PROPUESTA DE SEGURIDAD

El activo ms importante en las organizaciones pblicas, privadas y de

cualquier ndole, es la informacin que tienen. Entre ms grande es la
organizacin ms grande es el inters de mantener la seguridad en la red,
por lo tanto, es de suma importancia el asegurar la seguridad de la
informacin.
La seguridad no es solamente el implementar usuarios y contraseas, es el
implementar polticas que garanticen la seguridad tanto fsica como lgica
de la informacin.
Dentro del entorno de la red se debe asegurar la privacidad de la
informacin y de proteger las operaciones de daos no intencionados como
deliberados.
Dentro de las redes inalmbricas el sentido de seguridad es ms sentido
debido a la naturaleza de las mismas. En sus inicios la seguridad en este
tipo de redes era muy deficiente y algunas personas de daban a la tarea de
encontrar redes inalmbricas para acceder a ellas desde las calles.
Un esquema de la infraestructura actual de la red se muestra a
continuacin:

ANALISIS DE RIESGOS Y VULNERABILIDADES

El anlisis de riesgos informticos es un proceso que comprende la
identificacin de activos informticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos as como su probabilidad de ocurrencia y el
impacto de las mismas, a fin de determinar los controles adecuados para
aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta frmula determinaremos su tratamiento y despus de
aplicar los controles podremos obtener el riesgo residual.

Actividades :

Identificacin de los activos.

Valoracin de los activos identificados, teniendo en cuenta los
requisitos de negocio identificados anteriormente, y el impacto de
una prdida de confidencialidad, integridad y disponibilidad.
Identificacin de las amenazas y vulnerabilidades importantes para
los activos identificados.
Evaluacin del riesgo, de las amenazas y las vulnerabilidades a
ocurrir.
Clculo del riesgo.
Evaluacin de los riesgos frente a una escala de riesgos
preestablecidos.
Despus de efectuar el anlisis debemos determinar las acciones a
tomar respecto a los riesgos residuales que se identificaron. Las
acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar
nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina
el riesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del
riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposicin es
adecuado y por lo tanto se acepta.

Una vez obtenida la lista de cada uno de los riesgos se efectuar un

resumen del tipo:
TIPO DE RIESGOS
ROBO HARDWARE (ataques fsicos)
ROBO DE INFORMACION (ataque internos, externos)
FUERZA BRUTA
FALLAS EN LOS EQUIPOS
VIRUS INFORMATICOS
EQUIVOCACIONES
ACCESOS NO AUTORIZADOS
FRAUDE

FACTOR
ALTO
ALTO
MEDIO
MEDIO
MEDIO
MEDIO
MEDIO
BAJO

Procedimiento

Seguridad en la infraestructura de comunicaciones

o Routers
o Switches
o Firewall
o Hubs
o RAS

Seguridad Fsica
o Control de acceso a los equipos.
Seguridad en la conexiones Internas
o VLANs
o ACLs
o Firewall
o Cifrado
Seguridad en las conexiones a Internet.
o Firewall
o VPN
o Deteccin de Intrusos
o Cifrado
Seguridad en Sistemas Operacionales.
Seguridad en aplicaciones.
o HTTP
o DNS
o DHCP

Amenzas y Acciones:
Deben existir tcnicas que la aseguren, ms all de la seguridad fsica que
se establezca sobre los equipos en los cuales se almacena. Estas tcnicas
las brinda la seguridad lgica que consiste en la aplicacin de barreras y
procedimientos que resguardan el acceso a los datos y solo permiten
acceder a ellos a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de proteccin o
ms (en la mayora de los casos es una combinacin de varios de ellos)

A continuacin se enumeran una serie de medidas que se consideran

bsicas para asegurar la red de la empresa:

EQUIPOS DE RED

Hay un par de preguntas que un administrador de red se puede hacer

para identificar el impacto que pueden tener en una infraestructura la
explotacin de diferentes vulnerabilidades en estos dispositivos activos.
A continuacin las propuestas:
Contraseas por omisin: Eliminar el uso de las contraseas
por Default que est en dispositivos (para este caso,
dispositivos CISCO). Siempre se recomienda el uso de
contraseas fuertes, esto significa que debemos usar en todas
nuestras autenticaciones palabras claves que no se encuentren
en ningn lado, en ningn lado significa que deben ser
palabras que usted no las encuentre escritas en ningn lado (ni
en fsico, ni en digital).

