Académique Documents
Professionnel Documents
Culture Documents
ITIC41
MANUAL
DE SEGURIDAD DE REDES
Introduccin
En la actualidad la falta de medidas de seguridad en las redes informticas
es un problema que est aumentando da con da. Cada vez es mayor el
nmero de vctimas y cada vez estn ms organizados los atacantes, por lo
que van adquiriendo da a da habilidades ms especializadas que les
permiten obtener mayores beneficios. Pero nunca deben subestimarse las
fallas de seguridad que puedan existir dentro de la misma de la
organizacin. La propia complejidad de la red es una dificultad para la
deteccin y correccin de los mltiples y variados problemas que puedan
existir dentro de la seguridad que van apareciendo. Es por eso que en este
documento se mostraran como y bajo qu normas debe estar estructurada
la seguridad del rea de redes.
Qu es seguridad informtica?
Denominamos como seguridad a las medidas de proteccin que tiene por
objetivo garantizar la integridad, confidencialidad y disponibilidad de los
recursos de que se disponen en un sistema de informacin.
Antes de seguir con este manual de seguridad de redes debemos tomar en
cuenta que es y en que, lo que nos perjudicara el no tener una seguridad
optima de forma antagnica a la seguridad, pero como parte fundamental a
considerar debemos de mencionar los siguientes conceptos:
del sistema.
Ataque.- se refiere a una accin de una persona o programa que logra
medidas de seguridad.
Externas.- Cuando estas se originan en el exterior de la organizacin,
como lo pueden ser hackers, virus y gusanos.
Seguridad Interna
La seguridad interna de la red es la menospreciada por sus administradores.
Ya que incluso dicha seguridad no existe, permitiendo a cualquier usuario
acceder fcilmente al equipo de otro usuario utilizando debilidades bien
conocidas, relaciones de confianza y opciones predeterminadas. La mayor
parte de estos ataques necesitan poca o ninguna habilidad, poniendo la
integridad de una red en riesgo.
Y para continuar con esto se mostrara con algunos puntos bsicos que se
deben de verificar:
Ahora para poder lograr una buena seguridad interna de redes debemos
seguir algunas normas como la 27001 y la 27002, en el caso de la Iso
27001 indica que se debe planificar, implementar y controlar los procesos
de la organizacin y hacer una valoracin de los riesgos de la seguridad
de la informacin y tratamiento de ellos, la cual se complementa con la
norma Iso 27002 la cual hace mencin en control de accesos al sistema
requiere un sistema de gestin de contrasea.
Como en lo que es la Iso 27002 tenemos un check list en los cuales
generaliza lo que es la seguridad en el rea de TI pero de igual manera
nos funciona en lo que es el rea de redes
POLITICAS
1
SEGURIDAD
Polticas
1
DE
de
Seguridad
Informacin
Documento
de
de
Polticas
la
de
Seguridad
de
la
1 Informacin
Revisin de la Poltica de Seguridad de la
2 Informacin
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
2
INFORMACION
1
Organizacin Interna
Compromiso de la Direccin con la Seguridad de la
1 Informacin
Coordinacin
de
la
Seguridad
de
la
2 Informacin
Asignacin de Responsabilidades Relativas a la Seguridad de
3 la Informacin
Procesos de autorizacin de recursos para para el procesos
4 de la Informacin
5 Acuerdos de Confidencialidad
6 Contacto con la Autoridades
7 Contacto con Grupos de Especial Interes
Revisin Independiente de la Seguridad
2
de
la
8 Informacin
Terceros
