Académique Documents
Professionnel Documents
Culture Documents
10
Firewall
gestin Despus
proyectos
cortafuegos
comn Describir,
proxy Describir
planificar
instalar
la
configuraciones
configurar
configuracin
de
un
un
del
servidor
bastin
de
Usted puede utilizar uno o ms servidores de seguridad para dar proteccin a los
servidores Web o FTP de acceso pblico, proteger a los servidores de archivos
contra ataques externos al tiempo que permite el acceso hosts internos, y ms. De
hecho, usted puede disear su arquitectura de seguridad para adaptarse a
cualquier requerimiento que tenga. En este captulo, aprender acerca de las
configuraciones de servidor de seguridad comunes y aprender a seleccionar uno
que mejor se adapte a sus necesidades
Usted tambin aprender sobre las funciones de los dispositivos tales como los
servidores proxy, los hosts de baluarte, honeypots, y firewalls. Al implementar un
entorno de defensa en profundidad, los dispositivos que las funciones de
seguridad de acogida deben ser lo ms seguro posible s
Screening Routers El
10 software puede reenviar el trfico de una interfaz a otra (ver Figura 10-2). Los
usuarios que estn conectados a Internet tambin utilizan este tipo de
configuracin. Se establecen normas para que el servidor de seguridad se mueve
el trfico entre Internet y una computadora en casa o en la red
Internet o router de la red que no se confa en el permetro de la red procesa el trfico en
funcin de su base de reglas (Access Control List) Externas red interna de
comunicaciones de enlace troncal Ethernet de subred 192.168.0.1 255.255.255.0
Cambie 2014 Cengage Learning Figura 10-1 Un router de seleccin de Internet o una red no
confiable Interfaz interna: 192.168.0.1 Interfaz externo: 201.200.19.1 controles de
software del servidor de seguridad de manejo de paquetes de todo a travs de interfaces
de ordenador del host de alojamiento capacidades de trfico y paquetes de manejo de
cortafuegos desactivados externa troncal enlace de comunicaciones Ethernet de la red
interna de subred 192.168.0.1 255.255.255.0 Cambie Cengage Aprendiendo 2014 Figura 102 Un host-dual homed Disear Firewall Configuraciones 345
10 por ejemplo. Una mejora comn es tener una funcin de acogida proyectado
como una puerta de enlace de aplicaciones o servidor proxy. Los nicos servicios
de red que pueden pasar a travs del servidor proxy son aquellos cuyas
solicitudes de proxy ya estn disponibles
de servidores de acceso
10 Una subred protegida en una red interna ya protegida podra ser utilizado
como una capa adicional de proteccin de la informacin confidencial, como
cliente o los datos del personal. La capa adicional podra proteger los
servidores de empleados descontentos dentro de la organizacin, as como los
atacantes a travs de Internet
Internet o la red no de confianza del servidor FTP del servidor Web del servidor de correo
electrnico del servidor de Medios de Comunicacin Servicio servidor servidor de
directorio Servidor de archivos de subred pareja 2 de negocios Acceso subred subred
Servicio 1 de red 10/100 interno de administracin de conmutadores de red de subred
Firewall restringe el acceso a la subred protegida gestin de servicios en el trfico en
Router y fuera de la red interna y la subred de gestin Cengage Learning 2014Figura 105 DMZ Mltiples protegidos por mltiples firewalls Disear Firewall Configuraciones 349
Los dos servidores de seguridad en la Figura 10-6 tienen una interfaz externa en
Internet. Usted tambin puede tener un servidor de seguridad con una interfaz en
Internet y un segundo servidor de seguridad con una interfaz en la red interna; la
DMZ protegida est situada entre ellos. El uso de dos servidores de seguridad
ayuda de las siguientes maneras: Un firewall puede controlar el trfico entre la
zona de distensin y de Internet, y el otro puede controlar el trfico entre la red
protegida y la zona de distensin
El segundo servidor de seguridad puede servir como un servidor de seguridad de
conmutacin por error , que es una copia de seguridad que se puede configurar
para activar si el primero falla, lo que garantiza la continuidad del servicio
10 Un
servidores de seguridad tienen una ruta de acceso para comunicarse unos con
otros y un router para dirigir el trfico a cada servidor de seguridad. Sin embargo,
el trfico de Internet o de la red corporativa no viaja entre los dos servidores de
la aceleracin de las
comunicaciones de red fue el objetivo principal de los servidores proxy
El proceso, como se muestra en la Figura 10-8, funciona as: Como se pide a las
pginas Web de una compaa ' s servidor web, el servidor proxy recibe las
pginas web y las enva a la computadora que hace la solicitud. Al mismo tiempo,
el servidor proxy almacena en cach las pginas Web ' archivos de texto e
imgenes - en otras palabras, que almacena los archivos en el disco para su
posterior recuperacin, si es necesario
Los equipos que solicitan la misma pgina web ms de una vez tienen sus
solicitudes recibidas por el servidor proxy en lugar del servidor Web. El servidor
proxy comprueba su cach para la Web DMZ del servidor de puerta de enlace Web
Router LAN 4. archivos no almacenado en cach por poder se toman desde un servidor
Web 3. servidor proxy devuelve archivos si est disponible el servidor Proxy 2. recibe la
solicitud y la memoria cach comprueba el disco 1. las solicitudes del equipo remoto la
pgina Web desde un servidor Web del servidor proxy cach de Internet 2014 Cengage
Learning Figura 10-8 servidores proxy cach de pginas Web y otros archivos 354 Captulo 10
Firewall proyectos y gestin
No es necesario seleccionar la
ltima combinacin de hardware y software para configurar un host baluarte. En
cambio, elegir una combinacin de tipo de mquina y el software que est
familiarizado con, y puede trabajar con facilidad. Usted no quiere ser la reparacin
o reconstruccin de una mquina a presin y aprender a operar al mismo tiempo
En una situacin ideal, se puede designar a un host para cada servicio que desea
ofrecer: host de un servidor FTP / bastin, el anfitrin de un servidor Web / bastin,
uno de host del servidor SMTP / bastin, y as sucesivamente. Sin embargo, las
