya es un programa que en su ejecución realiza tareas no previstas de antemano, pero no poseen la autoreproducción. El usuario ejecuta lo que cree un programa normal, permitiendo al troyano realizar tareas ocultas y, a menudo, malignas.

Los troyanos de puerta trasera: Son programas que permiten a otros tomar el control de tu ordenador a través de Internet.

Gusanos (Worms): Los gusanos son similares a los virus pero no necesitan portador, los gusanos crean copias (sin tener que infectar ningún otro fichero) y, utilizan enlaces entre ordenadores para enviarse través de la red.

Virus falsos: Hoy en día han surgido ciertos mensajes de correo electrónico, o programas, que pueden ser confundidos con virus. El principal tipo son los hoaxes, emails engañosos que pretenden alarmar sobre supuestos virus. Tratan de engañar al usuario proponiendo una serie de acciones a realizar para eliminar dicho virus que en realidad no existe. Lo más probable es que dichas acciones sean dañinas.

Bombas lógicas: Tampoco se replican, por lo que no son considerados estrictamente virus. Son segmentos de código, incrustados dentro de otro programa. Su objetivo principal es destruir todos los datos del ordenador en cuanto se cumplan una serie de condiciones.

Bug-Ware: Quizás no deban de ser considerados como virus, ya que en realidad son programas con errores en su código. Dichos errores pueden llegar a afectar o al software o al hardware haciendo pensar al usuario que se trata de un virus.

De MIRC: Tampoco son considerados virus. El uso de estos está restringido al uso del IRC, ya que consiste en un script, denominado script.ini, programado de forma maliciosa, que se enviará a la máquina cliente por DCC. Si la victima acepta dicho envío se sustituirá su script.ini por el malicioso, lo que provocará que el atacante tenga acceso a archivos de claves, etc.


Pág. 11

Los virus más famosos.

Blaster (2003): Daño Estimado: 2 a 10 billones de dólares, aproximadamente cientos de miles de ordenadores infectados.

Melissa (1999): Daño Estimado: 300 a 600 millones de dólares, una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo.

ILOVEYOU (2000): Daño Estimado: 10 a 15 billones de dólaresMiles de usuario fueron seducidos por el asunto y clickearon en el adjunto infectado.

MyDoom (2004): Daño Estimado: Disminuyó el rendimiento de internet en un 10% y la carga de páginas en un 50%.

SQL Slammer (2003): Slammer apareció un sábado su daño económico fue bajo, pero infectó 75,000 ordenadores en 10 minutos.


Pág. 12

Criptografía. Rama inicial de las matemáticas y en la actualidad también de la informática y la telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar, y por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando una o más claves.

Cifra o cifrado: Técnica que, en general, protege o autentica a un documento o usuario al aplicar un algoritmo criptográfico.

Encriptar: En algunos países de Latinoamérica, por influencia del inglés, se usará la palabra encriptar, si bien se entiende, esta palabra todavía no existe y podría ser el acto de “introducir a alguien dentro de una cripta”.

Criptología: Ciencia que estudia e investiga todo aquello relacionado con la criptografía: incluye cifra y criptoanálisis.

Criptógrafo: Máquina o artilugio para cifrar.

Criptoanalista: Persona cuya función es romper algoritmos de cifra en busca de debilidades, en la clave o del texto en claro.

Claves: Datos (llaves) privados o públicos, que permiten cifrar un documento y descifrar el correspondiente criptograma.

Criptograma: Documento cifrado.

Criptoanálisis: El arte de descifrar criptogramas.


Pág. 13

Criptosistemas Existen diferentes tipos de sistemas de cifra, denominados criptosistemas, que nos permiten asegurar tres aspectos básicos de la seguridad informática, la confidencialidad o secreto del mensaje, la integridad del mensaje y autenticidad del emisor.

Simétricos: Existirá una única clave (secreta) que deben compartir emisor y receptor. Con la misma clave se cifra y se descifra por lo que la seguridad reside en mantener dicha clave en secreto. Algunos algoritmos de este tipo son: Blowfish, IDEA, DES.

Asimétricos: Cada usuario crea un par de claves, una privada y otra pública, inversas dentro de un cuerpo finito. Lo que se cifra en emisión con una clave, se descifra en recepción con la clave inversa. La seguridad del sistema reside en la dificultad computacional de descubrir la clave privada a partir de la pública. Para ello, usan funciones matemáticas de un solo sentido o con trampa. Ejemplos de este cifrado son: DSA, RSA, Diffie-Hellman.

Híbridos: A menudo las conexiones seguras de Internet se sirven de una mezcla de los dos tipos de cifrado anteriores. Aprovechan la ligereza de uno y la fortaleza del otro. Lo que suelen hacer protocolos de comunicación seguros como HTTPS (basado en la capa SSL),

Cifrado en bloque: El mismo algoritmo de cifra se aplica a un bloque de información o grupo de caracteres, número de bytes, etc., repetidas veces, usando la misma clave. El bloque de texto o información a cifrar normalmente será de 64 ó 128 bits.

Cifrado en flujo: El algoritmo de cifra se aplica a un elemento de información (carácter, bit), mediante un flujo de clave en teoría aleatoria, y de mayor longitud que el mensaje. La cifra se hace carácter a carácter o bit a bit.

DES Data Encryption Standard, (estándar de cifrado de datos), es un algoritmo desarrollado originalmente por IBM a requerimiento del NBS (National Bureau of Standards), Oficina Nacional de Estandarización, en la actualidad denominado NIST (National Institute of Standards and Technology), Instituto Nacional de Estandarización y Tecnología de EE.UU. Se trata de un sistema de cifrado simétrico por bloques de 64 bits, de los que 8 bits (un byte) se utilizan como control de paridad o sea para la verificación de la integridad de la clave. Cada uno de los bits de la clave de paridad (1 cada 8 bits) se utiliza para controlar uno de los bytes de la clave por paridad impar, es decir, que cada uno de los bits de paridad se ajusta para que tenga un número impar de "1" dentro del byte al que pertenece. Por lo tanto, la clave tiene una longitud "útil" de 56 bits, es decir, realmente sólo se utilizan 56 bits en el algoritmo.