Identificacin de los Riesgos Derivados del Acceso de
1 Terceros
Tratamiento de la Seguridad en relacin con los
2 clientes
Tratamiento de la Seguridad en contratos
3 con terceros
GESTION DE ACTIVOS
1
Responsabilidad Sobre Los Activos
Inventario
de
1 Activos
Propiedad
de
los
2 Activos
3 Uso aceptable de los Activos
Clasificacin
de
la
2
Informacin
1 Directrices de Clasificacin
Etiquetado
y
manipulacin
2 Informacin
SEGURIDAD LIGADA
4
A LOS
de
la
RECURSOS
HUMANOS
1
Antes del Empleo
1 Funciones y responsabilidades
2 Investigacin de Antecedentes
Trminos y condiciones de
2
3 Contratacin
Durante El Empleo
1 Responsabilidad de la Direccin
Concienciacin. Formacin y capacitacin en seguridad de la
2 informacin
Procesos
3 Disciplinario
Cese del Empleo o Cambio de Puesto de
Trabajo
Responsabilidad
del
1 Cambio
Devolucin
de
Cese
2 Activos
Retirada de los Derechos de
5
3 Acceso
SEGURIDAD FISICA Y AMBIENTAL
reas Seguras
1 Permetro de Seguridad Fsica
2 Controles Fsicos de Entrada
Seguridad de Oficinas, despachos
3 instalaciones
Proteccin contra las amenazas externas y de origen
4 ambiental
Trabajo en
reas
5 seguras
reas de acceso pblico y de carga y
6 descarga
Seguridad
2
de
los
Equipos
Emplazamiento
proteccin
de
los
1 equipos
2 Instalaciones de suministros
Seguridad
del
3 Cableado
4 Mantenimiento de los Equipos
Seguridad de los Equipos fuera de las
5 instalaciones
6 Reutilizacin o retirada segura de equipos
Retirada de materiales propiedad de la
7 empresa
GESTION
DE
6
COMUNICACIONES
OPERACIONES
Responsabilidades
1
Procedimientos
Y
de
Operacin
Documentacin de los Procedimientos de
1 Operacin
2 Gestin de Cambios
Segregacin
de
3 tareas
separacin de Los Recursos de Desarrollo, prueba y
4 operacin
Gestin de la Provisin de Servicios por
Terceros
Provisin
de
1 servicios
Supervisin y revisin de los servicios prestados por
2 Terceros
Gestin de Cambios en los servicios prestados por
3 Terceros
Planificacin
3
Sistema
Aceptacin
del
Gestin
de
1 Capacidades
Aceptacin
2 Sistema
Proteccin
4
del
contra
Cdigo
descargable
Controles contra
Malicioso
el cdigo
1 malicioso
Controles sobre el cdigo descargado en
5
2 el cliente
Copias de Seguridad
Copias de Seguridad
de
los
Soportes
1 Gestin de Soporte Extrables
2 Retirada de Soportes
Procedimientos de Manipulacin
3 Informacin
Seguridad de
la
4 Sistema
Intercambio
8
la
1 Informacin
Gestin de Seguridad de las Redes
1 Controles de Red
Seguridad de los servicios de
2 Red
Manipulacin
de
Informacin
Polticas
de
Documentacin
la
del
de
y
Procedimientos
1 Informacin
Acuerdo
de
Intercambio
de
2 Intercambio
3 Soportes Fsicos en Transito
Mensajera
4 Electrnica
Sistemas
9
de
5 Empresarial
Servicios de Comercio Electrnico
Comercio
1 Electrnico
Transacciones
10
Informacin
en
2 Lnea
3 Informacin puesta a Disposicin Pblica
Supervisin
Registros
de
1 Auditoras
de
de
los
3 Registros
4 Registros de Administracin y Operacin
5 Registros de Fallos
Sincronizacin
del
7
6 Reloj
CONTROL DE ACCESO
Requisitos de Negocio para el Control de
1
2
Acceso
1 Poltica de Control de Acceso
Gestin de Acceso de Usuarios
Gestin
de
1 Privilegios
Gestin de Contrasea s de
2 Usuarios
Revisin de los Derechos de Acceso de
3 usuarios
Responsabilidades de los Usuarios
1 Uso de Contrasea
Equipo
de
usuarios
2 Desatendido
Poltica de puesto de trabajo despejado y Pantalla
3 Limpia
Control de Acceso a la
Red
Polticas de Uso de los Servicios
1 en Red
Autenticacin
de
usuarios
para
2 conexiones externas
