UNIVERSIDAD TCNICA DE MANAB

FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS
ADMINISTRACIN DE REDES
TEMA:
Seguridad bsica para la Administracin de Redes
MATERIA:
Administracin de Redes
DOCENTE:
Ing. Michell Zambrano
INTEGRANTES:
Garfalo Vlez Carolina
Santana Arteaga Gema
Sornoza Henrquez Jos
Vera Gmez Damin
Zambrano Cedeo Jorge
NIVEL:
6 A
SEMESTRE MAYO-SEPTIEMBRE DEL 2014

UNIVERSIDAD TCNICA DE MANAB

FACULTAD DE CIENCIAS INFORMTICAS

CARRERA DE INGENIERA EN SISTEMAS INFORMTICOS
"Forma Profesionales innovadores en el campo de las Ciencias Informticas, que den
respuestas a las necesidades de la sociedad, con eficiencia, honestidad, equidad y
solidaridad, y que contribuyan al buen vivir"

UNIVERSIDAD TCNICA DE MANAB

VISIN:
Ser institucin universitaria, lder y referente de la educacin superior
en el Ecuador, promoviendo la creacin, desarrollo, transmisin y
difusin de la ciencia, la tcnica y la cultura, con reconocimiento
social y proyeccin regional y mundial.

MISIN:
Formar

acadmicos,

cientficos

profesionales

responsables,

humanistas, ticos y solidarios, comprometidos con los objetivos del

desarrollo nacional, que contribuyan a la solucin de los problemas
del pas como universidad de docencia con investigacin, capaces de
generar y aplicar nuevos conocimientos, fomentando la promocin y
difusin de los saberes y las culturas, previstos en la Constitucin de
la Repblica del Ecuador.

FACULTAD DE CIENCIAS INFORMTICAS

VISIN:

Ser una facultad lder que con integridad, transparencia y equidad

forme profesionales capaces de desarrollar soluciones informticas
innovadoras,

generadores

de

conocimientos

investigacin

permanente.

MISIN:
Formar profesionales investigadores en el campo de las Ciencias
Informticas, al servicio de la sociedad, que aporten con soluciones
innovadoras al desarrollo tecnolgico del pas.

SEGURIDAD EN REDES
La rpida expansin y popularizacin de Internet ha convertido a la
seguridad en redes en uno de los tpicos ms importantes dentro de
la Informtica moderna. Con tal nivel de interconexin, los virus y los
hackers acampan a sus anchas, aprovechando las deficientes
medidas de seguridad tomadas por administradores y usuarios. Es
por ello de suma importancia que el profesional sea capaz de
enfrentar de forma eficiente el reto que implica mantener la
seguridad de una red.
Las ventajas de las redes en Informtica son evidentes, pero muchas
veces se minusvaloran ciertos riesgos, circunstancia que a menudo
pone en peligro la seguridad de los sistemas. Nos encontramos ante
una realidad en la cual, la inmensa mayora de las empresas operan a
travs de la Red, lo cual pone de manifiesto, la necesidad apremiante
de contar con profesionales que aporten soluciones que garanticen la
seguridad de la informacin.
La Informtica es la ciencia del tratamiento automtico de la
informacin, pero tanto o ms importante que su procesamiento y
almacenamiento es la posibilidad de poder transmitirla de forma
eficiente. La informacin tiene un tiempo de vida cada vez menor y la
rapidez con la que pueda viajar es algo crucial. Los ltimos avances
en compresin y transmisin de datos digitales permiten hoy por hoy
transferir cantidades enormes de informacin a velocidades que hace
tan solo unos aos eran impensables. En este sentido las redes de
computadoras desempean un papel fundamental en la Informtica
moderna.
Pero se debe tener en cuenta que la complejidad de las grandes redes
y su carcter pblico convierten la proteccin fsica de los canales de
comunicacin en algo tremendamente difcil. Uno de los mayores
obstculos que han tenido que ser superados para que las redes
pudieran desarrollarse, ha sido encontrar lenguajes comunes para

que

computadoras

de

diferentes

tipos

pudieran

entenderse.

En funcin del tipo de red con el que se trabaja, existirn diferentes

clases de riesgos, lo cual conducir inevitablemente a medidas de
diferente

naturaleza

para

garantizar

la

seguridad

en

las

comunicaciones. Por tanto se hace importante sealar que no existe

una solucin universal para proteger una red, en la mayora de los
casos la mejor estrategia suele consistir en tratar de colarnos
nosotros mismos para poner de manifiesto y corregir posteriormente
los agujeros de seguridad que siempre encontraremos.
Sin importar si estn conectadas por cable o de manera inalmbrica,
las redes de computadoras cada vez se tornan ms esenciales para
las actividades diarias. Tanto las personas como las organizaciones
dependen de sus computadores y de las redes para funciones como
correo electrnico, contabilidad, organizacin y administracin de
archivos.
Las

intrusiones

de

personas

no

autorizadas

pueden

causar

interrupciones costosas en la red y prdidas de trabajo. Los ataques a

una red pueden ser devastadores y pueden causar prdida de tiempo
y de dinero debido a los daos o robos de informacin o de activos
importantes. Los intrusos pueden obtener acceso a la red a travs de
vulnerabilidades del software, ataques al hardware o incluso a travs
de mtodos menos tecnolgicos, como el de adivinar el nombre de
usuario y la contrasea de una persona. Por lo general, a los intrusos
que obtienen acceso mediante la modificacin del software o la
explotacin de las vulnerabilidades del software se los denomina
piratas informticos.
Una vez que el pirata informtico obtiene acceso a la red, pueden
surgir cuatro tipos de amenazas:
Robo de informacin
Robo de identidad
Prdida y manipulacin de datos
Interrupcin del servicio

Qu es la seguridad en redes?