Pág. 14

El algoritmo se encarga de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado). La combinación entre sustituciones y permutaciones se llama cifrado del producto. La clave es codificada en 64 bits y se compone de 16 bloques de 4 bits, generalmente anotadas de k1 a k16. Dado que "solamente" 56 bits sirven para el cifrado, puede haber hasta 2^56 claves diferentes. IDEA. Data Encryption Algorithm o IDEA (del inglés, Algoritmo Internacional de Cifrado de Datos) es un cifrador por bloques diseñado por Xuejia Lai y James L. Massey de la Escuela Politécnica Federal de Zúrich y descrito por primera vez en 1991. Fue un algoritmo propuesto como reemplazo del DES. El IDEA usa una clave de 128 bits. Difiere notablemente del DES en la función de etapa así como en la función de generación de subclaves. Para la función de etapa el IDEA cuenta con tres operaciones matemáticas diferentes XOR, suma binaria de enteros de 16 bits, y multiplicación binaria de enteros de 16 bits. RSA. El algoritmo fue descrito en 1977 por Ron Rivest, Adi Shamir y Len Adleman, del Instituto Tecnológico de Massachusetts (MIT); RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de bloque que usa clave pública desarrollado en 1977. Los dos algoritmos de clave pública más usados son el RSA y el DiffieHellman, y RSA es válido tanto para cifrar como para firmar digitalmente. RC4. El algoritmo RC4 fue diseñado por Ron Rivest de la RSA Security en el año 1987; su nombre completo es Rivest Cipher 4, teniendo el acrónimo RC un significado alternativo al de Ron's Code utilizado para los algoritmos de cifrado RC2, RC5 y RC6. RC4 o ARC4 es el sistema de cifrado de flujo Stream cipher más utilizado y se usa en algunos de los protocolos más populares como Transport Layer Security (TLS/SSL) (para proteger el tráfico de Internet) y Wired Equivalent Privacy (WEP) (para añadir seguridad en las redes inalámbricas). RC4 fue excluido enseguida de los estándares de alta seguridad por los criptógrafos y algunos modos de usar el algoritmo de criptografía RC4 lo han llevado a ser un sistema de criptografía muy inseguro.


Pág. 15

WPA. Es un sistema para proteger las redes inalámbricas Wi-Fi (Protected Access - Acceso Protegido Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado), y se utiliza en un modo poco seguro de clave pre-compartida (PSK - Pre-Shared Key) para usuarios de casa o pequeña oficina. Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado. Los fabricantes comenzaron a producir puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). Ataques informáticos. Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización. Según Wikipedia, un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático ordenador, red privada, etcétera. Tipos de ataque. Los ataques a la seguridad logran algunos objetivos como acceder a recursos, obtener información, alterar sistemas, o incluso alteran recursos.

Ataques pasivos: En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida.

Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica muy sutil para obtener información de la comunicación, en donde se obtiene el origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.

Ataques activos : Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos.

Denegación de servicio DoS (Deny of Service): es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.


Pág. 16

Man in the middle, abreviado MitM: es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas.

REPLAY: una forma de ataque de red, también llamado ataque de playback, en español ataque de reproducción o ataque de reinyección, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.

Día cero: El ataque es realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente.

Fuerza bruta: No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.

Anatomía de un ataque. Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a pensar como los atacantes y a jamás subestimar su mentalidad.

Fase 1 - Reconnaissance (Reconocimiento): Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización.

Fase 2 - Scanning (Exploración): En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros.

Fase 3 - Gaining Access (Obtener acceso): En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.


Pág. 17

Fase 4 - Maintaining Access (Mantener el acceso): Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.

Fase 5 - Covering Tracks (Borrar huellas): Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).


Pág. 18

Administración de la seguridad. Normativas de administración de seguridad

La implementación de esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado. Existen algunos obstáculos que el administrador del área de tecnologías de información debe tener en cuenta como la falta de conciencia de usuarios finales, el presupuesto, la falta de apoyo de la alta gerencia, la falta de entrenamiento, la pobre definición de responsabilidades, la falta de herramientas, y los aspectos legales. Las publicaciones NIST. El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la Información, estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad, y se han publicado mejoras en la serie como SP (Special publication) como en la 800-170 de Junio 2014, y en el 800-161 de Abril de 2015 sobre la administración del riesgo. La norma COBIT. COBIT (Control OBjetives for Information and related Tecnology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas), lanzado en 1996, es una herramienta de gobierno de TI, se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos; COBIT se divide en tres niveles:

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible.


Pág. 19

La nueva edición se edito10 de abril del 2012, y definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios:

Dominio de Planificación y organización: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Dominio de Adquisición e implementación: Para llevar a cabo la estrategia de TI, las soluciones deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Dominio de Prestación y soporte: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. Dominio de Monitoreo: Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.

La norma AS/NZS ISO/IEC 17799:2001. Es un conjunto de controles (Australian/New Zealand Standard, International Organization for Standardization/International Electronics Community), dan una serie de recomendaciones en el desarrollo de un proceso de administración de la seguridad informática, lo constituyen 127 controles estructurados en diez grandes áreas, que genera la confianza entre las instituciones que se relacionan, su primera publicación fue en 1995 y su nueva edición que se realizó en el 2007. Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007, y modificado en el 2013. Las diez áreas que cubre el estándar 17799.

Políticas de seguridad: La administración superior debe definir una política clara y apoyar la seguridad de la información a lo largo de la organización.


Pág. 20

Seguridad organizacional: Se divide en seguridad de la infraestructura, en el que deben ser claramente definidas las responsabilidades para la protección de información ó elementos físicos y de procesos de seguridad; la otra es el acceso a terceros, que se refiere a mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes. Revisar los tipos de acceso (físicos y lógicos).

Clasificación y control de activos: Cada activo deberá ser claramente identificado y se debe documentar la propiedad y su ubicación actual, clasificar el nivel de seguridad; controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información, así como su clasificación. Seguridad del personal: Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales; todo empleado y usuario externo de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad. Entrenamiento de usuarios, asegurarse que conozcan las amenazas y preocupaciones de seguridad de la información, todos los empleados deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales. Respuestas a eventos de seguridad, debe establecerse un procedimiento formal de reporte de incidentes. Seguridad física y ambiental: Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio. Los activos del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados incluidas las caídas de electricidad. Administraciones de las operaciones y comunicaciones: Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información; los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente; los cambios en los sistemas y elementos de procesamiento de información deben ser controlados. Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, y contar con planes de contingencia, análisis e identificación de las causas de un incidente, la recolección de pistas de auditoría, y reporte a las autoridades. Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas. Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento. Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado. Instalación y actualización regular de Antivirus y software scaneador de computadoras cono una medida preventiva. Revisar los documentos adjuntos en correos electrónicos así como cualquier archivo que se baje de Internet contra código malicioso. Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento, reporte y recuperación de ataques.


Pág. 21

Hacer copias en forma regular de la información esencial del negocio y del software. Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.

