Resumen del Captulo 3. Como Disear una Poltica de Red.

Por: Lic. Juan Daniel Mitre Gil

Una poltica de red es un documento que describe las normas o estrategias en cuanto a
Seguridad de Redes con las que debe contar una organizacin.

Planeacin de la Poltica de Red.

Al hacer una poltica de red es necesario que quien la planifique se haga algunas
preguntas bsicas como que recursos desea proteger y a cuales les puede dar acceso a
los usuarios. Es por ello que implantar seguridad en una red por medio de barreras debe
ser algo consensuado con los usuarios y administradores ya que podra causar algunas
molestias en las organizaciones.

Poltica de Seguridad del Sitio.

Si una organizacin posee varios sitios, los cuales no estn interconectados entre s, cada
sitio puede crear sus propias polticas de red basados en sus objetivos y necesidad; sin
embargo, si los sitios estn interconectados por una red interna, quien planea la poltica
de seguridad debe tomar en cuenta todos los objetivos de los diferentes sitios y tomarlos
en cuenta a la hora de establecer una poltica de red. Se deben tomar en cuenta los
equipos de red y de informtica conectados a la misma, as como las necesidades y
requerimientos del equipo humano y fsico.

Planteamiento de una Poltica de Seguridad.

Al momento de implantar una poltica de Seguridad se deben tomar en cuenta algunos
parmetros importantes como recursos a proteger, personas de quien protegerse,
amenazas reales, importancia del recurso, medidas de proteccin que se pueden utilizar y
el monitoreo constante de los recursos.
Se puede confeccionar una tabla y tomar en cuenta algunos tems importantes como son
los recursos que se desean proteger, la cantidad de esos recursos y determinar las
posibles amenazas hacia ellos.
Adicionalmente se debe tomar en cuenta al recurso humano necesario para el
planteamiento de la poltica de seguridad y en muchas ocasiones se deben usar recursos
externos para ello.

Aseguramiento de la Seguridad de una Poltica de Red.

Todos los entes involucrados en el uso de los recursos de una red deben ser capaces de
salvaguardar los intereses de la organizacin. Adicionalmente se debe dialogar homologar
respecto a este tema a fin de que cada parte involucrada dentro de una empresa cumpla
con sus obligaciones de acceso a la red.

Anlisis de Riesgos.
Qu proteger, de quin proteger y cmo protegerlo son las preguntas que debo hacer al
realizar un anlisis de riesgos en una red. Datos importantes indican que la mayor parte
de las fugas de informacin provienen de dentro de las organizaciones y no de afuera.
Por lo que quiz nuestro anlisis deba ir encaminado hacia los agentes internos que
podran causar prdidas o daos en la red. En el anlisis del riesgo se debe tomar en
cuenta la importancia del recurso y el riesgo de su prdida.
De esta forma entonces se podra obtener una ecuacin en donde se pondere el la
importancia y la posibilidad del riesgo en relacin a su valor dentro de la organizacin
dando como resultado una proporcin directa que nos indica que la posibilidad del riesgo
depende directamente de la importancia del recurso y viceversa.
Disponibilidad, integridad y carcter confidencial son algunos de los otros parmetros que
se deben considerar en el anlisis de riesgos.

Identificar Recursos.
El anlisis de red debe permitirle a usted poder identificar los recursos que estn
involucrados en una red. Como es bien sabido, el recurso hardware es lo primero que
observamos al tratar de realizar un anlisis de riesgos. Pero el recurso humano muchas
veces es obviado.
El documento RCF1244 nos listas algunos recursos que debemos tomar en cuenta en el
anlisis de riesgos como son: Hardware, Software, Datos, Gente, Documentacin,
Accesorios.

Cmo Identificar amenazas.

1. Definicin de Acceso no Autorizado.

El uso del recurso de red sin el permiso indicado se considera acceso no autorizado.
Este puede darse ya sea utilizando la contrasea de otro usuario o tratando de entrar
a la red por medio de un software malicioso.
2. Riesgo de Divulgar la Informacin.
Es otro factor que debe ser tomado en cuenta en la evaluacin del riesgo y establecer
las polticas de confidencialidad esperadas.
3. Servicio Denegado.
Un problema que pueden tener las redes es la negacin de un servicio. Esta negacin
puede ser originada de diferentes formas: red inservible por flujo de trfico, por
paquetes extraviados, inhabilitacin de componentes crticos, virus que causen daos
o inversin de funciones de la red por proteccin.