De acuerdo con Roberto de la Mora, gerente de comunicaciones IP,

para Latinoamrica de Cisco Systems, la seguridad de una red
significa tener ese firewall, con ese antivirus, con ese control de
intrusin, con esa red inteligente que entiende que hay cosas que
suceden en la red, todas coordinadas y funcionando al mismo tiempo.
"Cuando hablamos de una red que se autodefiende, hablamos de una
red con todos estos elementos coordinados para que, de acuerdo con
las polticas de uso, la red entienda lo que est pasando, se adapte al
cambio, reaccione con la accin que el administrador defini y
efecte todos los cambios de manera automtica".

Elementos a considerar para mejorar la seguridad dentro de

la infraestructura de la Red

La confidencialidad intenta que la informacin solo sea utilizada por

las personas o mquinas debidamente autorizadas. Para garantizar
la

confidencialidad

necesitamos

disponer

de

tres

tipos

de

mecanismos:

Autenticacin. La autenticacin intenta confirmar que una

persona o mquina es quien dice ser, que no estamos hablando

con un impostor.
Autorizacin. Una vez autenticado, los distintos usuarios de la
informacin

tendrn

distintos

privilegios

sobre

ella.

Bsicamente dos: solo lectura, o lectura y modificacin.

Cifrado. La informacin estar cifrada para que sea intil para
cualquiera que no supere la autenticacin

La disponibilidad intenta que los usuarios puedan acceder a los

servicios con normalidad en el horario establecido.
El objetivo de la integridad es que los datos queden almacenados tal
y

como

espera

el

usuario:

que

no

sean

alterados

sin

su

consentimiento. Los sistemas se deben poder checar en cuanto a su

integridad, esto con el fin de detectar modificaciones que puedan
afectar la seguridad. Si el sistema se corrompe o es modificado, sera
deseable detectar el origen del problema (quien lo modific) y
restituir la integridad (en muchos casos hay que reinstalar el
sistema).
Con

el

control

de

acceso

los

recursos

del

sistema

son

proporcionados o negados de acuerdo al tipo de usuario que los

solicite, y dependiendo desde donde haga la solicitud. Algunas veces
slo se permite uso parcial de los recursos, esto es comn en

sistemas de archivos, donde algunos usuarios solamente pueden leer,

algunos otros leer y escribir, etc.
Falla en posicin segura.-Los sistemas deben estar diseados para
que en caso de falla queden en un estado seguro. Por ejemplo en
redes, en caso de falla se debe suspender el acceso a Internet.

Check Point.- Se hace pasar todo el trfico de la red por un solo

punto y se enfocan los esfuerzos de seguridad en ese punto. Puede
disminuir el rendimiento.
Defensa en profundidad.-Consiste en usar tantos mecanismos de
seguridad como sea posible, colocndolos uno tras otro. Puede hacer
muy compleja la utilizacin del sistema.

Simplicidad.-Los sistemas muy complejos tienden a tener fallas y

huecos de seguridad. La idea es mantener los sistemas tan simples
como sea posible, eliminando funcionalidad innecesaria. Sistemas

simples que tienen mucho tiempo, han sido tan depurados que
prcticamente no tienen huecos de seguridad.
Seguridad por Obscuridad.-La estrategia es mantener un bajo
perfil y tratar de pasar desapercibido, de modo que los atacantes no
lo detecten.
Seguridad bsica de hosts de red.-Bloqueo de puertos y
reduccin

de

servicios

activos

muchos

hosts

informticos

dispositivos de red inician servicios de red de forma predeterminada.

Cada uno de estos servicios representa una oportunidad para
atacantes, gusanos y troyanos. A menudo, todos estos servicios
predeterminados

no

son

necesarios.

Al

bloquear

los

puertos

desactivando servicios se reduce la exposicin a riesgos. Como ya

hemos mencionado antes, al igual que los cortafuegos de red, los
ordenadores de sobremesa y los servidores pueden utilizar programas
cortafuegos bsicos para bloquear el acceso a puertos IP innecesarios
del host o para restringir el acceso a determinados hosts. Esta
prctica es fundamental para la proteccin interna cuando se produce
un fallo de seguridad en las defensas externas o cuando existen
amenazas internas. Hay disponibles muchos paquetes software
cortafuegos para ordenadores de sobremesa que son muy eficaces
para la proteccin de hosts, por ejemplo, Microsoft incluye un
cortafuegos bsico en Windows XP Service Pack 2.

Seguridad basada en la red.-La seguridad se basa en controlar los

accesos a los hosts desde la red. El mtodo ms comn es la
implementacin de firewalls.

El objetivo de la administracin de redes es buscar mantener la

integridad, disponibilidad y confidencialidad de la informacin dentro
de la red, para que la organizacin mantenga la continuidad en sus
procesos.
Cuando hablamos de integridad queremos decir que los objetos del
sistema slo pueden ser modificados por personas autorizadas y en
forma controladas. Por otro lado disponibilidad significa que los
objetos del sistema deben permanecer accesibles a las personas
autorizadas. Por ltimo, podemos definir confidencialidad en el
sistema cuando la informacin contenida en el mismo no es brindada
hacia entidades externas.
Para alcanzar dicho objetivo debemos plantearnos y definir:
Qu recursos se quieren proteger dentro de una red?
De qu deberamos protegernos?
En qu grado se necesita proteger?

Qu medidas y herramientas implantar para alcanzar un

ptimo nivel de seguridad?
Definidos estos puntos podremos disear las polticas de seguridad
adecuadas a implementar y crear un permetro de defensa que
permita

proteger

las

fuentes

de

informacin.

Las normas de control interno que conforman las medidas de

seguridad para sistemas interactivos y procesos en redes privadas,
se dividen en seguridad lgica y fsica.
Qu elementos de la red se deben proteger?
Los recursos que se deben proteger no estn estandarizados, los
mismos dependen de cada organizacin y de los productos o servicios
a los que la misma se dedique.
Bsicamente los recursos que se han de proteger son:

Hardware, que es el conjunto formado por todos los elementos

fsicos de un sistema informtico, entre los cuales estn los
medios de almacenamiento.

Software, que es el conjunto de programas lgicos que hacen

funcional al hardware

Datos, que es el conjunto de informacin lgica que maneja el

software y el

hardware.