Asegurar la protección de la información en las redes así como de su infraestructura. Los administradores de la red deben implementar controles que aseguren a los datos en la red, de accesos no autorizados, y también para los datos que pasan sobre redes públicas. Manejo de los medios, se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Los medios que no se ocupen más en la empresa deben ser desechados en forma segura. Intercambio de información, se debe prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones. Control de accesos: Son los requerimientos del negocio para el control de accesos, se deben establecer las reglas y derechos para el control de acceso de usuarios o grupos de usuarios, y estas deben estar bien claras en un documento de políticas de acceso. Deben existir procedimientos formales para el registro y eliminación de usuarios. Deben existir procesos formales para el control de los password, y que los usuarios sigan buenas prácticas para la selección y uso de passwords. Control de acceso a aplicaciones, se busca prevenir el acceso no autorizado a los sistemas de información, por lo que se debe monitorear el uso y acceso a los sistemas, para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad. Asegurar la seguridad de la información cuando se utilizan dispositivos móviles. Desarrollo y mantenimiento de sistemas: Se debe asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura, así también que la seguridad es incluida en los Sistemas de Información, para prevenir la pérdida, modificación, o mal uso de los datos en las aplicaciones. Administración de la continuidad del negocio: Es actuar ante interrupciones de las actividades del negocio y proteger los procesos críticos de los efectos de fallas o desastres considerables, por lo que se deben probar con frecuencia los planes de continuidad o contingencia. Cumplimiento de aspectos legales: Evitar brechas o violaciones a cualquier ley criminal o civil, reguladora o contractual. Se deben implementar procedimientos apropiados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales.


Pág. 22

ITIL La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y buenas prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. Se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta mediados de los años 1990. Esta mayor adopción y conocimiento ha llevado a varios estándares, incluyendo ISO/IEC 20000, que es una norma internacional cubriendo los elementos de gestión de servicios de TI de ITIL. ITIL se considera a menudo junto con otros marcos de trabajo de mejores prácticas como la Information Services Procurement Library (ISPL, ‘Biblioteca de adquisición de servicios de información’), la Application Services Library (ASL, ‘Biblioteca de servicios de aplicativos’), el método de desarrollo de sistemas dinámicos (DSDM, Dynamic Systems Development Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologías de la información mediante COBIT (Control OBjectives for Information and related Technology). La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Actualmente existe la nueva versión ITIL v3 que fue publicada en mayo de 2007. Los ocho libros de ITIL y sus temas son: Gestión de Servicios de TI, 1. Mejores prácticas para la Provisión de Servicio 2. Mejores prácticas para el Soporte de Servicio Otras guías operativas 3. Gestión de la infraestructura de TI 4. Gestión de la seguridad 5. Perspectiva de negocio 6. Gestión de aplicaciones 7. Gestión de activos de software Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación (principalmente de la Gestión de Servicios): 8. Planeando implementar la Gestión de Servicios Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños: 9. Implementación de ITIL a pequeña escala.


Pág. 23

Administración del riesgo Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. AS/NZS 4360:1999 El Australian/New Zealand Standard 4360, este estándar provee una guía genérica para el establecimiento e implementación del proceso de administración del riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. La administración de riesgos es una parte integral del proceso de administración. La administración de riesgos es un proceso multifacético, de aspectos apropiados del cual son a menudo llevados a cabo mejor por un equipo multidisciplinario. Es un proceso iterativo de mejora continua. Elementos principales del estándar del proceso de administración de riesgos, se describen enseguida de una forma breve.

Establecer el contexto: Involucra establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.

Identificar riesgos: Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior.

Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo.

Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento.

Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración específico que incluya consideraciones de fondeo.


Pág. 24

Monitorear y revisar: Monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo.

Comunicar y consultar: Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concibiendo al proceso como un todo.

Para cada etapa del proceso deberían llevarse registros adecuados, suficientes como para satisfacer a una auditoria independiente. La administración de riesgos se puede aplicar en una organización a muchos niveles. Se lo puede aplicar a nivel estratégico y a niveles operativos. Se lo puede aplicar a proyectos específicos, para asistir con decisiones específicas o para administrar áreas específicas reconocidas de riesgo. La administración de riesgos es un proceso iterativo que puede contribuir a la mejora organizacional. Con cada ciclo, los criterios de riesgos se pueden fortalecer para alcanzar progresivamente mejores niveles de administración de riesgos.


Pág. 25

Otro esquema determina mediante una formula la manera de estimar el riesgo. Ecuación básica del análisis de riesgo.

¿B > P * L?

B: Es la carga o gasto que significa la prevención de una pérdida específica debido a una vulnerabilidad.

P: Es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa pérdida específica.

L: es el impacto o coste total que significa la pérdida específica debido a esa vulnerabilidad que ha sido afectada por una amenaza.

Mediante esta simple formula muy básico es posible determinar ¿cuándo y cuánto invertir en seguridad?, siguiendo las siguiente premisas.

Si B < P * L : Hay que implementar una medida de prevención.

Si B > P * L : No es necesaria una medida de prevención. En varios casos, el verdadero problema está en la dificultad de calcular de forma más o menos precisa el impacto económico que puede suponer el hecho de que ocurra un riesgo. La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada, por lo que siempre habrá una parte de valoración subjetiva. El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc., que se deben considerar para tener la estimación más acertada. El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que ocurra el riesgo. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida. No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo, sin embargo se debe considerar que no tiene sentido alguno, invertir más dinero en la protección del bien que el propio valor de éste. Como ley básica el costo del control ha de ser menor que el activo que se desee proteger.


Pág. 26

La autenticación. La autenticidad es una de las causas principales de riesgos y amenazas existentes para la seguridad de la información en nuestros días. Dada la gran cantidad de usuarios en servidores, sitios web y en general en los grandes sistemas y redes, los riesgos de suplantación de personalidad, repudio de transaccionalidad, perdida de identidad, violación de autoría y demás son de aparición diaria en los ambientes del manejo de la información. La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time tokens), o los certificados digitales. Protocolos de autenticación y control de acceso. Un protocolo de autenticación es el intercambio programado de mensajes entre un objeto usuario y un objeto servidor teniendo como finalidad la autenticación, autorización de uso de recursos informáticos a los que tiene derecho y contabilización del uso de los mismos. En seguridad informática, el acrónimo AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticación, Autorización y Contabilización (Authentication, Authorization and Accounting en inglés). La expresión protocolo AAA no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres servicios citados. Autenticación por token. Password Authentication Protocol (PAP): El método PAP, provee una manera simple para que un usuario establezca su identidad a un autenticador en un intercambio de 2 vías. Challenge-Handshake Authentication Protocol (CHAP): El Protocolo de autenticación por reto, es muy usado como herramienta de verificación de identidad de un host o de un usuario final usando un intercambio de 3 mensaje. CHAP normalmente se ejecuta al inicio de una conexión y puede repetirse en cualquier momento de ella.


Pág. 27

Protocolos que usan mecanismos de autenticación. El Protocolo TACACS+. El Protocolo TACACS+ “Terminal Access Controller Access Control System”: El protocolo de autenticación TACACS+ es la última generación de TACACS. TACACS es un acceso basado en simple UDP originalmente desarrollado por BBN para la red MILNET. Cisco lo ha reforzado (extendido)TACACS varios veces, y la aplicación de Cisco es llamada XTACACS.

TACACS: Combina procesos de autenticación y autorización. XTACACS: Separa autenticación, autorización y contabilización. TACACS+: Es los mismo que XTACACS pero con atributos extendidos y contabilidad mas importante.