Controlar los Ataques de fuerza bruta: Si el dispositivo

permite cambiar el puerto de escucha del servicio, se debe
cambiar durante la configuracin, por ejemplo, por omisin
telnet usa el puerto 23, y todos los intrusos saben que ese
puerto se habilita cuando se tiene telnet configurado en el
dispositivo, podemos entonces usar el puerto 6784, 9837, o
cualquier otro que se encuentre disponible. Esto evitar que los
script kiddies que usan herramientas automatizadas
encuentren nuestros puertos.
Desactivar y evitar el uso de protocolos no seguros
tales como TELNET o HTTP: Telnet es un protocolo que nos
permite conectar por medio de una red a un equipo remoto y
administrarlo en modo consola (CLI). Uno de los principales
problemas de telnet es que el protocolo enva en texto plano
usuarios y contraseas por la red, permitindole a un intruso
conocerlas a travs de tcnicas de sniffing.
Proteger contra la denegacin de servicio (D.o.S): Una
denegacin de servicio ocurre cuando un elemento de nuestra
red, deja de prestar los servicios que tiene configurados y que
en teora debera prestar siempre. Qu podra lograr un
atacante causando una denegacin de servicio?, dejar sin
operacin un servicio?, desconectar usuarios?, acabar con
una infraestructura de red?. Todo eso es posible dependiendo
de cuan crticos sean los fallos que se exploten y de la
verdadera motivacin del atacante.
Listas de control de acceso (filtrado): La mayora de
dispositivos tienen funcionalidades de filtrado que permiten
seleccionar cuales paquetes estn permitidos y cuales no estn
permitidos. Las condiciones configuradas para seleccionar este
trfico se conocen generalmente como reglas de acceso o
reglas de control. Estas reglas estn definidas con base en
polticas de la organizacin y se aplican ya sea por medio de
interfaces grficas o desde la misma lnea de comandos de los
dispositivos.

Usando las caractersticas de logging del dispositivo podemos

visualizar en consola eventos no comunes o podemos almacenar
estos registros en un servidor SYSLOG independiente para estar
continuamente monitoreando las conexiones a los routers. En
general, la recomendacin es deshabilitar los servicios que no
se estn usando.
SEGURIDAD FISICA
Un router es un dispositivo electrnico que se debe mantener alejado
de cargas electroestticas, interferencia electromagntica, cambios
drsticos de alimentacin elctrica, adems de esto, estos
dispositivos deben operar en lugares con temperaturas y humedad
adecuada. Estas especificaciones siempre vienen en el material

impreso que se entrega en el momento de comprar los dispositivos.

Por lo general encontraremos los routers dentro de centros de
cableado adecuados y diseados para albergar todos los
componentes principales de una infraestructura de red, sin embargo
en algunas ocasiones los routers van a estar expuestos, por ejemplo
debajo de un escritorio o encima de un mesa en una oficina o en otro
lugar semi-pblico para el que no existe realmente un control de
acceso. (En este momento debera pensar donde se encuentran sus
equipos, estn asegurados contra un posible desastre?, estn
asegurados contra una posible intrusin fsica?).
Si un intruso informtico tiene la posibilidad de acceder
fsicamente a nuestro equipo informtico, entonces ya no es
nuestro equipo informtico.
SEGMENTACIN TRFICO DE LA RED

VLANS
Una VLAN, acrnimo de virtual LAN (red de rea local virtual), es un
mtodo para crear redes lgicas independientes dentro de una misma
red fsica. Varias VLAN pueden coexistir en un nico conmutador fsico
o en una nica red fsica. Son tiles para reducir el tamao del
dominio de difusin y ayudan en la administracin de la red,
separando segmentos lgicos de una red de rea local (los
departamentos de una empresa, por ejemplo) que no deberan
intercambiar datos usando la red local (aunque podran hacerlo a
travs de un enrutador o un conmutador de capa 3 y 4).
Vamos a empezar por marcarnos un objetivo: Evitar que usuarios no
autorizados (NA) accedan a mquinas con datos confidenciales
(SERVIDORES)

Para este caso especfico, se debe separar tanto el trfico por

seccin o reas y el de los servidores de la empresa. Tambin es
importante segmentar el trfico de acuerdo a los protocolos o el
tipo de trafico como por ejemplo separacin de VOZ y DATOS en
VLANs diferentes.