La infraestructura necesaria es amplia y compleja porque los

niveles de seguridad son elevados:
o Todos

los

equipos

deben

estar

especialmente

protegidos contra software malicioso que pueda

robar datos o alterarlos.
o El almacenamiento debe ser redundante: grabamos el
mismo dato en ms de un dispositivo. En caso de que

ocurra un fallo de hardware en cualquier dispositivo, no

hemos perdido la informacin.
o El almacenamiento debe ser cifrado. Las empresas
manejan informacin muy sensible, tanto los datos
personales de clientes o proveedores como sus propios
informes,

que

pueden

ser

interesantes

para

la

competencia. Si, por cualquier circunstancia, perdemos

un dispositivo de almacenamiento (disco duro, pendrive
USB, cinta de backup), os datos que contenga deben ser

intiles para cualquiera que no pueda descifrarlos.

Comunicaciones.-Los datos no suelen estar recluidos siempre
en la misma mquina: en muchos casos salen con destino a otro
usuario que los necesita. Esa transferencia (correo electrnico,
mensajera instantnea, disco en red, servidor web) tambin hay
que protegerla. Debemos utilizar canales cifrados, incluso
aunque el fichero de datos que estamos transfiriendo ya est
cifrado (doble cifrado es doble obstculo para el atacante).
Adems de proteger las comunicaciones de datos, tambin es
tarea de la seguridad informtica controlar las conexiones a la
red

En qu grado se necesita proteger

De los pasos a seguir ste es el ms difcil de comprender, pues en l
se debe determinar cul es el grado de seguridad que requiere cada
parte del sistema. El concepto es que el grado de seguridad est
acorde con la importancia del elemento dentro del funcionamiento del
sistema, o sea que el costo no supere al del reemplazo o recuperacin
del elemento u disminuya a valores inaceptables la operatividad.
Qu medidas y herramientas hay que implementar para
alcanzar un ptimo nivel de seguridad sin perder de vista la
relacin costo/beneficio?

Para proteger nuestro sistema hay que

realizar un anlisis de las

amenazas potenciales que puede sufrir, las prdidas que podran

generar, y la probabilidad de su ocurrencia; a partir de ese momento
se comienza a disear una poltica de seguridad que defina
responsabilidades y reglas a seguir para evitar tales amenazas o
minimizar sus efectos en caso de que se produzcan. A los
mecanismos

utilizados

para

implementarla

los

llamamos

mecanismos de seguridad, los cuales son la parte ms visible del

sistema de seguridad, y se convierten en la herramienta bsica para
garantizar la proteccin de los sistemas o de la propia red.
Hay tres tipos de mecanismos de seguridad:
De prevencin: son aquellos que aumentan la seguridad de
un sistema durante el funcionamiento normal de ste,
previniendo los acosos a la seguridad.
De deteccin: son aquellos que se utilizan para detectar
violaciones de seguridad o intentos de ello.
De recuperacin: son aquellos que se aplican cuando una
violacin del sistema se ha detectado y se quiere ponerlo en
funcionamiento nuevamente.
Dentro de los mecanismos de prevencin encontramos los
siguientes:
Mecanismos de autenticacin e identificacin
Mecanismos de control de acceso
Mecanismos de separacin
Mecanismos de seguridad en las comunicaciones
Tipos de riesgos

Una vez que alguien est decidido a atacarnos, puede elegir alguna
de estas formas:
Interrupcin. El ataque consigue provocar un corte en la prestacin
de un servicio: el servidor web no est disponible, el disco en red no
aparece o solo podemos leer (no escribir), etc.
Interceptacin.
comunicaciones

El
y

atacante
ha

ha

copiado

la

logrado

acceder

informacin

que

nuestras

estbamos

transmitiendo.
Modificacin. Ha conseguido acceder, pero, en lugar de copiar la
informacin, la est modificando para que llegue alterada hasta el
destino y provoque alguna reaccin anormal. Por ejemplo, cambia las
cifras de una transaccin bancaria.
Fabricacin. El atacante se hace pasar por el destino de la
transmisin, por lo que puede tranquilamente conocer el objeto de
nuestra comunicacin, engaarnos para obtener informacin valiosa,
etc.
Para conseguir su objetivo puede aplicar una o varias de estas
tcnicas:
Ingeniera social. A la hora de poner una contrasea, los usuarios
no suelen utilizar combinaciones aleatorias de caracteres. En cambio,
recurren a palabras conocidas para ellos: el mes de su cumpleaos, el
nombre de su calle, su mascota, su futbolista favorito, etc. Si
conocemos bien a esa persona, podemos intentar adivinar su
contrasea. Tambin constituye ingeniera social pedir por favor a un
compaero de trabajo que introduzca su usuario y contrasea, que el
nuestro parece que no funciona. En esa sesin podemos aprovechar
para introducir un troyano, por ejemplo.
Phishing.

El

atacante

se

pone

en

contacto

con

la

vctima

(generalmente, un correo electrnico) hacindose pasar por una

empresa con la que tenga alguna relacin (su banco, su empresa de
telefona, etc.). En el contenido del mensaje intenta convencerle para
que pulse un enlace que le llevar a una (falsa) web de la empresa.

En esa web le solicitarn su identificacin habitual y desde ese

momento el atacante podr utilizarla.
Keyloggers. Un troyano en nuestra mquina puede tomar nota de
todas las teclas que pulsamos, buscando el momento en que
introducimos un usuario y contrasea. Si lo consigue, los enva al
atacante.
Fuerza bruta. Las contraseas son un nmero limitado de caracteres
(letras, nmeros y signos de puntuacin). Una aplicacin malware
puede ir generando todas las combinaciones posibles y probarlas una
a una; tarde o temprano, acertar. Incluso puede ahorrar tiempo si
utiliza un diccionario de palabras comunes y aplica combinaciones de
esas palabras con nmeros y signos de puntuacin. Contra los
ataques de fuerza bruta hay varias medidas:
Utilizar contraseas no triviales. No utilizar nada personal e
insertar en medio de la palabra o al final un nmero o un signo de
puntuacin. En algunos sistemas nos avisan de la fortaleza de la
contrasea elegida (Fig. 1.8).
Cambiar la contrasea con