TACACS+ es un protocolo cliente/servidor; el cliente de TACACS+ es típicamente un Report Application Server (RAS). El servidor de TACACS+ normalmente es un proceso daemon que corre en algún UNIX o servidor Microsoft Windows, usa TCP para su transporte, y el demonio del servidor usualmente escucha en el puerto 49, el puerto asignado para el LOGIN del TACACS. Una característica fundamental de TACACS+ es la separación que hace de autenticación, autorización, y contabilidad. El protocolo e RADIUS. El protocolo Remote Address Dial-In User Service (RADIUS), fue enviada al IETF. La especificación es ahora una norma en 2 partes: “The RADIUS specification (RFC 2058) y “RADIUS accounting Standard (RFC 2059)”. RADIUS usa UDP como su protocolo de transporte. El cliente RADIUS es típicamente un servidor de acceso a la red o Network Access Server (NAS), el servidor RADIUS es un proceso daemon corriendo en Linux o WNT. Un servidor de control de acceso (SCA) RADIUS puede actuar como” proxy client”. En el RADIUS, se acoplan la autenticación y funcionalidades de la autorización y van juntos. Si el nombre de usuario es encontrado y la contraseña es correcta, el servidor del RADIUS devuelve un “Acces-Accept” como contestación, incluyendo una la lista de pares de atributo valor que describen los parámetros a ser usados para esta sesión. Los parámetros típicos incluyen el tipo de servicio (shell,framed), el tipo de protocolo , modo de asignación de la dirección IP (estática o dinámica), si aplica a lista de acceso, o una ruta estática para instalar en el RAS. El protocolo Kerberos. Kerberos es un protocolo de autenticación de clave secreta usado como metodología de referencia desarrollado en el Massachusetts Institute of Technology (MIT), el cual usa el algoritmo de encripción Data Encryption Standard (DES). Kerberos Version 5 (la versión actual) es un estándar Internet especificado en el RFC 1510.


Pág. 28

Kerberos fue diseñado para autenticar requerimientos de usuarios por recursos de la red (equipos activos, servidores, aplicaciones, uso de equipos de salida). Kerberos se basa en el concepto de una tercera parte confiable (denominada Servidor de Control de Acceso-SCA) la cual ejecuta la verificación segura del usuario y los servicios a los que tienen derecho acceder. Para cumplir con su trabajo un servidor confiable de Kerberos emite o genera "tickets" a los usuarios. Estos “tickets” tienen un ciclo de vida limitado y se almacenan en repositorios cache durante un tiempo limitado, tanto en los clientes usuarios como en los key distribution center (KDC) denominado credenciales de usuarios cache. Ellos puedes ser usados en lugar de los nombres de usuarios y contraseña como mecanismos de autenticación en las aplicaciones y servicios a los que requiera acceder el usuario Certificados digitales. Hoy en día, debido al constante crecimiento de usuarios en Internet y al incremento en las operaciones en línea que se realizan diariamente (comercio electrónico, banca en línea, etc), el tema de seguridad en la red se vuelve cada vez más relevante. El certificado digital es un documento digital mediante el cual una autoridad certificadora garantiza la relación entre la identidad de un usuario o entidad y su llave pública.

La autoridad certificadora: Es una organización confiable que emite o revoca certificados de entidades, mediante la validación y autentificación de dichas solicitudes. Llave pública: La llave pública permite cifrar el mensaje enviado (puede ser compartida con cualquier persona), mientras que la llave privada permite descifrarlo (solo tiene acceso el propietario del certificado, misma que puede ser almacenada en una tarjeta inteligente por ejemplo).

Existen diversos formatos para certificados digitales, sin embargo los más comunes (utilizados por los navegadores) se rigen por el estándar UIT-T X.509. Un certificado digital, que vaya de acuerdo al standard X509v3, contiene la siguiente información.

Identificación del titular del certificado: Nombre, dirección, etc. Copia de la llave pública del titular del certificado. Copia del certificado. Fecha de validez del certificado (fecha de expiración). Número de serie. Nombre de la Autoridad Certificadora (identificación). Firma digital de la Autoridad Certificadora.


Pág. 29

Emisores de certificados. Cualquier individuo o institución puede generar un certificado digital, pero si éste emisor no es reconocido por quienes interactúen con el propietario del certificado, el valor del mismo es prácticamente nulo. Por ello los emisores deben acreditarse. La gran mayoría de los emisores tiene fines comerciales, y otros, gracias al sistema de anillo de confianza pueden otorgar gratuitamente certificados en todo el mundo, como la CAcert.org, emisor administrado por la comunidad con base legal en Australia. Pero para que un certificado digital tenga validez legal, el prestador de Servicios de Certificación debe acreditarse en cada país de acuerdo a la normativa que cada uno defina. Los encargados de autorizar la creación de una autoridad de certificación o prestador de servicios de certificación de algunos países hispanos son:

En Chile: El Ministerio de Economía. En Colombia: La sociedad Cameral de Certificación Digital Certicámara y GSE Gestión de Seguridad Electrónica. En Costa Rica: El Ministerio de Ciencia y Tecnología, bajo el Sistema Nacional de Certificación Digital. En Ecuador: El Banco Central del Ecuador. En España: La Fábrica Nacional de Moneda y Timbre, el Ministerio de Industria, Turismo y Comercio, la Agencia Catalana de Certificación. En Guatemala: El Ministerio de Economía. En México: La Secretaría de Economía. En Perú: El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual. En la República Dominicana: El Instituto Dominicano de las Telecomunicaciones.


Pág. 30

Detección y prevención de intrusos. Mediante un sistema de detección y prevención de intrusos, se consigue detectar cualquier tipo de intrusión o acceso no autorizado a la red privada de una organización, tanto externo como generado en el interior, y aportando una respuesta automática rápida y adecuada según el riesgo detectado. Las soluciones IDPS (Intrusion Detection Prevention System) aportan un valor añadido de prevención y vigilancia a la hora de asegurar entornos de trabajo en red. IDS. El término IDS (Intrusion Detection System) sistema de detección de intrusiones, hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS:

El grupo N-IDS: Sistema de detección de intrusiones de red, que garantiza la seguridad dentro de la red.

El grupo H-IDS: Sistema de detección de intrusiones en el host, que garantiza la seguridad en el host.

Un N-IDS, normalmente necesita un hardware exclusivo, esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc. El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H IDS analiza la información particular almacenada en registros como registros de sistema, mensajes, lastlogs y wtmp, también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión, como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer.


Pág. 31

IPS. Un Sistema de Prevención de Intrusos (IPS, Intrusion Prevention Systems), es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. Un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente.

