Académique Documents
Professionnel Documents
Culture Documents
TESIS DE GRADO
Presentado por:
GUAYAQUIL ECUADOR
AO
2008
ii
AGRADECIMIENTO
A NUESTROS PADRES
TRIBUNAL DE GRADO
__________________________ ________________________
__________________________ ________________________
DECLARACIN EXPRESA
_______________________ _______________________
____________________________
RESUMEN
Este proyecto tiene como objetivo general implementar una red de datos y
eficaces y apropiados.
Costos / Beneficios.
proyecto.
vii
NDICE DE CAPTULOS
CAPTULO I: TECNOLOGAS.......................................................................1
CAPTULO II: ELABORACIN DE LAS POLTICAS DE SEGURIDAD...113
CAPTULO III: CASO DE ESTUDIO...........................................................142
CAPTULO IV: COSTOS..............................................................................187
viii
NDICE GENERAL
AGRADECIMIENTO.........................................................................................................................................................ii
TRIBUNAL DE GRADO.................................................................................................................................................iii
DECLARACIN EXPRESA...........................................................................................................................................iv
RESUMEN.......................................................................................................................................................................v
NDICE DE CAPTULOS...............................................................................................................................................vii
NDICE GENERAL.......................................................................................................................................................viii
ABREVIATURAS............................................................................................................................................................xi
NDICE DE FIGURAS....................................................................................................................................................xv
NDICE DE TABLAS...................................................................................................................................................xvii
CAPTULO I: TECNOLOGAS.............................................................................................................................1
2.1 DEFINICIN.........................................................................................................................114
2.2 CUMPLIMIENTO OBLIGATORIO...........................................................................................114
2.3 PARMETROS PARA ESTABLECER LAS POLTICAS DE SEGURIDAD...............................115
2.3.1 Identificacin de Amenazas.........................................................................115
2.3.2 Evaluacin de Riesgos.................................................................................116
2.3.3 Asignacin de Responsabilidades..............................................................118
2.4 POLTICAS DE SEGURIDAD BASADAS EN LA ISO 17799................................................119
2.4.1 Inventario de Activos....................................................................................119
2.4.2 Permetro de Seguridad Fsica....................................................................121
2.4.3 Controles de Seguridad Fsica....................................................................123
2.4.4 Ubicacin y Proteccin de Equipos............................................................124
2.4.5 Suministro de Energa..................................................................................125
2.4.6 Seguridad del Cableado...............................................................................127
2.4.7 Mantenimiento de los Equipos....................................................................128
2.4.8 Seguridad del Equipamiento fuera de la Organizacin.............................129
2.4.9 Reutilizacin o Eliminacin de Equipos.....................................................130
2.4.10 Ruta Forzosa.................................................................................................130
2.4.11 Autenticacin de Usuarios para Conexiones Externas.............................132
2.4.12 Autenticacin de Nodos...............................................................................134
2.4.13 Proteccin de Puertos de Diagnstico Remoto.........................................134
2.4.14 Subdivisin de Redes..................................................................................135
2.4.15 Control de Conexin a las Redes................................................................136
2.4.16 Control de Enrutamiento en la Red.............................................................137
2.4.17 Autenticacin de Mensajes..........................................................................137
2.4.18 Uso de Controles Criptogrficos................................................................138
CAPTULO III: CASO DE ESTUDIO...................................................................................................................142
ABREVIATURAS
A
ACK Acknowledgement
AES Advanced Encryption Standard
AH Cabecera de Autenticacin
ARP Address Resolution Protocol
ASA Adaptive Security Algorithm
ASCII American Standard Code for Information Interchange
ATM Asynchronous Transfer Mode
AVVIDArchitecture for Voice, Video and Integrated Data
B
BOOTP Bootstrap Protocol
C
CoS Class of Service
D
DDoS Distributed Denial of Service
DES Data Encryption Standard
DF Dont Fragment
DMZ Zona Desmilitarizada
DNS Domain Name System
DoS Denial of Service
Dst Destino
E
ESP Encapsulating Security Payload
EUI Extended Unique Identifier
F
FDDI Fiber Distributed Data Interface
xii
FIN Finalizacin
FOS Finesse Operating System
FTP File Transfer Protocol
H
HLEN Header Length
HMAC Hash Message Authentication Codes
HTTP Hyper Text Transfer Protocol
I
IETF Internet Engineering Task Force
ICMP Internet Control Message Protocol
IDEA International Data Encryption Algorithm
IDS Intrusion Detection System
IGMP Internet Group Management Protocol
IOS Internetwork Operating System
IP Internetwork Protocol
IPCOMP IP Payload Compression Protocol
IPng Internet Protocol Next Generation
IPsec Internet Protocol Security
IPv4 Protocolo Internet versin 4
IPv6 Protocolo Internet versin 6
ISN Nmeros de Secuencia Iniciales
ISS Internet Security Scanner
L
L2TP Layer 2 Tunneling Protocol
LAN Local Area Network
M
MAC Media Access Control
MD5 Message Digest Algorithm 5
MTU Maximum Transfer Unit
N
NAPT Network Address Port Translation
NAT Network Address Translation
NFS Network File System
O
OOB Out Of Band
P
PABX Private Automatic Brach Exchange
xiii
Q
QoS Calidad de Servicio
R
RARP Reverse Address Resolution Protocol
RC Recuperacin de Claves
RFC Request For Comments
RIP Routing Information Protocol
RMON Remote MONitoring
RSA Rivest Shamir Adleman
RST Reset
S
SA Security Associations
SAD Security Asocciation Databases
SC Siguiente Cabecera
SEP Procesamiento de cifrado Escalable
SHA Secure Hash Algorithm
SNA Systems Network Architecture
SNMP Simple Network Management Protocol
SMTP Simple Mail Transfer Protocol
SO Sistema Operativo
SPI Security Parameter Index
Src Source
SSH Secure SHell
SSL Secure Socket Layer
SYN Sincronizacin
T
TCP Transmission Control Protocol
TFTP Trivial File Transfer Protocol
TNI Translation Networks Inc
TOS Type Of Service
TTL Time To Live
TU TCP UDP ports
U
xiv
V
VLAN Virtual Local Area Network
VPN Virtual Private Network
VPN SSL Virtual Private Network SSL
W
WAN Wide Area Network
WLAN Wireless Local Area Network
WWW World Wide Web
xv
NDICE DE FIGURAS
NDICE DE TABLAS
CAPTULO I: TECNOLOGAS
2
1.1.1 Descripcin
juntar los paquetes, pedir los que faltan (en su caso) y finalmente ordenarlos,
Arquitectura TCP/IP.
Capa de Aplicacin
4
Capa de Transporte
confiable, asegurando que los datos lleguen sin errores y en secuencia. Para
debe recibir, as como una suma de verificacin para verificar que el paquete
Capa Internet
protocolo con el que manejar el paquete. Por ltimo, la capa Internet enva
la capa 1 y 2 del modelo OSI (con algunas funciones de la capa 3). Hay
muchos protocolos de acceso a la red (uno por cada estndar fsico de red) y
1.1.2 Protocolo IP
conectados a Internet.
7
fiabilidad que se necesite, deber ser realizada por las capas superiores
(TCP...).
network byte order (usando por ejemplo en los procesadores Intel), mientras
que la otra posibilidad se denomina byte endian (usado por ejemplo en los
IP versin 4.
Versin
La versin (4 bits), sirve para identificar a que versin especfica (RFC) hace
los routers [4] y capa IP de origen y final del datagrama. Esto permite la
9
Ipv4).
32 bits = 20 bytes).
Este campo est formado por 8 bits y especifica el nivel de importancia que
aplicacin.
valor es muy importante, ya que nos permite saber que tamao de memoria
de red (Ej. Datagrama de 32000 bytes enviado sobre una Ethernet, que tiene
trozos.
Identification Field
Banderas (Flags)
0.
Fragmentation Offset
posicin en bytes que ocupan los datos en el datagrama original. Slo tiene
Este campo tiene un mximo de 13 bits (2^13 = 8192, como nos indica el
fragmentos.
Time To Live
mximo que el datagrama ser vlido y podr ser transmitido por la red. Esto
Protocol
Header Checksum
control del flujo de los datagramas para asegurarse que estos lleguen
15
Qu es IPv6?
es una nueva versin del protocolo IP, Ha sido diseada por el IETF (Internet
actual, el IPv4. En esta versin se mantuvieron las funciones del IPv4 que
son utilizadas, las que no son utilizadas o se usan con poca frecuencia, se
Por qu surge?
momento.
respuesta.
Caractersticas principales
particular, que requieren manejo especial por los routers IPv6, tal
servicios.
18
bit, el doble que en la versin antigua. Sin embargo, esta nueva cabecera se
las extensiones. De esta manera los routers no tienen que procesar parte de
transmisin.
Tamao: 16 bits.
Las extensiones que permite aadir esta versin del protocolo se sitan
en la versin 4.
Datagrama IPv6
Direcciones en la versin 6
afectan a la versin 6 del protocolo IP, donde se han pasado de los 32 a los
los casos a 1.564 direcciones por cada metro cuadrado, y siendo optimistas
mayor peso de los que componen la direccin IPng son los que permiten
[8].
26
hubs, de tal manera que esto permite un control mas inteligente del trfico de
la red, ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y
trafico de la red ya que solo se transmiten los paquetes a los dispositivos que
estn incluidos dentro del dominio de cada VLAN, una mejor utilizacin del
27
trabajo.
que se utiliza para esta conexin, el VTP puede ser utilizado en todas las
lneas de conexin incluyendo ISL, IEEE 810.10. IEEE 810.1Q y ATM LANE.
Tipos de VLAN
Es en la que todos los nodos de una VLAN se conectan al mismo puerto del
switch.
b) VLAN Estticas
Por puerto
direccin MAC.
MAC VLAN
12.15.89.bb.1d.aa 1
12.15.89.bb.1d.aa 2
aa.15.89.b2.15.aa 2
1d.15.89.6b.6d.ca 2
12.aa.cc.bb.1d.aa 1
Por protocolo
la tabla 1.5.
Protocolo VLAN
IP 1
IPX 2
IPX 2
IPX 2
IP 1
29
Por direcciones IP
dispositivos.
en la red.
Si bien el concepto de VLAN se creo para las redes LAN, la necesidad llevo a
ampliar los horizontes con el crecimiento de las redes ATM. Para los
simular en una red ATM una VLAN. Por un lado una tecnologa orientada a
1.2.2 Filtrado IP
descartados.
entiende nada acerca de la aplicacin que utiliza las conexiones de red, slo
imagnese que usted quiere que los usuarios del 'World Wide Web' dentro de
direccin de origen.
Qu es NAT?
caractersticas:
Aplicacin
con los hosts que tengan direcciones invlidas y necesiten salida a Internet.
internas grandes, tambin puede darse el caso que el proveedor slo asigne
configuracin del router con NAT asocia adems de la direccin IP, un puerto
son una solucin factible para habilitar una conexin a Internet sin tener que
Operacin Bsica
Para que una red privada tenga acceso a Internet, el acceso debe ser por
conveniente es poner a un router para que los paquetes sean enviados hacia
para las mquinas entre una direccin privada de red y una direccin
el router NAT, los datos son modificados y llegan al servidor con los
mismo que en el anterior con las cabeceras de los paquetes que salen
NAT Tradicional
NAT Bsico
globalmente, cada direccin tiene garantizada una direccin global para ser
conjunto global.
fuera o para permitir acceso al host local desde hosts externos mediante una
Las direcciones dentro de la zona son locales para este dominio y no son
ser reusadas por alguna otra. Por ejemplo, una sola direccin de clase A
puede ser usada por muchas zonas. En cada punto de salida entre una zona
Internet.
39
Digamos, una organizacin tiene una red IP privada y una conexin WAN a
proveedor de servicio. Este modelo debe ser extendido para permitir acceso
TU de la direccin IP registrada.
destino como Dst estos paquetes son enviados al router NAT ubicado al
Los paquetes de regreso que sean enviados por el servidor Web, pasan por
usuarios.
1.2.4 Cortafuegos
proteccin.
La Figura 1.15 muestra como son usados los Firewalls en una Red de Datos.
44
Tipos de cortafuegos:
paquetes IP. A este nivel se pueden realizar filtros segn los distintos
controlada.
correos spam.
La VPN es una red IP privada y segura que pasa sobre otra red IP no segura
uno de una red privada. Las mquinas de las redes utilizan esos gateways
del otro extremo lo enva a travs de la VPN de modo seguro. El trfico solo
Qu es IPSec?
IPv6 y despus fue portado a IPv4. Los siguientes prrafos dan una pequea
IPsec slo maneja la carga del datagrama IP, insertndose la cabecera IPsec
posteriormente.
(IPCOMP).
repeticin.
cabecera AH.
51
contenido del paquete. Este campo est seguido de dos bytes reservados.
HMACs.
restriccin.
La Figura 1.19 muestra los campos de la cabecera ESP, los cuales son:
53
variable.
le presiden.
alguien) como autntico, es decir que reclama hecho por, o sobre la cosa son
sabe, algo que ste posee, y una caracterstica fsica del usuario o un acto
secreto si desean que la autenticacin sea fiable. Cuando una de las partes
55
habitual es que existan unos roles preestablecidos, con una entidad activa
Este esquema es muy frgil: basta con que una de las partes no mantenga la
contrasea en secreto para que toda la seguridad del modelo se pierda; por
esa persona puede autenticarse ante el sistema con xito con la identidad de
de alta seguridad tanto para almacenar datos como para realizar funciones
como para controles de acceso lgico a los hosts, y se integra fcilmente con
igual que sucede con una tarjeta de crdito normal). Como principal
como tarjeta invlida en una base de datos central, para que un potencial
caractersticas fsicas existe desde que existe el hombre y, sin darnos cuenta,
determinado recurso.
59
de los datos capturados con los guardados en una base de datos (que son
descontento entre los usuarios del sistema, pero una FAR elevada genera un
60
1.2.7 Criptografa
para cifrar y descifrar mensajes [17]. Las dos partes que se comunican han
hecho presentaba una gran desventaja: haba que enviar, aparte del
criptograma, la clave de cifrado del emisor al receptor, para que ste fuera
que al enviar el texto plano. De todos los sistemas de clave secreta, el nico
grupos de criptosistemas: por una parte tenemos los cifradores de flujo, que
son aquellos que pueden cifrar un slo bit de texto claro al mismo tiempo, y
62
por tanto su cifrado se produce bit a bit, y por otro lado tenemos los
Criptografa Asimtrica
guardarla de modo que nadie tenga acceso a ella. El remitente usa la clave
pblica del destinatario para cifrar el mensaje, y una vez cifrado, slo la clave
Es ms, esa misma clave pblica puede ser usada por cualquiera que desee
63
Como con los sistemas de cifrado simtricos buenos, con un buen sistema
del sistema, pero no se puede comparar el tamao del cifrado simtrico con
bits, el atacante debe probar hasta 281-1 claves para encontrar la clave
de trabajo para el atacante ser diferente dependiendo del cifrado que est
atacando. Mientras 128 bits son suficientes para cifrados simtricos, dada la
criptografa asimtrica es que se puede cifrar con una clave y descifrar con la
tiempo de proceso.
CCE puede ser ms rpida y usar claves ms cortas que los mtodos
equivalente.
La Criptografa Hbrida
clave pblica para compartir una clave para el cifrado simtrico. El mensaje
1.3 Amenazas
Qu es un Escaneo de Puertos?
pretende hallar qu servicios estn siendo ofrecidos por una red o servidor,
As por ejemplo, si recibe una respuesta del puerto 22 supondr que se trata
del servicio de SSH, aunque probablemente sea un servidor Web el que est
configurado [21].
puerta de una casa para ver si est abierta o no, pero permanece afuera de
como un ataque.
66
de Puertos:
TCP connect()
intentar establecer una conexin con cada uno de los puertos del host a
registros.
TCP SYN
Esta tcnica, tambin conocida como Half-open scan (es el escaneo medio
reciba el paquete SYN/ACK (es decir, estn completos dos de los tres pasos
del saludo en tres tiempos), no se responde con un paquete ACK como sera
68
este tipo de paquetes usan sockets TCP raw. Por tanto, solo el root puede
TCP FIN
El escaneo TCP FIN, tambin conocido como Stealth scan (se trata del
realizar el escaneo, se enva un paquete FIN al puerto del host destino que
Esto supone uno de los principales inconvenientes del escaneo TCP FIN, y
es que los puertos que nos figuran como abiertos, pueden estar en realidad
paquetes FIN, por lo que escanear un sistema de este tipo con SYN FIN nos
cerrados o silenciosos.
UDP scan
Esta tcnica, frente a las dems tcnicas orientadas a TCP, est orientada al
protocolo UDP y sus puertos. Aunque a priori parezca que los puertos UDP
fuentes del kernel) esta limitacin est fijada en unos 20 mensajes por
en 2 por segundo. Pero hay un sistema que, para variar, no hace mucho caso
ACK scan
silencioso. Esta tcnica es usada tambin para poder escanear hosts que
SYN).
realizar un FIN scan para determinar los puertos cerrados, y despus un ACK
Esta tcnica tambin es usada como variante del ping (ICMP echo) de toda
Null scan
La ventaja frente al escaneo FIN radica en que ciertos firewalls vigilan los
forma que el escaneo nulo podr realizarse all dnde el FIN no sera posible.
Xmas scan
FIN). En el caso del escaneo Xmas, se trata de un paquete con los flags FIN,
PSH, ACK y SYN e incluso algunas activan todos los flags). Podra decirse
Al igual que el escaneo Null, se usa bajo ciertas circunstancias en las que el
particularidades.
Este tipo de escaneo tiene una base parecida a los anteriormente citados
FIN, Null y Xmas, pero con la sustancial diferencia de que en este caso los
sido alterado, van hacia la mquina "burlada". Sin embargo hay dos mtodos
Routing (ruteo de origen) que permite definir la ruta que los paquetes
75
IP deben tomar. Esta ruta es una serie de rutas de direccin IP que los
paquetes deben seguir. Suficiente para que el cracker provea una ruta
mayor parte de las pilas TCP/IP rechazan los paquetes que usen esta
opcin.
enrutado. Se hace esto para enrutar los paquetes hacia un router que
controle el cracker.
Estas tcnicas son muy usadas: el ataque es llevado a cabo sin saber qu
paquetes son los que vienen del servidor objetivo. Blind Spoofing se usa
>> /.rhosts para mayores permisos de acceso. Para hacer esto ha de crear
un paquete con el flag TCP PSH (Push): los datos recibidos son
Spoofing.
77
de C burlada.
mecanismos de IP Spoofing.
llamado ataque DoS (de las siglas en ingls Denial of Service), es un ataque
78
vctima.
mquina [24].
que permiten el envo de paquetes sin requisitos previos: ICMP Flood y UDP
Flood [25].
ECHO REPLY).
Con esta peticin fraudulenta, se consigue que todas las mquinas de la red
conseguido.
especiales especificadas.
bytes.
desplazamiento relativo.
datagrama con una longitud de 65510 bytes (correcto, puesto que es inferior
a 65507 bytes):
Obtenemos que el tamao es inferior a los 65535 con lo que los datos a
65538!!!!!
Sin embargo debido a la cabecera ICMP el espacio disponible tan slo era de
ciertos tipos de paquetes ICMP, como los de la familia unreachable, para que
Este tipo de ataque se basa en falsear la direccin y puerto origen para que
sean las mismas que la del destino. De esta forma, se envan al ordenador
los sistemas operativos hace que muchas veces este sencillo ataque consiga
autenticacin previo.
como Man in the middle attack, ya que el atacante debe situarse entre el
middle attack".
y los datos, pero no informacin de TCP (cabecera TCP). A travs del campo
datos del segundo fragmento, contiene el resto de la cabecera TCP tras los 8
Este ataque afecta a los sistemas que utilizan el protocolo NetBIOS sobre
los puertos UDP 137, 138 y 139. El envo de un paquete urgente (bit
datagramas UDP a estos puertos, que al intentar ser enviados a las capas
Existe una pgina Web que permite probar la eficacia de este ataque contra
tcnica antigua, por lo que no funciona en los sistemas modernos, y para ser
denominada Smurfing.
90
Existen variantes de teardrop en las que el paquete enviado tiene el flag SYN
bonk.c.
91
Es muy importante ser consciente que por ms que nuestra empresa sea la
misma.
datos.
92
inundaciones.
integrado para los switches Catalyst de Cisco, los equipos de seguridad PIX
construido por una empresa llamada TNI "Translation Networks Inc.", hasta
que fue adquirida por Cisco, y en 1994 salio al mercado como el primer
con las Access lists mejoradas, sino que fue especialmente diseado y
embebido que evita los bugs de SO's para propsitos generales; el ASA
autenticar a los usuarios con el PIX utilizando ftp, telnet o http; la opcin de
501, 506E, 515E, 525 y 535. El 501 para uso hogareo, los 515E, 525 y 535
dos gamas.
Todos estos modelos conservan el gran poder del PIX y su mayor diferencia
opcin excepcional para los negocios que requieran una solucin rentable de
10/100 de Fast Ethernet hacindote una opcin excelente para los negocios
que requieren una solucin rentable [33]. La figura 1.28 muestra el dispositivo
opcin ideal para los negocios que requieren un alto rendimiento [34]. La
Fast Ethernet o 9 interfaces Gigabit Ethernet haciendo una opcin ideal para
permite a la vez la terminacin de tneles VPN con IPSec y SSL para lograr
100
for Voice, Video and Integrated Data). A su vez, la serie Catalyst 4500
forma, los clientes pueden hacer converger y controlar mejor los datos IP
Los servidores Sun Fire V60x y V65x son las nuevas opciones que la
estndar, los servidores Sun Fire V60x y V65x ofrecen la flexibilidad que
Estos equipos vienen con dos microprocesadores Intel Xeon a 3,06 GHz,
hasta 12 GB de memoria RAM, hasta seis ranuras PCI-X a 100 MHz, bus del
sistema a 533 MHz y conectividad Gigabit Ethernet dual. El servidor Sun Fire
Solaris Flash del sistema operativo Solaris 9 OS para x86, los servidores Sun
Fire V60x y V65x evitan el largo tiempo que se sola perder con los perodos,
Para quienes no ejecutan una red Solaris, los servidores Sun Fire V60x o
V65x con Red Hat Enterprise Linux podran ser una buena opcin. Al ofrecer
pueden integrar a la perfeccin con los servidores Sun Fire V60x y V65x. Red
servidores Sun Fire V60x y V65x, entre las que se incluye la agrupacin en
cluster.
105
1.4.2.1 Ethereal
una red u obtener la informacin a partir de una captura en disco (puede leer
mundo [39].
Protocolos Soportados
802.11, 802.11 MGT, 802.11w, AARP, AFP, AFS, AFS (RX), AH, AIM, AODV,
AODV ARP/RARP, ARP, ASAP, ASP, ATM, ATM LANE, ATP, AppleTalk, Auto-
DIAMETER, DLSw, DNS, DSI, DSI DVMRP, DVMRP, Data, Diameter, EAP,
EAP/ EAPOL, EAPOL, EIGRP, EPM, ESIS, ESP, Ethernet, FDDI, FR, FTP,
106
GTPv1, GVRP, Gryphon, H.261, H1, HCLNFSD, HMIPv6, HSRP, HTTP, IAPP,
IAPP ICAP, ICMP, ICMPv6, ICP, ICQ, IEEE 802.11, IEEE spanning tree,
IGMP, IGRP, ILMI, IMAP, IP, IPComp, IPP, IPX, IPX MSG, IPX RIP, IPX SAP,
IPv6, IRC, IS-IS, ISAKMP, ISIS, ISL, ISUP, IUA, KLM, KRB5, L2TP, LANMAN,
LAPB, LAPBETHER LAPD, LAPD, LDAP, LDP, LLAP, LLC, LMI, LMP, LPD,
LSA, Lucent/Ascend, M2PA, M2TP, M2UA, M3UA, MAPI MGCP, MGMT, MIP,
NDMP, NETLOGON, NFS, NFSACL NFSAUTH, NIS+, NIS+ CB, NLM, NMPI,
NNTP, NTP, NetBIOS, New dissectors include DHCPv6, Null, ONC RPC,
OSPF, OXID, PCNFSD, PFLOG, PGM PIM, PIM, POP, PPP, PPP BACP, PPP
BAP, PPP CBCP, PPP CCP, PPP CHAP, PPP Comp, PPP IPCP, PPP LCP,
PPP MP PPP PAP, PPP PPPMux, PPP PPPMuxCP, PPP VJ, PPPoED,
RIPng, RPC, RPC RQUOTA, RSH, RSTAT, RSVP, RTCP, RTMP, RTP, RTSP,
RWALL, RX, Raw, Raw IP, Rlogin, SADMIND, SAMR, SAMR SAP, SCCP,
SCSI, SCTP, SDB, SDP, SIP, SKINNY, SLARP, SLL, SMB, SMB Mailslot,
SMB Pipe, SMB/CIFS, SMPP, SMTP, SMUX SNA, SNA over Ethernet and
SPRAY, SPX, SRVLOC, SRVSVC, SSCOP, SSL, STAT, STAT-CB, STP SUA,
107
TIME, TNS, TPKT, TR MAC, TSP, TSP Token-Ring, UCP, UDP, V.120, VJ,
VLAN, VRRP, VTP, Vines, Vines FRP, Vines SPP, WCCP, WCP, WHO
WKSSVC, WSP, WTLS, WTP, WebDAV (HTTP), X.25, X11, XDMCP, XOT,
iSCSI/SCSI, ypbind.
captura.
108
1.4.2.2 Observer
herramientas.
110
redes:
(>500).
problemas.
central.
1.4.2.3 Netlog
Tcplogger.
Udplogger.
Icmplogger.
112
1.4.2.3.1 Tcplogger
Este programa escucha todos los servicios sobre TCP, dejando una traza de
1.4.2.3.2 Udplogger
Es semejante al anterior, pero para los servicios sobre UDP. Los archivos que
generan estas dos herramientas pueden ser tiles tambin para detectar
consecutiva.
1.4.2.3.3 Icmplogger
desde una red concreta, los intentos de conexin a puertos especficos, etc.
113
2.1 Definicin
y procedimientos manuales.
debe ser considerado como una condicin en los contratos del personal.
no cumplimiento de la poltica.
115
Seguridad
asignacin de responsabilidades.
infraestructura existente.
empresa y que pueden ser muy costosas porque el infractor tiene mayor
116
acceso y perspicacia para saber las partes mas sensibles e importantes. Las
Internet por parte de los empleados, as como los problemas que podran
Internet.
reas vulnerables.
Prdida potencial.
personal:
Gerente Propietario.
Gerente de Sistemas.
Pblicas.
materia de seguridad.
17799
revisiones, sin embargo la nica que hace referencia a buenas prcticas para
siguientes:
acondicionado.
provista.
permetro de seguridad es algo delimitado por una barrera, por ejemplo: una
segn corresponda:
externas del rea deben ser de construccin slida y todas las puertas
personal autorizado.
inundacin.
procedimientos de emergencia.
mantenerse una pista protegida que permita auditar todos los accesos.
identificacin visible.
124
siguientes puntos:
Los tems que requieren proteccin especial deben ser aislados para
ambientes industriales.
raso o en pisos por debajo del nivel del suelo o una explosin en la
calle.
suministro de energa.
126
Generador de respaldo.
acciones que han de emprenderse ante una falla de la UPS. Los equipos de
proteccin alternativa.
siguientes lineamientos:
Se debe cumplir con todos los requisitos impuestos por las plizas de
seguro.
129
Organizacin
controlados para asegurar que todos los datos sensitivos y el software bajo
los servicios del computador, a los cuales sus usuarios estn autorizados a
Externas
cuales brindan un mayor nivel de proteccin que otros, por ejemplo los
autentica a los usuarios que intentan establecer una conexin con una red de
con una herramienta de diagnostico remoto por discado, para uso de los
requiere acceso.
instalacin de una compuerta (gateway) segura entre las dos redes que han
los dominios. Este gateway debe ser configurado para filtrar el trfico entre
aplicarse restricciones:
a) Correo electrnico.
d) Acceso interactivo.
til para aislar redes y evitar que las rutas se propaguen desde una
software.
puesta en prctica.
criptogrficas son adecuadas, que tipo de medida se debera aplicar, con que
para maximizar los beneficios y minimizar los riesgos del uso de dichas
Cifrado
aplican a distintas partes del mundo para el uso de las tcnicas criptogrficas
criptogrfica.
consultores legales sobre las leyes y regulacin aplicables al uso previsto del
cifrado en la organizacin.
Firmas Digitales
ha sido cambiado.
141
claves interrelacionadas, una para crear la firma (clave privada) y otra para
para las firmas deberan ser distintas de las usadas para cifrado.
que describe las condiciones en las que una firma digital tiene validez legal.
contratos u otros acuerdos con validez legal para dar soporte al uso de las
Red de Transporte.
Core IP.
Red de servidores.
fijar para los cliente es de hasta 1000 Mbps full duplex. La capacidad de
cobre. Esta consta de un nodo CISCO 5000 de capa dos y tres de diseo
El Core IP consta del Cisco Catalyst 4503 de diseo modular, la nica tarjeta
esta red.
148
muestra en el Anexo I.
Tiempo: 1 semana
Propietario.
149
Nivel de importancia.
Ubicacin.
Cdigo de identificacin.
Cabe resaltar que las puertas principales del edificio, la puerta del
Tiempo: 3 das
puerta principal del edificio: uno para la entrada y otro para la salida, cuyo
Tiempo: 3 das
8 lectores.
debe pasar por la puerta de la garita, donde el guardia asignado solicita a los
muestra en el Anexo D.
de cada tarjeta. Cuando la persona desee salir por la puerta principal, tiene
emergencia.
detalla en el Anexo E.
semana.
154
de sus equipos:
Una sala para C.C.T.V. que consta de: ocho cmaras de TV. Un
Grabador digital DVR, 18 canales, 500 GB, hasta 450 IPS, con
DB18C3025R2.
mantenerse las 24 horas del da, los 365 das del ao, y que sean
aproximadamente entre los 17C y los 21C (entre los 64F y los 75F)
hilos de cobre que estn dentro de los UTP y de los STP. Esta corrosin
Tiempo: 3 das
informtica.
156
Suministro de Energa
8 horas ininterrumpidas.
Tiempo: 2 das
157
Descripcin: Se revis la capacidad del UPS, es decir si los KVA son los
que estos consumen. Cabe mencionar que se toma como factor de potencia
Tiempo: 7 das
tipos de fijadores disponibles (figura 3.12), como los ganchos J (figura 3.13)
158
ordenada. Debe haber como mnimo dos soportes verticales y uno horizontal.
una manguera metlica hasta llegar al suelo donde ser enterrada a una
de 3 metros.
Instalacin de tres Racks con puerta cada uno de 84" x 44UR x 1m.
160
Tiempo: 1 da
el proveedor.
deber solicitar los debidos permisos por escrito indicando el posible tiempo
Tiempo: 1 da
Tiempo: 1 semana
163
Tiempo: 7 das
cuyo acceso externo puede ser innecesario. NFS, FTP, HTTP, DNS,
SMTP, TFTP adems los puertos 137, 138, 139, entre otros.
TELNET.
3. Bloqueo de todos los puertos que puedan indicar una probabilidad alta
ICMP, Traceroute.
Creacin de la zona DMZ para ubicar los servidores SMTP, DNS y HTTP
entre otros estn permitidos nicamente para los hosts de las reas de
autenticacin.
Servidores
switchport port-security
167
terminales. Adems se asocio los puertos a cada una de las VLANs. Estas
son:
Vlan 1 ADMIN
Vlan 2 ACCESO1
Vlan 3 ACCESO2
Vlan 4 INTRANET
Vlan 5 SERVERS
listas de control de acceso en las interfaces del nodo CISCO 5000 estas son:
3. Todas las conexiones tales como: TFTP, SSH, IPSec entre otras,
tcnico.
169
siguientes:
siguientes:
Monitoreo de red.
organizacin.
organizacin.
seguridad fsica.
en la empresa.
operaciones.
rea de Sistemas
responsabilidades son:
Usuarios
que utilizan los activos fsicos de la empresa como parte de su trabajo diario
sistemas.
Propietarios de Equipos
Los propietarios de los equipos son los gerentes y jefes de las unidades de
de los riegos de tal forma que sea posible tomar decisiones para disminuir los
mismos.
tienen:
cargo.
174
producto.
Auditoria Interna
Una estrecha relacin del rea de auditoria interna con el rea de seguridad
tanto dentro del plan anual de evaluacin del rea de auditoria interna se
por la empresa.
Gerente de Sistemas.
Auditor interno.
de la Informacin
176
emplear mtodos como afiches, llaveros, mensajes de log-in, etc., los cuales
seguridad de la informacin.
debe ser entregado nuevamente a cada empleado y una copia firmada debe
ser guardada en sus archivos. El personal de terceros debe recibir una copia
servicios de terceros.
177
Tiempo: 5 semanas
Etapas:
actualizaciones.
usuario.
empresa.
TOOLKIT [44].
Una vez identificados los puntos de acceso para los intrusos. Se proceder a
respectivamente.
3.21.2).
182
esta informacin sea enviada a la mquina de control. Esto esta fuera del
alcance de nuestro tema ya que tiene que ver con la parte de software.
todos los accesos que posean ellos sobre cada uno de los sistemas. Este
Etapas
respectivas.
Etapas
contratos.
3.3.5 Revisiones
empresa.
telecomunicaciones.
de intrusos.
de red.
proveedores, etc)
187
En esta seccin se detallan solamente los costos para implementar cada una
- Inventario de Activos
Activos
Seguridad Fsica
Valor
Descripcin Marca /Modelo Cantidad Subtotal
Unitario
En la tabla 4.3 se detallan los costos de las tarjetas de proximidad, las cuales
Seguridad Fsica
Valor
Marca /Modelo Cantidad Subtotal
Descripcin Unitario
Tarjetas de proximidad PX4H 25 $ 9.50 $ 237.50
TOTAL $ 237.50
190
Proteccin de Equipos
Valor
Descripcin Marca /Modelo Cantidad Subtotal
Unitario
Luz estroboscpica
con sirena incluida
NOTIFIER NSA-
17/75 dB para 3 $ 95.60 $ 286.80
24MCLU-FR
montaje en
tumbado y/o pared
Detector de Humo,
direccionable,
inteligente, NOTIFIER FSP-
8 $ 104.74 $ 837.92
fotoelctrico, dos 851
hilos. Incluye base
de montaje.
Detector trmico,
rapidez de
incremento de
temperatura y
NOTIFIER FSP-
fotoelctrico, 1 $ 110.83 $ 110.83
851T
direccionable,
inteligente, 2 hilos.
Incluye base de
montaje.
Extintores PQS de
MTZ-7 1 $ 32.00 $ 32.00
10 lbs
Extintores PQS de
MTZ-7 2 $ 44.00 $ 88.00
20 lbs
Punto de
instalacin de
9 $ 20.00 $ 180.00
detectores de humo
y trmicos
191
Punto de
instalacin luces
3 $ 20.00 $ 60.00
estroboscpica con
sirena
TOTAL $ 1,595.00
- Suministro de Energa
Energa
Cableado
TOTAL $ 3,400.92
los Equipos
Muequeras
5 $ 17.00 $ 85.00
electrostticas
Alfombras
12 $ 30.00 $ 360.00
electrostticas
TOTAL $ 445.00
193
TOTAL $ 165.00
Comunicaciones
Costo de configuracin de
2 $ 800.00 $ 1,600.00
seguridad de los equipos
TOTAL $ 23,019.83
194
que pueden atacar las vulnerabilidades que estos presentan con los
FIBERNET
Descripcin Subtotal
Inventario de Activos $ 800.00
Permetro de Seguridad Fsica $ 3,417.03
Controles de Seguridad Fsica $ 237.50
Ubicacin y Proteccin de Equipos $ 1,595.00
Suministro de Energa $ 800.00
Seguridad del Cableado $ 3,400.92
Mantenimiento de los Equipos $ 445.00
Seguridad del equipamiento fuera de la organizacin $ 165.00
Seguridad de Red y Comunicaciones $ 23,019.83
TOTAL $ 33,875.25
referenciales, que miden las prdidas anuales que provienen de los ataques
rama.
196
Promedio
Tipo de Ataque Suma Prdidas
Prdidas
Contaminacin por Virus $ 15,691,460.00 $ 50,132.46
Acceso no autorizado a la
informacin $ 10,617,000.00 $ 33,920.13
Robo de Computadora y hardware
porttil $ 6,642,660.00 $ 21,222.56
Robo de informacin $ 6,034,000.00 $ 19,277.96
Denegacin de Servicio $ 2,922,010.00 $ 9,335.50
Fraude Financiero $ 2,556,900.00 $ 8,169.01
Abuso interno de la red o email $ 1,849,810.00 $ 5,909.94
Fraude de Telecomunicaciones $ 1,262,410.00 $ 4,033.26
Programas(zombies)dentro de la
organizacin $ 923,700.00 $ 2,951.12
Penetracin al sistema externa $ 758,000.00 $ 2,421.73
Abuso de mensajera instantnea $ 647,510.00 $ 2,068.72
Abuso de las aplicaciones Web
pblicas $ 291,510.00 $ 931.34
Sabotaje de datos o redes $ 260,000.00 $ 830.67
Afectar imagen sitio Web $ 162,500.00 $ 519.17
Robo de contraseas $ 161,210.00 $ 515.05
Explotacin del Servidor DNS $ 90,100.00 $ 287.86
Otras $ 885,000.00 $ 2,827.48
TOTAL $ 51,755,780.00 $ 165,353.93
197
seguridad informtica.
198
CONCLUSIONES Y RECOMENDACIONES
199
informacin.
caractersticas:
Debe basarse en las razones que tiene la empresa para proteger sus
activos.
Debe tener en cuenta los aportes hechos por las personas afectadas
por la poltica.
poltica.
200
Redactar una poltica para la seguridad de los activos puede ser sencillo
tiempo para crear y adoptar una poltica de seguridad, a menos que un lder
escuchar, para que pueda articular y aclarar las inquietudes y temores de las
este caso estudio, eso depender del enfoque adoptado por la organizacin
ANEXOS
203
MEDIDA DE SEGURIDAD
AMENAZAS IMPLICANCIA DE SEGURIDAD
APLICADA
Estndares de seguridad para
servidores.
Verificacin de la informacin
impresa en reportes, evitar
mostrar informacin innecesaria.
Estndares de seguridad para
La actividad vandlica realizada por servidores.
hackers o crackers de sistemas,
puede afectar la disponibilidad, Delimitacin de responsabilidades
integridad y confidencialidad de los y sanciones en los contratos con
sistemas informticos del negocio. proveedores de servicios.
Estos actos pueden ser
Acceso no autorizado a desarrollados por personal interno o Verificacin de evaluaciones
los sistemas por hackers externo a la empresa. peridicas de la seguridad de los
o crackers. sistemas involucrados.
Adicionalmente si dichas actividades
es realizada contra equipos que Concientizacin y compromiso
proveen servicios a los clientes formal de los usuarios en temas
(pgina web), la reputacin de la relacionados a la seguridad
empresa se podra ver afectada en informtica.
un grado muy importante.
Polticas de Seguridad.
Adecuada arquitectura e
implementacin del sistema
antivirus.
El riesgo de prdida por virus
Interrupcin de los informtico es alto si no se Verificacin peridica de la
Sistemas informticos administra adecuadamente el actualizacin del antivirus de
producto de infeccin por sistema de Antivirus y los usuarios computadoras personales y
virus. no han sido concientizados en servidores.
seguridad de informacin.
Generacin peridica de reportes
virus detectados y actualizacin de
antivirus.
204
capacitacin y orientacin en
seguridad de informacin.
Implementacin y administracin
de herramientas de inspeccin de
trfico de red.
Monitoreo peridico de la
actividad, mediante el anlisis de
de los registros (logs) de los
sistemas.
207
Concientizacin y entrenamiento
del personal en temas de
Acceso no autorizado por parte del seguridad.
personal de la empresa y/o terceros.
Estndares de mejores prcticas
Computadoras Acceso no autorizado a la de seguridad para estaciones de
Personales informacin. trabajo.
Marca / Nivel
Imagen Descripcin Ubicacin Cdigo Propietario N
Modelo Riesgo
Dispositivo red
Acceso
28
Et
48 puertos
disp
Ethernet
Catalyst
10/100/1000 -
3560G-48PS
TR - Rack B Acceso 1 FIBERNET Medio 2 pu
PoE.
disp
4 puertos SFP-
Gigabit
Ethernet.
Dispositivo red
Acceso
18
48 puertos Et
Ethernet disp
Catalyst
10/100/1000 -
3560G-48PS
TR - Rack B Acceso 2 FIBERNET Medio
PoE. 2 pu
disp
4 puertos SFP-
Gigabit
Ethernet.
Dispositivo red
Servidores
45
48 puertos
Et
Ethernet
Catalyst disp
10/100/1000 -
3560G-48PS
TR - Rack A Servidores FIBERNET Medio
PoE.
3 pu
disp
4 puertos SFP-
Gigabit
Ethernet.
Dispositivo
Intranet
48 puertos
Ethernet 36
10/100/1000 - Et
Catalyst 2950
PoE. - 48TC
TR - Rack A Intranet FIBERNET Medio disp
4 puertos SFP- 3 pu
Gigabit disp
Ethernet.
211
Marca / Nivel
Imagen Descripcin Ubicacin Cdigo Propietario N
Modelo Riesgo
Dispositivo red 18
Core IP Catalyst 4503 E
- dis
48 puertos SFP WS-X4448-
TR - Rack A Core IP FIBERNET Alto
Gigabit GB-LX 2
Ethernet
dis
Firewall
Cisco ASA
8 puertos 5550
TR - Rack B FIBERNET Alto
Gigabit
Ethernet
SERVER HP
3
Servidor DNS ML 110T04 TR - Rack A DNS FIBERNET Medio 16
PD925
SERVER HP
Servidor TFTP ML115T01
TR - Rack A TFTP FIBERNET Bajo OP
Servidor SERVER HP
ML115T01
TR - Rack B MULTITASK FIBERNET Bajo OP
Multitarea
212
Marca / Nivel
Imagen Descripcin Ubicacin Cdigo Propietario N
Modelo Riesgo
C
SERVER HP G
Servidor NAS DC5800
TR - Rack B NAS FIBERNET Medio
C
Mquina G
HP DV670b TR - Rack B MAQCON1 FIBERNET Bajo
Control
C
Mquina G
HP DV670b TR - Rack B MAQCON2 FIBERNET Bajo
Control
Empresa:
Tipo de Servicio: Improductivo
Instalacin
Mantenimiento
Garanta
Interno
Reparacin
Equipo(s):
Mano de Obra:
Fecha
Da Mes Ao
Lunes
Martes
Mircoles
Jueves
Viernes
Sbado
Domingo
Desde Hasta Total
H M H M H M
1.- Objetivo
2.- Introduccin
El PIX analiza y registra las conexiones entrantes y salientes implementando NAT. Con esta
tcnica, al PIX se le permite en todo momento tener control de las conexiones establecidas y
rechazar conexiones no permitidas.
Adems, los PIX permiten la configuracin de listas de acceso, de forma similar a los routers.
En el caso de tener configuradas listas de acceso, el PIX ignora los niveles de seguridad
preestablecidos entre zonas, para el trfico comprobado por las listas de acceso.
Adems, estas listas de acceso se pueden crear de forma transparente al usuario, es decir
los PIX implementan un mecanismo automtico de listas de acceso para permitir trfico de
entrada cuando se genera trfico de salida, acorde con los patrones del trfico de salida, es
decir que si generamos conexiones http de salida, no podemos tener trfico ftp de entrada.
Por tanto una vez permitido el trfico de vuelta, puede pasar sin problema de un nivel de
menor seguridad a uno de mayor. Este mecanismo se implementa de forma automtica en
los PIX y se conoce como CBACs Context Based Access. Este mecanismo propietario de
Cisco Systems slo funciona en caso de establecimiento de conexiones y/o
pseudoconexiones, como TCP/UDP respectivamente, pero no para ICMP. Por tanto, si
generemos trfico TCP/UDP por ejemplo de inside a outside, CBACs de forma automtica
crea y/o genera permisos (como listas de acceso temporales), para permitir trfico de
outside a inside, respetando que el trfico sea asociado a la misma conexin.
En primer lugar comprobar la conectividad fsica del esquema tal como se indica en la figura
1.
Los equipos que la componen son un router genrico de Cisco Systems y un cortafuegos
PIX modelo 515E. Las interfaces del firewall son iguales que la de los routers, por tanto
conectar directamente el host o servidor al PIX por una interfaz Ethernet utilizando cable
UTP-5 cruzado.
El servidor web 172.26.26.1 es un servidor virtual que configuraremos en el router.
Una vez que ha arrancado el router debe aparecer el prompt Router>; teclear el comando
enable para pasar a modo Privilegiado. En caso de que pida una password consultar al
profesor.
Una vez en modo Privilegiado entraremos en modo Configuracin Global para introducir la
configuracin que corresponde al router:
222
Router>enable
Router#configure terminal
Router(config)#hostname BORDER
BORDER(config)#ip http server
BORDER(config)#interface fastethernet 0
BORDER(config-if)#ip address 192.168.1.2 255.255.255.0
BORDER(config-if)#no shutdown
BORDER(config-if)#exit
BORDER(config)#interface loopback 0
BORDER(config-if)#ip address 172.26.26.1 255.255.255.0
BORDER(config-if)#no shutdown
BORDER(config-if)#exit
BORDER(config)#line vty 0 4
BORDER(config-line)#password cisco
BORDER(config-line)#exit
Configuracin de HOST/SERVIDOR
Para configurar el host y servidor debemos conectarlos en cada una de las interfaces del
firewall y asignar una IP y ruta por defecto. La configuracin es:
Insidehost
Mscara: 255.255.255.0
Servidor FTP
Mscara: 255.255.255.0
Los comandos del PIX guardan mucha relacin con los comandos del router y por tanto nos
resultarn bastante familiares.
pixfirewall>enable
223
__________________________________________________________________________
__________________________________________________________________________
Qu versin de PIX se est ejecutando?Qu direcciones MAC disponen las interfaces del
PIX?Qu versiones de VPN dispone en la licencia instalada?
__________________________________________________________________________
__________________________________________________________________________
Qu utilizacin tiene la CPU? Una utilizacin alto puede suponer prdida de paquetes y
adems el PIX se puede
convertir en el cuello de botella.
__________________________________________________________________________
__________________________________________________________________________
Configuramos las interfaces, fijamos la velocidad y modo de transmisin 100 Mbps full
duplex, para que no se presente problemas a nivel fsico en la auto negociacin:
pixfirewall#configure terminal
PIX(config)# hostname PIX
PIX(config)# interface e0
PIX(config-if)# nameif inside
PIX(config-if)# 100full
PIX(config-if)# ip address inside 10.0.1.1 255.255.255.0
PIX(config-if)# no shutdown
PIX(config)# interface e1
PIX(config-if)# nameif outside
PIX(config-if)# 100full
PIX(config-if)# ip address outside 192.168.1.1 255.255.255.0
PIX(config-if)# no shutdown
PIX(config)# interface e2
PIX(config-if)# nameif dmz
PIX(config-if)# 100full
PIX(config-if)# ip address dmz 172.16.1.1 255.255.255.0
PIX(config-if)# no shutdown
224
Asignamos niveles de seguridad a cada una de las interfaces, con el comando security level:
Inside
PIX(config)# interface e0
PIX(config-if)# security level 100
Outside
PIX(config)# interface e1
PIX(config-if)# security level 0
Dmz
PIX(config)# interface e2
PIX(config-if)# security level 50
Finalmente para que el PIX pueda encaminar dado que tambin hace funciones de router,
configuramos una ruta esttica por defecto al router BORDER con coste 1
Ahora comprobamos la conectividad IP, desde todos los dispositivos hacia todos los
dispositivos. Si existe conectividad colocamos OK si no NO.
Comentarlosresultadosobtenidosyjustificar.
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Una vez configuradas las interfaces, vamos a habilitar la comunicacin entra las diferentes
zonas: inside, dmz,outside, segn sus niveles de seguridad 100, 50 y 0 respectivamente. La
regla que aplica el PIX es: no se puede pasar de nivel de seguridad menor a uno mayor.
Adems, para poder establecer la comunicacin, el PIX debe poder realizar registro de las
conexiones y para ello utiliza NAT. La configuracin de NAT conlleva siempre la
configuracin de 2 comandos, nat que se asocia a la interfaz de entrada indicando qu IP
interna entra en el NAT y global que se asocia a la interfaz de salida donde se especifica la
IP (o IPs) externa. Es decir, estos comandos especifican por un lado las direcciones dentro
(pre-NAT) y por otro lado la direccin o direcciones (en el caso de un conjunto o pool)
fuera (post-NAT). Ambos comandos, quedan mutuamente asociados por un identificativo
numrico, en nuestro caso como podemos ver abajo con 1.
PIX(config)#nat(inside)1 10.0.1.0255.255.255.0
PIX(config)#global(outside)1 192.168.1.200192.168.1.254netmask
255.255.255.0
Tambin podemos comprobar si podemos establecer conexin http desde el insidehost con
el servidor Web (http://172.26.26.1) y hacer Telnet al bastionhost.
__________________________________________________________________________________
__________________________________________________________________________________
226
__________________________________________________________________________________
A simple vista parece extrao que funcionen las conexiones TCP/UDP y no funcione ICMP
para el ping. La razn es porque los PIX implementan un mecanismo automtico de listas
de acceso para permitir trfico de entrada cuando se genera trfico de salida, acorde con los
patrones del trfico de salida, es decir que si generamos conexiones http de salida, no
podemos tener conexiones ftp de entrada. Este mecanismo se implementa de forma
automtica en los PIX y se conoce como CBACs Context Based Access. Este mecanismo
propietario de Cisco Systems slo funciona en caso de establecimiento de conexiones y/o
pseudoconexiones, como TCP/UDP respectivamente, pero no para ICMP.
Por tanto, si generemos trfico TCP/UDP por ejemplo de inside a outside, CBACs de
forma automtica crea y/o genera permisos (como listas de acceso temporales), para
permitir trfico de outside a inside, respetando que el trfico sea asociada a la misma
conexin.
Por tanto, a continuacin vamos a configurar para que los usuarios de la inside puedan
acceder a la DMZ a
En este caso, el trfico de vuelta tambin ha sido permitido por CBACs y por eso, el ping
sigue sin funcionar.
Para analizar el estado de la conexin, vamos a comprobar con los siguientes comandos
show:
1.- Objetivo
2.- Introduccin
Las redes se estn extendiendo en forma creciente, ms all de los lmites tradicionales de
la organizacin, a medida que constituyen sociedades con requerimientos de interconexin,
o uso compartido de instalaciones de procesamiento de informacin y redes. Dichas
extensiones pueden incrementar el riesgo de acceso no autorizado a sistemas de
informacin ya existentes que utilizan la red, algunos de los cuales podran requerir de
proteccin contra otros usuarios de red, debido a su sensibilidad o criticidad. En tales
circunstancias, se debe considerar la introduccin de controles dentro de la red, a fin de
segregar grupos de servicios de informacin, usuarios y sistemas de informacin.
Creacin de VLANs
228
A las VLANs las llamaremos SUBRED1 y SUBRED2 y les asignaremos los nmeros 2 y 3
respectivamente (el nmero 1 est reservado para la VLAN default, que es la que viene por
defecto configurada en el equipo). Para crear las VLANs entraremos en consola del
conmutador y utilizaremos el comando vlan database segn se muestra a continuacin:
Switch_A#vlan database
Switch_A#vlan 2 name SUBRED1
Switch_A#vlan 3 name SUBRED2
Switch_A#
Ahora podemos utilizar el comando show vlan para comprobar que las definiciones se han
realizado correctamente. Lo que aparece por pantalla debe ser similar a lo siguiente:
VLANNameStatusPorts
1defaultEnabled124,AUI,A,B
2SUBRED1Enabled
3SUBRED2 Enabled
1002fddidefaultSuspended
1003tokenringdefauSuspended
1004fddinetdefaultSuspended
1005trnetdefaultSuspended
VLANTypeSAIDMTUParentRingNoBridgeNoStpTrans1Trans2
1Ethernet1000011500000Unkn10021003
2Ethernet1000021500011Unkn00
3Ethernet1000031500011Unkn00
1002FDDI1010021500000Unkn11003
1003TokenRing1010031500100510Unkn11002
1004FDDINet1010041500001IEEE00
1005TokenRingNet1010051500001IEEE00
Una vez creadas las VLANs podemos asignar los puertos. Si un puerto no lo asignamos a
ninguna quedar en la VLAN default (la 1) que es en la que se encuentran todos
inicialmente. nicamente asignaremos los puertos 2, 3, 5, 6, 7 y 8 del Switch A, los pares a
la VLAN SUBRED1 y los impares a la VLAN SUBRED2.La secuencia de comandos a
utilizar es la siguiente:
Switch_A #config
Enter configuration commands, one per line. End with CNTL/Z
Switch_A(config)# interface fastethernet 0/2
Switch_A(config-if)# switchport mode access
Switch_A(config-if)# switchport access vlan 2
Switch_A(config-if)# interface fastethernet 0/6
229
Switch_A#show vlan
VLANNameStatusPorts
1defaultEnabled1,4,924,AUI,A,B
2SUBRED1Enabled2,6,8
3SUBRED2 Enabled3,5,7
1002fddidefaultSuspended
1003tokenringdefauSuspended
1004fddinetdefaultSuspended
1005trnetdefaultSuspended
VLANTypeSAIDMTUParentRingNoBridgeNoStpTrans1Trans2
1Ethernet1000011500000Unkn10021003
2Ethernet1000021500011Unkn00
3Ethernet1000031500011Unkn00
1002FDDI1010021500000Unkn11003
1003TokenRing1010031500100510Unkn11002
1004FDDINet1010041500001IEEE00
1005TokenRingNet1010051500001IEEE00
Configuracin IP de HOST/SWITCH
Para configurar los ordenadores debemos conectarlos a los puertos del switch
respectivamente y asignar una direccin IP y ruta por defecto.
HOST 1
Direccin IP: 192.168.3.2
230
Mscara: 255.255.255.0
HOST 2
Direccin IP: 192.168.4.2
Mscara: 255.255.255.0
Una vez asignadas las interfaces a las VLANs los estudiantes comprobarn con el comando
ping que los dos ordenadores conectados al conmutador han perdido la comunicacin entre
ellos.
__________________________________________________________________________
__
__________________________________________________________________________
__
Para que el router soporte inter-Vlan routing, debe ingresar los siguientes comandos.
Configuraciones de Seguridad
Una tormenta de paquetes ocurre cuando se reciben en un puerto gran nmero de paquetes
broadcast, unicast o multicast. Reenviar esos paquetes puede causar una reduccin de la
performance de la red e incluso la interrupcin del servicio.
Storm Control usa umbrales para bloquear y restaurar el reenvo de paquetes broadcast,
unicast o multicast.
Usa un mtodo basado en ancho de banda. Los umbrales se expresan como un porcentaje
del
total de ancho de banda que puede ser empleado para cada tipo de trfico.
Deseamos configurar el puerto 2 del switch para que si el trfico broadcast supere el 45%
del ancho de banda disponible enve una alerta.
Switch> enable
Switch# configure terminal
Switch(config)# interface FastEthernet 0/2
Switch(config-if)# storm-control broadcast level 45
Switch(config-if)# storm-control action trap
Switch(config-if)# end
BIBLIOGRAFA
233
Thomas W. Shinder.
2004.
Len, www.infosintesis.net/apensintesis/internet/rfc0791-IP-es.pdf,
1999-05.
http://www.rau.edu.uy/ipv6/queesipv6.htm, 2005-11.
gsyc.escet.urjc.es/moodle/file.php/26/Transparencias/rom-transpas-
3.pdf, 2003-11.
234
http://usuarios.lycos.es/janjo/janjo1.html, 2006-12.
http://www.textoscientificos.com/redes/redes-virtuales.
LuCAS/GARL2/garl2/x-087-2-firewall.filtering.html, 2002-01.
http://www.monografias.com/trabajos20/traductor-nat/traductor-
nat.shtml, 2005-02.
http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29,
2007.
people.warp.es/~isaac/openvpn.pdf, 2005-06.
235
howto.org/spanish/x161.html, 2003.
www.hut.fi/~svaarala/espiv.pdf, 2002.
autenticacin-wkccp-15516-47.html, 2006-10.
[16] Criptografa,
http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitul
o2.pdf.
http://es.wikipedia.org/wiki/Criptograf%C3%ADa_sim%C3%A9trica.
http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica.
236
http://es.wikipedia.org/wiki/Criptograf%C3%ADa_de_curva_el
%C3%ADptica.
%C3%ADa_h%C3%ADbrida.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VI_JornadaS
eguridad/ArticuloIAPortScan_VIJNSI.pdf.
akira.azul.googlepages.com/sabuesos.pdf, 2004.
http://www.linuxfocus.org/Castellano/March2003/article282.shtml,
2004-02.
%C3%B3n_de_servicio, 2007-05.
237
es.tldp.org/Manuales-LuCAS/doc-seguridad-tcpip/Seguridad_en_TCP-
IP_Ed1.pdf, 2002-06.
http://tau.uab.es/~gaby, 2003-09.
http://www.kriptopolis.com
www.cisco.com/web/LA/soluciones/comercial/SDN_solution_guide.pdf,
2006.
Informticos, http://www.govannom.org/modules.php?
name=News&file=article&sid=376, 2002.
238
www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/cisco
_pix_501.pdf, 2004.
www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/cisco
_pix_506.pdf, 2004.
www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/cisco
_pix_515.pdf, 2004.
www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/cisco
_pix_525.pdf, 2004.
www.cisco.com/web/FR/documents/pdfs/datasheet/vpn_security/cisco
_pix_535.pdf, 2004.
http://www.ciscoredaccionvirtual.com/redaccion/comunicados/ver_com
unicados.asp?Id=480, 2002-09.
[36] Dos nuevos servidores de Sun para el mercado de los x86, pc-
http://bulma.net/body.phtml?nIdNoticia=1498, 2002-09.
acsblog.es/articulos/trunk/Varios/Ethereal/x27.html, 2002.
Instruments, http://www.ipdsa.com/ni/brochures/Observer_v8.pdf,
2002.
www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf, 2001-04