Cmo identificar a quien se le permite usar los recursos de la red.

Se debe crear una lista de posibles usuarios internos de la red, as como usuarios
externos.
1. Identifique el Uso correcto de los recursos.
Se deben crear las guas para el buen uso de la red. Para cada tipo de usuario se
determinar la gua a utilizar. Deber determinarse en ella las responsabilidades de cada
usuario en la red. Se debe dejar establecido en el documento que no se est permitido
ignorar la seguridad a fin de evitar conflictos legales.

Cmo determinar quien est autorizado a otorgar acceso y aprobar el uso.

El administrador de la red debe ser el responsable de otorgar los permisos necesarios
para cada usuario.

Cmo determinar las responsabilidades del usuario.

Se deben tomar en cuenta factores como:
- Gua para el usuario en caso de estar restringidos y sus restricciones.
- El abuso en trminos de red.

La Asociacin de Correo Electrnico considera que cada organizacin debe tener su

propia poltica con respecto a la privacidad del empleado. Considera algunos aspectos
como: cumplimiento de la poltica, compromiso del empleado frente a la poltica,

la

poltica enmarca las normas de comunicacin y si se ha divulgado la poltica y los

involucrados estn de acuerdo con la misma.

Cmo determinar las responsabilidades de los Administradores del Sistema.

En muchas ocasiones es necesario que los administradores invadan el espacio de los
usuarios a fin de garantizar algunos procedimientos o normas que garanticen la
funcionalidad de la red. Sin embargo, tambin es necesario mantener la privacidad de los
usuarios. Por estas razones debemos entonces garantizar dentro de las normas hasta
donde pueden los administradores invadir el espacio del usuario y en qu momento
hacerlo. Para ello debo formular algunas preguntas como: puede el administrador revisar
los archivos del usuario, tiene derecho a analizar el trfico, cuales son las contingencias
necesarias para usuarios, administradores y organizaciones.

Qu hacer con la Informacin delicada.

Existen datos dentro de la organizacin que deben ser restringidos para todos los
usuarios, que solo deben ser manejados por algunos directivos, por esta razn deben
entonces establecerse algunas normas de seguridad que incluyan este tipo de
restricciones para los administradores de red en donde no puedan invadir esta privacidad.

Plan de Accin cuando una Poltica de Seguridad es violada.

Cuando la seguridad ha sido violada la poltica deber ser cambiada. Cuando se detecte
una violacin deber ser clasificada en: negligencia, accidente o error, ignorancia de la
poltica o ignorancia deliberada. En caso de ser ignorancia deliberada puede que no
solamente un individuo haya realizado esta violacin. Se debe realizar una investigacin
inmediata.

Cmo responder a las violaciones.

Dependiendo si se han establecido o no las responsabilidades de cada usuario ante las
polticas de seguridad entonces se deben tambin establecer respuestas para las
violaciones que debern ir desde una amonestacin verbal hasta sanciones severas
dependiendo del tipo de violacin y de la informacin que haya sido extraviada.

Como Interpretar y Publicar una poltica de seguridad.

Es importante identificar a los individuos que interpretarn una poltica. Debe tratar de
crearse un comit, pero tampoco es bueno tener tantos miembros.
Se debe asegurar que sea diseminada y discutida con amplitud.

Para identificar y prevenir problemas de seguridad.

Muchas veces la poltica define conceptos en general, pero no hace referencia a la forma
como se deben guardar los archivos para prevenir prdidas.
Adems de realizar un anlisis se debe identificar puntos dbiles. Mencionaremos
algunos puntos dbiles o problemas comunes:
a. Puntos de acceso: son puntos de entrada para usuarios autorizados. Tener muchos
aumenta los riesgos.
b. Sistemas mal configurados: el anfitrin debe estar bien configurado para responder a
ataques de intrusos, de no hacerlo podr ser objeto de prdidas de la informacin.
c. Problemas de software: entre mas complejo sea el software mayores y mas complejos
problemas traer a la organizacin.
d. Amenazas de usuarios de confianza: es ms fcil recibir ataques desde dentro que
desde fuera, esto quiere decir que el sistema debe prever estos ataques.
e. Seguridad Fsica: si la computadora, por s misma no tiene seguridad fsica, los
mecanismos de seguridad del software pueden ser ignorados con facilidad.