IPS basados en host (HIPS): Esta aplicación de prevención de intrusos reside en la dirección IP específica de un solo equipo, permite prevenir posibles ataques en los nodos débiles de una red

IPS basada en red (PIN): Esta aplicación IPS es en hardware esto podría ser en un front-end de cortafuegos, y son desarrollados específicamente para la plataformas hardware / software que analizan, detectan e informan sobre eventos relacionados con la seguridad. PIN están diseñados para inspeccionar el tráfico y la configuración de la política de seguridad, sobre la cual pueden verificar el tráfico malicioso.

Un IPS es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS, conforman la nueva tecnología de seguridad informática para protección de servidores y redes que bloquean de forma eficiente ataques externos e internos y todo tipo de amenazas conocidas. La tecnología IPS permite a las organizaciones proteger la información crítica de una forma proactiva, esta tecnología supone un beneficio continuo y una inversión verdaderamente inteligente para cualquier entorno de red, así mismo protegen infraestructuras, aplicaciones y en muchos mejora el rendimiento de las redes porque a través de ella no circulará código dañino, algunas características de los IPS son el bloqueo automático de ataques, protección de sistemas no parcheados, y optimización del rendimiento de la red.


Pág. 32

Sistemas de seguridad. Analiza toda la información que circula por una red de datos e identifica posibles ataques son algunas de las necesidades de una red, el cual deberá cerrar las puertas al posible intruso reconfigurando elementos de la red como firewalls, switches y routers. Uso de VLAN.

Una de las tecnologías que contribuyen al excelente rendimiento de la red es la división de los grandes dominios de broadcast en dominios más pequeños con las LAN Virtuales (VLAN). Los dominios de broadcast más pequeños limitan el número de dispositivos que participan en los broadcasts y permiten que los dispositivos se separen en agrupaciones funcionales. Mediante las VLAN, puede segmentar de manera lógica las redes conmutadas basadas en equipos de proyectos, funciones o departamentos. Las VLAN permiten que el administrador de la red implemente las políticas de acceso y seguridad para grupos particulares de usuarios. Las VLAN deben darse de alta en un Switch y cada puerto asignarse a la VLAN correspondiente. Un puerto de switch con una VLAN singular configurada en el mismo se denomina puerto de acceso. Si dos computadoras están conectadas físicamente en el mismo switch no significa que se puedan comunicar. Los dispositivos en dos redes y subredes separadas se deben comunicar a través de un router de capa 3, se utilicen o no las VLAN. No necesita las VLAN para tener redes y subredes múltiples en una red conmutada. Las VLAN proporcionan seguridad, el grupo de puertos asignados a una VLAN que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial. Agregar una VLAN. Existen dos modos diferentes para configurar las VLAN en un switch Cisco Catalyst: modo de configuración de base de datos y modo de configuración global, pesar de que la documentación de Cisco menciona el modo de configuración de base de datos de la VLAN, se utilizará el modo de configuración global de la VLAN. Al configurará las VLAN con los ID en el rango normal. Existen dos rangos de ID de la VLAN. El rango normal incluye los ID 1 a 1001 y el rango ampliado consiste en los ID 1006 a 4094. VLAN 1 y 1002 a 1005 son números de ID reservados. Cuando configura las VLAN de rango normal, los detalles de configuración se almacenan automáticamente en la memoria flash del switch en un archivo llamado vlan.dat.


Pág. 33

El proceso es ingresar en modo de configuración global, e ingresar en modo de configuración global de VLAN, con (vlan ID), enseguida agregar un nombre para identificar a la VLAN con (name nombre), y para terminar se pude escribir (exit), y por último el comando (show vlan brief) mostrará el contenido del archivo vlan.dat. Agregar un puerto a la VLAN. Una vez que haya creado una VLAN, asígnele uno o más puertos. Cuando asigna un puerto de switch a una VLAN en forma manual, se le conoce como puerto de acceso estático. Un puerto de acceso estático puede pertenecer a sólo una VLAN por vez. El proceso es ingresar en modo de configuración global, e ingresar a la interfaz involucrada una vez en él ingrese el comando (switchport mode access) para establecer el modo estático, y enseguida asignarlo a la VLAN correspondiente con (switchprot acces vlan ID), y para terminar y salir de la interfaz con (exit). Para reasignar un puerto a la VLAN 1, el usuario puede usar el comando (no switchport access vlan) en el modo de configuración de interfaz, no se necesita quitar primero un puerto de una VLAN para cambiar de VLAN. Cuando se reasigne el puerto de acceso estático a una VLAN existente, la VLAN se elimina automáticamente del puerto anterior.


Pág. 34

Configurar un enlace troncal 802.1Q Para configurar un enlace troncal en el puerto de un switch, use el comando (switchport mode trunk) en modo de configuración de interfaz. Cuando ingresa al modo enlace troncal, la interfaz cambia al modo permanente de enlace troncal y el puerto ingresa a una negociación de DTP para convertir el vínculo a un vínculo de enlace troncal. Es posible utilizar el comando (switchport trunk native valn), del IOS de Cisco para especificar una VLAN nativa diferente a la VLAN 1. Para la verificación de la configuración de un puerto de switch, es utilizado es el comando show interfaces id de la interfaz switchport, esto muestra los datos del puerto, si tiene establecido el modo de Enlace Troncal, indica cual es la VLAN nativa, la VLAN de administración, y por último muestra que VLAN’s del enlace troncal están habilitadas.


Pág. 35

Enrutamiento de VLAN. Configurar el enrutamiento entre VLAN Como muestra la figura, el router R1 está conectado a los puertos del switch F0/4 y F0/5, que se configuraron para las VLAN 10 y 30 respectivamente. Para repasar, las VLAN se crean en el modo de configuración global mediante el comando vlan id de la VLAN. En este ejemplo las VLAN 10 y 30 se crearon en el switch S1. Una vez creadas las VLAN, se asignan a los puertos del switch a los que se conectará el router. Para realizar esta tarea, se ejecuta el comando switchport access vlan id de la VLAN desde el modo de configuración de la interfaz en el switch para cada interfaz a la cual se conectará el router. En este ejemplo, las interfaces F0/4 y F0/11 se configuraron en la VLAN 10 con el comando switchport access vlan 10. El mismo proceso se utilizó para asignar la VLAN30 a la interfaz F0/5 y F0/6 en el switch S1. Finalmente, para proteger la configuración y no perderla después de una recarga del switch, se ejecuta el comando copy running-config startup-config en el modo EXEC privilegiado para guardar una copia de seguridad de la configuración en ejecución en la configuración de inicio. Luego, se puede configurar el router para realizar el enrutamiento entre VLAN. Como muestra la figura, cada interfaz está configurada con una dirección IP mediante el comando ip address dirección ip máscara de subred en el modo configuración de la interfaz. Las interfaces del router están deshabilitadas de manera predeterminada y es necesario habilitarlas con el comando no shutdown antes de utilizarlas.