restricciones presupuestarias podran obligarte a combinar los servicios de un host
baluarte. En este caso, un anlisis global de los riesgos de los servicios y el
hardware que necesita para proteger la mayora puede ser til. Las secciones
siguientes describen los componentes esenciales de un host de baluarte seguro
Sistema operativo que instale; sus prioridades son garantizar que la mquina
protege la red interna y tener la certeza de que pueden hacerlo funcionar y
mantener con facilidad
Otra prioridad superior es el nivel de seguridad del sistema operativo. Asegrese
de seleccionar una versin que es estable y seguro, y compruebe el sistema
operativo ' sitio Web s o sitios de seguridad bien conocidos para los parches y
actualizaciones para nuevas vulnerabilidades. Algunos sitios populares de
seguridad se indican en la siguiente lista: Windows Server 2008
( www.microsoft.com / en-us / servidor en la nube / windows-server /
default.aspx ) Red
Hat
Linux
( www.redhat.com ) Proyecto
FreeBSD
( www.freebsd.org ) Instituto SANS ' s lista de los Top Riesgos de Seguridad
Ciberntica, que incluye un apartado sobre la Aplicacin del Sistema Operativo vs
parches; el sitio Web de SANS es al www.sans.org Departamento de Energa de
EE.UU. ' s Joint Ciberseguridad Centro de Coordinacin sitio (JC3)
( www.doecirc.energy.gov ), que enumera recin descubierto avisos de
seguridad de la memoria y el procesador de velocidad anfitriones
Bastion no necesita tener las combinaciones ms recientes o caros de memoria en
el procesador
La memoria es siempre importante cuando se opera un servidor, pero debido a
que el host de baluarte podra proporcionando slo un servicio, no es probable que
se necesiten muchos gigabytes de RAM
Sin embargo, puede que tenga que ajustarse a la potencia de procesamiento de la
carga del servidor, lo que podra significar simplemente la actualizacin del
procesador o tal vez aadiendo procesadores
configuracin
servidores crticos de la red (ver Figura 10-13); que puede o no puede ser un
anfitrin bastin. Este ordenador est equipado con el software y tal vez los
archivos de datos que parecen ser importantes para la empresa. Un honeypot
tambin puede configurarse con los agujeros de seguridad de modo que parece
vulnerable a ataques conocidos. Un sistema trampa puede estar situado entre el
host bastin y la red interna; si un atacante logra superar el filtro de paquetes
externos a la zona de distensin y luego escanear puertos abiertos, el atacante
podra conseguir " pegado " en el honeypot - en otras palabras, desviados de sus
archivos reales por estar mal dirigido a los archivos sin valor
Los expertos en seguridad de red estn divididos sobre el uso de
honeypots. Algunos piensan que tienen valor, algunos piensan que son anticuadas
y no vale la pena utilizar, y algunos piensan que son innecesarias e incluso
potencialmente peligroso si contienen informacin acerca de su empresa y de sus
hosts de baluarte. La ley concerniente al uso de honeypots son confusos en el
mejor, as que consulte con su departamento legal antes de instalar
uno. Honeypots son dignos de estudio, no slo porque son susceptibles de ser
cubiertos en los exmenes de certificacin, pero debido a que todava se discuten
como opciones en seguridad perimetral
Otro de los objetivos de un honeypot est registrando. Debido a que los intrusos
que no puede decir la diferencia entre el honeypot y un objetivo legtimo se puede
esperar para atacar el honeypot, puede configurarlo para registrar cada intento de
acceso como una forma de identificar a los atacantes. Debido a que su red externa
de correo electrnico del servidor / bastion host DMZ FTP / servidor bastin de
alojamiento web servidor / host bastin de puerta de enlace de red de red del router de
filtrado de paquetes del router de filtrado de paquetes Interna Internet 2014 Cengage
Learning Figura 10-12 anfitriones bastin en la DMZ 362 Captulo 10 Firewall proyectos y
gestin
cuentas predeterminadas se
crean a veces durante la instalacin de sistemas operativos y otro software, y
algunas de estas cuentas tienen contraseas en blanco o por defecto. Usted debe
eliminar o desactivar todas las cuentas de usuario del host de baluarte. No son
necesarios porque los usuarios no deben poder conectarse al host bastin desde
sus computadoras. Las cuentas de usuario en el host bastin aumentan las
posibilidades de un fallo de seguridad
Configuracin de un
host de baluarte requiere un enfoque sistemtico y exhaustivo; copias de
seguridad, mantenimiento de registros detallados, y la auditora son pasos
esenciales en el endurecimiento de un ordenador
Hosts Bastion pueden generar una gran cantidad de archivos de registro y otros
datos, como los mensajes de alerta. Tienes que copiar esta informacin en otros
equipos de la red con regularidad. Al realizar registros detallados, la informacin
pasa a travs de capas de defensa de la red ya ha configurado. Debido a su
configuracin de alta seguridad, el host bastin, probablemente ser en un lugar
vulnerable en la DMZ y fuera de la red interna. Los archivos de registro y datos del
sistema, que deben ser respaldados con regularidad, deben pasar por el firewall
que protege la red interna a la pantalla en busca de virus y otras vulnerabilidades,
como los paquetes manipulados. Los atacantes pueden insertar informacin
falsificada en paquetes como una forma de acceder a los ordenadores de la red
interna
La inspeccin se configura para todos los intentos fallidos y exitosos para iniciar
sesin en el host bastin y de cualquier intento de acceder o modificar los
archivos. Los administradores rara vez tienen tiempo suficiente para revisar los
archivos de registro, pero usted debe tomar tiempo cada da para revisar los
registros de todos los dispositivos en la zona de distensin, as como routers y
servidores de filtrado de paquetes. Estos registros pueden darle aviso previo de
intentos de intrusin
Para evitar el uso de recursos de red, asegrese de que los sistemas utilizados
como anfitriones bastin tienen unidades de DVD-RW, discos extrables o
unidades de cinta de modo que usted puede hacer copias de seguridad
Network
Address
de
Figura 10-14Los
clientes internos comunicarse con hosts externos a travs de un dispositivo de NAT Network
Address Translation 365
las direcciones de puerto para distinguir entre clientes internos, lo que permite a
muchos clientes internos a utilizar la misma interfaz nica NAT pblica
simultneamente. Al igual que en uno-a-uno NAT, los ordenadores en Internet slo
ven el dispositivo NAT ' direccin IP s; paquetes de hosts internos parecen venir
desde el dispositivo NAT. Este modo tiene desventajas, sin embargo. En primer
lugar, puede ocultar slo tantos clientes detrs de una nica direccin IP.Para la
mayora de redes, esta limitacin no es un gran problema; para una red grande,
sin embargo, el rendimiento puede degradarse como el nmero de conexiones
aumenta. Adems, muchos-a-uno NAT no funcionar con algunos tipos de VPN
porque los dos puntos finales deben tener nica direccionamiento.Por ltimo,
muchos-a-uno NAT utiliza una nica direccin IP pblica, por lo que no puede
ofrecer otros servicios, como un servidor Web, a menos que tenga otra direccin
IP para ellos
En la figura 10-16, la traduccin de direcciones tambin incluye Port Address
Translation como sigue:. 1 El cliente interno en 172.16.25.12:2250 enva los
paquetes destinados para el servidor Web Internet en 206.188.95.117:80 a su
puerta de enlace predeterminada en el dispositivo NAT en 172.16.25.1. (Tenga en
cuenta que estas direcciones utilizan el formato de zcalo IP: puerto .). 2 El
dispositivo NAT vuelve a empaquetar el paquete de modo que su interfaz pblica,
97.205.16.211:1788, parece ser la fuente del paquete, y luego enva el paquete a
Debido a que los dispositivos NAT funcionan como un intermediario entre los
equipos internos y externos, que pueden ser confundidos con los servidores
proxy. Ambos dispositivos protegen a los hosts internos mediante el envo de
peticiones a Internet a las computadoras ya la inversa. Sin embargo, los
servidores proxy a reconstruir los paquetes antes de enviarlos, y NAT simplemente
vuelve a empaquetar los paquetes
Ethernet) puertos para soportar VoIP (Voz sobre IP) mviles. El ASA 5505 incluye
un interruptor incorporado
Conexin con el ASA 5505 es la misma que se conecta a un router Cisco, como se
discuti en el Captulo 4. Un cable de consola est conectada a la gestin de
PC ' COM 1 puerto s ya los firewall ' s puerto de consola. Un emulador de terminal
como PuTTY se utiliza para realizar la conexin de lnea de comandos
El smbolo del sistema es " ciscoasa " por defecto, y la contrasea de activacin
est en blanco. As, al escribir " permitir " y pulsando Intro cuando se le solicite la
contrasea, se le colocar en modo privilegiado. El comando show vlan interruptor
demuestra que los ocho puertos de conmutacin se colocan en VLAN 1 por
defecto: # ciscoasa espectculo interruptor vlan puertos VLAN Name Status
---------------------- ---------------------------------------- - - 1 abajo ET0 / 0, ET0 / 1, ET0 /
2, ET0 / 3 ET0 / 4, ET0 / 5, ET0 / 6, ET0 / 7 Cortesa de Cisco Systems, Inc. El uso no
autorizado no permitido
Figura 10-17 Vista frontal del ASA 5505 Cortesa de Cisco Systems, Inc . Uso no
Figura 10-18 Vista trasera del ASA 5505 368 Captulo 10 Firewall
autorizado no permitido
proyectos y gestin
10 Al
seguridad: ciscoasa
# configure
terminal ciscoasa
(config)
# hostname
SanFrancisco SanFrancisco (config) # En este punto, sera conveniente asignar
una contrasea segura para proteger el mandato enable: SanFrancisco (config)
# enable password T% imPwa0) gi Si queras hacer Ethernet 0 la conexin a la
Internet y un puerto Ethernet 1 de la DMZ, dejando los dems puertos Ethernet
para la LAN interna, deber proceder de la siguiente manera: SanFrancisco
(config) # interface ethernet 0/0 SanFrancisco (config-if) # no switchport access
vlan 1 SanFrancisco (config-if) # switchport access vlan 2 SanFrancisco (config-if)
# exit SanFrancisco (config) # interface ethernet 0/1 SanFrancisco (config -if) # no
switchport access vlan 1 SanFrancisco (config-if) # switchport access vlan
3 SanFrancisco
(config-if)
# exit Sanfrancisco
(config)
# exit #
SanFrancisco espectculo interruptor de VLAN VLAN Name Estado Puertos -------------------------------------------------------- ----- - - 1 - down ET0 / 2, ET0 / 3, ET0 / 4,
ET0 / 5 ET0 / 6, ET0 / 7 2 - down ET0 / 0 3 - abajo ET0 / 1 En estos comandos,
usted tiene eliminado puertos Ethernet 0 y 1 de la VLAN 1 (la LAN) e incluirlos en
VLAN 2 y 3 (Internet y la zona de distensin, respectivamente). El comando show
vlan interruptor verifica la configuracin
Ahora usted puede nombrar a las VLAN y asignarles los niveles de seguridad y las
direcciones IP: SanFrancisco # configure terminal SanFrancisco (config) #interface
vlan 1 SanFrancisco (config-if) # nameif LAN INFO: Nivel de seguridad de "LAN"
se establece en 0 por defecto
que se consideran anormales. Puede utilizar esta funcin para verificar las sumas
de comprobacin, permitir o rechazar paquetes que no excedan el tamao mximo
de segmento TCP, y permitir o dejar caer las banderas ACK no vlidas, entre otras
cosas
10
bastin Los
hosts no confiables
con base dual de acogida Un
muchos-a-uno NAT Un
uno-a-uno NAT El
IP externa
servidor proxy Software
anfitrin apantallado Un
cortafuegos
granja de servidores de un
b. casa
red
c. DMZ
d. ninguna
de
las
10 9.
servidores de seguridad, uno para proteger a cada sucursal ' red de s. Cul es la
forma ms eficiente de mantener estos servidores de seguridad? una. Utilice una
estacin de trabajo de seguridad centralizada
b. Enviar informacin sobre la poltica de seguridad a cada administrador de la red
c. Configure el software de gestin de escritorio remoto
d. Difunda instrucciones de configuracin peridicamente por e-mail
10. Cul de las siguientes funciones puede realizar un host de
baluarte? (Seleccione todas las que apliquen.) A. Servidor FTP b. correo
electrnico del servidor c. servidor de gestin de la seguridad d. controlador de
dominio 11. Cul de los siguientes factores pueden ocultar las direcciones IP
Verdadero
Falso proyectos
prcticos Hands-On
Gateway
Management
Gateway 2010
Proyectos prcticos 375
10 6.
Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y
haga clic en Siguiente . En la ventana Informacin del cliente, el tipo de
equipo x usuario en el cuadro de texto Nombre de usuario, donde x es el nmero
de equipo asignado por su instructor. En el cuadro de texto Organizacin, el
tipo de equipo x . Introduzca el nmero de serie del producto, si es necesario, y
haga clic en Siguiente
7. En la ventana Ruta de instalacin, tenga en cuenta la ruta de instalacin, y haga
clic en Siguiente
8. En la ventana Definir red interna, haga clic en Agregar . En la ventana de
direcciones, haga clic en Agregar adaptador . Haga clic en el interior de la caja, y
haga clic en Aceptar . (Vase la Figura 10-19.) En la ventana de direcciones, haga
clic en Aceptar . En la ventana Definir red interna, haga clic en Siguiente
Lea la ventana Servicios de Atencin y haga clic en Siguiente . En la pgina
Preparado para instalar la ventana del programa, haga clic en Instalar
9. En la ventana Instalacin del Asistente de instalacin completado, haga clic en
Finalizar
10. Haga clic en Inicio , haga clic en Todos los programas , haga clic en Microsoft
Forefront TMG y haga clic en Administracin de Forefront TMG
Tiempo
10 8.
8. Haga doble clic en cada una de las entradas de la " Bloquear el acceso a estos
destinos Web " cuadro para ver una definicin de los tipos de sitios Web que
bloquear. Luego
haga
clic
en Agregar . Expandir URL
Categoras ,
seleccione Uso compartido de multimedia , haga clic en Agregar y haga clic
en Cerrar. Haga clic en Siguiente
Figura 10-21 Forefront TMG default poltica de
acceso Web Threat Management Gateway Linux servidor web servidor proxy / firewall de
Utilizado con el permiso de Microsoft Corporation
especificar
los usuarios que no iban a impedir el acceso a los sitios que bloquean en la
ventana anterior
Haga clic en Siguiente
10. En la ventana Configuracin de Inspeccin de malware, compruebe que S,
inspeccione
el
contenido
Web
solicitada
a
la
Internet se
ha
seleccionado.Compruebe que Bloqueo cifrado de archivos (por ejemplo,. zip
archivos) est marcada, y haga clic en Siguiente
11. En la ventana Configuracin de HTTPS Inspection, verifique que Permitir a los
usuarios establecer conexiones HTTPS a sitios Web que se ha
seleccionado. Haga clic en No inspeccionar el trfico HTTPS y no validar
certificados de sitios HTTPS. Permitir todo el trfico HTTPS . Haga clic
en Siguiente
12. En la ventana Configuracin de la cach Web, desactive la casilla Activar la
regla de cach Web predeterminado y haga clic en Siguiente . Haga clic en
Finalizar
13. Haga clic en el Aplicar botn. En el cuadro de texto Descripcin Cambio,
tipo de referencia de polticas de acceso Web , haga clic en Aplicar y, a
continuacin, haga clic en Aceptar . En Grupo de Directiva de acceso web, se
puede ver las tres reglas que estn actualmente en vigor. Estas reglas se aplican
en orden, de arriba abajo, para determinar si un cliente ' s Web de destino se le
niega o se deja
14. Desde Windows 7, abra el navegador Web e intente acceder a
http://192.168.1.100
Este intento debe trabajar porque el servidor Web Linux no coincide con las
categoras de contenido bloqueados por la primera regla de acceso Web TMG. La
segunda regla, que se aplica a este trfico, permite la comunicacin
Registro
otras
6. En el recuadro central de TMG, que pronto ver la entrada del registro para la
conexin permitida. Su resultado debe ser similar a la figura 10-22. Tenga en
cuenta que se puede determinar la regla utilizada para permitir que las direcciones
IP y puertos de trnsito, origen y destino, y otra informacin
7. Haga clic en Directiva de acceso web en el marco de la izquierda. Haga clic
en Configurar inspeccin de malware
Tenga en cuenta que la casilla de verificacin Habilitar inspeccin de malware est
seleccionada. Seleccione Bloquear el trfico en las reglas pertinentes
8. Haga clic en la entrega de contenido de tabulacin. Tenga en cuenta que la
opcin de goteo estndar est seleccionada por defecto. Esta opcin est
diseada para evitar que los tiempos de espera de conexin para el cliente,
mientras que el trfico se est escaneando. Como pequeas cantidades de trfico
se borran mediante el escaneo, que se transfieren al cliente, mientras que el resto
del contenido se escanea
con
permiso
de
Microsoft
Corporation
usuarios
especficos
Tiempo
requerido: 15
10. Cierre la sesin en el sistema Windows 7, e iniciar sesin como otro usuario de
dominio. Intente acceder al servidor Web Linux nuevo. Este intento tuviera xito
11. Cierre la sesin en todos los equipos
todava
est trabajando en su gua para la seleccin de servidor de seguridad del proyecto
caso anterior
Crear un esquema para una seccin que enumera y define los parmetros
funcionales ms importantes de los servidores proxy
384 Captulo 10 Firewall proyectos y gestin
captulo
13
Seguridad Diseo e
Implementacin
Polticas
anlisis de riesgos
de
riesgos
polticas de seguridad
seguridad
Evaluacin de Necesidades
En el desarrollo de un sistema o de
comenzar un proyecto, la primera pregunta importante para una
organizacin es determinar lo que necesita. El propsito de la instalacin
o proyecto debe quedar claro. Inherente a esta pregunta es la cuestin
de cmo medir el proyecto ' s xito. No todos los proyectos de desarrollo
de sistemas se prestan a evaluaciones objetivas, pero algunas normas
para el xito se deben establecer
La supervisin del rendimiento de las necesidades de aplicacin del Sistema El
diseo del sistema de evaluacin 2014 Cengage Learning Figura 13-1 El ciclo de vida
de desarrollo del sistema de Comprensin del ciclo de vida Poltica de Seguridad 477
13
13
Amenazas Las
amenazas
son
eventos
y
condiciones
que
potencialmente podran ocurrir, y su presencia aumenta el
riesgo. Algunos peligros son universales, como los desastres