CONFIDENCIALIDAD.
La confidencialidad puede definirse como el acto de mantener las cosas en secreto.
La informacin puede perderse en tres situaciones: cuando se guarda en el sistema,
cuando se transfiere por la red, cuando se guarda en dispositivos.
El acceso a la informacin puede controlarse con Listas de control y otros mecanismos.
Los datos en trnsito pueden protegerse con encriptacin. En caso de tener unidades de
almacenamiento externas deben guardarse en lugares seguros.

IMPLANTACIN DE CONTROLES COSTEABLES A LA POLTICA.

No es necesario gastar grandes sumas de dinero para proteger o restringir el uso de un
recurso.

Como utilizar estrategias de reserva.

Si el anlisis de riesgo le indica que resulta crtico entonces deben utilizarse estrategias
mltiples para proteger los recursos.
Un ejemplo de controles simples son los mdems para volver a llamar que pueden
utilizarse junto con los mecanismos tradicionales de registro.

Estos pueden

incrementarse con tarjetas inteligentes o autenticadores manuales de un paso.

Como vigilar los mecanismos de control.

El administrador del sistema deber verificar los archivos de registro que guarda el
sistema de forma regular para tratar de detectar el uso no autorizado del sistema. Algunos
mtodos que puede utilizar para esto son:
- Vigilar las entradas y salidos de usuarios en hora no comunes.
- Verificar patrones inusuales de las cuentas.
- Verificar archivos de registros de errores o de ingresos fallidos, ya que podra ser un
intruso que trata de adivinar las contraseas del sistema.
- Algunos sistemas operativos guardan registro de los archivos que se ejecutan en el
sistema. Debe verificarse los programas a los cuales tienen acceso los usuarios.

Horario de Vigilancia.
Los administradores deben hacer una vigilancia a lo largo del da, pero no en el mismo
horario porque puede resultar tedioso. S se deben ejecutar los archivos y comandos en
horas de descanso del personal. Al ejecutar de forma constante las herramientas de
seguridad detectar patrones que le permitirn detectar alguna anomala.
Se deben alternar las horas en que se vigilar el sistema, y realizarlo varias veces al da de
forma tal que los usuarios no pueden detectar las horas en que se vigila en sistema, ya
que si se establece una hora constante se detectar.

Procedimientos para Informar.

En caso de detectar accesos no autorizados deber documentarse y adems deber
determinarse a quien informar en caso de estas intromisiones. Por otro lado, dicho
documento deber incluir.
- Procedimientos para el manejo de cuentas.
- Configuracin de procedimientos de administracin.
- Procedimientos de recuperacin.
- Procedimientos para informar problemas de administradores de la red.

CMO PROTEGER LAS CONEXIONES DE RED.

Si Usted posee una red, lo ms probable es que reciba ataques por medio de una red
externa como internet. Entonces usted deber protegerse de estas amenazas. Si utiliza
protocolos diferentes al utilizado por internet de igual forma se ver amenazado por la
tcnica conocida como tneles IP.
Se deben eliminar los accesos a puntos de red. Deben evitarse las conexiones a travs
de anfitriones que guarden material delicado.
Si necesita conectarse a internet deber considerar conectarse a travs de un solo
anfitrin, para que este funcione como una barrera entre usted y los intrusos, de modo
que se pueda crear algn tipo de filtro.

Cmo utilizar la encriptacin para proteger la red.

La encriptacin es el proceso que se utiliza para convertir un archivo en un formato que
otros puedan leer. La desencriptacin es el proceso contrario, es decir, convertir el archivo
en algo legible. Este proceso sirve para proteger archivos ya sea en trnsito o guardados
que slo puedan ser desencriptados por alguien que conozca la forma en que se encript.
La encriptacin de extremo a extremo ocurre en paquetes en trnsito.
Quiz todos los algoritmos de cifrado simtrico descritos hasta la actualidad poseen la
estructura de bloque, incluida en el algoritmo DES (Data Escryption Standard) descrita en
el ao 1973 por Hort Feistel de IBM. La Figura No 1 muestra la red clsica de Fiestel.
El sistema operativo UNIX usa el comando Crytpt, el cual est basado en el dispositivo
llamado enigma de la 2da. Guerra Mundial, se considera muy inseguro.
El correo electrnico es mas complicado de encriptar ya que el protocolo SMTP no acepta
la conversin de datos de texto en datos binarios, por lo cual es necesario utilizar otro tipo
de enfoques. El PEM es un mtodo que utiliza un sistema de encriptacin de correos
electrnicos que ha tenido gran aceptacin.

Autenticacin del Origen.

Se refiere en corroborar de manera oportuna que la persona que le est enviando a usted
un correo electrnico sea quien dice ser. Ya que en muchas ocasiones se podr suplantar
el nombre de quien enva el correo electrnico y sea un intruso.
Esta autenticacin del origen la realiza un criptosistema de clave pblica, el cual utiliza
dos contraseas. Una pblica que puede ser descubierta fcilmente y otra privada que
slo la conoce el grupo que la cre.

Integridad de la Informacin.
Cuando un documento es enviado en la red, se debe verificar que el archivo no haya sido
alterado. Esto se llama integridad y se refiere al proceso que verifica que la informacin
haya sido enviada y completa sin cambios.
La encriptacin es la forma de guardar o mantener la integridad de la informacin si esta
es transmitida por internet.

Cmo usar las sumas de la verificacin.

La suma de verificacin es un mecanismo simple y efectivo para verificar la integridad. Se
hace comparando el valor original de un archivo con su valor previo. Si las sumas de
verificacin son iguales el archivo no ha sido cambiado. Muchos programas de
descompresin de usan para transmitir los rachivos y evitar el uso de grandes espacios
en disco.

La suma de verificacin criptogrfica.

Conocida tambin como criptosellado. En ella los datos se dividen en grupos ms
pequeos y se calcula una soma de verificacin para cada grupo de datos. Entonces las
sumas de verificacin se verificacn de todos los grupos de datos y se mezclan.
Otro mtodo llamado codigo de deteccin de manipulacin o funcin desmenuzadora de
una va, puede usarse para detectar modificaciones a un archivo.

Cmo usar sistemas de autentificacin.

Autenticacin se define como el proceso de proporcionar una identidad declarada a la
satisfaccin de alguna autoridad que otorgue permisos.
En la mayoria de los sistemas el usuario debe especificar una contrasea para su nombre
de usuario, el prooposito es verificar que el usuario es quien dice ser. El password es el
mecanismo de autenticacin.
Los mecanismos de autenticacin son una combinacin de hardware, software y
procedimientos que permiten al usuario tener acceso a una computadora. Todo sitio debe
tener polticas para adoptar la autenticacin.

Cmo utilizar tarjetas inteligentes.

Una tarjeta inteligente es un dispositivo porttil manual que tiene un microprocesador,
puertos de entrada y salida y algunos kilobytes de memoria no voltil. El usuario debe
poseer uno de estos dispositovs para poder registrarse en el sistema.
La computadora anfitrin le indica al usuario que muestre un valor obtenido de una tarjeta
inteligente cuando la computadora le pida la contrasea. A veces la maquina anfitrin le
da al usuaruo alguna informacin que el usuario deber introducir en la tarjeta inteligente.

Cmo utilizar Kerberos.

Kerberos es una conexin de software de red que se emplea para establecer la identidad
de un usuario.
Utiliza una combinacin de encriptacin y bases de datos distribuidas de forma tal que un
usuario pueda conectarse desde cualquier punto a travs de un usuario y contrasea.

Listas de Correo.
Las listas de correo se manteienen por servidores de listas de Internet. Cuando se una a
una lista de correo, podr comunicarse con usuarios en esta lista por correo electrnico.
Para enviar su respuesta o puntos de vista sobre un tema, pocr enviar un correo a una
lista de correo. Todos los que estn en esta lista recibirn su mensaje.

Equipos de respueta de Seguridad.

Algunas organizaciones han formado un grupo de expertos en seguridad que tienene que
ver con problemas de seguridad en las computadoras. Estos grupos recaban informacin
sobre posibles lagunas de seguridad de los sistemas, diseminan esta informacin y la
remiten a la gente apropiada. Pueden ayudar a localizar intrusos y brindan ayuda y gua
para recuperarse de villaciones a la seguridad. Los grupos pueden tener listas de
distribucin de correo electrnico y nmeros de telfono especiales donde llamar para la
informacin o avisar de un problema.