Pág. 36

En este ejemplo, la interfaz F0/0 se asignó a la dirección IP de 172.17.10.1 mediante el comando ip address 172.17.10.1 255.255.255.0. Observará además que luego de haber ejecutado el comando de modo de configuración de interfaz no shutdown se muestra una notificación que indica que el estado de la interfaz ha cambiado a activado. Esto indica que la interfaz ahora está habilitada. El proceso se repite para todas las interfaces del router. Es necesario asignar cada interfaz del router a una subred única para que se produzca el enrutamiento. En este ejemplo, la otra interfaz del router, F0/1, se configuró para utilizar la dirección IP 172.17.30.1, que está en una subred diferente a la interfaz F0/0. Los routers Cisco están configurados de manera predeterminada para enrutar el tráfico entre las interfaces locales. Por lo tanto, no es necesario que esté habilitado el enrutamiento. Sin embargo, si se configuran múltiples routers para realizar el enrutamiento entre VLAN, tal vez desee habilitar un protocolo de enrutamiento dinámico para simplificar la administración de la tabla de enrutamiento.

Interfaces y subinterfaces La configuración de las subinterfaces del router es similar a la configuración de las interfaces físicas, excepto que es necesario crear la subinterfaz y asignarla a una VLAN. En el ejemplo, ingrese el comando interface f0/0.10 en el modo de configuración global para crear la subinterfaz del router. La sintaxis para la subinterfaz es siempre la interfaz física, en este caso f0/0, seguida de un punto y un número de subinterfaz. El número de la subinterfaz es configurable, pero generalmente está asociado para reflejar el número de VLAN. En el ejemplo, las subinterfaces utilizan 10 y 30 como números de subinterfaz para recordar con más facilidad las VLAN a las que se encuentran asociadas. La interfaz física está especificada porque puede haber múltiples interfaces en el router, cada una configurada para admitir muchas subinterfaces. Antes de asignar una dirección IP a una subinterfaz, es necesario configurar la subinterfaz para que funcione en una VLAN específica mediante el comando encapsulation dot1q id de la VLAN. En el ejemplo, la subinterfaz Fa0/0.10 está asignada a la VLAN10. Una vez asignada la VLAN, el comando ip address 172.17.10.1 255.255.255.0 asigna la subinterfaz a la dirección IP apropiada para esa VLAN.


Pág. 37

A diferencia de una interfaz física típica, las subinterfaces no están habilitadas con el comando no shutdown en el nivel de modo de configuración de la subinterfaz del software IOS de Cisco. En cambio, cuando la interfaz física está habilitada con el comando no shutdown, todas las subinterfaces configuradas están habilitadas. De manera similar, si la interfaz física está deshabilitada, todas las subinterfaces están deshabilitadas VLAN con direcciones IP para un protocolo virtual troncal (VTP) Establezca Lab4 como nombre de dominio VTP y cisco como contraseña de VTP en los tres switches. Configure S1 en modo servidor, S2 en modo cliente.

S1(config)#vtp mode server S1(config)#vtp domain Lab4 S1(config)#vtp password cisco S2(config)#vtp mode client S2(config)#vtp domain Lab4 S2(config)#vtp password cisco

S1(config)#interface vlan 99 S1(config-if)#ip address 172.17.99.11 255.255.255.0 S1(config-if)#no shutdown

S2(config)#interface vlan 99 S2(config-if)#ip address 172.17.99.12 255.255.255.0 S2(config-if)#no shutdown

S3(config)#interface range fa0/6-10 S3(config-if-range)#switchport access vlan 30


Pág. 38

Uso de FireWall. El término Firewall se referiere a un cortafuegos informático, es un software o hardware utilizado en redes de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial. Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el WEB, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Políticas de Diseño de Firewalls. Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura. Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios. Routers. Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por diferentes Routers (enrutadores a nivel de Red). Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.


Pág. 39

La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar, si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. En los routers de Cisco, existe un sistema de protección bastante bien elaborado conocido como listas de control de acceso (ACL), que pueden ser implementadas para la creación de un firewall. Hay dos tipos de ACL Cisco: estándar y extendidas. ACL estándar Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el tráfico desde la red 192.168.30.0/24. Debido a la sentencia implícita "deny any" (denegar todo) al final, todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global. ACL extendidas Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuración global. Numeración y denominación de las ACL. Utilizar ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más pequeñas con más tráfico definido de manera homogénea. Sin embargo, un número no le informa el propósito de la ACL. Por ello, si se parte del IOS de Cisco Versión 11.2, puede utilizar un nombre para identificar una ACL de Cisco. En cuanto a las ACL, si se pregunta por qué se saltean los números del 200 al 1299, la respuesta es porque esos números son utilizados por otros protocolos. Este curso se centra sólo en las ACL IP. Por ejemplo, los números del 600 al 699 son utilizados por AppleTalk y los números del 800 al 899 por IPX.


Pág. 40

Donde ubicar las ACL. La ubicación adecuada de las ACL para filtrar el tráfico no deseado proporciona un funcionamiento más eficiente de la red. Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el tráfico no deseado. El lugar donde ubique las ACL puede reducir el tráfico innecesario. Por ejemplo, el tráfico que se deniega en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red. Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino posible. En la figura, el administrador desea que el tráfico que se origina en la red 192.168.10.0/24 no ingrese a la red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.168.10.0/24. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen. Máscaras wildcard Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. Una máscara wildcard es una secuencia de dígitos binarios que le indican al router qué partes del número de subred observar. Aunque las máscaras wildcard no tienen una relación funcional con las máscaras de subred, sí proporcionan una función similar. La máscara determina qué parte de la dirección IP de origen y destino aplicar a la concordancia de direcciones. Los bits 1 y 0 de wildcard se utilizan con distintos propósitos y siguen distintas reglas. Las máscaras wildcard tienen una longitud de 32 bits y utilizan unos (1) y ceros (0) binarios. Las máscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos según la dirección IP.


Pág. 41

Las máscaras wildcard y máscaras de subred difieren en la forma en la que concuerdan sus unos y ceros binarios. Las reglas para hacer coincidir sus unos y ceros binarios son. Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección. Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección. La figura muestra la forma en la que las diferentes máscaras wildcard filtran direcciones IP. Como puede observar en el ejemplo, recuerde que el 0 binario representa una coincidencia, y el 1 binario, ignorar. La tabla de la figura muestra los resultados de aplicar una máscara wildcard 0.0.255.255 a una dirección IP de 32 bits. Recuerde que un 0 binario indica un valor coincidente. Máscaras wildcard para hacer coincidir subredes IP Calcular la máscara wildcard puede ser un tanto confuso al principio. La figura proporciona tres ejemplos de máscaras wildcard. En el primer ejemplo, la máscara wildcard indica que cada bit de la dirección IP 192.168.1.1 debe coincidir en forma exacta. La máscara wildcard es equivalente a la máscara de subred 255.255.255.255. En el segundo ejemplo, la máscara wildcard indica que todo coincide. La máscara wildcard es equivalente a la máscara de subred 0.0.0.0.