frecuencia

(un

mes,

una

semana). Dependiendo del hardware utilizado, los ataques

pueden tardar bastante; si antes hemos cambiado la clave, se lo
ponemos difcil.
Impedir rfagas de intentos repetidos. Nuestro software de
autenticacin que solicita usuario y contrasea fcilmente puede
detectar varios intentos consecutivos en muy poco tiempo. No
puede ser un humano: debemos responder introduciendo una
espera. En Windows se hace: tras cuatro intentos fallidos, el
sistema deja pasar varios minutos antes de dejarnos repetir. Esta
demora alarga muchsimo el tiempo necesario para completar el
ataque de fuerza bruta.
Establecer un mximo de fallos y despus bloquear el
acceso. Es el caso de las tarjetas SIM que llevan los mviles
GSM/UMTS: al tercer intento fallido de introducir el PIN para
desbloquear la SIM, ya no permite ninguno ms. Como el PIN es un

nmero de cuatro cifras, la probabilidad de acertar un nmero

entre 10 000 en tres intentos es muy baja.
Spoofing. Alteramos algn elemento de la mquina para hacernos
pasar por otra mquina. Por ejemplo, generamos mensajes con la
misma direccin que la mquina autntica.
Sniffing. El atacante consigue conectarse en el mismo tramo de red
que el equipo atacado. De esta manera tiene acceso directo a todas
sus conversaciones.
DoS (Denial of Service, denegacin de servicio). Consiste en
tumbar un servidor saturndolo con falsas peticiones de conexin. Es
decir, intenta simular el efecto de una carga de trabajo varias veces
superior a la normal.
DDoS (Distributed Denial of Service, denegacin de servicio
distribuida). Es el mismo ataque DoS, pero ahora no es una nica
mquina la que genera las peticiones falsas (que es fcilmente
localizable y permite actuar contra ella), sino muchas mquinas
repartidas por distintos puntos del planeta. Esto es posible porque
todas esas mquinas han sido infectadas por un troyano que las ha
convertido en ordenadores zombis (obedecen las rdenes del
atacante).
Vulnerabilidad por malware,- Una vulnerabilidad es un defecto de
una aplicacin que puede ser aprovechado por un atacante. Si lo
descubre, el atacante programar un software (llamado malware) que
utiliza esa vulnerabilidad para tomar el control de la mquina (exploit)
o realizar cualquier operacin no autorizada.
Hay muchos tipos de malware:
o Virus. Intentan dejar inservible el ordenador infectado.
Pueden actuar aleatoriamente o esperar una fecha
concreta (por ejemplo, Viernes 13).
o Gusanos. Van acaparando todos

los

recursos

del

ordenador: disco, memoria, red. El usuario nota que el

sistema va cada vez ms lento, hasta que no hay forma
de trabajar.

o Troyanos.

Suelen habilitar puertas traseras en los

equipos: desde otro ordenador podemos conectar con el

troyano

para

ejecutar

programas

en

el

ordenador

infectado
Tipos de atacantes
Se suele hablar de hacker de manera genrica para referirse a un
individuo que se salta las protecciones de un sistema. A partir de ah
podemos distinguir entre:
Hacker. Ataca la defensa informtica de un sistema solo por el reto
que supone hacerlo. Si tiene xito, moralmente debera avisar a los
administradores sobre los agujeros de seguridad que ha utilizado,
porque estn disponibles para cualquiera.
Cracker. Tambin ataca la defensa, pero esta vez s quiere hacer
dao: robar datos, desactivar servicios, alterar informacin, etc.
Script kiddie. Son aprendices de hacker y cracker que encuentran
en Internet cualquier ataque y lo lanzan sin conocer muy bien qu
estn haciendo y, sobre todo, las consecuencias derivadas de su
actuacin (esto les hace especialmente peligrosos).
Programadores

de

malware.

Expertos

en

programacin

de

sistemas operativos y aplicaciones capaces de aprovechar las

vulnerabilidades de alguna versin concreta de un software conocido
para generar un programa que les permita atacar.
Sniffers. Expertos en protocolos de comunicaciones capaces de
procesar una captura de trfico de red para localizar la informacin
interesante.
Ciberterrorista. Cracker con intereses polticos y econmicos a gran
escala.
Orgenes de las intrusiones en la red
Las amenazas de seguridad causadas por intrusos en la red pueden
originarse tanto en forma interna como externa.
Amenazas externas
Las amenazas externas provienen de personas que trabajan fuera de
una organizacin. Estas personas no tienen autorizacin para acceder

al sistema o a la red de la computadora. Los atacantes externos

logran ingresar a la red principalmente desde Internet, enlaces
inalmbricos o servidores de acceso dialup.
Amenazas internas
Las amenazas internas se originan cuando una persona cuenta con
acceso autorizado a la red a travs de una cuenta de usuario o tiene
acceso fsico al equipo de la red. Un atacante interno conoce la
poltica interna y las personas. Por lo general, conocen informacin
valiosa y vulnerable y saben cmo acceder a sta.
MECANISMOS DE SEGURIDAD FSICA Y LGICA
La seguridad fsica cubre todo lo referido a los equipos informticos:
ordenadores

de

propsito

general,

servidores

especializados

equipamiento de red. La seguridad lgica se refiere a las distintas

aplicaciones que ejecutan en cada uno de estos equipos.
Sin embargo, no todos los ataques internos son intencionales. En
algunos casos la amenaza interna puede provenir de un empleado
confiable que capta un virus o una amenaza de seguridad mientras se
encuentra fuera de la compaa y, sin saberlo, lo lleva a la red
interna.
La mayor parte de las compaas invierte recursos considerables para
defenderse contra los ataques externos; sin embargo, la mayor parte
de las amenazas son de origen interno. De acuerdo con el FBI, el
acceso interno y la mala utilizacin de los sistemas de computacin
representan aproximadamente el 70% de los incidentes de violacin
de seguridad notificados.

No se pueden eliminar o evitar completamente los riesgos de

seguridad. Sin embargo, tanto la administracin como la evaluacin
efectiva de riesgos pueden minimizar significativamente los riesgos
de seguridad existentes. Para minimizar los riesgos es importante
comprender que no existe un nico producto que pueda asegurar una
organizacin. La verdadera seguridad de redes proviene de una
combinacin de productos y servicios junto con una poltica de
seguridad exhaustiva y un compromiso de respetar esa poltica.
Una poltica de seguridad es una declaracin formal de las normas
que los usuarios deben respetar a fin de acceder a los bienes de
tecnologa e informacin. Puede ser tan simple como una poltica de
uso aceptable o contener muchas pginas y detallar cada aspecto de
conectividad de los usuarios, as como los procedimientos de uso de
redes. La poltica de seguridad debe ser el punto central acerca de la
forma en la que se protege, se supervisa, se evala y se mejora una
red. Mientras que la mayora de los usuarios domsticos no tiene una
poltica de seguridad formal por escrito, a medida que una red crece
en tamao y en alcance, la importancia de una poltica de seguridad
definida para todos los usuarios aumenta drsticamente. Algunos de
los puntos que deben incluirse en una poltica de seguridad son:
polticas de identificacin y autenticacin, polticas de contraseas,
polticas

de

uso

aceptable,

polticas

de

acceso

remoto

procedimientos para el manejo de incidentes.

Cuando se desarrolla una poltica de seguridad es necesario que
todos los usuarios de la red la cumplan y la sigan para que sea
efectiva.

Polticas de identificacin y autentificacin

Polticas de contrasea
Polticas de usos aceptables
Polticas de acceso remoto
Procedimiento de mantenimiento de red

 Procedimientos de administracin de incidentes

La poltica de seguridad debe ser el punto central acerca de la forma
en la que se protege, se supervisa, se evala y se mejora una red. Los
procedimientos de seguridad implementan polticas de seguridad. Los
procedimientos definen la configuracin, el inicio de sesin, la
auditora y los procesos de mantenimiento de los hosts y dispositivos
de red. Incluyen la utilizacin tanto de medidas preventivas para
reducir el riesgo como de medidas activas acerca de la forma de
manejar las amenazas de seguridad conocidas. Los procedimientos de
seguridad abarcan desde tareas simples y poco costosas, como el
mantenimiento de las versiones actualizadas de software, hasta
implementaciones complejas de firewalls y sistemas de deteccin de
intrusiones.
Seguridad fsica, proteccin desde el interior
La mayora de los expertos coincide en que toda seguridad comienza
con la seguridad fsica. El control del acceso fsico a los equipos y a
los puntos de conexin de red es posiblemente el aspecto ms
determinante de toda la seguridad. Cualquier tipo de acceso fsico a
un sitio interno deja expuesto el sitio a grandes riesgos. Si el acceso
fsico

es

posible,

normalmente

se

pueden

obtener

archivos

protegidos, contraseas, certificados y todo tipo de datos. Por suerte,

existen armarios seguros y dispositivos de control de acceso de
muchas clases que pueden ayudar a combatir este problema. Para
obtener ms informacin sobre la seguridad fsica de los centros de
datos y salas de red, consulte el Documento tcnico de APC n82,
Physical Security in Mission Critical Facilities (Seguridad fsica en
instalaciones de misin crtica).
Entre los mecanismos de seguridad lgica tenemos:
El Control de Acceso a la Red, tambin conocido por las siglas NAC
(Network Access Control ) / 802.1x tiene como objetivo asegurar que
todos los dispositivos que se conectan a las redes corporativas de una

organizacin cumplen con las polticas de seguridad establecidas para

evitar amenazas como la entrada de virus, salida de informacin, etc.
El fenmeno BYOD (Bring Your Own Device) en el que los empleados
utilizan sus propios dispositivos (tabletas, porttiles, smartphones)
para acceder a los recursos corporativos est acelerando la adopcin
de las tecnologas NAC para autenticar al dispositivo y al usuario.
Existen una serie de fases como:

Deteccin: es la deteccin del intento de conexin fsica o

inalmbrica a los recursos de red reconociendo si el mismo es
un dispositivo autorizado o no.

Cumplimiento: es la verificacin de que el dispositivo cumple

con los requisitos de seguridad establecidos como por ejemplo
dispositivo autorizado, ubicacin, usuario, antivirus actualizado.
Cuando un dispositivo no cumple los requerimientos se puede
rechazar la conexin o bien mandarlo a un portal cautivo
Cuarentena.

Remediacin: es la modificacin lgica de dichos requisitos en

el dispositivo que intenta conectarse a la red corporativa.

Aceptacin: es la entrada del dispositivo a los recursos de red

en funcin del perfil del usuario y los permisos correspondientes
a su perfil que residen en un servicio de directorio.

Persistencia: es la vigilancia durante toda la conexin para

evitar la vulneracin de las polticas asignadas.

Autentificacin
Por autentificacin entenderemos cualquier mtodo que nos permita
comprobar de manera segura alguna caracterstica sobre un objeto.
Dicha caracterstica puede ser su origen, su integridad, su identidad,

etc. Consideraremos tres grandes tipos dentro de los mtodos de

autentificacin:
Autentificacin

de

mensaje.

Queremos

garantizar

la

procedencia de un mensaje conocido, de forma que podamos

asegurarnos de que no es una falsificacin. Este mecanismo se
conoce habitualmente como firma digital.
Autentificacin de usuario mediante contrasea. En este
caso se trata de garantizar la presencia de un usuario legal en
el sistema. El usuario deber poseer una contrasea secreta
que le permita identificarse.
Autentificacin de dispositivo. Se trata de garantizar la
presencia de un dispositivo vlido.Este dispositivo puede estar
solo o tratarse de una llave electrnica que sustituye a la
contrasea para identificar a un usuario.
Elementos de la seguridad perimetral
La seguridad perimetral es un concepto emergente asume la
integracin de elementos y sistemas, tanto electrnicos como
mecnicos, para la proteccin de permetros fsicos, deteccin de
tentativas de intrusin y/o disuasin de intrusos en instalaciones
especialmente sensibles. Entre estos sistemas cabe destacar los
radares tcticos, videosensores, vallas sensorizadas, cables sensores,
barreras de microondas e infrarrojos, concertinas, etc.
Los sistemas de seguridad perimetral pueden clasificarse segn la
geometra de su cobertura (volumtricos, superficiales, lineales, etc.),
segn el principio fsico de actuacin (cable de fibra ptica, cable de
radiofrecuencia, cable de presin, cable microfnico, etc.) o bien por
el sistema de soportacin (autosoportados, soportados, enterrados,
deteccin visual, etc.).
Tambin cabe destacar la clasificacin dependiendo del medio de
deteccin. En esta se clasificaran en:
- Sistemas Perimetrales Abiertos: Los que dependen de las
condiciones ambientales para detectar. Como ejemplo de estos son la
video vigilancia, las barreras infrarrojas, las barreras de microondas.

Esta caracterstica provoca falsas alarmas o falta de sensibilidad en

condiciones ambientales adversas.
- Sistemas Perimetrales Cerrados: Los que no dependen del medio
ambiente y controlan exclusivamente el parmetro de control. Como
ejemplo de estos son los antiguos cables microfnicos, la fibra ptica
y los piezo-sensores. Este tipo de sensores suelen ser de un coste
mas elevado.
Ejemplos de cometidos de la seguridad perimetral:
Rechazar conexiones a servicios comprometidos
Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o
entre ciertos nodos.
Proporcionar un nico punto de interconexin con el exterior
Redirigir el trfico entrante a los sistemas adecuados dentro de
la intranet
Ocultar sistemas o servicios vulnerables que no son fciles de
proteger desde Internet
Auditar el trfico entre el exterior y el interior
Ocultar informacin: nombres de sistemas, topologa de la red,
tipos de dispositivos de red, cuentas de usuarios internos...
HERRAMIENTAS DE SEGURIDAD
Los firewalls o cortafuegos son una de las herramientas bsicas de la
seguridad informtica. Permiten controlar las conexiones de red que
acepta o emite un dispositivo, ya sean conexiones a travs de
Internet o de otro sistema.
Existen infinidad de variantes de cortafuegos (dedicados, de tipo
appliance,

gestionados,

etc.).

Los

cortafuegos

personales

son

habitualmente programas que, o bien estn integrados en el sistema

operativo, o bien son aplicaciones de terceros que pueden ser
instaladas en ellos.

El cortafuegos se encarga de controlar puertos y conexiones, es decir,

de permitir el paso y el flujo de datos entre los puertos, ya sean
clientes o servidores. Es como un semforo que, en funcin de la
direccin IP y el puerto (entre otras opciones), dejar establecer la
conexin o no siguiendo unas reglas establecidas.
Bsicamente, el cortafuegos personal es un programa que se
interpone entre el sistema operativo y las aplicaciones en la red, y
comprueba una serie de parmetros antes de permitir que se
establezca una conexin. Cuando se instala un firewall, el sistema
operativo le cede el control de la gestin de esos puertos virtuales y
de las conexiones de red en general, y har lo que tenga definido
como reglas. Las comprobaciones del cortafuegos estn asociadas a
unas reglas (que le indican qu debe hacer con esas conexiones).
Estas reglas son normalmente "bloquear", "permitir" o "ignorar".
Bsicamente, cuando un programa quiere establecer una conexin o
reservar un puerto para volcar datos en la red.
Tipos de cortafuegos
Aunque existen sistemas o mquinas especficamente diseadas
para hacer de cortafuegos, nos centramos en este caso en los
cortafuegos personales, habitualmente integrados en los sistemas
operativos.
Entrante
El cortafuegos de tipo entrante es el que controla las conexiones
que "entran" en el sistema. Esto quiere decir que est pensado en
mayor

medida

para

servidores,

para

comprobar

desde

qu

direcciones IP se quieren establecer conexiones a sus servicios. Este

tipo de cortafuegos es muy usado tanto en servidores como en
sistemas que habitualmente actan como clientes.

 Saliente
El cortafuegos de tipo saliente controla las conexiones que "salen"
del sistema, esto es, las que acuden a un servidor. Est pensado en
mayor medida para clientes, para comprobar hacia qu direcciones IP
o qu puertos se conecta nuestro ordenador.
Este tipo de cortafuegos es mucho menos usado que el entrante,
aunque es ms seguro, puesto que nos permite tener control total de
hacia dnde intentan conectarse los programas y, por tanto, nuestros
datos
Sistema de deteccin de intrusos
Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls
Intrusion Detection System) es una aplicacin usada para detectar
accesos no autorizados a un ordenador/servidor o a una red. Estos
accesos pueden ser ataques realizados por usuarios malintencionados
con conocimientos de seguridad o a travs de herramientas
automticas.
Las funciones de un IDS se pueden resumir de la siguiente forma:
Deteccin de ataques en el momento que estn ocurriendo o
poco despus.
Automatizacin de la bsqueda de nuevos patrones de ataque,
gracias a herramientas estadsticas de bsqueda, y al anlisis
de trfico anmalo.
Monitorizacin y anlisis de las actividades de los usuarios. De
este modo se pueden conocer los servicios que usan los
usuarios, y estudiar el contenido del trfico, en busca de
elementos anmalos.
Auditora

de

configuraciones

vulnerabilidades

de

determinados sistemas.
Descubrir sistemas con servicios habilitados que no deberan de
tener, mediante el anlisis del trfico y de los logs.
Anlisis de comportamiento anormal. Si se detecta una
conexin fuera de hora, reintentos de conexin fallidos y otros,

existe la posibilidad de que se est en presencia de una

intrusin. Un anlisis detallado del trfico y los logs puede
revelar una mquina comprometida o un usuario con su
contrasea al descubierto.
Automatizar

tareas

como

la

actualizacin

de

reglas,

la

obtencin y anlisis de logs, la configuracin de cortafuegos y

otros.
Bsicamente hay tres tipos de IDS:
Network Intrusion Detection System (NIDS): Es el ms
comn. Su misin principal es vigilar la red (en realidad,el
segmento de red que es capaz de ver). Bsicamente, pone el
interfaz

en

modopromiscuo

absorbe

todo

el

trfico,

analizndolo posteriormente o en tiempo real.