relacionados con el clima. Otros son ms especficos a su sistema, como
por ejemplo un servidor de almacenamiento de una base de datos de
clientes; un atacante podra aprovechar el servidor para obtener acceso
al sistema. Otros ejemplos de amenazas incluyen los siguientes: Fuente
de alimentacin - La fuente de alimentacin en su rea podra ser poco
confiable, por lo que su empresa sujeta a las cadas de tensin,
apagones y subidas repentinas llamados picos de voltaje
Criminalidad - Si usted trabaja en una zona de alta criminalidad u otras
oficinas en su rea se han robado, su riesgo aumenta
Vulnerabilidades Las
13
Anlisis
de
Redes
de
13
Tabla
13-4 consecuencias
Describiendo 486 Captulo
Implementacin de Polticas de Seguridad
Learning
13
13
Diseo
reemplazo
13
Asegurar
riesgos
es
una
operacin
en
curso. Una
empresa
cambia
constantemente en funcin de la informacin que maneja, el nmero de
clientes y empleados, y el nmero de computadoras en su red. El
anlisis de riesgos debe llevarse a cabo de forma regular a pesar de los
obstculos comunes, tales como la indiferencia del personal de TI y los
empleados, volumen de trabajo en las reas crticas y la falta de
personal disponible para hacer la evaluacin
Decidir cmo su organizacin debera realizar un anlisis de riesgos de
rutina comienza con las siguientes preguntas: Con qu frecuencia se
arriesgan a llevar a cabo anlisis? Un enfoque comn es programar el
anlisis todos los aos en el momento del presupuesto. Sin embargo,
usted puede mantenerse al da con las nuevas amenazas de manera
ms eficaz mediante la realizacin de un anlisis de riesgo, cada seis
meses
Quin va a realizar el anlisis de riesgo? Los mismos profesionales que
gestionan la seguridad de la organizacin son los que deben participar,
junto con el personal de contabilidad o cuenta
13
comerciales
que
son
Incluir clusulas generales para resumir las declaraciones, como " Los
empleados no se les permite descargar juegos, protectores de pantalla,
fondos de escritorio, imgenes, clips de vdeo, el arte, o cualquier otra
forma de aplicaciones multimedia o archivos . " El abogado corporativo
que tenga que afinar el redaccin, pero la clusula cursiva cubre todo lo
que no se menciona especficamente
13
El tema de
la confianza es una parte integral de una poltica de seguridad. La
poltica tiene que definir que los empleados a confiar y los niveles de
confianza que todos los empleados deben recibir
En realidad, las organizaciones deben lograr un equilibrio entre los
empleados de confianza y las rdenes de emisin. Los empleados deben
ser capaces de usar sus computadoras para comunicarse y ser
productivos
Mediante la colocacin de demasiado poca confianza en las personas y
la regulacin de todo lo que hacen de una manera excesivamente rgida,
que dificultan sus tareas, dao moral, y aumentar las probabilidades de
que los empleados eludir medidas de seguridad
la piedra angular de
muchas de las polticas de seguridad es la poltica de uso aceptable, que
define cmo los empleados deben utilizar la organizacin ' s recursos,
incluida la Internet, correo electrnico y programas de software. Ms
importante, la poltica debe explicar en qu consiste el uso inaceptable,
como la descarga o visualizacin de contenido objetable u ofensiva,
utilizando equipos de la empresa para asuntos personales, y la
eliminacin de la propiedad de la empresa (incluyendo cualquier
informacin digitalizada) sin autorizacin expresa
Existen declaraciones de poltica para orientar la gestin y los
empleados en el uso apropiado de los recursos de la empresa. Existen
clusulas de penalizacin por lo que las empresas pueden disciplinar a
los empleados cuyas actividades ordenador interferir con la
productividad. La poltica tambin debera contener directrices de pena
para que los empleados no pueden alegar ignorancia. Por ejemplo, la
primera infraccin podra dar lugar a una advertencia, la segunda
infraccin podra requerir un aviso en un archivo de empleado o un
perodo de prueba, y la tercera ofensa podra resultar en la terminacin
del empleado. En circunstancias atenuantes, un empleado podra darse
otra oportunidad. La idea es establecer mtodos flexibles de castigos
que se pueden aplicar a la gestin ' s discrecin, sino que protege a la
empresa de un litigio. Demandas despido injustificado son comunes y
pueden resultar en altos costos para una empresa. Clusulas de
penalizacin, si redactado correctamente, pueden proteger a las
empresas de dichos procesos
Una vez ms, el asesor legal debe revisar la poltica de seguridad
Si la violacin poltica de
seguridad es un delito penal, como la posesin de pornografa infantil,
los funcionarios encargados de hacer cumplir la ley deben ser
notificados y la investigacin, sean entregados a ellos
En esta situacin, usted necesita estar consciente de algunos
peligros. Despus de una investigacin se entreg a la polica, la
Constitucin de los EE.UU. ' sde la Cuarta Enmienda se aplican las
protecciones de registro y embargo. Sus responsabilidades como el
cambio de administrador cuando las entidades pblicas como la polica
y 496 Captulo 13 Diseo de Poltica de Seguridad y Aplicacin
13
Activacin
prioridades
de
la
gestin
para
establecer
las
desarrollo de una
poltica de seguridad puede tardar varias semanas, meses o incluso
ms, dependiendo de la organizacin. No se apresure el proceso; tomar
el tiempo para hacer las cosas bien y cubrir todas las bases. Una poltica
de seguridad mal escrito podra ser rechazada por la direccin
Como parte del desarrollo, la alta direccin, ejecutivos, y otras partes
interesadas deben revisar y aprobar la poltica de seguridad. Este
proceso puede tardar varias semanas o meses. No desmayes si el
proceso toma ms tiempo de lo esperado. Para una poltica de seguridad
para trabajar, los empleados deben aceptarlo. La poltica podra
encontrar resistencia, que es natural para cualquier poltica que afecte a
toda una organizacin. Para ayudar a lograr la aceptacin de la poltica,
se puede establecer un programa de sensibilizacin de los usuarios la
seguridad, en la que los empleados son instruidos formalmente acerca
de la organizacin ' s estrategia de seguridad
13
las
13
Despus el grupo
de polticas de seguridad ha determinado lo que debe ir en la poltica,
los contenidos tienen que ser por escrito. Los miembros del grupo
pueden ser asignados a preparar diferentes partes de la poltica. Un
enfoque de equipo se asegura de que todos los puntos importantes
estn cubiertos. Las secciones siguientes describen brevemente las
categoras comunes que es probable que necesite
Una extranet es una red privada que una empresa establece como una
extensin de su intranet corporativa para permitir a los contratistas,
proveedores y socios externos el acceso a una parte limitada de la
infraestructura de red. Partes que tienen acceso a la extranet deben ser
incluidos en la poltica de seguridad
Esta poltica de acceso de terceros debe incluir los siguientes puntos
como mnimo: El acceso debe concederse solamente para los negocios
de la compaa
13
Uso
seguro
de
Internet
de uso de
Internet puede ser integrado con una poltica de uso aceptable o la
poltica de seguridad global.Sin embargo, como el uso de Internet se ha
vuelto tan parte integral del trabajo del da a da, vale la pena crear una
seccin separada de la poltica de seguridad que cubre cmo los
empleados pueden acceder y utilizar el Internet
Una poltica clara que regula el uso del correo electrnico es esencial
para evitar problemas como los servidores de correo estn inundados
por mensajes molestos. Un ejemplo comn es una falsa alarma de virus,
que establece que un e-mail est circulando con una engaosa
encabezamiento como " Usted ' eres un ganador! " El mensaje hoax
advierte a los usuarios de no leer el e-mail ya que borra todos los
archivos de el usuario ' s disco duro. Un empleado que recibe tal
mensaje podra enviarlo a todos los dems empleados, pensando que les
est haciendo un favor. Si no existe una poltica definida para los
empleados cmo deben manejar los correos electrnicos molestos, la
13
Asegure el almacenamiento fuera del sitio debe ser arreglado por los
datos de copia de seguridad
Si ocurre un incidente, la
poltica de seguridad debe identificar exactamente qu debe notificar a
Especificacin
de
escalabilidad Un procedimiento
Procedimientos
de
de escalamiento es un conjunto de
funciones, responsabilidades, y las medidas adoptadas en respuesta a
un incidente de seguridad. En l se describe cmo una organizacin
aumenta su estado de alerta cuando se produzca un incidente o
amenaza de seguridad. Los incidentes se suelen dividir en tres niveles
de escalamiento: Nivel Uno (menores a moderadas) - Estos incidentes
son los menos graves y por lo general deben ser manejados dentro de
un da de trabajo de su ocurrencia
Nivel Dos (mayor) - Estos incidentes son moderadamente grave. Ellos
deben gestionarse en el mismo da que ocurran - idealmente, dentro de
cuatro horas
determinar
Incluyendo
los
peores
escenarios
una
base
para
una
Trminos clave
13
extranet
Red
privada
que
una
empresa
establece
como
una
Enmienda
que
red
arriesgarse a
gestin
de
riesgos
Un grupo de personas
designadas para adoptar contramedidas cuando se informa de un
incidente
equipo de respuesta a incidentes de seguridad (SIRT)
supervivencia
o desastres
Trminos clave 513
Preguntas de repaso
13
siguientes? una. reducir los riesgos a cero b. hacer las cosas bien la
primera vez por lo que la poltica no tiene que ser reescrita
constantemente c. gestin de convencer de que el presupuesto de TI se
debe aumentar d. ninguna de las anteriores 6. Cules son el hardware,
el software y los recursos de informacin que necesita para
protegerse? una. amenazas b. tangibles c. activos d. participaciones
empresariales 7. Asegurar que las bases de datos siguen siendo
accesibles si los sistemas primarios se desconectan se conoce como
una. tolerancia a fallos b. failover c. redundancia d. resiliencia 8. Cul
de las siguientes tecnologas ayuda a proteger los datos confidenciales,
incluso
despus
de
que
ha
sido
robado
de
un
medio
seguro? una. proteccin contra virus b. autenticacin c. cifrado d. Spybot
9. Cul de las siguientes secciones de una poltica de seguridad afecta
a la mayora de las personas en una organizacin? una. manejo de
incidentes poltica b. poltica de acceso privilegiado c.poltica de uso
aceptable d. directiva de acceso remoto 10. Qu es un procedimiento
de escalamiento? (Seleccione todas las que apliquen.) A. En l se
describe cmo la seguridad de la red se puede mejorar en las etapas
b. En l se describe cmo un virus puede multiplicarse y afectar ms
activos
c. En l se describen diferentes niveles de respuesta segn la gravedad
del incidente
d. Identifica los empleados que deberan estar involucrados en la
respuesta
Preguntas de repaso 515
de
13
12. Repita los pasos 8 a 11. Recuerda hacer clic en normal en el paso 9
cada vez
Si usted no est entrando en su propia informacin, ingrese las
siguientes
descripciones
y
costos:
Descripcin: Software Costo
probable: 5000 Bajo
Costo:3500 Descripcin: Impresoras Costo
probable: 500 Bajo
Costo: 400 Descripcin: Interruptores Costo
probable: 150 Bajo
Costo: 100 Descripcin
: CablesCosto
probable: 100 Bajo
Costo: 75 Descripcin: Monitores Costo
probable: 5000 Bajo Costo: 4000
Proyectos prcticos 517
13
13
puede ser tan simple como sealando una puerta abierta o una
contrasea escrita en un trozo de papel, o puede ser un proceso
complicado que requiere varios miembros del equipo y meses para
completar . Un entorno empresarial de gran tamao probablemente
tiene varias ubicaciones, diversas actividades y una amplia gama de
recursos para evaluar
Usted no necesita una red tan complicado, sin embargo, para trabajar a
travs de este proyecto de caso
La idea principal es aprender cmo aplicar sus conocimientos de forma
metdica para producir resultados tiles y precisos. Acercarse a una
tarea como la evaluacin de riesgos sin una estrategia en su lugar por lo
general se traduce en medidas repetidas, el desperdicio de recursos, y
los resultados mediocres en el mejor. Peor an, es posible que se pierda
informacin crtica
En un anlisis de riesgo real, uno de los primeros pasos consiste en
cumplir con todos los jefes de departamento, la alta direccin, los
representantes de los empleados, los trabajadores en el entorno de
produccin, el personal de recursos humanos, y otros miembros del
personal para recibir sus aportes. Esa reunin no es posible en esta
situacin, por lo que cualquier pregunta a su instructor o hacer
investigacin independiente para encontrar sus respuestas
En este proyecto, lleva a cabo una evaluacin de riesgos y el anlisis de
una pequea empresa de comercio electrnico
13
hoja
de
trabajo
de
evaluacin,
la
lista
de
cada
posible
Cengage
Learning
2014
cuantificacin
Caso Proyectos 523
captulo
14
curso
de Seguridad
de
Gestin
Fortalecer el
el
anlisis
de
los
procedimientos
de
seguridad
de
la
Mejorar
red
de
auditora
de
la
red,
cambiantes
manteniendo
el
ritmo
Fortalecer el desempeo
de
las
necesidades
14
Considere una
organizacin que cuenta con oficinas en varios pases o una
organizacin nacional con sucursales en Estados separados. Cada red de
oficinas tiene su propio firewall y desplazados internos. Cada PDI tiene
sensores que recogen datos que pasan a travs de la puerta de
enlace. Algunos de los datos que contiene los mensajes de alerta que
deben ser revisados en el momento oportuno. Cmo se procesa todos
los eventos en estas oficinas? Es necesario instalar el software de base
de datos que clasifica a travs de los acontecimientos y le permite ver
de forma sistemtica. Como administrador de seguridad, es necesario
responder a las siguientes preguntas: Debera consolidar todos los
datos y el flujo a travs de una ubicacin central de seguridad Si los
datos de los sensores de ir a los administradores de seguridad en cada
oficina? Estas cuestiones se abordan con ms detalle en las siguientes
secciones
14
No
supervisar y evaluar el trfico de red para crear una gran cantidad de
datos para analizar.En su lugar, desea reunir evidencia que indica si sus
firmas los desplazados internos estn funcionando bien o necesitan ser
actualizados. Una variedad de vendedores de los desplazados internos
estn disponibles, cada uno con sensor Consola de Administracin
IDPS Sucursal Principal oficina Internet Firewall consola Administracin del
14
evala las firmas de cada uno? Varios intentos se han hecho para
estandarizar la evaluacin y comparacin de conjuntos de firmas, pero
ninguna ha sido adoptado ampliamente suficiente para ser eficaz
Por lo tanto, el proceso de actualizacin de firmas de los desplazados
internos vara dependiendo del vendedor. Compruebe el vendedor ' sitio
Web s para obtener instrucciones completas y visita a menudo para
descargar nuevas firmas
Su organizacin tambin puede contratar a una empresa de gestin de
la seguridad sobre una base contractual para manejar estas tareas
rutinarias
14
acumular datos de varias fuentes, tales como las siguientes: Los filtros
de paquetes Informes de aplicacin registros del router registros del
cortafuegos Los supervisores de sucesos basada en host IDPS (HIDPS)
registra basada en la red IDPS (NIDPS) registra Ida para consolidar los
datos de estos dispositivos es para transferir (o " empujar " ) la
Auditora operativa
Auditora Independiente
Usted no necesariamente
tiene que agregar nuevos sistemas o componentes para hacer una IDPS
fuerte
Usted puede aumentar la eficiencia y fortalecer la deteccin al hacer sus
recursos actuales funcionan de manera ms eficiente. Las secciones
siguientes describen cmo mantener su sistema a travs de copias de
seguridad y por la gestin de cuentas, reglas de los desplazados internos
y los usuarios
14
Uso
de
software
de
copia
de
seguridad
automtica
es
Fortalecimiento de la Defensa:
defensa en profundidad El principio
Mejora
de
defensa
de
en
Activo Defense-in-Depth
14
Gestin de la memoria
Firewalls, analizadores de
paquetes y IDPSS debe ser capaz de procesar los datos lo ms rpido
que se mueve a travs de la red. Si su red tiene un gateway Ethernet
gigabit, pero su IDPS se ejecuta en una mquina con slo una conexin
14
Sitios Web
Certificaciones
Muchas
certificaciones
deben
renovarse
peridicamente a travs de un nuevo anlisis. Asegrese de que su
organizacin gestin s entiende que las certificaciones benefician a la
empresa. Visite los siguientes sitios Web de certificacin de estar al da
con las pruebas de que ha tomado y para aprender acerca de las
pruebas es posible adoptar en el futuro: Programa Certified Security
( www.securitycertified.net ) Consorcio de Certificacin de Sistemas de
Informacin Internacional de la Seguridad ( www.isc2.org ) CompTIA
( www.comptia.org ) GoCertify ( www.gocertify.com ) Sea consciente de
cuando se necesita para renovar sus certificaciones actuales. Pregunte a
su supervisor si la empresa va a ayudar a sufragar el costo de los
materiales de estudio y las pruebas, y si se puede tener tiempo libre
para estudiar y viajar cuando sea necesario
14
gestin de un PDI para que siga funcionando sin problemas. Usted debe
hacer copias de seguridad, administrar cuentas de usuario, eliminar
normas innecesarias PDI y agregar hardware o software segn sea
necesario. Instituir tambin un programa de concienciacin para
asegurarse de que los empleados, contratistas y socios de negocios a