Pág. 42

En el tercer ejemplo, la máscara wildcard indica que coincide cualquier host dentro de la red 192.168.1.0 /24. La máscara wildcard es equivalente a la máscara de subred 255.255.255.0. Los dos ejemplos de la figura son más complicados que los últimos tres que se mostraron. En el ejemplo 1, los primeros dos octetos y los primeros cuatro bits del tercer octeto deben coincidir de manera exacta. Los últimos cuatro bits del tercer octeto y el último octeto pueden ser cualquier número válido. Esto da como resultado una máscara que verifica de 192.168.16.0 a 192.168.31.0. El ejemplo 2 muestra una máscara wildcard que coincide con los primeros dos octetos y el bit más insignificante del tercero. El último octeto y los primeros siete bits del tercer octeto pueden ser cualquier número válido. El resultado es una máscara que permite o deniega todos los hosts desde subredes impares de la red principal 192.168.0.0. Calcular máscaras wildcard puede ser complicado, pero puede hacerlo fácilmente restando la máscara de subred de 255.255.255.255.


Pág. 43

En el tercer octeto, la máscara wildcard es 15 (00001111), y la dirección IP es 16 (00010000). Los primeros cuatro ceros en la máscara wildcard indican al router que debe comparar los primeros cuatro bits de la dirección IP (0001). Como los últimos cuatro bits se ignoran, todos los números dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrón 0001. Para los cuatro bits finales (menos significativos) en este octeto, la máscara wildcard ignora el valor porque en estas posiciones, el valor de la dirección puede ser cero o uno binarios Por ejemplo 1, supongamos que desea permitir el acceso a todos los usuarios de la red 192.168.3.0. Si la máscara de subred es 255.255.255.0, puede tomar 255.255.255.255 y restar de la máscara de subred 255.255.255.0 o como se muestra en la figura. La solución genera la máscara wildcard 0.0.0.255. Ejemplo 2, supongamos que desea permitir el acceso a la red a los 14 usuarios de la subred 192.168.3.32 /28. La máscara de subred para la subred IP es 255.255.255.240; tome 255.255.255.255 y reste de la máscara de subred 255.255.255.240. Esta vez la solución genera la máscara wildcard 0.0.0.15. En este tercer ejemplo, supongamos que desea hacer coincidir sólo las redes 192.168.10.0 y 192.168.11.0. Nuevamente, tome 255.255.255.255 y reste la máscara de subred regular que, en este caso, es 255.255.252.0. El resultado es 0.0.3.255. Puede obtener el mismo resultado con las siguientes dos sentencias: R1(config)# access-list 10 permit 192.168.10.0 R1(config)# access-list 10 permit 192.168.11.0 Es más eficaz configurar la máscara wildcard de la siguiente manera: R1(config)# access-list 10 permit 192.168.10.0 0.0.3.255


Pág. 44

No parece ser más eficaz, pero considere hacer coincidir la red 192.168.16.0 a 192.168.31.0 de la siguiente manera: R1(config)# access-list 10 permit 192.168.16.0 R1(config)# access-list 10 permit 192.168.17.0 R1(config)# access-list 10 permit 192.168.18.0

: :

R1(config)# access-list 10 permit 192.168.30.0 R1(config)# access-list 10 permit 192.168.31.0 Puede ver que es más eficiente al configurar la siguiente máscara wildcard: R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255 Palabras clave de la máscara de bits wildcard Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa. Para simplificarla, las palabras clave host y any ayudan a identificar los usos más comunes de las máscaras wildcard. Con estas palabras clave no necesita ingresar las máscaras wildcard al identificar un host o red específicos. También facilitan la lectura de una ACL al proporcionar pistas visuales en cuanto al origen o destino del criterio. La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IP deben coincidir o que sólo un host coincide. La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones. Ejemplo 1: Proceso de las máscaras wildcard con una única dirección IP, en lugar de ingresar 192.168.10.10 0.0.0.0, puede utilizar host 192.168.10.10. Ejemplo 2: Proceso de las máscaras wildcard con una dirección IP que coincide con todas, en lugar de ingresar 0.0.0.0 255.255.255.255, puede usar la palabra clave any.


Pág. 45

Palabras clave any y host En la figura tenemos dos ejemplos. El Ejemplo 1 muestra cómo utilizar la opción any para reemplazar 0.0.0.0 por la dirección IP con máscara wildcard de 255.255.255.255. El Ejemplo 2 muestra cómo utilizar la opción host para reemplazar la máscara wildcard. Procedimientos de configuración de las ACL estándar Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando ip access-group: Router(config-if)#ip access-group {número de lista de acceso | nombre de lista de acceso} {in | out} Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y luego el comando global no access-list para eliminar toda la ACL. En la figura aparecen los pasos y la sintaxis para configurar y aplicar una ACL estándar numerada en un router. En la figura se tiene un ejemplo de una ACL que permite una única red. Esta ACL sólo permite que el tráfico de la red de origen 192.168.10.0 sea enviado por la interfaz S0/0/0. Se bloquea el tráfico de las demás redes, excepto la 192.168.10.0.


Pág. 46

La primera línea identifica la ACL como lista de acceso 1. Permite el tráfico que coincide con los parámetros seleccionados. En este caso, la dirección IP y la máscara wildcard que identifica la red de origen es 192.168.10.0 0.0.0.255. Recuerde que existe la sentencia implícita y oculta "deny all", equivalente a agregar la línea access-list 1 deny 0.0.0.0 255.255.255.255. El comando de configuración de interfaz ip access-group 1 out vincula y adjunta la ACL 1 a la interfaz Serial 0/0/0 como filtro de salida. Por ello, la ACL 1 sólo permite hosts de la red 192.168.10.0 /24 para salir del router R1. Deniega cualquier otra red, incluso la 192.168.11.0. En otro ejemplo que aparece en la figura se obtiene una ACL que deniega un host específico. Esta ACL reemplaza el ejemplo anterior, pero además bloquea el tráfico de una dirección específica. El primer comando borra la versión anterior de la ACL 1. La siguiente sentencia de ACL deniega el host PC1 ubicado en 192.168.10.10. Está permitido cualquier otro host de la red 192.168.10.0 /24. Nuevamente, la sentencia implícita de denegación coincide con cualquier otra red. Nuevamente se aplica la ACL a la interfaz S0/0/0 en dirección saliente. En otro ejemplo que aparece en la figura se obtiene una ACL que deniega una subred específica. Esta ACL reemplaza el ejemplo anterior pero aún bloquea tráfico del equipo host PC1. Permite, además, que todo el tráfico de LAN salga del router R1. Los primeros dos comandos son los mismos que el ejemplo anterior. El primer comando borra la versión anterior de la ACL 1 y la siguiente sentencia de ACL deniega el host PC1 ubicado en 192.168.10.10.