Network Node Intrusion Detection System (NNIDS): Este
es un IDS destinado a vigilar el trfico destinado a un nico
Host, y no a una subred entera. Por ejemplo, puede servir como
vigilante externo de un HoneyPot o para vigilar la actividad de
una VPN (Virtual Private Network). Dado que solo analiza un
host, se puede permitir un anlisis mucho ms exhaustivo de
los paquetes.
Host Intrusion Detection System(HIDS): Permiten tomar
una instantnea del sistema, para comprobar ms adelante la
integridad de la maquina. Entre las tcnicas ms comunes
estn las firmas MD5 de los archivos crticos y las copias del
registro.
SERVICIOS DE SEGURIDAD EN REDES
NAT.- El proceso de la traduccin de direcciones de red (NAT, por sus
siglas en ingls) se desarroll en respuesta a la falta de direcciones
de IP con el protocolo IPv4 (el protocolo IPv6 propondr una solucin a
este problema).
En efecto: en la asignacin de direcciones IPv4, no hay suficientes
direcciones IP enrutables (es decir, nicas en el mundo) para permitir

que todas las mquinas que necesiten conectarse a internet puedan

hacerlo.
El concepto de NAT consiste en utilizar una direccin IP enrutable (o
un nmero limitado de direcciones IP) para conectar todas las
mquinas a travs de la traduccin, en la pasarela de internet, entre
la direccin interna (no enrutable) de la mquina que se desea
conectar y la direccin IP de la pasarela.

Adems, el proceso de traduccin de direcciones permite a las

compaas asegurar la red interna siempre y cuando oculte la
asignacin de direcciones internas. Para un observador que se ubica
fuera de la red, todos los pedidos parecen provenir de la misma
direccin IP.
Traduccin esttica
El concepto de NAT esttica consiste en hacer coincidir una direccin
IP pblica con una direccin IP de red privada interna. Un router (o,
ms precisamente, la pasarela) hace coincidir una direccin IP privada
(por ejemplo, 192.168.0.1) con una direccin IP pblica enrutable en
internet y, en cierto sentido, realiza la traduccin mediante la
modificacin de la direccin en el paquete IP.
La traduccin de las direcciones estticas permite conectar mquinas
de red interna a internet de manera transparente, aunque no resuelve
el problema de escasez de direcciones debido a que se necesitan n
direcciones IP enrutables para conectar n mquinas de la red interna.

Traduccin dinmica
La NAT dinmica permite compartir una direccin IP enrutable (o una
cantidad reducida de direcciones IP enrutables) entre varias mquinas
con direcciones privadas. As, todas las mquinas de la red interna
poseen la misma direccin IP virtual en forma externa. Por esta razn,
el trmino "enmascaramiento de IP" se usa en ciertos casos para
procesar la NAT dinmica.
Para poder "multiplexar" (compartir) diferentes direcciones IP con una
o ms direcciones IP enrutables, la NAT dinmica utiliza la traduccin
de direcciones de puerto, es decir, la asignacin de un puerto de
origen diferente para cada solicitud, de modo que se pueda mantener
una correspondencia entre los pedidos que provienen de la red
interna y las respuestas de las mquinas en internet, las cuales estn
dirigidas a la direccin IP del router.

VPN.- Las redes de rea local (LAN) son las redes internas de las
organizaciones, es decir las conexiones entre los equipos de una
organizacin particular. Estas redes se conectan cada vez con ms
frecuencia a Internet mediante un equipo de interconexin.
Sin embargo, los datos transmitidos a travs de Internet son mucho
ms vulnerables que cuando viajan por una red interna de la
organizacin, ya que la ruta tomada no est definida por anticipado,
lo que significa que los datos deben atravesar una infraestructura de
red pblica que pertenece a distintas entidades.
La primera solucin para satisfacer esta necesidad de comunicacin
segura implica conectar redes remotas mediante lneas dedicadas.
Sin embargo, como la mayora de las compaas no pueden conectar
dos redes de rea local remotas con una lnea dedicada, a veces es
necesario usar Internet como medio de transmisin.
Por lo tanto, el sistema VPN brinda una conexin segura a un bajo
costo, ya que todo lo que se necesita es el hardware de ambos lados.
Sin embargo, no garantiza una calidad de servicio comparable con

una lnea dedicada, ya que la red fsica es pblica y por lo tanto no

est garantizada.
Una red privada virtual se basa en un protocolo denominado protocolo
de tnel, es decir, un protocolo que cifra los datos que se transmiten
desde un lado de la VPN hacia el otro.
La palabra "tnel" se usa para simbolizar el hecho que los datos estn
cifrados desde el momento que entran a la VPN hasta que salen de
ella y, por lo tanto, son incomprensibles para cualquiera que no se
encuentre en uno de los extremos de la VPN, como si los datos
viajaran a travs de un tnel. En una VPN de dos equipos, el cliente
de VPN es la parte que cifra y descifra los datos del lado del usuario y
el servidor VPN (comnmente llamado servidor de acceso remoto) es
el elemento que descifra los datos del lado de la organizacin.

La gestin consiste en:

Autentificar al cliente VPN. No podemos dejar que entre
cualquiera, por lo que se utiliza el tpico usuario/contrasea,
tarjetas inteligentes, etc.
Establecer un tnel a travs de Internet. El driver de la VPN
en el cliente le ofrece una direccin privada de la LAN de la
empresa (la 10.0.1.45, por ejemplo), pero cualquier paquete
que intente salir por esa tarjeta es encapsulado dentro de otro
paquete. Este segundo paquete viaja por Internet desde la IP
pblica del empleado hasta la IP pblica del servidor VPN en la
empresa. Una vez all, se extrae el paquete y se inyecta en la
LAN. Para que alguien de la LAN enve un paquete a la
10.0.1.45 el proceso es similar.