Identificacin de Equipos en
3 las Redes
Diagnstico remoto y proteccin de los puertos de
4 configuracin
Segregacin de las
5 Redes
6 Control de la conexin a la Red
Control de Encaminamiento de
7 Red
Control
5
de
Acceso
al
sistema
Operativo
1 Procedimientos seguros de inicio de sesin
2 Identificacin y Autenticacin de usuarios
Sistema de
gestin de
3 contraseas
4 Uso de los recursos del Sistema
Desconexin
5 sesin
Limitacin
automtica
del
tiempo
de
de
6 conexin
Control de acceso a las aplicaciones y a la
6
Informacin
Restriccin del acceso
1 informacin
Aislamiento
de
2 sensibles
Ordenadores
7
sistemas
Porttiles
teletrabajo
Ordenadores porttiles y comunicaciones
1 mviles
2 Teletrabajo
ADQUISICION , DESARROLLO
8
la
Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACION
Requisitos de Seguridad de los Sistemas de
1
Informacin
Anlisis y especificaciones de los requisitos de
1 seguridad
Tratamiento
correcto
aplicaciones
validacin
de
1 entrada
Control
de
2 interno
Integridad
de
3 mensajes
Validacin
de
los
de
las
datos
de
procesamiento
los
los
datos
de
4 salida
Controles
3
Criptogrficos
Poltica de
uso
de
los
controles
1 criptogrficos
2 Gestin de Claves
Seguridad de los Archivos del
4
Sistema
Control
del
Software
en
1 Explotacin
Proteccin de los Datos de Prueba del
2 sistema
Control de Acceso al cdigo fuente de los
3 programas
Soporte
Procedimientos
de Desarrollo y
de control de
1 cambios
Revisin tcnica de aplicaciones tras efectuar cambios en el
2 sistema operativo
Restricciones a los cambios en los paquetes
3 software
Fugas
de
de
4 Informacin
5 Externalizacin del Desarrollo del software
Gestin de la Vulnerabilidad
6
Tcnica
Control de las vulnerabilidades
1 Tcnicas
GESTION DE INCIDENTES EN LA SEGURIDAD DE LA
9
INFORMACION
Notificacin de los Eventos y Puntos dbiles de la seguridad de la
1
informacin
Notificacin de los Eventos de Seguridad de la
1 Informacin
Notificacin
de
Puntos
Dbiles
de
la
2 Seguridad
Gestin de Incidentes de Seguridad de la Informacin y
2
Mejoras
Responsabilidades
1 Procedimientos
Aprendizaje de los Incidentes
de Seguridad de la
2 Informacin
3 Recopilacin de Evidencias
10 GESTION DE LA CONTINUIDAD DEL NEGOCIO
Aspectos de seguridad de la informacin en la gestin de la
1
5 continuidad
11 CUMPLIMIENTO
Cumplimiento de
1
los requisitos
legales
Identificacin de la legislacin
1 aplicable
Derechos
de
Propiedad
2 Intelectual (DPI)
Proteccin de los
Documentos
de
la
3 Organizacin
Proteccin de Datos y privacidad de la informacin
4 personal
Prevencin del uso indebido de los recursos de tratamiento
5 de la informacin
6 Regulacin de los Controles Criptogrficos
Cumplimiento de las polticas
y normas de seguridad
2
cumplimiento tcnico
Cumplimiento de las polticas y normas de
1 seguridad
Comprobacin
del
2 cumplimiento tcnico
Consideraciones de la auditoras de los sistemas de
3
informacin
Controles de auditora de los sistemas de
1 informacin
Proteccin de las herramientas de auditora de los sistemas de
2 informacin
QU ES CABLEADO ESTRUCTURADO?
Cableado Estructurado es el cableado de un edificio o una serie de edificios
que permite interconectar equipos activos, de diferentes o igual tecnologa
permitiendo la integracin de los diferentes servicios que dependen del
tendido de cables como datos, telefona, control, elctricos, etc. El objetivo
fundamental es cubrir las necesidades de los usuarios durante la vida til
del edificio sin necesidad de realizar ms tendido de cables.
Normas que deben ser implementadas para un manual de seguridad en
redes:
ANSI/EIA/TIA-568-A
documento
principal
que
regula
todo
lo
ANSI/EIA/TIA-606
regula
sugiere
los
mtodos
para
la
de
LAN
de
IEEE
que
especifica
una
IEEE 802.5.
IEEE 802.3:
Protocolo
de
IEEE
para
LAN
que
especifica
la
fsicas
para
Fast
Ethernet
incluyen
100BaseTX
100BaseFX.
IEEE 802.4: Especifica el bus de seal pasante.
IEEE 802.5: Protocolo de LAN IEEE que especifica la implementacin
de la capa fsicas y de la subcapa MAC de la capa de enlace de datos.
IEEE 802.5 usa de acceso de transmisin de tokens a 4 Mbps 16
Mbps en cableado STP O UTP y de punto de vista funcional y
operacional es equivalente a token Ring de IBM.
Criterio
Proceso
Norma aplicada
Libro 4
Gestin de acceso a los
servicios de T. I.
Libro 3
Gestin de la
configuracin y activos
del servicio
Libro 3
Gestin de la
configuracin y activos
del servicio
Libro 3
Gestin de la
configuracin y activos
del servicio
ANSI/TIA/EIA-606
Libro 4
Gestin de acceso a los
servicios de T. I.
Libro 3
Gestin de la
configuracin y activos
del servicio
ANSI/TIA/EIA-606
Libro 3
Gestin de la
configuracin y activos
del servicio
Libro 3
Gestin de la
configuracin y activos
del servicio
Libro 2
Gestin de la seguridad
de la informacin
Libro 4
Gestin de acceso a los
servicios de T. I.
Libro 4
Gestin de acceso a los
servicios de T. I.
Libro 4
Gestin de acceso a los
servicios de T. I.
ISA (Arquitectura de
normas industriales)
Justificacin 5
Norma EIA/TIA 568-A
Justificacin 8
ANSI/TIA/EIA-606
Justificacin 10
Justificacin 10
Justificacin 12
Justificacin 10
Justificacin 13
NORMA 569
Justificacin 9
IEEE 802.11i
Justificacin 16
Justificacin 17
ISO/IEC 8348:2002
Justificacin 18
redes locales?
Justificacin 7
Libro 4
Gestin de acceso a los
servicios de T. I.
Libro 4
Gestin de acceso a los
servicios de T. I.
ISO/IEC 8348:2002
Se tiene conexin a
tierra fsica para
proteccin de equipos
ante posibles descargas
elctricas que puedan
afectar?
Libro 4
Gestin de acceso a los
servicios de T. I.
ANSI/TIA/EIA-607
Libro 4
Gestin de acceso a los
servicios de T. I.
Libro 4
Gestin de acceso a los
servicios de T. I.
ANSI/TIA/EIA-607
Libro 4
Gestin de acceso a los
servicios de T. I.
ANSI/TIA/EIA-568-B.3
Libro 4
Gestin de acceso a los
servicios de T. I.
EIA/TIA -568-B
Libro 2
Gestin de la seguridad
de la informacin
Libro 4
Gestin de acceso a los
servicios de T. I.
IEEE 802.10
Libro 2
Gestin de la seguridad
de la informacin
Justificacin 21
ANSI/EIA/TIA-569
Justificacin 9
Justificacin 6
Justificacin 6
ANSI/TIA/EIA-607
Justificacin 6
Justificacin 14
Justificacin 5
Justificacin 39
Decreto 401/2003
Justificacin 21
IEEE 802.2
Justificacin 32
redundancia en casos
de falla?
Los Access point
cuentan con una
encriptacin de 256 bits?
Se cuenta con SSID
en los dispositivos
Access Point para
proporcionar mayor
seguridad?
Si se cuenta con red
inalmbrica La seal
cubre a las reas
debidas?
El ancho de banda de la
red inalmbrica es
suficiente para soportar el
trfico de datos?
Cuenta con un registro
de los usuarios que
acceden a la red?
La red cuenta con
cableado horizontal y
vertical segn el tipo de
topologa?
Los cables de los
equipos se encuentran en
buen estado?
Esta implementado un
modelo de QoS en la red?
La red cuenta con los
equipos y aplicaciones
(proteccin) necesarias
para tener una mayor
resguardo de intrusos
activos (hackers)?
Libro 3
Gestin de la
configuracin y activos
del servicio
Libro 2
Gestin de la seguridad
de la informacin
IEEE 802.10
Justificacin 39
IEEE 802.10
Justificacin 39
Libro 1
Gestin del portafolio de
servicios
ANSI/EIA/TIA-569
Libro 1
Gestin del portafolio de
servicios
Estndar (IEEE)
802,11
Libro 4
Gestin de eventos.
Libro 2
Gestin del catlogo de
servicios
Libro 5
Informes de servicio TI.
Libro 3
Gestin de Entregas y
Despliegues
Libro 4
Gestin de eventos.
Justificacin 9
Justificacin 22
IEEE 802.11i
Justificacin 16
Estndar
EIA/TIA 568B
Justificacin 5
ITU X.805
Justificacin 23
IEEE 802.11e
Justificacin 25
ISO/IEC 8348:2002
Justificacin 18
Existen planes de
contingencia y continuidad
que garanticen el buen
funcionamiento de la red?
Libro 1
Gestin financiera
Libro 2
Gestin de la capacidad
ANSI/EIA/TIA-569
Justificacin 9
Norma EIA/TIA 568
Justificacin 8
Libro 2
Gestin de niveles de
servicio
ANSI/TIA/EIA-568B
Libro 3
Planificacin y soporte a
la transicin
IEEE 802.15.4
Libro 2
Gestin de la capacidad
Justificacin 5
Justificacin 27
ANSI/EIA/TIA-569
Justificacin 9
Libro 3
Planificacin y soporte a
la transicin
Los mensajes de
transmisin dentro de la
red cuentan con el origen,
fecha, hora y receptor
para tener un mejor
control de administracin
en la red?
Libro 2
Gestin del catlogo de
servicios
Justificacin 32
Libro 1
Gestin financiera
AES (Advanced
Encryption Standard)
La instalacin de tierra
fsica esta retirada al
menos 5 metros del
edificio?
Las terminaciones del
cableado (nodos) se
encuentran configuradas
conforme al estndar
T568-B?
Para un mejor servicio y
rendimiento de la red, el
Libro 1
Gestin financiera
Libro 3
Validacin y pruebas.
ISO 9001
Justificacin 28
SO/IEC 27004:2009
Justificacin 29
IEEE 802.2
Justification 33
ANSI/TIA/EIA-607
Justificacin 6
Libro 1
Gestin financiera
TIA/EIA-568-B
Justificacin 5
Libro 5
Proceso de mejora
TIA/EIA-568-B
cableado se encuentra
blindado?
En cuanto a las pruebas
del cableado, el
departamento de TI,
genera sus propios
ataques para probar
la solidez de la red y
encontrar posibles
fallas?
Cuentan con
administracin interna de
la red es decir, cuentan
con VLANs creadas en el
servidor para tener una
mayor administracin en
cada una de las oficinas
que se dedican a diferente
rubro?
Se utiliza un TBB
(Telecommunications
Bonding Backbone) para
reducir y/o igualar las
diferencias de potencia
entre los equipos de
diferentes voltajes
Si se cuenta con un TGB
El TBB cuenta con
dimetro mnimo de 6
AWG apegndose al
estndar ANSI/TIA/EIA
607?
Cuenta con un TGB
(Telecommunications
Grounding Busbar) como
punto central de conexin
a tierra?
La Capacitancia del
sistema de cableado no
excede 6.6 nF a 1 kHz
conforme lo marca el
estndar 607?
La Impedancia
caracterstica del sistema
de es de 100 ohm +/15% en el rango de
frecuencias de la
categora del cable como
lo marca el estndar 607?
continua SCI
Justificacin 5
Libro 5
TIA/EIA-568-B
Proceso de mejora
continua SCI
Justificacin 5
Libro 5
Informes de servicio TI
IEEE 802.11i
Justificacin 16
Libro 3
Validacin y pruebas.
ANSI/TIA/EIA-607
Justificacin 6
Libro 3
NORMA ANSI/TIA/EIA607
Validacin y pruebas.
Justificacin 6
Libro 3
Validacin y pruebas.
TIA/EIA-607-A
Justificacin 34
Libro 3
Validacin y pruebas.
NORMA ANSI/TIA/EIA607
Justificacin 6
Libro 2
ANSI/TIA/EIA 607
Gestin de la seguridad
de la Informacin
Justificacin 6
Libro 4
IEEE 802.11
Justificacin 22
Libro 2
IEEE 802.11
Gestin de la
Disponibilidad
Justificacin 22
Libro 2
IEEE 802.11g
Gestin de la
Disponibilidad
Justificacin 1
Libro 2
IEEE 802.11
Gestin de la seguridad
de la Informacin
Justificacin 22
Libro 2
IEEE 802.11
Gestin de la
Disponibilidad
Justificacin 22
Libro 2
ANSI/TIA/EIA-606
Gestin de la Capacidad
Justificacin 10
Libro 2
IEEE 802.2
transmisin confiable de
datos como lo establece el
estndar 802.2?
La red cuenta con una
norma establecida para la
estandarizacin de
medios?
En caso de que existan
redes implementadas con
fibra ptica estas van de
acuerdo al estndar
802.3?
Para la proteccin de
equipos de cmputo Se
toma en cuenta la norma
oficial mexicana NOM016-SCFI-1993 para la
prevencin de riesgos en
los equipos de
telecomunicaciones?
La red cuenta con los
requerimientos mnimos
para el cableado
localizado dentro del
ambiente de oficina, como
lo marca el estndar
ANSI/TIA/EIA 607?
El cableado
implementado sigue todos
los lineamientos de
acuerdo al
estndar ANSI/TIA/EIA606?
La red inalmbrica
proporciona velocidades
de transmisin de 54Mbps
en distancias cortas?
Se tiene plenamente
identificada cada estacin
de trabajo dentro de la
empresa?
Los servicios de
seguridad utilizados se
implementan de acuerdo
al estndar 802.10?
La administracin de la
infraestructura del edificio
para ampliacin de la red
va de acuerdo al estndar
ANSI/TIA/EIA-606-A-
Gestin de la
Disponibilidad
Justificacin 32
Libro 2
IEEE 802.1
Gestin de la capacidad
Justificacin 35
Libro 2
ANSI/TIA/EIA-568-B.3
Gestin de la
Disponibilidad
Justificacin 14
Libro 2
NOM-016-SCFI-1993
Gestin de la seguridad
de la Informacin
Justificacin 36
Libro 2
ANSI/TIA/EIA 607
Gestin de la Capacidad
Justificacin 6
Libro 2
ANSI/TIA/EIA 606
Gestin de la Capacidad
Justificacin 10
Libro 2
IEEE 802.11
Gestin de la Capacidad
Justificacin 22
Libro 2
IEEE 802.1
Gestin de la Capacidad
Justificacin 35
Libro 2
IEEE 802.10
Gestin de la Capacidad
Justificacin 39
Libro 2
ANSI/TIA/EIA-606-A-2002
Gestin de la Capacidad
Justificacin 40
2002?
Bibliografa
DNV GL. (s.f.). Sistema de Gestin de Seguridad de la Informacin. Obtenido
de DNV GL: http://www.dnvba.com/cl/certificacion/sistemas-degestion/Seguridad-de-la-Informacion/Pages/ISO-27001.aspx
Guerrero, D. (s.f.). Implementacin prctica de polticas de seguridad: La
S.G.T.I. del MEC. Obtenido de RED IRIS:
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html
Sistemasumma. (20 de 08 de 2013). Conceptos bsicos de seguridad de
redes. Obtenido de Sistemas UMMA:
http://sistemasumma.com/2013/08/20/conceptos-basicos-deseguridad-de-redes/