entender y observar la poltica de seguridad
Mediante el fortalecimiento de una red de ' DiD configuracin s, a
mejorar la defensa general de la red, garantizar la disponibilidad y la
integridad de la informacin, y proporciona para el no repudio. Activo
convocatorias de tratar de anticipar y frustrar los intentos de ataque
antes de que ocurran hizo. Activo hizo tambin requiere entrenamiento o
aadiendo capas de seguridad
Trminos clave
activa
de
defensa
en
profundidad
una
fuerte
recopilacin
de
datos
centralizada
equipos tigre
Preguntas de repaso
14
proyectos
prcticos Hands-On
de
Proyecto
14-1:
Marcadores relacionados con la seguridad Montaje de
Pginas WebTiempo requerido : 20 minutos Objetivo : Crear una lista
de sitios Web para su uso como recursos para mantenerse al da en el
ltimos avances en seguridad
544 Captulo 14 Gestin de la Seguridad Vigentes
14
Seguridad Vigentes
apndice
seguridad
Recursos
de
con los ltimos avances, usted debe consultar a los sitios Web y otros
autenticacin y el cifrado
Usted puede encontrar consejos polticos y recursos, guas de desastre
planificacin y herramientas para ayudarle a hacer su trabajo. Tambin
debe comprobar estos sitios para aprender sobre las ltimas
amenazas. Informacin acerca de los errores, agujeros de seguridad y
parches para tapar ellos estar disponible en lnea antes de leer acerca
de ellos en un libro
Las nuevas amenazas emergen a diario, y que necesita para mantenerse
al da con ellos. Tabla A-1 muestra enlaces a sitios web tiles que
pueden mejorar sus habilidades y conocimientos
Usted tambin debe unirse a grupos de noticias y listas de correo para
los profesionales de TI como una forma de relacionarse con sus pares y
aprender de sus experiencias. A veces, usted podra encontrarse con un
problema que no puede resolver, a pesar de estudiar minuciosamente a
travs de manuales y libros de texto, bsqueda en Internet, y en
ejecucin de cada prueba que se pueda imaginar. Tabla A-2 enumera
lugares para comenzar la bsqueda de otros profesionales que podran
tener una solucin a su problema
Sitio
web
Descripcin Vulnerabilidades
y
Exposiciones
Comunes
(CVE), www.cve.mitre.org El estndar CVE permite a los dispositivos de seguridad para
compartir informacin acerca de las firmas de ataque y otras vulnerabilidades por lo
que los dispositivos pueden trabajar juntos
Symantec Security Response, www.symantec.com / security_response Symantec
mantiene una extensa base de datos de virus. El sitio incluye informacin acerca de los
incidentes de seguridad, pero el nfasis est en la proteccin frente a virus y otros
cdigos dainos y eliminarlos
Internet Storm Center, http://isc.sans.org Este sitio, que est afiliado con el Instituto
SANS (tambin se indica en esta tabla), se especializa en la explicacin de cmo
responder a las intrusiones, incidentes y alertas de seguridad. Un mapa del mundo
muestra las brechas de seguridad reportados por regin geogrfica. El sitio tambin
incluye una lista de las tendencias de los ataques actuales, como los puertos atacados
con frecuencia y software malintencionado inform recientemente
( contina ) 549
Sitio web Descripcin El Centro para la Seguridad en Internet, www.cisecurity.org Esta
organizacin sin fines de lucro se dedica a la elaboracin de normas de seguridad que
llama " puntos de referencia " . ndices de referencia estn disponibles para Linux, UNIX
y otros sistemas operativos
SysAdmin, Audit, Red, Seguridad (SANS) Instituto, www.sans.org Esta investigacin y la
educacin organizacin se centra en la seguridad de red
SANS lleva a cabo seminarios y talleres sobre seguridad
El Centro de Coordinacin CERT, www.cert.org Este grupo, que est afiliado con el
Instituto Carnegie-Mellon, enumera las alertas de seguridad, notas de incidentes y
vulnerabilidades en su pgina principal. CERT tambin ofrece consejos y artculos
acerca de la seguridad de la red y los cursos de formacin
Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), www.first.org Este
grupo es una coalicin de grupos de respuesta a incidentes de seguridad del gobierno,
comerciales y acadmicas que buscan promover la reaccin rpida ante incidentes de
seguridad mediante la coordinacin de la comunicacin y el intercambio de
informacin
El Instituto Nacional de Estndares andTechnology (NIST), www.nist.gov NIST Divisin
de Seguridad Informtica, el Centro de Recursos de Seguridad Informtica
(CSRC), http://csrc.nist.govNIST es una agencia federal no regulado EE.UU. que
desarrolla y promueve medidas, normas, y la tecnologa para mejorar la productividad,
facilitar el comercio y mejorar la calidad de vida.La Divisin de Redes Tecnologas de
Seguridad Informtica y direcciones de seguridad de la informacin
Internet Assigned Numbers Authority (IANA), www.iana.org IANA asigna y mantiene la
asignacin de nmeros de Internet, incluyendo los nmeros de puerto y los nmeros de
protocolo.IANA tambin coordina DNS y direcciones IP
Internet Engineering Task Force (IETF), www.ietf.org / home.html El IETF es un
organismo internacional de diseadores de red, proveedores, operadores e
investigadores que trabaja para avanzar en la Internet ' s evolucin y el buen
funcionamiento
IEEE Computer Society, www.computer.org Esta organizacin es una importante
asociacin de membresa internacional para profesionales de la informtica. Se cobra
una cuota para ser miembro, pero la organizacin ofrece cursos en lnea, informacin y
oportunidades de establecer contactos profesionales para miembros
Centro de Investigacin de Seguridad de Red Mundo, www.networkworld.com/ temas /
security.html Esta publicacin de larga data para los iniciados de red incluye pestaas
para ciberdelincuencia, firewalls, sistemas de gestin de amenazas unificadas, IDPSS y
ms
de
noticias
de
seguridad
Los siguientes