 Proteger el tnel. Como estamos atravesando Internet, hay

que encriptar las comunicaciones (sobre todo si somos una
empresa). Los paquetes encapsulados irn cifrados.
Liberar el tnel. El cliente o el servidor pueden interrumpir la
conexin cuando lo consideren necesario.
SSL.- El SSL (Security Socket Layer) es el protocolo de seguridad de
uso comn que establecen un canal seguro entre dos ordenadores
conectados a travs de Internet o de una red interna. En nuestra vida
cotidiana, tan dependiente de Internet, solemos comprobar que las
conexiones entre un navegador web y un servidor web realizadas a
travs de una conexin de Internet no segura emplean tecnologa
SSL. Tcnicamente, el protocolo SSL es un mtodo transparente para
establecer una sesin segura que requiere una mnima intervencin
por parte del usuario final. Por ejemplo, el navegador alerta al usuario
de la presencia de un certificado SSL cuando se muestra un candado
o cuando la barra de direccin aparece en verde cuando se trata de
un certificado EV SSL con validacin ampliada. En este hecho reside el
xito del protocolo SSL: es una experiencia sorprendentemente
sencilla para los usuarios finales.

A diferencia de las URL HTTP que comienzan con el protocolo "http://"

y emplean el puerto 80 por defecto, las URL HTTPS comienzan con el
protocolo "https://" y emplean el puerto 443 por defecto.
El protocolo HTTP es inseguro y susceptible de ataques por parte de
intrusos. Si los datos confidenciales transmitidos (por ejemplo los
datos de una tarjeta de crdito o la informacin de usuario de una
cuenta) cayesen en manos de la persona equivocada, los intrusos
podran

acceder

cuentas

online

consultar

informacin

confidencial. Cuando se emplea un protocolo HTTPS para enviar

informacin a travs de un navegador, tal informacin aparece

encriptada y protegida.
Cmo

se

emplea

la

tecnologa

SSL

en

la

prctica

en

las

transacciones de comercio electrnico, los procesos de trabajo online

y los servicios por Internet?
Para proteger transacciones realizadas con tarjetas de
banco.
Para ofrecer proteccin online a los accesos al sistema, la
informacin confidencial transmitida a travs de formularios
web o determinadas reas protegidas de pginas web.
Para proteger el correo web y las aplicaciones como el
acceso web a Outlook o los servidores Exchange y Office
Communications.
Para proteger los procesos de trabajo y la virtualizacin de
aplicaciones

como

plataformas

Citrix

Delivery

las

plataformas de cloud computing.

Para proteger la conexin entre un cliente de correo como
Microsoft Outlook y un servidor de correo como Microsoft
Exchange.
Para proteger la transferencia de archivos sobre HTTPS y
servicios de FTP, como podran ser las actualizaciones de
nuevas pginas por parte de un propietario de una pgina
web o la transmisin de archivos pesados.
Para proteger los accesos y la actividad en paneles de
control como Parallels o cPanel entre otros.

 Para proteger el trfico en una intranet como es el caso de

las redes internas, la funcin compartir archivos, las
extranets o las conexiones a bases de datos.
Para proteger los accesos a redes y cualquier otro trfico de
red con VPNs de SSL como podran ser los servidores de
acceso VPN o las aplicaciones como Citrix Access Gateway.
Todas estas aplicaciones tienen algunos puntos en comn:
Es

necesario

proteger

la

confidencialidad

de

los

datos

transmitidos a travs de Internet o de cualquier otra red, ya que

nadie desea que la informacin de su tarjeta de crdito, su
cuenta, sus contraseas o sus datos personales queden
expuestos en la Red.
Es necesario garantizar la integridad de estos datos para evitar
que una vez se han enviado los datos de la tarjeta de crdito y
se ha confirmado el importe, un hacker que haya podido
interceptar la informacin no pueda cambiar la cantidad
cobrada y desviar el dinero.
Su empresa debe garantizar a sus clientes o a los usuarios de
su extranet la autenticidad de su identidad y eliminar cualquier
sombra de duda de que un tercero est suplantndole.
Su organizacin debe cumplir las
nacionales

internacionales

en

seguridad e integridad de los datos.

normativas
materia

de

regionales,
privacidad,

IPSec.-El IPSec es un protocolo de comunicaciones (Internet Protocol

Security) que provee de opciones avanzadas de seguridad tales como
unos algoritmos de encriptacin de la informacin ms avanzados y
una autentificacin de usuarios ms exhaustiva.
Modos de encriptacin IPSec
El IPSec tiene dos modos de encriptacin:
El Tunnel
El "Tunnel" encripta la cabecera de cada "paquete" de
informacin y el transporte

El Transporte
En modo Transporte el IPSec solo encripta el transporte de
los "paquetes"

Para qu sirve el IPSec

El IPSec da un margen suplementario de seguridad a las
comunicaciones de:

Router a router

Firewall a router

PC a router

PC a servidor

Solo los dispositivos con certificado "IPSec" son capaces de utilizar

este protocolo seguro.
BIBLIOGRAFA
biblioteca.pucp.edu.pe/docs/.../24_Alcocer_2000_Redes_Cap_24.pdf

http://www.etp.com.co/etp/images/media/regulacion/ELEMENTOS_DE_
SEGURIDAD_EN_LA_RED_Abril_2012.pdf

http://laurel.datsi.fi.upm.es/proyectos/teldatsi/teldatsi/protocolos_de_c
omunicaciones/protocolo_ipsec

https://www.globalsign.es/centro-informacion-ssl/que-es-ssl.html

http://es.wikipedia.org/wiki/Network_Address_Translation

http://www.secutatis.com/?page_id=62

http://www.econ.uba.ar/www/departamentos/sistemas/plan97/tecn_inf
ormac/briano/seoane/tp/rivoira/seguridad.htm

ORDEN A EXPONER:

ARUN
JOSE
CAROLINA
GEMA
DAMIN