Pág. 47

La tercera línea es nueva y permite todos los hosts de las redes 192.168.x.x /16. Ahora, esto significa que todos los hosts de la red 192.168.10.0 /24 sí coinciden, pero ahora también coinciden los hosts de la red 192.168.11.0. Nuevamente se aplica la ACL a la interfaz S0/0/0 en dirección saliente. Por ello, las dos LAN conectadas al router R1 pueden salir de la interfaz S0/0/0, a excepción del host PC1. Uso de las ACL para controlar el acceso VTY Cisco recomienda utilizar SSH para conexiones administrativas a routers y switches. Si la imagen del software IOS de Cisco en su router no admite SSH, puede mejorar parcialmente la seguridad de las líneas administrativas restringiendo el acceso VTY. Restringir el acceso VTY es una técnica que le permite definir qué direcciones IP tienen acceso Telnet al proceso EXEC del router. Puede controlar la estación de trabajo o red administrativa que administra su router con una ACL y una sentencia access-class a sus líneas VTY. También puede utilizar esta técnica con SSH para mejorar más la seguridad del acceso administrativo. El comando access-class del modo de configuración de línea restringe las conexiones entrantes y salientes entre una VTY particular (en un dispositivo Cisco) y las direcciones de una lista de acceso. Las listas de acceso extendidas y estándar se aplican a paquetes que viajan a través de un router. No están diseñadas para bloquear paquetes que se originan dentro del router. De forma predeterminada, la ACL Telnet extendida de salida no impide las sesiones Telnet iniciadas por el router. Filtrar el tráfico de Telnet generalmente es una función de una ACL IP extendida, porque filtra un protocolo de nivel superior. Sin embargo, como usted utiliza el comando access-class para filtrar sesiones de Telnet entrantes y salientes mediante direcciones de origen y para aplicar filtros a las líneas VTY, puede utilizar las sentencias de ACL estándar para controlar el acceso VTY. La sintaxis del comando access-class es: access-classaccess-list-number {in [vrf-also] | out} El parámetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las direcciones de la lista de acceso, mientras que el parámetro out restringe las conexiones salientes entre un dispositivo Cisco particular y las direcciones de la lista de acceso.


Pág. 48

En la figura se muestra un ejemplo donde se permite VTY 0 y 4. Por ejemplo, la ACL de la figura se configura para permitir el acceso de las redes 192.168.10.0 y 192.168.11.0 a las VTY 0 - 4. Todas las demás redes no tienen acceso a las VTY. Cuando configure las listas de acceso en las VTY, tenga en consideración lo siguiente: Sólo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas. Uso de VPN. Una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. Requerimientos básicos. Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados. Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que sólo pueden ser leídos por el emisor y receptor. Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios.


Pág. 49

Tipos de VPN Básicamente existen tres arquitecturas de conexión VPN: VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera), utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas). VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling. Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador), creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, podría ser SSH. La comunicación segura implica conectar redes remotas mediante líneas dedicadas. Sin embargo, como la mayoría de las compañías no pueden conectar dos redes de área local remotas con una línea dedicada, a veces es necesario usar Internet como medio de transmisión. Una solución consiste en utilizar Internet como medio de transmisión con un protocolo de túnel, que significa que los datos se encapsulan antes de ser enviados de manera cifrada. El término Red privada virtual (abreviado VPN) se utiliza para hacer referencia a la red creada artificialmente de esta manera. Se dice que esta red es virtual porque conecta dos redes físicas “redes de área local”, a través de una conexión poco fiable Internet, y privada porque sólo los equipos que pertenecen a una red de área local de uno de los lados de la VPN pueden ver los datos.


Pág. 50

Configuración de una VPN Se crea un pool de direcciones r1(Config)#ip local pool VPNPOOL 192.168.1.10 192.168.1.19 La autenticación Activa la funcionalidad AAA r1(config)# aaa new-model Define la lista de métodos de autenticacion cuando un usuario hace login (local, RADIUS) r1(config)# aaa authentication login VPN-USER local Establece los parametros que restringen el acceso de los usuarios a la red r1(config)# aaa authorization network VPN-GROUP local Se crea una cuenta de usuario usarán los clientes VPN para autenticarse contra el servidor r1(config)# username vpnuser password miclave Configurar las políticas IKE Crea una nueva politica IKE. Cada política se identifica por su número de prioridad (de 1 a 10,000); 1 es la prioridad más alta. r1(config)# crypto isakmp policy 10 Especifica el algoritmo de cifrado a utilizar r1(config-isakmp)# encryption aes 192 Elegir el algoritmo de hash a usar: Message Diges 5(MD5) o Secure Hash Algoritm (SHA). r1(config-isakmp)# hash sha Determina el método de autenticación: pre-shared keys, RSAI encrypted nonces (rsa-ener) o RSA signatures(rsa-sig). r1(config-isakmp)# authentication pre-share Especifica el identificador del grupo Diffie-Helman r1(config-isakmp)# group 5 Crea un grupo Ike para los clientes VPN r1(config)# crypto isakmp client configuration group VPN-GROUP Establece el secreto compartido para el grupo VPN-GROUP r1(config-isakmp-group)# key SECRETOCOMPARTIDO


Pág. 51

Se selecciona el pool de direcciones para los clientes r1(config-isakmp-group)# pool VPNPOOL Configurar la política IPSec Establece las políticas de seguridad IPSEC que se usarán en las comunicaciones. r1(config)# crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac Crea un crypto map dinámico que se usa cuando la IP del host remoto no se conoce, como es el caso en las VPN de acceso remoto. r1(config)# crypto dynamic-map VPN-DYNAMIC 10 Asocia el transfrom set VPNSET al crypto map dinámico. r1(config-crypto-map)# set transform-set VPNSET Activa Reverse Route injection (RRI) r1(config-crypto-map)# reverse-route Configura un crypto map estático que puede ser asociado a una interfaz r1(config)# crypto map VPN-STATIC client configuration address respond Define el conjunto de usuarios con permisos de autenticación. r1(config)# crypto map VPN-STATIC client authentication list VPN-USER Establece el grupo de usaurios y los parametros de acceso a la red. r1(config)# crypto map VPN-STATIC isakmp authorization list VPN-GROUP Asocia el crypto map dinámico creado para los clientes de acceso remoto. r1(config)# crypto map VPN-STATIC 20 ipsec-isakmp dynamic VPN-DYNAMIC Accedemos a la configuracion de la interfaz por la que se conectrán los clientes VPN r1(config)# interface serial1/0 Asociamos el crypto map a la interfaz r1(config-if)# crypto map VPN-STATIC Lograr el enlace con el cliente

Seguridad de la Información - fbelmont.utj.edu.mxfbelmont.utj.edu.mx/docum/SegurInform.pdf · El...

Documents

Transcript of Seguridad de la Información - fbelmont.utj.edu.mxfbelmont.utj.edu.mx/docum/SegurInform.pdf · El...