Utilizar tcnicas de desarrollo que cumplan con los criterios de seguridad al

uso para todo el software que se implante en los sistemas, partiendo de
estndares y de personal suficientemente formado y concienciado con la
seguridad.
Implantar medidas de seguridad fsicas: sistemas anti incendios, vigilancia
de los centros de proceso de datos, sistemas de proteccin contra
inundaciones, protecciones elctricas contra apagones y sobretensiones,
sistemas de control de accesos, etc.
Codificar la informacin: criptologa, criptografa y criptociencia. Esto se
debe realizar en todos aquellos trayectos por los que circule la informacin
que se quiere proteger, no solo en aquellos ms vulnerables. Por ejemplo, si
los datos de una base muy confidencial se han protegido con dos niveles de
firewall, se ha cifrado todo el trayecto entre los clientes y los servidores y
entre los propios servidores, se utilizan certificados y sin embargo se dejan
sin cifrar las impresiones enviadas a la impresora de red, tendramos un
punto de vulnerabilidad.
Contraseas difciles de averiguar que, por ejemplo, no puedan ser
deducidas a partir de los datos personales del individuo o por comparacin
con un diccionario, y que se cambien con la suficiente periodicidad. Las
contraseas, adems, deben tener la suficiente complejidad como para que
un atacante no pueda deducirla por medio de programas informticos. El
uso de certificados digitales mejora la seguridad frente al simple uso de
contraseas.
Vigilancia de red. Las redes transportan toda la informacin, por lo que
adems de ser el medio habitual de acceso de los atacantes, tambin son
un buen lugar para obtener la informacin sin tener que acceder a las
fuentes de la misma. Por la red no solo circula la informacin de ficheros
informticos como tal, tambin se transportan por ella: correo electrnico,

conversaciones telefnicas (VoIP), mensajera instantnea, navegacin por

Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger
la red es una de las principales tareas para evitar robo de informacin.
Existen medidas que abarcan desde la seguridad fsica de los puntos de
entrada hasta el control de equipos conectados, por ejemplo 802.1x. En el
caso de redes inalmbricas la posibilidad de vulnerar la seguridad es mayor
y deben adoptarse medidas adicionales.
Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso
fuertes entre los usuarios y servidores no pblicos y los equipos publicados.
De esta forma, las reglas ms dbiles solo permiten el acceso a ciertos
equipos y nunca a los datos, que quedarn tras dos niveles de seguridad.
Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de
intrusos - antispyware, antivirus, llaves para proteccin de software, etc.
Mantener los sistemas de informacin con las actualizaciones que ms
impacten en la seguridad.
Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten
mantener la informacin en dos ubicaciones de forma asncrona.
Controlar el acceso a la informacin por medio de permisos centralizados y
mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.).
Los medios para conseguirlo son:
Restringir el acceso (de personas de la organizacin y de las que no lo son)
a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar
los programas ni los archivos que no correspondan (sin una supervisin
minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por
el procedimiento elegido.
Asegurar que la informacin transmitida sea la misma que reciba el
destinatario al cual se ha enviado y que no le llegue a otro y que existan
sistemas y pasos de emergencia alternativos de transmisin entre
diferentes puntos.
Organizar a cada uno de los empleados por jerarqua informtica, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas
o aplicaciones empleadas.
Actualizar constantemente las contraseas de accesos a los sistemas de
cmputo, como se ha indicado ms arriba, e incluso utilizando programa
que ayuden a los usuarios a la gestin de la gran cantidad de contraseas
que tienen gestionar en los entornos actuales, conocidos habitualmente
como gestores de identidad.

Redundancia y descentralizacin.

BIBLIOGRAFIA
http://instituciones.sld.cu/dnspminsap/files/2013/10/Manual-de-Seguridadde-Redes.pdf
https://mgeseguridadinformatica.wordpress.com/paguina2/
https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://www.monografias.com/trabajos43/seguridad-redes/seguridadredes2.shtml
https://es.wikipedia.org/wiki/Seguridad_de_redes
http://www.javeriana.edu.co/biblos/tesis/ingenieria/tesis181.pdf
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico