Seguridad de Redes

Page 1

Fundamentos de Seguridad en Redes MODULO I Clase Feb-10-09 Programa de Clase MODULO 1 - Fundamentos de seguridad en redes ‐ Introducción ‐ Sensibilización ‐ Conceptual ‐ Oficial de seguridad ‐ Metodología ética del hacking ‐ Confianza ‐ Definición de un modelo de seguridad ‐ Diagnóstico y diseño ‐ Arquitectura de seguridad ‐ Vulnerabilidades y amenazas ‐ Ley de Habeas Data ‐ Incidentes de seguridad TALLER SNIFER: Herramienta para identificar vulnerabilidades en la red MODULO 2 ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐

20 desafíos de los hackers Arquitectura de firewall Certificados digitales Firma digital Cifrado de la información Algoritmos de hash VPN Conexiones seguras Acceso controlado Implementar arquitecturas de IDS: Detector de intrusos Infraestructura de seguridad

TALLER MODULO 3 ‐ ‐ ‐ ‐

Ataques a WINDOWS 2000 Y WINDOWS 2003 Seguridad Plantillas de seguridad Proteger un sistema LINUX

Carlos Manuel Rentería de la Cruz ‐ Página 1 de 42


Fundamentos de Seguridad en Redes MODULO I Investigar: 1. Que es seguridad 2. Confiabilidad 3. Integridad 4. Disponibilidad 5. Vulnerabilidad 6. Amenaza 7. Riesgo 8. Control 9. Seguridad Física 10. Seguridad Computacional 11. Seguridad Comunicación 12. Incidente 13. Ingeniería Social

Carlos Manuel Rentería de la Cruz ‐ Página 2 de 42


Fundamentos de Seguridad en Redes MODULO I Ley de Seguridad 1747 ‐

Todas las empresas tienen incidentes de seguridad.

Las organizaciones no saben de las pérdidas monetarias.

El problema de la seguridad no es un problema de cultura sino de tecnología

Antivirus: ‐

Tres tipos de control: preventivo, correctivo y detectivo

Control dual: responsabilidad entre dos personas

Herramientas ‐

Kiloyer: Software que registra las marcaciones de teclado de una persona

Cracker: Utiliza herramientas de los hackers pero con otros fines

Pishing: Suplantación de una persona o empresa. Correo electrónico

Ley de Habeas Data

Certicámara: Entidad de certificaciones digitales

HISPASE: Entidad que regula los incidentes y vulnerabilidades en España

Ataques distribuidos desde diferentes sitios.

Objetivos de seguridad Configurar, mantener y operar un ambiente de trabajo de forma que se comporte como se espera cuidando la confidencialidad, integridad y disponibilidad de la información. ‐

Seguridad = modelo

Estado deseado

Protección

Confiabilidad

Buscar mecanismos para proteger la información

Norma ISO 27000

Puntos de ataque externo: Para mitigar el riesgo

Carlos Manuel Rentería de la Cruz ‐ Página 3 de 42


Fundamentos de Seguridad en Redes MODULO I ‐

Seguridad en profundidad de afuera hacia adentro

Donde falló la seguridad?

Carlos Manuel Rentería de la Cruz ‐ Página 4 de 42


Fundamentos de Seguridad en Redes MODULO I Análisis de Diagnostico de seguridad en un casino - Como hacer cumplir las políticas en la empresa donde uno trabaja. - No se pensó en la seguridad a través de las personas. - El ser humano se va mas por la parte de sentimientos. - El tema de cultura sigue siendo un problema de no acabar, a pesar de que existan los mejores controles. - Basado en los riesgos programa controles para mitigar el riesgo. - El tema de seguridad falla por cualquier lado. - Falta capacitación en la parte humana de la empresa - Seguridad=procesos, personas y tecnología Clase Sab Feb14-09 Seguridad: Funciones y Responsabilidades Seguridad se basa en 3 criterios fundamentales (CIA): - Confidencialidad - Integridad - Disponibilidad Confidencialidad: Los recursos solo podrán ser utilizados por las personas autorizadas. La información solo será consultada por usuarios autorizados. Cuando se hace una clasificación de la información se dice que niveles de seguridad va a tener la información. Integridad: Solo las personas autorizadas podrán modificar los recursos del sistema. Nadie puede modificar la información. Algoritmos de Hash: es un mecanismo decifrado que lo que hace es validar la información. Garantiza que la información sea integra. Disponibilidad: Los recursos deben estar disponibles en cualquier momento, para utilizarse por las entidades autorizadas. Plan de continuidad, de recuperación de desastres. Autenticidad: Consiste en verificar que el remitente es quien dice ser. Identidad= ID+Pass - Sistema - Autenticidad No Repudiación: Consiste en probar con certeza que un mensaje fue enviado por el remitente original. CASO PROPUESTO Confidencialidad: El banco Integridad: Girar un Cheque a nombre de un beneficiario Autenticidad: Megared

Carlos Manuel Rentería de la Cruz ‐ Página 5 de 42


Fundamentos de Seguridad en Redes MODULO I No Repudiación: Beneficiar TALLER Lecturas ‐ SEGURIDAD DE LA INFORMACION... QUIEN ES RESPONSABLE DE QUE ‐ Ingenieros Sociales, como trabajan y como detenerlos

Carlos Manuel Rentería de la Cruz ‐ Página 6 de 42


Fundamentos de Seguridad en Redes MODULO I CLASE FEB17-09 La seguridad un área independiente que le reporte directamente a la gerencia. El área de seguridad dependiera de la presidencia o de la gerencia por todo el tema de la toma de decisiones.

Funciones y responsabilidades del área de seguridad Los principios, las políticas, los estándares 1. Modelo de seguridad 2. Arquitectura de seguridad a. Herramientas de hardware. b. Herramientas de software. c. Detectores de intrusos. d. Antivirus. 3. Plan estratégico a. Debe tener un objetivo claro dentro de la organización. b. Definido en el plan de seguridad: para ayudar a proteger la información. c. Debe estar alineada a la estrategia del negocio. d. Para que se construya un plan de seguridad hay que identificar las vulnerabilidades y mitigar los riesgos. e. Plan de trabajo a corto, mediano y largo plazo: evaluación de riesgos altos, medios y bajos. 4. Participación de proyectos a. Un nuevo servicio que cumpla con los niveles de seguridad. 5. Gestión y administración de Usuarios a. En las diferentes plataformas funcionales de la empresa. b. Debe estar presente cuando un usuario no está. c. Los usuarios que están son los que son. 6. Monitoreo integral a. Hay que focalizar el negocio: entradas y salidas. b. Cuál es el producto y los niveles de seguridad. c. En el momento del monitoreo hay que saber si hay o no un ataque y como lo contrarresto. d. Administración de incidentes de inseguridad. e. Computación forense. 7. Análisis de Vulnerabilidades a. Buscar las debilidades. b. L a parte técnica e identificar vulnerabilidades en los procesos. 8. Concientización y Divulgación de la cultura de seguridad a. Sensibilizar a los usuarios en el manejo de los recursos. 9. Participar en el control de cambios a. Planes de contingencia. b. Evaluar antes de implementar.

Carlos Manuel Rentería de la Cruz ‐ Página 7 de 42


Fundamentos de Seguridad en Redes MODULO I c. Actualizaciones de sistemas operativos. 10. Análisis de riesgos a. Determinar cuáles son los riesgos altos, medios y bajos. b. En un banco hay un área de riesgos, en las organizaciones normales el área de seguridad lo realiza. c. Metodologías en análisis de riesgos. 11. Proceso de la clasificación de la información a. Define los niveles de clasificación de la información. b. Que tan crítica es la información. 12. Comité de Seguridad a. Esta el área de recursos humanos. b. Definir acuerdos de confidencialidad. c. Incidentes de seguridad 13. Participar en los planes de continuidad en la empresa a. Son los planes que se realizan en el sitio. b. Plan de recuperación de desastres (p.e. desastres naturales). 14. Participar en los requerimientos y pruebas Google Groups - SEGREDES – CHECK POINT

Carlos Manuel Rentería de la Cruz ‐ Página 8 de 42


Fundamentos de Seguridad en Redes MODULO I

Seguridad Física: Es la seguridad física: Son los mecanismos utilizados para proteger cada uno de esos perímetros. • en el perímetro • centro de computo • área financiera Mecanismos que le permitan controlar el acceso. Monitorear. • Circuitos cerrados de tv: CCTV • Sistemas biométricos: Identificación de personas o Sistemas de identificación dactilar o Sistemas de identificación con el iris o Sistemas de identificación con tarjetas • Perros entrenados • Todo tipo de Alarmas • Controles de incendios • Control de la parte eléctrica • Controles de temperatura • Sensores de movimiento Seguridad en las comunicaciones Mecanismos utilizados para proteger los medios de comunicaciones. El medio de un origen a un destino es un medio seguro. • •

VPN: Cifrar el medio por donde va la información. Canales dedicados con proveedores de comunicaciones que le permitan que la información es privada.

Seguridad Informática Mecanismos utilizados para proteger la infraestructura tecnológica: hardware y software. Define todos los lineamientos de seguridad, quien lo implementa es el área de tecnología.

Seguridad de la información Mecanismos utilizados para proteger la información

Que es seguridad computacional y los niveles de seguridad D, C1,C2, B1, B2,B3, A o A1 Taller aplicado a eso

Carlos Manuel Rentería de la Cruz ‐ Página 9 de 42


Fundamentos de Seguridad en Redes MODULO I Clase Feb-19-09 Recoger en el correo dos archivos del Ing (Habeas Data) Seguridad Computacional Son todos los mecanismos de tipo lógico utilizados para proteger plataforma tecnológica.

toda la

Niveles de seguridad •

Nivel D: Nivel básico, sin seguridad o DOS, Windows 3x y Windows 9x

Nivel C1: Proteccion discrecional: o Autenticacion de usuarios. o Autenticacion con sistemas biométricos. o Puede tener un usuario administrador y varios usuarios. o Nivel D

Nivel C2: Proteccion de acceso controlado, o Nivel C1 mas definicion de roles, o Más las auditorias. o Podemos auditar el acceso de los usuarios en todas las plataformas. o En cualquier sistema computacional se puede dar el nivel C2 o Debe contemplar: autenticacion de usuarios, definir roles, se activen las auditorias.

Nivel B1: Seguridad etiquetada o Debe cumplir con las auditorias (Nivel C2) o Grupos de usuarios con privilegios o Niveles de clasificación o Autenticacion o Mas roles o Mas Auditorias

Nivel B2: Proteccion estructurada o Nivel B1 Carlos Manuel Rentería de la Cruz ‐ Página 10 de 42


Fundamentos de Seguridad en Redes MODULO I o o o o

Etiquetas: Unidades organizacionales, diferentes objetos Usuarios Grupos Equipos

Nivel B3: Nivel de dominios de seguridad o Nivel B2 o Hardware o Conexiones seguras o Dominios de seguridad Seguridad fisica Planes de continuidad Incidentes de seguridad Normas ISO

Nivel A1: Nivel de protección y verificación o Cifrado y decifrado de la información

Carlos Manuel Rentería de la Cruz ‐ Página 11 de 42


Fundamentos de Seguridad en Redes MODULO I

Clase Feb24 de Febrero de 2009

Ciclo de vida de la seguridad

-

-

L a organización en términos generales es muy importante. Que tan seguro o inseguro es mi negocio Definir planes y controles para mitigar un riesgo La seguridad depende de 4 ciclos Es un modelo de seguridad que está determinado por unas fases o Diagnóstico o Diseño Arquitectura de seguridad o Implementación de una Arquitectura de seguridad o Monitoreo Las organizaciones lo aplican por procesos o basados en negocios Carlos Manuel Rentería de la Cruz ‐ Página 12 de 42


Fundamentos de Seguridad en Redes MODULO I

DIAGNOSTICO -

El estado actual de la seguridad de la empresa. Que tan seguros o inseguros están mis procesos o mi negocio. Para determinar exactamente que se requiere en materia de seguridad. Que tan seguros esta mi tecnología

LEVANTAMIENTO DE LA INFORMACIÓN -

Topología de la red Tecnología o Equipos activos Sistema operativo Equipos activos

Nombre Tipo

Modelo

Versión S. Operativo

Ubicación

Administrador

Direccion IP

Tipo de Administración

Router

2505

11.0

Centro Computo

elchacho

10.10.100.1 0

Remota

o Sistemas operativos o Bases de datos o Aplicaciones

Carlos Manuel Rentería de la Cruz ‐ Página 13 de 42


Fundamentos de Seguridad en Redes MODULO I

o Otros dispositivos *Norma 27000 en la parte de los equipos activos habla de cómo hacer un levantamiento de información -

Procesos: Roles de las personas Seguridad física Software que se utiliza Conexiones internas/externas Servicios

Taller: Para el jueves diseñar las matrices por grupos… ANALISIS DE VULNERABILIDADES - Listas de chequeo basado en la norma ISO 27001 - Ética al hacking: parte técnica de evaluación tecnológica ANALISIS DE RIESGOS - Hay vulnerabilidades - Hay un riegos o Niveles de riegos: Alto medio bajo - Panorama de riesgos: Que tanto está afectando a la organización - Amenazas a la que está expuesta la organización - Plan de seguridad o Riesgos altos: controles a corto plazo o Riesgos medios: controles a medio plazo o Riesgos bajos: controles a largo plazo Basado en esto hay que hacer el diseño de la infraestructura de seguridad tenemos: - Políticas - Normas o Niveles de clasificación de la información - Estándares - Procedimientos de seguridad o Sistemas operativos o Bases de datos o Sistema operativo o Aplicaciones -

Diseño de la infraestructura tecnológica o Arquitectura de firewall o VPN o IDS o IPS o Detectores de intrusos Carlos Manuel Rentería de la Cruz ‐ Página 14 de 42


Fundamentos de Seguridad en Redes MODULO I

o Mecanismos de cifrado

Antivirus Actualizaciones de parches Anti-snifer Filtrados de contenido Planes de continuidad BCP DRP o Programa de concientización o Otros mecanismos de seguridad o o o o o

IMPLEMENTACIÓN o Políticas o Normas Niveles de clasificación de la información o Estándares o Diseño de la infraestructura tecnológica Arquitectura de firewall VPN IDS IPS Carlos Manuel Rentería de la Cruz ‐ Página 15 de 42


Fundamentos de Seguridad en Redes MODULO I

Detectores de intrusos Mecanismos de cifrado Implementación de los planes de continuidad Capacitación de la infraestructura tecnológica como de los programas de sensibilización o concientización

MONITOREO - Repositorio de Logs - Administración de incidentes de inseguridad

-

Control de cambios: me determina actual y cual es el estado actual y cual es el estado futuro Control de configuraciones Análisis forense: computación forenses Manejo de incidentes

Carlos Manuel Rentería de la Cruz ‐ Página 16 de 42


Fundamentos de Seguridad en Redes MODULO I

Una arquitectura normal tiene aplicativos, sistema operativos, bases de datos -

Los planes de continuidad: para garantizar que el negocio está seguro Planes de concientización para los usuarios: el 70% de los incidentes se dan al interior de la organización. El modelo de seguridad tiene que ser mejorado a medida que se van dando los cambios en la organización

Para el jueves Control de vulnerabilidades en la Red - pagina 12 puntos 1,2 y 3

Carlos Manuel Rentería de la Cruz ‐ Página 17 de 42


Fundamentos de Seguridad en Redes MODULO I

Clase Jueves, 26 de febrero de 2009

Tenemos que enfocarlas en: • La tecnología, • Los procesos y • Las personas

Carlos Manuel Rentería de la Cruz ‐ Página 18 de 42


Fundamentos de Seguridad en Redes MODULO I

Vulnerabilidad: Debilidad en el sistema que puede ser explotada. Amenaza: La explotación potencial de una vulnerabilidad. El no tener un privilegio de seguridad: - Suplantación de identidad - Robo de información La debilidad no es como el servicio este activo sino no tener una previsión para el servicio. -

Fuga de información A través de la norma 27001 puedo establecer una lista de chequeo

Carlos Manuel Rentería de la Cruz ‐ Página 19 de 42


Fundamentos de Seguridad en Redes MODULO I

Ética al Hacking para evaluar toda la parte tecnológica

Carlos Manuel Rentería de la Cruz ‐ Página 20 de 42


Fundamentos de Seguridad en Redes MODULO I

Clase Feb28 de 2009

Aplicación: • Identidad • Roles • Privilegios Bases de datos: • Identidad • Grupos • Servicios • Auditoria • Roles • Perfiles

Proxi : Usuarios internos tengan una salida a internet NAT: trasladar direcciones IP

INTERNET

FIREWALL

LAN PROXI

Análisis de riesgos, entre cualitativos y cuantitativos

Carlos Manuel Rentería de la Cruz ‐ Página 21 de 42


Fundamentos de Seguridad en Redes MODULO I Marzo 3 de 2009 Para el jueves 5 de marzo de 2009 • Norma BS-7799: Características y ventajas • Sistema de Gestión de seguridad de la información (SGSI): seguridad

Dominio –

COMPARACIONES •

Norma ISO 17799 V1

Norma ISO 27001

Norma ISO 17799 V2

Norma ISO 27002

Riesgo: Vulnerabilidad + Amenaza + Impacto Vulnerabilidad Amenaza Impacto Lo que puede Consecuencia ocurrir Análisis de riesgo: El proceso de: • identificar • analizar • evaluar: existen unos métodos • prever • mitigar – reducir: controles • transferir el riesgo El riesgo nunca se termina. Se minimiza. Métodos de análisis de riesgos: 1. 2. 3. 4.

Métodos cualitativos Métodos cuantitativos Auditorías Las listas de chequeo: basada en la norma ISO 27000

En muchas organizaciones hacen la mezcla de todos. 9 Evaluar una lista de chequeo basado en los controles que tiene implementado una organización. 9 Un análisis detallado de los riesgos que tiene la organización. Análisis: El nivel de riesgos • Nivel de riesgo alto • Nivel de riesgo medio • Nivel de riesgo bajo Basado en esto se construye el panorama de riesgos. Las empresas van a enfocar sus esfuerzos para mitigar los controles. El criterio de evaluación es las amenazas vs las consecuencias. Cuando las vulnerabilidades están bien definidas el riesgo esta bien definido.

Carlos Manuel Rentería de la Cruz ‐ Página 22 de 42


Fundamentos de Seguridad en Redes MODULO I Estos métodos son eficaces porque se aplican en corto tiempo. Saber con certeza como está la organización. Las organizaciones siempre definen proyectos de seguridad a corto plazo.

controles a corto plazo -> riesgos a largo plazo Los métodos se enfocan a bajar los riesgos. 1. Métodos Cualitativos: El número de veces que se puede presentar - Subjetivo - No se evalúan monetariamente los activos - No se da la relación costo vs beneficio - Se implementan a corto plazo - Se valora la posibilidad de que una amenaza sea explotada. Desventajas -

No hay valoración de dinero Los controles no necesariamente son efectivos o sea que el riesgo no seria valorado

3. Auditorías - Subjetivo - Está orientado a los procesos - Ellos no definen los controles, - Ellos hacen recomendaciones: o definir políticas de seguridad o evaluación al proceso - Las auditorias se hacen una vez en el año - Se revisan los procesos: los mas importantes:-> los de negocio 4. -

Listas de chequeo Es subjetivo No hay valoración monetaria No hay relación costo .vs. beneficio Se puede hacer una valoración de la empresa Se puede hacer un análisis de la seguridad

Si la empresa quiera certificar los procesos para mitigar los riesgos. Los dominios de seguridad, es toda la empresa dividida en partes pequeñas. Tiene unos controles que evalúan ese análisis de seguridad. Establece si hay ese tipo de control o no lo hay.

Uno de los controles que existen dentro de la norma es que se debe documentar.

Carlos Manuel Rentería de la Cruz ‐ Página 23 de 42


Fundamentos de Seguridad en Redes MODULO I

-

Las políticas pueden existir, están documentadas pero están desactualizadas. Lo que permanente está cambiando son los procedimientos de seguridad. En los riesgos se definen unos controles

Carlos Manuel Rentería de la Cruz ‐ Página 24 de 42


Fundamentos de Seguridad en Redes MODULO I Clase Marzo 5 de 2009

Vulnerabilidades

Amenazas

Nivel Amenaza

Nivel de Impacto

Nivel de Riesgo

Controles

Riesgos= Vulnerabilidades + Amenazas + Impacto

• • • •

Cualitativos Probabilidad de amenaza Impacto Riesgo

MATRIZ NIVEL DE RIESGO: Relación amenazas .vs. Impacto Panorama de riesgo Probabilidad de Amenazas

• • •

Impacto

Alta

Medio

Bajo

Alto

ALTA

ALTO

Medio

ALTA

MEDIO

MEDIO

Bajo

BAJA

BAJA

BAJA

MEDIA

Riesgos altos: Tiempo prudencial Riesgos medios: tiempo de 3 a 6 meses Riesgos bajos: corto plazo

Las amenazas sean bajas en el tiempo Depende de las amenazas escoger el criterio de evaluación y los parámetros de escogencia. Carlos Manuel Rentería de la Cruz ‐ Página 25 de 42


Fundamentos de Seguridad en Redes MODULO I

Con la amenaza más las consecuencias de la amenaza se define el nivel de riesgo.

Controles: Los mecanismos que se requieren para mitigar las amenazas y las vulnerabilidades.

Carlos Manuel Rentería de la Cruz ‐ Página 26 de 42


Fundamentos de Seguridad en Redes MODULO I Clase Marzo 07 de 2009

Norma BS 7799 Norma BS 7799

-> 1993

Norma BS 7799 V1 -> 1995: Mejores prácticas de seguridad No es certificable para las empresas

Norma BS 7799 V2 -> 1998: 10 dominios de seguridad

SGSI: Sistema de gestión de seguridad de la información - Es certificable Evaluación de los controles que debe definir y certificar la organización para cumplir con la norma.

ISO 17799 V1-> 2000 Se adopta en nuestro país (Colombia) • • •

La organización sigue siendo la misma: 10 dominios de seguridad Mejores prácticas de seguridad No requiere de un requisito de certificación

ISO 17799 V2-> 2002 • •

Certificable Sistema de gestión de seguridad de la información • Objetivos de control y unos controles o Por cada dominio debe tener sus objetivos de control y unos controles • 36 objetivos de control y 127 controles • Gestión y administración de incidentes de seguridad esta implícito dentro de toda la norma Dividieron la organización en 10 partes y establecieron los dominios de seguridad.

ISO 27001 V1 -> 2005 Actualización de la ISO 17799 V2

Carlos Manuel Rentería de la Cruz ‐ Página 27 de 42


Fundamentos de Seguridad en Redes MODULO I • •

Sistema de gestión de seguridad de la información Certificable • La organización no debe estar dividida en 10 dominios sino en 11 dominios • Hay un domino exclusivamente para incidentes • 39 objetivos de control y 133 controles

ISO 27001 V2 -> 2007 • • • • •

Mejora de la ISO 27001 V1 -> 2005 Los 11 dominios son los mismos 39 objetivos de control y 133 controles La organización la puede adoptar a la empresa pero en las mejores practicas de seguridad No tiene un SGSI: Sistema de gestión de seguridad de la información

Se puede definir como la Biblia de la seguridad, hay esta todo en lo que se basa una organización para hablar de seguridad.

DOMINIOS DE SEGURIDAD

1. Dominio de políticas de seguridad Las organizaciones deben definir, implementar, actualizar y divulgarlas las políticas de seguridad •

Tiene un objetivo de control y unos controles

2. La organización de seguridad de la información • La estructura del área de seguridad de la información en una empresa o 2 objetivos de control y 11 controles • Hay que dividir la organización en dos partes Interno Externo 3. La organización tiene unos activos: asignar responsables y hay que tener en cuenta que la información es una activo. • 2 objetivos de control • 5 controles 4. Las organizaciones tienen personas: dominio del recurso humano • Control en la contratación: antes, dentro y después • 3 objetivos de control • 9 controles 5. La organización debe tener una parte física: seguridad física y el entorno

Carlos Manuel Rentería de la Cruz ‐ Página 28 de 42


Fundamentos de Seguridad en Redes MODULO I • •

Áreas perimetrales definidas y a su vez definir controles para ellas 2 objetivos de control

6. Gestión de comunicaciones y operaciones Los procesos de la empresa y la parte operacional de la misma Red interna y externa, tiene comunicación con entes internos • •

10 Objetivos de control 32 controles

7. Controles de acceso: Las organizaciones deben tener un control de acceso que la organización debe tener para ingresar a ella y a las zonas perimetrales. (debe tener un usuario y una clave). Gestión y administración de usuarios • 7 objetivos de control • 25 controles 8. Sistema de información: las empresas que en sus sistemas adquieran, desarrollen o hagan mantenimiento a sistemas de seguridad Adquisición Desarrollo Mantenimiento • •

6 objetivos de control 16 controles

9. Gestión de incidentes de seguridad: las organizaciones deben tener un monitoreo integral • 2 objetivos de control • 5 controles 10. Gestión de la continuidad de negocios La organización debe tener Planes de contingencia y los planes de recuperación de desastres • •

1 objetivo de control 5 controles

11. Cumplimiento: Actualizar las políticas de seguridad Entidades que regulan a las empresas a nivel externos Controles que se deben adoptar en la organización (auditorias internas)

Carlos Manuel Rentería de la Cruz ‐ Página 29 de 42


Fundamentos de Seguridad en Redes MODULO I • •

3 objetivos de control 10 controles

Para el martes 10 de marzo

Hacer un mapa conceptual de la norma ISO 270001

Para el Sabado 14 de marzo •

En el trabajo de telemática hay que clasificar los controles dentro del dominio correspondiente

Carlos Manuel Rentería de la Cruz ‐ Página 30 de 42


Fundamentos de Seguridad en Redes MODULO I

Clase, Marzo 10 de 2009 Panorama de riesgos Dominio Fechas(1) Seguridad

Vulnerabilidad

Amenaza

Nivel

Controles

de Riesgo

Gestión Incidentes

A A 50% M 25% B 25%

P.S.I

A A25% M50% B25%

* Panorama de riesgos: es el diagnostico de riesgos *11 dominios de seguridad y sus controles Cada dominio representa el 100% del dominio Distrubuir el 100% en altas, medias y bajas Graficas en barras o pastel En la grafica Y= Dominios de seguridad X= alto, medio y bajo Fecha(1):fecha pronostico

Carlos Manuel Rentería de la Cruz ‐ Página 31 de 42


Fundamentos de Seguridad en Redes MODULO I

Carlos Manuel Rentería de la Cruz ‐ Página 32 de 42


Fundamentos de Seguridad en Redes MODULO I Marzo 12 de Marzo de 2009

• • • • •

Identificación de vulnerabilidades Ethical hakings Técnica Establecer parámetros, como se aplican Escaneo de puertos, vulnerabilidad de servicios => demanda – problemas con la ley

Hackers: Personas que se dedican a buscar vulnerabilidades en la red, con un fin.

Crackers: Son personas que se dedican a identificar vulnerabilidades sino a explotarlas.

Piratas informáticos: Personas dedicadas a vender todo lo que copian.

Gurus: Son las personas dedicadas a diseñar las herramientas para vulnerar las redes. Son los maestros de los hackers.

La SANS entidad de hacer especializaciones de ethical Hackings

Lamers: Son los aficionados que prueban todos los programas. Personas encargadas de propiciar los virus.

Metodología de Ethical Hacking

Son las fases que se requieren para identificar y explotar vulnerabilidades en las redes.

Alcances Servicios Redes locales

Carlos Manuel Rentería de la Cruz ‐ Página 33 de 42


Fundamentos de Seguridad en Redes MODULO I Correo: Protocolos: SMTP: Puerto: 25, POP3: Puerto: 110 En la capa de transporte: TCP -> Orientados a conexión Puertos TCP: de 1 a 65.535 Puertos Standard: Utilizados por muchas aplicaciones. De 1 a 1024 Puertos utilizados para cualquier aplicación: De 1025 a 65.535 UDP -> Orientados a no conexión Puertos UDP: De 1 a 65.535 De 1 a 024 son Standard De 1025 a 65.535: Puertos utilizados dependiendo la aplicación. HTTP: TCP: Puerto 80 orientado a conexión FTP: TCP, orientado a conexión TELNET: Conexión remota, administrar, TCP conexión, puerto: 23 DNS: Resolución de nombres de dominio TCP/UDP, Puerto: 53 DHCP: Asignación de direcciones IP dinámicamente. HTTPS: Orientado a conexión, Puerto: 443 SSH: Protocolo para conexiones seguras, para quitar el Telnet. Para el FTP seguro. Orientado a conexión. Puerto: 22 TFTP: Transferencia de archivos, UDP. Puerto: 69 Servicios de Windows para recursos compartidos. Recursos de Terminal Services (Impresión) 135, 136, 137 , 445 SNMP: administración de redes. UDP - No orientado a conexión. Puertos: 161 y 162 MIB Base de datos utilizada por SNMP -

Software de gestión Comunidad Private: Lectura/Escritura: Puede entrar al dispositivo y cambiarle la configuración.

Carlos Manuel Rentería de la Cruz ‐ Página 34 de 42


Fundamentos de Seguridad en Redes MODULO I -

Comunidad Public: Lectura. Puede ver el estatus del dispositivo, pero no puede hacer una acción correctiva en caso de falla. - TRAP: Paquetes que envía la gente a SNMP. Pero no le garantiza que llegue. SNMP V 1 Tiene debilidades SNMP V 3 la información cifrada ICMP: Apoyo al protocolo Acceso remoto NTP: sincronizar la hora, UDP orientado a conexión. Puerto: 123 Bases de datos orientadas a conexión 1433: SQL Usuario: SA Pass: SA 1521 o 1526: Orientados a conexión. ORACLE SYSLOG: Recopilar los LOG de los equipos de comunicaciones, de sistemas de información. UDP. Puerto: 514. -

Maneja siete (7) niveles. Servicios Internet

Correo: SMTP HTTP: Puerto: 80 HTTPS: Puerto: 443 FTP: Puerto: 21 DNS: Servicio de Internet del proveedor de Internet BASES DE DATOS VPN: Redes privadas virtuales. Conexión segura a través de la red publica. Servicios de aplicaciones Accesos remotos Accesos a través de Telnet SNMP

Carlos Manuel Rentería de la Cruz ‐ Página 35 de 42


Fundamentos de Seguridad en Redes MODULO I Clase Marzo14-09

Continuación metodología Ethical Hacking

Barrido de ping a. b. c. d.

A la red Un host Un rango de IP Herramientas para hacer barrido de pines: o Pinger o NMap o Solazwin 2000 o GFI landguard security scanner 1 o Netscantools o Netscan o SNscan

2. Explorando los sistemas a. Dar una idea del direccionamiento, de los protocolos y servicios b. Escaneo de puertos TCP/UDP c. Herramientas de escaneo Netscan NMap Solazwin 2000 Netscantools GFI landguard security scanner 2 d. Puertos abiertos o cerrados e. Lo malo es que este en servicio sino la manera como esta configurado 3. Identificación de vulnerabilidades a. En una de las direcciones IP activas encontramos el puerto 23 que es el servicio de Telnet o ID Usuario + Clave o Router o Utilizamos el SNIFER para capturar el usuario y la clave 4. Explotar las vulnerabilidades a. Crear puertas alternas para explotar las vulnerabilidades b. Crear un usuario nuevo c. SNMP -> Habilitar el servicio y creo una comunidad • Definir niveles de acceso lectura /escritura • Entrar como usuario administrador 1 2

El mejor paquete para scaneo de puertos El mejor paquete para scaneo de puertos

Carlos Manuel Rentería de la Cruz ‐ Página 36 de 42


Fundamentos de Seguridad en Redes MODULO I • Cambiar la IP de una interfase d. Acceder al equipo por HTTP 5. Mantener el acceso a. Logs : WINDOWS\system32\config\ extensión .evt * Seguridad * Aplicación * Sistema

Carlos Manuel Rentería de la Cruz ‐ Página 37 de 42


Fundamentos de Seguridad en Redes MODULO I

Herramienta Solazwin 2000 -> Denegación de servicio.

Conexiones Rutas Puertos

Protocolo SYSLOG: generar mensajes, que le permita que cada elemento de su red le reporte log a el.

Carlos Manuel Rentería de la Cruz ‐ Página 38 de 42


Fundamentos de Seguridad en Redes MODULO I

Como es UDP esta enviando permanentemente estos tipos de LOG • • • • • •

Critico Alertas Emergencias Errores Warning Tipo informativo

* No es conveniente virtualizar los elementos de seguridad!!!!

Dentro del scaneo de puertos: HTTP -> INTRANET

Aplicaciones

Pagina WEB:

• IIS • Apache • Xampp Herramienta TELEPORT, copia exacta de la página

Sistema

Carlos Manuel Rentería de la Cruz ‐ Página 39 de 42


Fundamentos de Seguridad en Redes MODULO I

BASE DE DATOS: Puerto TCP: 1433 – SQL Server: es orientada a conexión y se puede acceder a través de ID usuario y Clave. La clave y el usuario es SA3. •

Explotar la vulnerabilidad: crear un usuario

TALLER2 - Ethical Hacking en las redes locales

1. Topología de red

2. Direccionamiento a. Subneting b. Tres redes 3. Metodología Ethical Hacking 4. Informe 5. SYSLOG como cliente no como servidor Entrega de Informe: Sabado 21 de Marzo/09

3

SA es un login y usuario por defecto para bases de datos en SQL Server

Carlos Manuel Rentería de la Cruz ‐ Página 40 de 42


Fundamentos de Seguridad en Redes MODULO I

Clase Marzo 26 de 2009 Metodología de Ethical Hacking – Servicios de Internet Servicios • Telnet • Web/80 HTTP • FTP • Correo • DNS: Ingeniería social, suplantación de identidad • SNMP: gestionar todos los dispositivos de red • VPN: solución de seguridad • SSH • Bases de datos/1433 Fase de Reconocimiento • •

• • • •

Seleccionar la victima Recopilar información: o Pagina o Teléfonos o Direcciones o Direcciones correo electrónico o Servicios que presta Enumeración de la red o DNS o www.nic.co /www.arin.net Nombre de la empresa Dirección Teléfonos Contactos Técnicos Contactos Administrativos Cuentas de correo o DNS Primario o DNS Secundario Teleport: Copia la estructura de una página exacta Registro del dominio: www.dominio.com.co Registro de Correo: mx.correo.dominio.co Contenido de los DNS o www.intodns.com: los registros de DNS o Herramienta Visual Rout: VR o Barrido de ping de un rango de direcciones IP o Escaneo de puertos o www.netwokstols.com o www.netcra.com: el dominio y que sistema operativo tiene Sistemas Operativos con los que ha estado la página. o www.brutus.com

Carlos Manuel Rentería de la Cruz ‐ Página 41 de 42


Fundamentos de Seguridad en Redes MODULO I

o Herramienta dunset: mirar las llaves del registro, enumerar usuarios, políticas del sistema operativo *Consultar los registros del DNS – sábado 28/09 Desarrollar el taller

Carlos Manuel Rentería de la Cruz ‐ Página 42 de 42


Fundamentos de Seguridad en Redes MODULO II Clase Marzo 31 de 2009 Métodos de ataques: 20 desafíos de los hackers Ataque: Es un mecanismo utilizado para explotar una vulnerabilidad. Alcance: un sistema de información, un equipo activo, una base de datos, un servidor web. 1. Identificar unos elementos para realizar el ataque. 2. Define la infraestructura del elemento. 3. Procedimiento paso a paso del ataque. 4. Como mitigar ese ataque: la solución para contrarrestar el ataque. Para el jueves. Presentación de desafíos. • Presentación con diapositivas. • Solución • Desafío 12 Páginas: 113‐121 265‐271

Carlos Manuel Rentería de la Cruz ‐ Página 1 de 15


Fundamentos de Seguridad en Redes MODULO II Clase Abril 02‐09 Métodos de Ataques para el sábado 4 Abril de 09 • IP Sofión • ARP Spoofing • Pasivos Vía Sniffing • Syn Flood • Fuerza Bruta sobre la red • Web Spoofing • Land Arquitectura de FIREWALL Definir: 1. Que es un firewall 2. Características 3. Los tipos de firewall o Hardware Router o Software Proxi 4. Ventajas y desventajas 5. Prevención

Carlos Manuel Rentería de la Cruz ‐ Página 2 de 15


Fundamentos de Seguridad en Redes MODULO II Clase Abril‐04‐09 Arquitectura de Firewall • Es el mecanismo utilizado para aisla dos redes. • Permite hacer enrutamiento (entrada y salida de paquetes) Características • Filtrado de paquetes • Routing • Filtrado de virus • Network Adress Translation (NAT) • Basado en reglas • Filtrado de puertos (PAT) • Detección de intrusos • Filtrado de contenido • Son administrables • Monitoreo de tráfico (log) • Establece redes privadas virtuales • Puede ser utilizado como Proxi • Segmenta las redes • Existe en hardware y software • Funciona con zonas • Puede ser utilizado en un esquema de disponibilidad activo‐activo, activo‐pasivo • Se puede hacer balanceo de carga • Virtualización ROUTING Direccionar paquetes entre las redes, a través de las listas de control de acceso.

Definir listas de acceso en un router, hay que saberlo hacer o nos daría una negación de servicio. Firewalls basados en Hardware Son dispositivos como cualquier elemento, tienen dos interfaces que cumplen un función: interface de LAN: todos los servicios en la red interna, interface definida para ello y una de WAN: Red pública – equipo activo: router. Empresas pequeñas donde no hay mucho tráfico en la red.

Carlos Manuel Rentería de la Cruz ‐ Página 3 de 15


Fundamentos de Seguridad en Redes MODULO II

• NAT: Red LAN con direcciones privadas. NAT 1:1 : una IP publica contra una IP Privada • La regla se construye hacia la dirección pública. • NAT de una IP Privada hacia internet a una IP Publica NAT 1: a muchos Todos los usuarios de muchas IP Privadas de red interna salen por una sola IP pública (Concepto de Proxi) • Capa de RED hasta Capa APLICACIÓN Firewall por Hardware de tres interfaces Una zona de LAN, una WAN, una zona DESMILITARIZADA Una zona intermedia entre la LAN y la WAN, porque se ubican los servicios que están en los servidores de cara hacia internet.

Direccionamiento: LAN: Privada WAN : Publica DMZ: Ambos Se hace NAT a todos los servicios menos a la BDatos: HTTP, SNMP Otro tipo de firewall por hardware que tiene 4 o más interfaces. • En este tipo de firewall se pueden definir las zonas.

Carlos Manuel Rentería de la Cruz ‐ Página 4 de 15


Fundamentos de Seguridad en Redes MODULO II

Firewall por Software • Filtrado de contenido: permite filtrar aquellas páginas que tiene la organización actualizadas. • Filtrar extensiones de archivos. Basado en reglas

IP Origen

IP Destino

Protocolo TCP UDP ICMP

Servicio

Ejercicio: Cualquier usuario de internet pueda acceder al servidor WEB IP Origen IP Destino Protocolo 0.0.0.0 200.10.12.4 TCP 192.168.1.3 DBATOS TCP Hacia el Correo interno 192.168.1.2 192.168.2.2 TCP

Acción

Servicio WEB 1433 25

Acción Permitir Permitir Permitir

Carlos Manuel Rentería de la Cruz ‐ Página 5 de 15


Fundamentos de Seguridad en Redes MODULO II Salida a internet Entrada desde Internet

200.10.12.5 0.0.0.0 TCP 0.0.0.0 200.10.12.5 TCP 192.168.2.2 192.168.1.2 TCP

25 25 25

Permitir Permitir Permitir

Carlos Manuel Rentería de la Cruz ‐ Página 6 de 15


Fundamentos de Seguridad en Redes MODULO II

Clase Abril 16/09 Firewall 3COM Office Firewall - Definir la dirección publica con la privada. Grupo Seguridad 2

Servicios en la red interna: Servicios Web, FTP, Telnet y otros Virtual Service Reglas a través del NAT 162.168.1.1 4 Direcciones validas o publicas

Carlos Manuel Rentería de la Cruz ‐ Página 7 de 15


Fundamentos de Seguridad en Redes MODULO II

Grupo Seguridad 2

Carlos Manuel Rentería de la Cruz ‐ Página 8 de 15


Fundamentos de Seguridad en Redes MODULO II Clase Abril-17 de 2009 Investigar que son las VPN, que es una VPN, • cuales son las características de las VPN, • que ventajas y que desventajas tenemos. • Tipos de VPN • Parámetros de configuración se requiere para las VPN

Carlos Manuel Rentería de la Cruz ‐ Página 9 de 15


Fundamentos de Seguridad en Redes MODULO II Clase Abril 20 de 2009 Investigar que son las VPN, •Que es una VPN, •cuales son las características de las VPN, •que ventajas y que desventajas tenemos. •Tipos de VPN •Parámetros de configuración se requiere para las VPN

Carlos Manuel Rentería de la Cruz ‐ Página 10 de 15


Fundamentos de Seguridad en Redes MODULO II Clase Abril 23 de 2009 VPN: Red Privada Virtual Costo mínimo y garantizar la privacidad de los servicios. Características

Conectar redes a través de la red pública de una manera segura: protocolo de conexión estándar para todos.

Escalabilidad en la tecnología: compatible en un protocolo.

Protocolo

Túnel

IPSEC

Tipos

Firewall to Firewall: Bidireccional Dos tipos de condición, de acceso abierto: se establece una regla con privilegios y de acceso controlado. Acceso Abierto: Tiene acceso a todos los servicios de la otra red. (LAN extendida). Acceso Controlado: Se establece solo un servicio en especial.

Firewall to Client: No es Bidireccional

Carlos Manuel Rentería de la Cruz ‐ Página 11 de 15


Fundamentos de Seguridad en Redes MODULO II

Acceso Controlado: Se establece solo un servicio en especial.

Cliente a Firewall

PROTOCOLO IPSEC Protocolo de encapsulamiento entre Capa de Red y Capa de Transporte y se definen unas condiciones para una conexión segura.

Deben hablar el mismo protocolo.

Se requieren las direcciones de origen destino válidas (públicas) porque son direcciones que se ven en internet. Red 1 con la Red 2

La condición es que se conozcan esas direcciones públicas.

Los parámetros de IPSEC son iguales en la Red 1 y Red 2.

La Red 1 (origen) debe configurar la Red pública de la Red2 (destino) y viceversa.

Tiene un sistema de autenticación. Un password que es conocido como el preshare key.

Se necesita un algoritmo de inscripción del túnel. (Método de cifrado). Métodos de cifrado simétrico: DES: 64 bits, 3DES: 128 bits, AES 128 y 256 bits y asimétrico. Fase de negociación.

Averiguar para el sábado: Que es criptografía Que es un criptograma Que es cifrado y que es descifrado Cuales son los algoritmos de inscripción de los métodos asimétrico y simétrico. Que significa cada uno de los DES, 3DES, AES Algoritmos de HASH: es un cheksum MD5 SHA1 Algoritmos de HASH: es un cheksum

Carlos Manuel Rentería de la Cruz ‐ Página 12 de 15


Fundamentos de Seguridad en Redes MODULO II

IKE EXCHANGE (intercambio dinámico de claves). Utiliza algoritmos de Diffie Helman de 768 bits / 1024 bits / 2048 bits Tiempo de vida o TIME LINE

Dominios de inscripción (redes privadas). o La Red 1 configura la LAN de la Red 2 y viceversa. o Se controlan a través de reglas

Regla de acceso controlado.

Garantiza confidencialidad, integridad, disponibilidad.

Carlos Manuel Rentería de la Cruz ‐ Página 13 de 15


Fundamentos de Seguridad en Redes MODULO II Clase Mayo 12 de 2009 Criptografía Seguridad Computacional: Niveles de seguridad: A1 > Encripcion de datos La criptografía es una ciencia enfocada a cifrar y descifrar información a través de modelos matemáticos, para que garantice la confidencialidad, la integridad, autenticidad y el no repudio. Métodos de cifrado (Encriptación) y descifrado (desencriptación) (por software y hardware: periféricos externos) Métodos de cifrado simétrico y asimétrico Métodos de cifrado simétrico: (taller Herramienta PGP) MÉTODO DE LLAVE PUBLICA: Entre origen y un destino tienen una clave publica, o sea que entre el origen y el destino conocen la información. Se utiliza la misma clave para cifrar y descifrar. El origen A + simétrico o clave publica + algoritmo

Mensaje A + Origen A + Cifrado + Clave publica Mensaje B + Destino B + Descifrado + Clave publica = Mensaje Original DES: Método de cifrado simétrico, utiliza 64 bits para cifrar y descifrar, repartido en dos: 56 bits para cifrar y descifrar y 8 bits de control. Ventaja: Rápido, Desventaja: Vulnerado, inseguro 3DES: Método de cifrado simétrico, utiliza 128 bits para cifrar y descifrar, repartido en dos: 116 bits para cifrar y descifrar y 12 bits de control. Ventaja: no ha sido vulnerado AES: Estándar avanzado de encriptación, 128 bits o 256 bits Ventajas: Son algoritmo de encripcion fuerte Desventaja: Son más lentos. ALGORITMOS DE HASH Métodos matemáticos que garantiza la integridad. Es un algoritmo que hace un resumen de los datos. Coge todos los datos, le calcula un valor y cuando se transmite el mensaje tiene que ser el mismo. CHECKSUM MD5: Algoritmo de resumen de mensaje, 128 bits Desventaja: Vulnerado SHA1: Algoritmo de Hash seguro, 160 bits, Desventaja: Lento Carlos Manuel Rentería de la Cruz ‐ Página 14 de 15


Fundamentos de Seguridad en Redes MODULO II Método Cifrado Asimétrico Objetivo: Cifrar y descifrar datos. IKI: Llave publica en los cuales se habla de un par de llaves: pública y privada Intercambio dinámico de llaves entre el origen y el destino. Origen tiene un mensaje X: Llave publica y una privada Destino tiene un mensaje Y: Llave publica y una privada El ORIGEN tiene 3 llaves: una pública del ORIGEN, publica del DESTINO, privada del ORIGEN. El DESTINO tiene 3 llaves: una pública del DESTINO, publica del ORIGEN, privada del DESTINO. Proceso: A: Mensaje X + Llave publica DESTINO + Algoritmo Asimétrico = Mensaje Cifrado. B: Mensaje Y cifrado + Llave privada DESTINO + Algoritmo Asimétrico = Mensaje descifrado de X. Algoritmos de método de cifrado asimétrico: Diffie Hellman: 768 bits, 1024 bits, 2048 bits Algoritmos de RSA: 2048 bits Herramienta PGP: Utilizada para aplicar el método asimétrico. 1. Generar el par de llaves: se genera la pública y a partir de la pública se genera la privada. PUBLICA: nombre@dominio.com.co y una cuenta valida de correo interno. ------ÆPRIVADA: clave de 8 caracteres a 2048. La clave la conoce quien genera la pública. 2. Intercambiar las llaves públicas Repositorio de llaves publicas nombre@dominio.com.co + llave privada nombreX@dominio.com.co nombreY@dominio.com.co 3. Cifrado de Datos Archivo + publica DESTINO = Archivo CIFRADO + privado DESTINO= Descifrado= Archivo ORIGINAL PGP Versión 8.1: Firma digital

Carlos Manuel Rentería de la Cruz ‐ Página 15 de 15


Fundamentos de Seguridad en Redes

MODELO DE REPORTE DE INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN Fecha de notificación:

Hora de notificación: DATOS DE LA PERSONA QUE NOTIFICA

Apellido y Nombres: Sede / C.R. / Delegado: Correo electrónico: Teléfono:

Área Interno:

/

Dependencia:

Teléfono particular:

INFORMACIÓN SOBRE EL INCIDENTE Fecha en que observó el incidente: Hora en que observó el incidente: Marque con una cruz todas las opciones que considere aplicables. Uso indebido de información crítica. Ingeniería social, fraude o phishing. Uso prohibido de un recurso informático o de Modificación no autorizada de un sitio o red de la Universidad. página web de la Universidad. Divulgación no autorizada de información personal.

Eliminación insegura de información.

Robo o pérdida de información. Interrupción prolongada en un sistema o servicio de red.

Modificación o eliminación no autorizada de datos. Anomalía o vulnerabilidad técnica de software. Amenaza o acoso por medio electrónico. Ataque o infección por código malicioso (virus, gusanos, troyanos, etc.)

Modificación, instalación o eliminación no autorizada de software.

Robo o pérdida de un recurso informático de la Universidad.

Acceso o intento de acceso no autorizado a un sistema informático.

Otro no contemplado. Describa:

Intrusión física. Destrucción no autorizada de información.

INFORMACIÓN SOBRE EL INCIDENTE Describa el incidente:

Si el incidente: •se trata de una infección por código malicioso, detalle en lo posible el nombre del virus detectado por el programa antivirus. •se trata de una anomalía o vulnerabilidad técnica, describa la naturaleza y efecto de la anomalía en términos generales, las condiciones en las cuales ocurrió la vulnerabilidad, los síntomas del problema y mensajes de error que aparezcan en pantalla. •se trata de un caso de fraude mediante correo electrónico (phishing), no elimine el mensaje de correo, contáctese en forma telefónica con el Depto. de S.I. y reenvíe el mensaje como adjunto a la dirección seguridad@empresa.com

Carlos Manuel Rentería – modelo de REPORTE DE INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

ANÁLISIS DEL ARTICULO IDENTIFICACION DE VULNERABILIDADES EN LA RED

Instructor: Ing. Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Febrero de 2009


IDENTIFICACION DE VULNERABILIDADES EN LA RED

ANÁLISIS DEL ARTICULO IDENTIFICACION DE VULNERABILIDADES EN LA RED Son tres los elementos que se denominan activos: información, tecnología y personas. 1. ACTIVOS Los activos son un elemento importante en la empresa y que necesita de la protección de toda la organización. 2. INTEGRIDAD La información no ha sido alterada en su contenido. Si la información sufre alteraciones en su versión original, ya pierde valor. 3. CONFIDENCIALIDAD Solo la persona encargada tiene acceso a la información. 4. DISPONIBILIDAD La información debe estar disponible a todo momento • Implementar sistemas de respaldo de la información. 5. AMENAZAS Fallos de seguridad que afectan los activos de la empresa. La amenaza se puede convertir en un riesgo. Tipos de Amenazas Naturales: Imprevistos. Ocurren en cualquier momento. Son fenómenos naturales: sismos, terremotos. Intencionales: Producidas por agentes externos: ataques, robos de todo tipo. Involuntarias: Errores humanos: virus informáticos. 6. VULNERABILIDES Es la debilidad de un sistema. Tipos de Vulnerabilidades Físicas: Instalaciones inadecuadas, mala señalización al interior de la empresa, ausencia de recursos. Naturales: Condiciones de la naturaleza: polvo, contaminación, humedad. De Hardware: Defectos de fabricación. Conservación inadecuada de los equipos. De Software: Instalaciones indebidas de programas. Libertad de uso. Aumento de riesgo. Medios de Almacenaje: Soportes físicos o magnéticos para almacenar la información. De Comunicación: Medios de transmisión. Humanas: Daños causados por las personas por desconocimiento o por falta de capacitación 7. RIESGOS Es la probabilidad de que las amenazas exploten los puntos débiles afectando la confidencialidad, la integración y la disponibilidad de la información.

Carlos Manuel Rentería De La Cruz Página 2 de 3


IDENTIFICACION DE VULNERABILIDADES EN LA RED 8. Medidas de Seguridad Acciones orientadas hacia la eliminación de vulnerabilidades evitando de que una amenaza se convierta en una realidad. Tipos de Medidas de Seguridad Preventivas: Considerar puntos débiles y amenazas. Perceptivas: Actos que pongan en riesgo la organización. Correctivas: Corrección del problemas de seguridad conforme a su ocurrencia.

Carlos Manuel Rentería De La Cruz Página 3 de 3


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

Norma BS-7799 Sistema de Gestión de seguridad de la información (SGSI) Norma ISO 17799 – Norma ISO 27001 Norma ISO 17799 – Norma ISO 27002

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz Luis Majin Cáceres Daza

Bogotá, Marzo de 2009


Fundamentos de Seguridad en Redes Norma BS-7799: Características y ventajas Origen de la normativa • • • • • • • • •

Grupo de trabajo – enero 1993 Emisión de código – Septiembre 1993 Publicación de BS 7799-1 Febrero 1995 Publicación de BS 7799-2 Febrero 1998 Publicación BS7799: 1999 1 y 2 Abril 1999 ISO 17799 (BS 7799-1) – Diciembre 2000 BS 7799-2 - Publicado en Septiembre 2002. ISO 17799 - Publicado Julio 2005 ISO 27001 – Publicado Noviembre 2005.

Introducción La información es un activo que posee cualquier organización, presentando distintas formas y valoraciones y como cualquier activo está sujeta a un riesgo. El riesgo es la posibilidad de que una amenaza se materialice y produzca un impacto en dicho activo teniendo consecuencias para la organización. La norma BS7799 establece las herramientas necesarias para poder establecer medidas de seguridad eficientes y además proporciona el vehículo para implantar un sistema que gestione esa seguridad. Tiene dos secciones: BS7799-1:1999(Parte 1). Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. Es un código ético o de buenas prácticas para garantizar la seguridad de la información. Desde el 1 de diciembre de 2000 está presente en el catálogo de normas de ISO/IEC como ISO/IEC 17799:2000 y desde noviembre de 2002 como norma española, con la referencia UNE-ISO/IEC 17799. ISO/IEC 17799-2000 – Basado en la BS 7799 Parte 1. • No hay una certificación • 10 Áreas de Control • 36 Objetivos de Control • 127 Controles BS7799-2:2002(Parte 2). Sistemas de Gestión de Seguridad de la Información (SGSI). Especificación con Guía para uso. Es una norma que proporciona un modelo para configurar y gestionar un sistema de gestión de la seguridad efectivo. Se alinea con otras normas como ISO 9001:2000, ISO14001:1996 para que la integración de los distintos sistemas de gestión se haga posible y tenga consistencia. Esta norma es certificable por entidades de certificación acreditadas. Carlos Manuel Rentería – Luis Majin Cáceres Daza ‐ Página 2


Fundamentos de Seguridad en Redes British Standard 7799 Parte 2 – Aporta conceptos de implantación obligatorios para certificar: • Requisitos para Sistemas de Gestión de Seguridad de la información. • Vinculada con la BS 7799-1 (ISO/IEC 17799) • Proceso de Evaluación para Certificación. • Obsoleta. • ISO/IEC 27001. • Basada en la BS 7799:2 En esta línea de actuación podemos definir dos servicios básicos: Diagnostico de la seguridad de la información. Implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). DIAGNÓSTICO DE LA SEGURIDAD DE LA INFORMACIÓN Descripción del servicio Consta de las siguientes fases: 1. Estudio de las necesidades del cliente. 2. Realización de la lista de chequeo completa sobre: a. 10 cláusulas de control. b. 36 objetivos de control. c. 127 controles específicos. 3. Emisión de informe de evaluación. El objeto del servicio es determinar cual es el nivel de seguridad con respecto a la norma BS7799 y de esta forma poder evaluar una posible implantación + certificación del SGSI de su organización. Alenta y chequea las siguientes cláusulas y objetivos de control: CLAUSULAS

OBJETIVOS DE CONTROL

1. Política de seguridad

Documento de política de seguridad. Revisión del documento de política de seguridad.

2. Organización de la seguridad

Infraestructura de organización de la seguridad (Foro de gestión de seguridad de la información, Coordinación, Asignación de responsabilidades, Autorización de nuevas instalaciones, Asesoramiento de especialistas, Cooperación entre organizaciones, Revisión independiente de la seguridad). Seguridad en acceso de terceras partes. Externalización (Outsourcing).

3. Clasificación y control de Inventario de activos. Clasificación de la información. activos 4. Seguridad ligada al personal

La seguridad en la definición de los puestos y en la captación de personal. Formación de los usuarios. Respuesta ante incidentes de seguridad.

5. Seguridad física y del entorno

Areas seguras. Seguridad del equipamiento.

Carlos Manuel Rentería – Luis Majin Cáceres Daza ‐ Página 3


Fundamentos de Seguridad en Redes Controles generales (Protección de la información en el puesto, entrada y salida de equipamiento, información y software). 6. Comunicaciones y gestión de explotación

Procedimientos operativos y responsabilidades. Planificación y aceptación de sistemas. Protección frente a software malicioso. Procedimientos operativos. Gestión de red. Manipulación y seguridad de los soportes. Intercambio de información y de software.

7. Control de acceso al sistema

Requisitos y política de control de acceso. Gestión del acceso de usuarios. Responsabilidades del usuario. Control de acceso a servicios en red. Control de acceso al sistema operativo. Control de acceso a las aplicaciones. Seguimiento del acceso y uso del sistema. Móviles y teletrabajo.

8. Desarrollo y mantenimiento

Requisitos de seguridad de los sistemas. Seguridad en las aplicaciones. Uso de Criptografía. Seguridad de los archivos del sistema. Seguridad en desarrollo y mantenimiento.

9. Plan de continuidad

Gestión de la continuidad de los servicios.

10. Conformidad

Conformidad con requisitos de carácter legal. Conformidad en aspectos técnicos. Auditoría del sistema.

Sistema de Gestión de seguridad de la información (SGSI): Dominio – seguridad SGSI: Aquella parte del sistema general de gestión parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información. Es la herramienta de que dispone la Dirección para implantar las políticas y objetivos de SI. La seguridad de la información se caracteriza como la preservación de: • su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información; • su integridad, asegurando que la información y sus métodos de proceso son exactos y completos. • su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. MARCO GENERAL DEL SGSI • Requisitos generales. Planificación y diseño del SGSI • Selección de controles • Documentación y Control de documentación. Registros • Responsabilidades de la Dirección

Carlos Manuel Rentería – Luis Majin Cáceres Daza ‐ Página 4


Fundamentos de Seguridad en Redes IMPLANTACIÓN DEL SGSI • IMPLANTACIÓN y análisis de la eficiencia de los controles • EXPLOTACIÓN: Provisión de recursos materiales y humanos • REVISIÓN DEL SGSI: Auditorias internas. Revisión por Dirección • PROCESO DE MEJORA: Mejora continúa. Acción correctora y preventiva Requisitos de Certificación del SGSI La norma establece requisitos para Establecer, Implementar y Documentar un SGSI. • Definir el alcance del SGSI (fronteras) • Definir una política de seguridad • Identificar activos • Realizar el análisis de riesgos de activos. • Identificar las áreas débiles de los activo • Tomar decisiones para manejar el riesgo • Seleccionar los controles apropiados • Implementar y manejar los controles seleccionados • Elaborar la declaración de aplicabilidad Certificación del SGSI • •

• • •

La certificación no implica que la organización a obtenido determinado niveles de seguridad de la información para sus productos y/o servicios. Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la información, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios. Procesos análogos a los de las normas ISO 9001 e ISO 14000. Certificado con duración de 3 años. En cada País – Actualmente en proceso de homologación por las instituciones locales. – Opciones: • (Ej. Uruguay) UNIT/ISO/IEC 27001:2006 • (Ej. España) AENOR UNE 71502 • ISO/IEC 27001. – Internacionalmente – El más amplio reconocimiento. – Ampliamente reconocida a nivel profesional. – Estándar de la industria. – Requerida por importantes empresas a sus Proveedores.

Carlos Manuel Rentería – Luis Majin Cáceres Daza ‐ Página 5


Fundamentos de Seguridad en Redes RELACIONES Y DIFERENCIAS DE LAS NORMAS 17799 y 27001 Relación de las normas

Nuevas Versiones ISO/IEC

Norma ISO 17799: 2000 10 Áreas de Control • • • • • • • • • •

Política de Seguridad Aspectos organizativos para la seguridad Clasificación y control de los activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestión de continuidad del negocio Conformidad

Carlos Manuel Rentería – Luis Majin Cáceres Daza ‐ Página 6


Fundamentos de Seguridad en Redes ISO/IEC 17799:2005 11 Áreas de Control • • • • • • • • • • •

Política de Seguridad Organización de la Seguridad de la Información Gestión de Activos Seguridad en los Recursos Humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad Gestión de continuidad del negocio Conformidad

NORMA PNE-ISO/IEC 27001 (ISO/IEC 27001: 2005) OBJETIVOS Especificaciones para los Sistemas de Gestión de la Seguridad de la Información. Objeto y Campo de Aplicación Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas. Diferencias entre ISO 27001 e ISO 27002 En muchos casos, tanto entre los profanos como entre los entendidos, es habitual escuchar hablar de ISO 27001 e ISO 27002 (ex-ISO 17799) como de dos normas equivalentes. En el primer caso no me parece grave, y es incluso previsible, pero creo que las personas más expertas deberían hablar con más propiedad, sobre todo teniendo en cuenta los problemas que puede ocasionar la confusión de ambas normas. Porque, aunque puede que alguien se escandalice al oirlo, ambas normas son MUY distintas. Cuando hablo de las diferencias entre ellas no me refiero sencillamente al hecho de que una (27002) sea un código de buenas prácticas y la otra (27001) una especificación, sino a la filosofía y alcance que tienen una y otra. La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad, Los objetivos de seguridad a perseguir, una serie de consideraciones (controles) a tener en cuanta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias" que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en cuestión.

Carlos Manuel Rentería – Luis Majin Cáceres Daza ‐ Página 7


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

Dominios de Seguridad, Objetivos de Control y Controles

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Marzo de 2009


Fundamentos de Seguridad en Redes

DOMINIOS DE SEGURIDAD 1. Dominio de políticas de seguridad Las organizaciones deben definir, implementar, actualizar y divulgarlas las políticas de seguridad Objetivo de control 1.1 Política de seguridad de información: Proporcionar dirección gerencial y apoyo a la seguridad de la información en concordancia con los requerimientos comerciales y leyes y regulaciones relevantes Controles 1.1.1 Documentar política de seguridad de información: La gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los empleados y entidades externas relevantes. 1.1.2 Revisión de la política de seguridad de la información: Control La política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad. 2 La organización de seguridad de la información La estructura del área de seguridad de la información en una empresa Objetivo de control 2.1 Organización interna Objetivo: Manejar la seguridad de la información dentro de la organización. 2.1.1 Compromiso de la gerencia con la seguridad de la información: La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconocimiento de las responsabilidades de la seguridad de la información. 2.1.2 Coordinación de la seguridad de información: Control Las actividades de seguridad de la información deben ser coordinadas por representantes de las diferentes partes de la organización con las funciones y roles laborales relevantes. 2.1.3 Asignación de responsabilidad desde la seguridad de la información: Se deben definir claramente las responsabilidades desde la seguridad de la información. 2.1.4 Proceso de autorización para los medios de procesamiento de información: Se debe definir e implementar un proceso de autorización gerencial para los nuevos medios de procesamiento de información. Página 2 de 17


Fundamentos de Seguridad en Redes

2.1.5

Acuerdos de confidencialidad: Control Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los acuerdos de no-divulgación reflejando las necesidades de la organización para la protección de la información.

2.1.6 Contacto con autoridades: Se debe mantener los contactos apropiados con las autoridades relevantes. 2.1.7

Contacto con grupos de interés especial: Se deben mantener contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales.

2.1.8 Revisión independiente de la seguridad de la información: El enfoque de la organización para manejar la seguridad de la información y su implementación (es decir; objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios significativos para la implementación de la seguridad. 2.2

Entidades externas Objetivo: Mantener la seguridad de la información de la organización y los medios de procesamiento de información a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados por entidades externas.

2.2.1 Identificación de riesgos relacionados con entidades externas: Se deben identificar los riesgos que corren la información y los medios de procesamiento de información de la organización y se deben implementar los controles apropiados antes de otorgar acceso. 2.2.2 Tratamiento de la cuando seguridad se trabaja con clientes: Se deben tratar todos los requerimientos de seguridad identificados antes de otorgar a los clientes acceso a la información o activos de la organización. 2.2.3 Tratamiento de la seguridad en contratos con terceras personas: Los acuerdos que involucran acceso, procesamiento, comunicación o manejo por parte de terceras personas a la información o los medios de procesamiento de información de la organización; agregar productos o servicios a los medios de procesamiento de la información deben abarcar los requerimientos de seguridad necesarios relevantes.

3 Gestión de Activos La organización tiene unos activos: asignar responsables y hay que tener en cuenta que la información es una activo. 3.1

Responsabilidad por los activos Página 3 de 17


Fundamentos de Seguridad en Redes

Objetivo: Lograr y mantener la protección apropiada de los activos organizacionales. 3.1.1 Inventarios de activos: Todos los activos deben estar claramente identificados; y se debe elaborar y mantener un inventario de todos los activos importantes. 3.1.2 Propiedad de los activos: Toda la información y los activos asociados con os medios de procesamiento de la información deben ser ‘propiedad’3 de una parte designada de la organización. 3.1.3 Uso aceptable de los activos: Se deben identificar, documentar e implementar las reglas para el uso aceptable de la información y los activos asociados con los medios de procesamiento de la información. 3.2

Clasificación de la información Objetivo: Asegurar que a información reciba un nivel de protección apropiado.

3.2.1 Lineamientos de clasificación: La información debe ser clasificada en términos de su valor, requerimientos legales, confidencialidad y grado crítico para la organización. 3.2.2 Etiquetado y manejo de la información: Se debe desarrollar e implementar un apropiado conjunto de procedimientos para etiquetar y manejar la información en concordancia con el esquema de clasificación adoptado por la organización. 4 Seguridad de los recursos humanos 4.1

Antes del empleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean adecuados para los roles para los cuales se les considera; y reducir el riesgo de robo, fraude o mal uso de los medios.

4.1.1 Roles y responsabilidades: Se deben definir y documentar los roles y responsabilidades de seguridad de los empleados, contratistas y terceros en concordancia con la política de la seguridad de información de la organización. 4.1.2 Selección: Se deben llevar a cabo chequeos de verificación de antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las leyes, regulaciones y ética relevante, y deben ser proporcionales a los requerimientos comerciales, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos. 4.1.3 Términos y condiciones de empleo: Como parte de su obligación contractual; los empleados, contratistas y terceros deben aceptar y firmar los términos y condiciones de su contrato de empleo, el cual debe Página 4 de 17


Fundamentos de Seguridad en Redes

establecer sus responsabilidades y las de la organización para la seguridad de la información. 4.2

Durante el empleo Objetivo: Asegurar que todos los empleados, contratistas y terceros estén al tanto de las amenazas y inquietudes sobre la seguridad de información, sus responsabilidades y obligaciones, y que estén equipados para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir los riesgos de error humano.

4.2.1 Gestión de responsabilidades: La gerencia debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las políticas y procedimientos establecidos de la organización. 4.2.2 Capacitación y educación en seguridad de la información: Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitación y actualizaciones regulares de las políticas y procedimientos organizacionales, conforme sean relevantes para su función laboral. 4.2.3 Proceso disciplinario: Debe existir un proceso disciplinario formal para os empleados que han cometido una violación en la seguridad. 4.3

Terminación o cambio del empleo Objetivo: Asegurar que los empleados, contratistas y terceros salgan de una organización o cambien de empleo de una manera ordenada.

4.3.1 Responsabilidad desde terminación: Se deben definir y asignar claramente las responsabilidades para realizar la terminación o cambio del empleo. 4.3.2 Devolución de activos: Todos los empleados, contratistas y terceros deben devolver todos los activos de la organización que estén en su posesión a la terminación de su empleo, contrato o acuerdo. 4.3.3 Eliminación de derechos de acceso: Los derechos de acceso de todos los empleados, contratistas y terceros a la información y medios e procesamiento de la información deben ser eliminados a la terminación de su empleo, contrato o acuerdo, o se deben ajustar al cambio.

5 Seguridad física y ambiental Las organizaciones tienen personas: dominio del recurso humano. Control en la contratación: antes, dentro y después 5.1

Áreas seguras Objetivo: Evitar el acceso físico no autorizado, daño e interferencia al local y la información de la organización. Página 5 de 17


Fundamentos de Seguridad en Redes

5.1.1 Perímetro de seguridad física: Se debe utilizar perímetros de seguridad (barreras tales como paredes y puertas de ingreso controlado o recepcionistas) para proteger áreas que contienen información y medios de procesamiento de información. 5.1.2 Controles de entrada físicos: Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado. 5.1.3 Seguridad de oficinas, habitaciones y medios: Se debe diseñar y aplicar seguridad física en las oficinas, habitaciones y medios. 5.1.4 Protección contra amenazas externas y ambientales: Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, disturbios civiles y otras formas de desastre natural o creado por el hombre. 5.1.5 Trabajo en áreas seguras: Se debe diseñar y aplicar protección física y lineamientos para trabajar en áreas seguras. 5.1.6 Áreas de acceso público, entrega y carga: Se deben controlar los puntos de acceso como las áreas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislare los medios de procesamiento de la información para evitar un acceso no autorizado. 5.2

Seguridad del equipo Objetivo: Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la

5.2.1 Ubicación y protección del equipo: El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado. 5.2.2 Servicios públicos: El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos.

5.2.3 Seguridad en el cableado Control El cableado de la energía y las telecomunicaciones que llevan data o sostiene los servicios de información deben ser protegidos de la intercepción o daño. 5.2.4 Mantenimiento de equipo: El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad. 5.2.5 Seguridad del equipo fuera del local: Se debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organización. Página 6 de 17


Fundamentos de Seguridad en Redes

5.2.6 Eliminación seguro o reuso del equipo: Todos los ítems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia antes de su eliminación. 5.2.7 Traslado de Propiedad: Equipos, información o software no deben ser sacados fuera de la propiedad sin previa autorización. 6 Gestión de las comunicaciones y operaciones Los procesos de la empresa y la parte operacional de la misma Red interna y externa, tiene comunicación con entes internos. 6.1.1 Procedimientos y responsabilidades operacionales Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. 6.1.2 Procedimientos de operación documentados: Se deben documentar y mantener los procedimientos de operación, y se deben poner a disposición de todos los usuarios que los necesiten. 6.1.3 Gestión de cambio: Se deben controlar los cambios en los medios y sistemas de procesamiento de la información. 6.1.4 Segregación de deberes: Se deben segregar los deberes y áreas de responsabilidad para reducir las oportunidades de una modificación noautorizada o no-intencionada o un mal uso de los activos de la organización. 6.1.5 Separación de los medios de desarrollo y operacionales: Se deben separar los medios de desarrollo, prueba y operacionales para reducir los riesgos de accesos no-autorizados o cambios en el sistema de operación.

Página 7 de 17


Fundamentos de Seguridad en Redes

6.2

Gestión de la entrega del servicio de terceros Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y entrega del servicio en línea con los contratos de entrega del servicio de terceros.

6.2.1 Entrega del servicio: Se debe asegurar que los terceros implementen, operen y mantengan los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el contrato de entrega del servicio de terceros. 6.2.2 Monitoreo y revisión de los servicios de terceros: Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditorías se deben llevar a cabo regularmente. 6.2.3 Manejar los cambios en los servicios de terceros: Se deben manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad existentes, tomando en cuenta el grado crítico de los sistemas y procesos comerciales involucrados y la reevaluación de los riesgos. 6.3

Planeación y aceptación del sistema Objetivo: Minimizar el riesgo de fallas en los sistemas.

6.3.1 Gestión de capacidad: Se deben monitorear, afinar y realizar proyecciones del uso de los recursos para asegurar el desempeño del sistema requerido. 6.3.2 Aceptación del sistema: Se deben establecer los criterios de aceptación para los sistemas de información nuevos, actualizaciones y versiones nuevas y se deben llevar a cabo pruebas adecuadas del(los)sistema(s) durante su desarrollo y antes de su aceptación. 6.4

Protección contra software malicioso y código móvil Objetivo: Proteger la integridad del software y la información.

6.4.1 Controles contra software malicioso: Se deben implementar controles de detección, prevención y recuperación para protegerse de códigos malicioso y se deben implementar procedimientos de conciencia apropiados. 6.4.2 Controles contra códigos móviles: Cuando se autoriza el uso de un código móvil, a configuración debe asegurar que el código móvil autorizado opere de acuerdo a una política de seguridad claramente definida, y se debe evitar que se ejecute un código móvil no-autorizado.

6.5

Respaldo (back-up) Página 8 de 17


Fundamentos de Seguridad en Redes

Objetivo: Mantener la integridad y disponibilidad de los servicios de procesamiento de información y comunicaciones. 6.5.1 Back-up o respaldo de la información: Se deben realizar copias de backup o respaldo de la información comercial y software esencial y se deben probar regularmente de acuerdo a la política. 6.6

Gestión de seguridad de redes Objetivo: Asegurar la protección de la información en redes y la protección dela infraestructura de soporte.

6.6.1 Controles de red: Las redes deben ser adecuadamente manejadas y controladas para poderlas proteger de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en tránsito. 6.6.2 Seguridad de los servicios de red: Se deben identificar los dispositivos de seguridad, niveles de servicio y los r requerimientos e incluirlos en cualquier contrato de servicio de red, ya sea que estos servicios sean provistos encasa o sean abastecidos externamente. 6.7

Gestión de medios Objetivo: Evitar la divulgación, modificación, eliminación o destrucción no autorizada de los activos; y la interrupción de las actividades comerciales.

6.7.1 Gestión de los medios removibles: Deben existir procedimientos para la gestión de medios removibles. 6.7.2 Eliminación de medios: Los medios deben ser eliminados utilizando procedimientos formales y de una manera segura cuando ya no se les requiere. 6.7.3 Procedimientos de manejo de la información: Se deben establecer los procedimientos para el manejo y almacenaje de la información para proteger dicha información de una divulgación no autorizada o un mal uso. 6.7.4 Seguridad de documentación del sistema: Se documentación de un acceso no autorizado. 6.8

debe

proteger

la

Intercambio de información Objetivo: Mantener la seguridad de la información y software intercambiados dentro de una organización y con cualquier entidad externa.

6.8.1 Procedimientos y políticas de información y software: Se deben establecer política, procedimientos y controles de intercambio formales para Página 9 de 17


Fundamentos de Seguridad en Redes

proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. 6.8.2 Acuerdos de intercambio: Se deben establecer acuerdos para el intercambio e información y software entre la organización y entidades externas. 6.8.3 Medios físicos en tránsito: Los medios que contienen información deben ser protegidos contra un acceso no-autorizado, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización. 6.8.4 Mensajes electrónicos: Se debe proteger adecuadamente los mensajes electrónicos. 6.8.5 Sistemas de información comercial: Se deben desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información comercial. 6.9

Servicios de comercio electrónico Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro.

6.9.1 Comercio electrónico: Se debe proteger la información involucrada en el comercio electrónico que se trasmite a través de redes públicas de cualquier actividad fraudulenta, disputa contractual y divulgación y modificación no autorizada. 6.9.2 Transacciones en línea: Se debe proteger la información involucrada en las transacciones en-línea para evitar la transmisión incompleta, rutas equivocadas, alteración no-autorizada del mensaje, divulgación no autorizada, y duplicación o re-envío no autorizado del mensaje. 6.9.3 Información: Disponible públicamente Se debe proteger la integridad de la información disponible públicamente para evitar la modificación no autorizada. 6.10

Monitoreo Objetivo: Detectar actividades de procesamiento de información no autorizadas.

6.10.1 Registro de auditoria: Se deben producir registros de la actividades de auditoria, excepciones y eventos de seguridad dela información y se deben mantener durante un período acordado para ayudar en investigaciones futuras y monitorear el control de acceso. 6.10.2 Protección de la información del registro: acceso no-autorizado. 6.10.3 Registros del administrador y operador: Se deben registrar las actividades del administrador y operador del sistema. Página 10 de 17


Fundamentos de Seguridad en Redes

6.10.4 Registro de fallas: Tomar la acción apropiada. 6.10.5 Sincronización de relojes: Información relevantes de una organización o dominio de seguridad deben estar sincronizados con una fuente de tiempo exacta acordada. 6.11

Uso del sistema de monitoreo: Se deben establecer procedimientos para monitorear el uso de los medios de procesamiento de información y el resultado de las actividad desde monitoreo se debe revisar regularmente.

7 Controles de acceso: Las organizaciones deben tener un control de acceso que la organización debe tener para ingresar a ella y a las zonas perimetrales. (debe tener un usuario y una clave). Gestión y administración de usuarios. 7.1

Requerimiento comercial para el control del acceso. Objetivo: Controlar acceso a la información

7.1.1 Política de control de acceso: Se debe establecer, documentar y la política requerimientos de seguridad y comerciales. 7.1.2 Gestión del acceso del usuario: Asegurar el acceso al usuario autorizado a los sistemas de información. 7.1.3 Inscripción del usuario: Procedimiento formal para la inscripción y desinscripción para otorgar acceso a todos los sistemas y servicios de información. 7.1.4 Gestión de privilegios: Uso de los privilegios. 7.1.5 Gestión de la clave del usuario: La asignación de claves a través de un proceso de gestión formal. 7.1.6 Revisión de los derechos de acceso del usuario: La gerencia debe revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal. 7.2

Responsabilidades del usuario Objetivo: Evitar el acceso de usuarios no autorizados y el compromiso o robo de la información y los medios de procesamiento de la información.

7.2.1 Uso de clave: Se debe requerir que los usuarios sigan buenas prácticas de seguridad en la selección y uso de las claves. 7.2.2 Equipo de usuario desatendido: Se debe requerir que los usuarios se aseguren de dar la protección apropiada al equipo desatendido. 7.2.3 Política de pantalla y escritorio limpio: Se debe adoptar una política de escritorio limpio para los documentos y medios de almacenar los medios de procesamiento de la información. Página 11 de 17


Fundamentos de Seguridad en Redes

7.3

Control de acceso a redes Objetivo: Evitar el acceso no-autorizado a los servicios en red.

7.3.1 Política sobre el uso de servicios en red: Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados a usar. 7.3.2 Autenticación del usuario para conexiones externas: Controlar el acceso de usuarios remotos. 7.3.3 Identificación del equipo en red: Se debe considerar la identificación automática de conexiones desde equipos y ubicaciones específicas. 7.3.4 Protección del puerto de diagnóstico remoto Control puertos de diagnóstico y configuración. 7.3.5 Segregación en redes: Los servicios de información, usuarios y sistemas de información se deben segregar en las redes. 7.3.6 Control de conexión de redes: Los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizaciones, en concordancia requerimientos de las aflicciones comerciales. 7.3.7 Control de ‘routing’ de redes: Para las redes para asegurar que las conexiones de cómputo y política de control de acceso de las aplicaciones comerciales. 7.4

Control de acceso al sistema de operación Objetivo: Evitar acceso no autorizado a los sistemas operativos.

7.4.1 Procedimientos de registro en el terminal: Se debe controlar ellos servicios operativos seguro. 7.4.2 Identificación y autenticación del usuario: Todos los usuarios deben tener un identificador personal (ID de usuario) para su uso personal y exclusivo, se debe elegir la técnica de autenticación adecuada para verificar la identidad del usuario. 7.4.3 Sistema de gestión de claves: Los sistemas de manejo de claves deben ser claves. 7.4.4 Uso de utilidades del sistema: uso de los programas de utilidad que por superar al sistema y los controles de aplicación. 7.4.5 Sesión inactiva: Las sesiones inactivas deben cerrarse después de un período de inactividad definido. Página 12 de 17


Fundamentos de Seguridad en Redes

7.4.6 Limitación de tiempo de conexión: Se debe utilizar restricciones sobre los tiempos de conexión para proporcionar seguridad adicional a las aplicaciones de alto riesgo. 7.5

Control de acceso a la aplicación e información Objetivo: Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.

7.5.1 Restricción al acceso a la información: Se debe restringir el acceso de los usuarios y personal de soporte a aplicación en concordancia con la política de control de acceso definida. 7.5.2

Aislamiento del sistema sensible: Los sistemas sensibles deben tener un ambiente de cómputo dedicado (aislado).

7.6

Computación móvil y tele-trabajo Objetivo: Asegurar la seguridad de la información cuando se utilice medios computación móvil y tele-trabajo.

7.6.1 Computación móvil y comunicaciones: Contra los riesgos de medios de computación y comunicación móviles. 7.6.2 Tele-trabajo: Se deben desarrollar e implementar políticas, planes operacionales y procedimientos para actividades de tele-trabajo. 8 Adquisición, desarrollo y mantenimiento de los sistemas de información. 8.1

Requerimientos de seguridad de los sistemas información. Objetivos: Asegurar que la seguridad sea una parte integral de los sistemas de información.

8.1.1 Análisis y especificación delos requerimientos de seguridad: Los enunciados de los requerimientos comerciales existentes deben especificar los requerimientos de los controles de seguridad. 8.2

Procesamiento correcto en las aplicaciones información en las aplicaciones. Objetivos: Evitar errores, pérdida, modificación no-autorizada o mal uso de la información en las aplicaciones.

8.2.1 Validación de data de Insumo: El Insumo de data en las aplicaciones debe ser validado para asegurar que esta data sea correcta y apropiada. 8.2.2 Control de procesamiento interno: Se deben incorporar chequeos de validación en las aplicaciones para detectar cualquier corrupción de la información a través de errores de procesamiento o actos deliberados.

Página 13 de 17


Fundamentos de Seguridad en Redes

8.2.3 Integridad del mensaje: Se deben identificar los requerimientos para asegurar la autenticidad y protección de la integridad del mensaje en las aplicaciones y se deben identificar e implementar los controles apropiados. 8.2.4 Validación de data de output: Se debe validar el output de data de una aplicación para asegurar que el procesamiento dela información almacenada sea correcto y apropiado para las circunstancias. 8.3

Controles criptográficos Objetivos: Proteger la confidencialidad, autenticidad o integridad de información a través de medios criptográficos.

8.3.1 Política sobre el uso de controles criptográficos: Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información. 8.3.2 Gestión clave: Se debe utilizar una gestión de clave para dar soporte al uso de las técnicas de criptografía en la organización. 8.4

Seguridad de los archivos del sistema Objetivo: Garantizar la seguridad de los archivos del sistema.

8.4.1 Control de software operacional: Se debe contar con procedimientos para controlarla instalación de software en los sistemas operacionales. 8.4.2 Protección de la data de prueba del sistema: Se debe seleccionar cuidadosamente, proteger y controlar la data de prueba. 8.4.3 Control de acceso al código fuente del programa: Se debe restringir el acceso al código fuente del programa. 8.5

Seguridad en los procesos de desarrollo y soporte Objetivo: Mantener la seguridad del software e información del sistema de aplicación.

8.5.1 Procedimientos de control de cambio: La implementación de cambios se debe controlar mediante el uso de procedimientos formales decontrol de cambios. 8.5.2 Revisión técnica de las aplicaciones después de cambios en el sistema operativo: Cuando se cambian los sistemas operativos, se deben revisar y probar las aplicaciones críticas del negocio para asegurar que no exista un impacto adverso en las operaciones o seguridad organizacional. 8.5.3 Restricciones sobre los cambios en los paquetes de software: No se deben fomentar las modificaciones a los paquetes de software, se deben limitar a los cambios necesarios y todos los cambios deben ser controlados estrictamente. Página 14 de 17


Fundamentos de Seguridad en Redes

8.5.4 Filtración de información: Se deben evitar las oportunidades de filtraciones en la información. 8.5.5 Desarrollo de outsourced software: El desarrollo de software que ha sido outsourced debe ser supervisado y monitoreado por la organización. 8.6

Gestión de vulnerabilidad técnica Objetivo: Reducir los riesgos resultantes vulnerabilidades técnicas publicadas

de

la

explotación

de

8.6.1 Control de vulnerabilidades técnicas: Se debe obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información en uso, se debe evaluar la exposición de la organización ante esas vulnerabilidades, y se deben tomar las medidas apropiadas para tratar el riesgo asociado. 9 Gestión de incidentes en la seguridad de la información Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestión de las seguridad de la información. 9.1

Responsabilidades y procedimientos: Se deben establecer las responsabilidades y procedimientos gerenciales para asegurar una efectiva y ordenada a los incidentes de seguridad de la información.

9.2

Aprendizaje de los incidentes en la seguridad de la información: Deben existir mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información.

9.3

Recolección de evidencia: Cuando la acción de seguimiento contra una persona o una organización después de un incidente en la seguridad de la información involucra una acción legal (sea civil o criminal), se debe recolectar, mantener y presentar la evidencia para cumplir las reglas de evidencia establecidas en las jurisdicciones relevantes.

10 Gestión de la continuidad comercial Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna. 10.1

Incluir seguridad de la información en el proceso de gestión de continuidad comercial: Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a través de toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.

10.2

Continuidad comercial y evaluación del riesgo: Se deben identificar los eventos que causan interrupciones en los procesos comerciales, junto con Página 15 de 17


Fundamentos de Seguridad en Redes

la probabilidad e impacto de dichas interrupciones y sus consecuencias e para la seguridad de la información. 10.3

Desarrollar e implementar planes de continuidad incluyendo seguridad de la información: Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar a disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falla en los procesos comerciales.

10.4

Marco referencial para la planeación de la continuidad comercial: Se deben proteger los registros importantes de una organización de pérdida, destrucción y falsificación, en concordancia con los requerimientos estatutarios, reguladores, contractuales y comerciales.

10.5

Prueba, mantenimiento y re-evaluación de planes de continuidad comerciales: Los planes de continuidad comercial se deben probar y actualizar regularmente para asegurar que estén actualizados y sean efectivos.

11 Cumplimiento requerimientos legales Actualizar las políticas de seguridad Entidades que regulan a las empresas a nivel externos Controles que se deben adoptar en la organización (auditorias internas) Objetivo: Evitar violaciones de cualquier ley, obligación reguladora o contractual y de cualquier requerimiento de seguridad. 11.1

Identificación de legislación aplicable: Se deben definir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales y el enfoque de la organización relevante para cada sistema de información y la organización.

11.1.1 Derechos de propiedad intelectual (IPR): Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de los productos de software patentado. 11.1.2 Protección los registros organizacionales: Se deben proteger los registros importantes de una organización de pérdida, destrucción y falsificación, en concordancia con los requerimientos estatutarios, reguladores, contractuales y comerciales. 11.1.3 Protección de data y privacidad de información personal: Se deben asegurar la protección y privacidad tal como se requiere en la legislación relevante, las regulaciones y si fuese aplicable las cláusulas contractuales. 11.1.4 Prevención de mal uso de medios de procesamiento de información: Se debe desanimar a los usuarios de utilizar los medios de procesamiento de la información para propósitos no-autorizados. Página 16 de 17


Fundamentos de Seguridad en Redes

11.1.5 Regulación de controles criptográficos: Se deben utilizar controles en cumplimiento con los acuerdos, leyes y regulaciones relevantes. 11.2

Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

11.2.1 Cumplimiento con las políticas y estándares de seguridad: Los gerentes deben asegurar que todos los procedimientos de seguridad dentro de su área de responsabilidad sean realizados correctamente en cumplimiento con las políticas y estándares de seguridad. 11.2.2 Chequeo de cumplimiento técnico: Los sistemas de información deben chequearse regularmente para el cumplimiento con los estándares de implementación de la seguridad. 11.3

Consideraciones de auditoria de los sistemas de información Objetivo: Maximizar la efectividad de y minimizar la interferencia de/desde el proceso de auditoria de los sistema de información.

11.3.1 Controles de auditoria de sistemas de información: Se deben planear cuidadosamente los requerimientos y actividades de las auditorias que involucran chequeo de los sistemas operacionales y se debe acordar minimizar el riesgo de interrupciones en los procesos comerciales. 11.3.2 Protección de las herramientas de auditoria de los sistemas de información: Se debe proteger el acceso a las herramientas de auditoría de los sistemas de información para evitar cualquier mal uso o compromiso posible.

Página 17 de 17


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

Qué significa DNS

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Marzo de 2009


Qué significa DNS Qué significa DNS? DNS significa Domain name Server ¿Para que sirve un servidor DNS? Un servidor DNS sirve para transformar la IP de un servidor web en un dominio. Para que podamos entender que es un servidor DNS, deberemos explicar mediante un gráfico, como se compone la estructura de Internet para una página web cualquiera:

Como podemos ver en la imagen, existen tres elementos indispensables en Internet para que esta sea posible. •Servidor web: Es un servidor que está acondicionado para servir páginas web las 24 horas del día. •Dominio: Es el nombre del dominio con que nos buscará la gente en Internet, introduciéndolo la barra de direcciones del navegador. •Servidor DNS: Es el encargado de transformar la IP de un servidor web, en el nombre del dominio. El funcionamiento es el siguiente, cuando ponemos por ejemplo, cdmon.com en la barra del explorador, este realiza la consulta en Internet de cómo está configurado este dominio. El servidor DNS le indica a nuestro explorador que tiene que ir a buscar la información de la página web a la IP del servidor web.

Página 2 de 6


Qué significa DNS

Página 3 de 6


Qué significa DNS El explorador envía la petición de la página web al servidor web, indicándole el nombre del dominio que desea. El servidor web sirve la página web y el explorador la muestra. Todo esto pasa en cuestión de milésimas de segundo.

El proceso es mucho más complejo que lo citado ahora ya que intervienen más elementos tecnológicos, pero básicamente se puede resumir de la manera explicada. ¿Qué servicios puedo configurar en los servidores DNS? - Podremos crear subdominios, para cada dominio - Configurar el dominio principal y sus dominios mediante: •Registros A Un registro A es una dirección de su dominio. Si su dominio es ejemplo.org, un registro A sería por ejemplo www (quedando www.ejemplo.org). Se utiliza para llevar a diferentes direcciones IP distintos nombres de un mismo dominio. Por ejemplo www.ejemplo.org lleva a la IP 213.186.55.206 mientras que control.ejemplo.org lleva a la IP 213.186.55.205. Se ppuede configurar tantos registros A como necesite.

•Registros MX Los registros MX son registros de correo. Por ejemplo, un email enviado a usted a la siguiente dirección info@ejemplo.org es entregado a la máquina con IP 213.186.55.206 si esta dirección está en la lista de registros MX del dominio ejemplo.org . No tiene nada que ver con los registros A, que se utilizan para la navegación, FTP, etc. Los registros MX son utilizados sólo para la entrega de correo. La preferencia en los registros MX es un valor numérico (generalmente 10) que sirve para darle un orden de preferencia a cada entrada si usted define más de una. Es decir, para el dominio ejemplo.org usted ha configurado 3 máquinas como registros MX, por si alguna se satura, o tiene algún tipo de fallo temporal, no perderá sus correos electrónicos. Entonces según los valores de la preferencia de cada máquina, el servidor que envía el correo elegirá por orden de preferencia una máquina para entregar ese correo. Si esa máquina no responde lo intentará con la de siguiente preferencia, y así hasta que el correo pueda ser entregado o no haya más registros MX.

•Registros TXT Página 4 de 6


Qué significa DNS Actualmente los registros TXT se utilizan para configuraciones de prevención del spam, como es evitar el suplantación de la identidad (SPF) o las firmas de emails mediante claves públicas/privadas (DomainKeys). También puede ser utilizado por otros sistemas que requieran de almacenamiento y consulta de información única del dominio. Se puede encontrar mucha más información buscando por internet acerca de "TXT records" o bien "SPF records" o bien "DomainKeys records".

•CNAMES El registro 'CNAME' (Canonical Name Record) permite a una misma máquina ser conocida por uno o más nombres de host. Es decir, si se realiza alguna modificación en el host principal al que apunta el CNAME, esta modificación afectará a los registros que usen dicho CNAME. De esta forma se pueden realizar tareas como alojar un servidor FTP y un servidor Web en el mismo equipo y aprovechar las características con el CNAME para que apunte al mismo sitio. Por ejemplo, si tiene el dominio "dominio.com" apuntando a la dirección IP 192.169.1.1, podría tener dos subdominios del tipo ftp.dominio.com y correo.dominio.com con un CNAME apuntando al dominio.com y estos utilizarían la IP 192.168.1.1. Un registro CNAME solo se puede enlazar con un registro A (redirección IP) o con otro CNAME. Debe evitar enlazar CNAMES entre sí para no crear redundancia cíclica.

- Dependiendo del Gestor DNS usado, se nos permitirá configurar el dominio y sus subdominios con: •Redirecciones URL, ocultas y visible Si el dominio no está registrado con CDmon puede crear redirecciones de correo "catch-all" que significa que todos los correos posibles de un dominio se entregan a una cuenta de email especificada. Si por el contrario usted tiene el dominio registrado en CDmon, además del "cath-all" podrá realizar redirecciones individuales de correo: un correo del dominio se entrega a una cuenta especificada. Al activar la opción de Oculto en el redireccionamiento por URL el programa crea dos marcos (frames), y en uno de ellos se redirige a la página final. Con este sistema se evita visualizar la URL final, pero puede que los javascripts de la página dejen de funcionar. Si este es su caso, modifique el código javascript de su página, y use el nombre del frame mainFrame para hacer funcionar de nuevo sus scripts. Por ejemplo, usted necesita que su dominio ejemplo.org lleve a http://www.gratis.com/~yomismo/index.htm, y quiere que esta redirección sea transparente para sus visitantes, es decir que no se vea la dirección larga, entonces deberá marcar la opción de Oculto. Si por el contrario quiere que se vea la dirección auténtica de su dominio, marque la opción de Visible. Con la opción de Oculto podrá configurar los campos de título, descripción y keywords de su dominio.

•Parking de dominios •Páginas en venta •Redirecciones de correo individuales o “catch all” ¿Entonces esto de configurar un dominio debe ser muy complicado? En absoluto, ya que existen interfaces gráficas para poder gestionar todos los servicios DNS a través de un panel de gestión. Por ejemplo, en el caso del Gestor DNS de CDmon, se pueden gestionar todos los servicios de uso más frecuente en la configuración de un dominio. Página 5 de 6


QuĂŠ significa DNS Registro BANCODECOLOMBIA NOTICE AND TERMS OF USE: You are not authorized to access or query our WHOIS database through the use of high-volume, automated, electronic processes. The Data in Network Solutions' WHOIS database is provided by Network Solutions for information purposes only, and to assist persons in obtaining information about or related to a domain name registration record. Network Solutions does not guarantee its accuracy. By submitting a WHOIS query, you agree to abide by the following terms of use: You agree that you may use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via e-mail, telephone, or facsimile; or (2) enable high volume, automated, electronic processes that apply to Network Solutions (or its computer systems). The compilation, repackaging, dissemination or other use of this Data is expressly prohibited without the prior written consent of Network Solutions. You agree not to use high-volume, automated, electronic processes to access or query the WHOIS database. Network Solutions reserves the right to terminate your access to the WHOIS database in its sole discretion, including without limitation, for excessive querying of the WHOIS database or for failure to otherwise abide by this policy. Network Solutions reserves the right to modify these terms at any time. Get a FREE domain name registration, transfer, or renewal with any annual hosting package. http://www.networksolutions.com Visit AboutUs.org for more information about BANCODECOLOMBIA.COM AboutUs: BANCODECOLOMBIA.COM Registrant: Banco de Colombia Cra 52 #50-20 Piso 17 Medellin, Ant NA CO, CO No Valid City, No Valid State Domain Name: BANCODECOLOMBIA.COM -----------------------------------------------------------------------Promote your business to millions of viewers for only $1 a month Learn how you can get an Enhanced Business Listing here for your domain name. Learn more at http://www.NetworkSolutions.com/ -----------------------------------------------------------------------Administrative Contact, Technical Contact: Bancolombia, Grupo Jorge jacosta@bancolombia.com.co BANCOLOMBIA Cra. 48 No. 26 - 85 Torre Norte - Piso 5 Medellin, Antioquia NA CO +57 (4) 4040473 fax: +57 (4) 4040296 Record expires on 26-Nov-2011. Record created on 27-Nov-1997. Database last updated on 27-Mar-2009 09:15:28 EDT. Domain servers in listed order: NS3.BIC.COM.CO NS5.BIC.COM.CO

PĂĄgina 6 de 6


VPN

Una VPN (Virtual Private Network) es una tecnología de red que permite crear redes virtuales manteniendo la con_dencialidad e integridad de los datos sobre redes físicas reales. Para conseguir esto, componentes fundamentales que forman una VPN son: Túnel cifrado: Los datos se envían cifrados, lo que los hace ilegibles fuera de la VPN. Autenticación de usuarios: Sólo los usuarios veri_cados pueden acceder a la VPN. Encapsulación de protocolos: Se deben proporcionar mecanismos para que los protocolo entre los nodos de la red virtual sean transportados por la red física.

Ventajas de una VPN Ahorro Nos permite conectar redes físicamente separadas sin necesidad de usar una red dedicada, si no que a través de internet. Transparencia: Interconectar distintas sedes es transparente para el usuario final, ya que la configuración se puede hacer sólo a nivel de pasarela. Movilidad Nos permite asegurar la conexión entre usuarios móviles y nuestra red fija. Simplicidad Este tipo de soluciones permite simplificar la administrador de la conexión de servidores y aplicaciones entre diferentes dominios. Desventajas de una VPN Fiabilidad: Internet no es 100% fiable, y fallos en la red pueden dejar incomunicados recurso de nuestra VPN. Confianza: entre sedes Si la seguridad de un nodo o subred involucrada en la VPN se viese comprometida, eso afectaría a la seguridad de todas los componente de la VPN. Interoperabilidad: Dado a las distintas soluciones disponibles para implementar un VPN, nos podemos encontrar incompatibilidades entre las usadas en los distintos nodos de la VPN. Seguridad: Se pueden asegurar múltiples servicios a través de un único mecanismo. Movilidad: Nos permite asegurar la conexión entre usuarios móviles y nuestra red fija. Simplicidad: Este tipo de soluciones permite simpli_car la administrador de la conexión de servidores y aplicaciones entre diferentes dominios. Otras soluciones alternativas a un VPN son: En entornos donde la fiabilidad y requerimientos de QoS sean muy exigentes, puede resultar mejor solución una red dedicada. Por otro lado para asegurar sólo un servicio, crear una VPN puede resultar demasiado complicado, en estos casos túneles con ssh o con stunnel pueden ser soluciones más adecuadas. Protocolos VPN Protocolos estándar: • PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red para la encapsulación PPP sobre una capa de Ethernet, que ofrece autenticación, cifrado y compresión. • L2TP (Layer 2 Tunneling Protocol) fue diseñado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F. Este protocolo no ofrece seguridad, para lo que se suele usa en conjunción con L2Sec o IPSEC. • IPsec (la abreviatura de Internet Protocol Security) es una extensión al protocolo IP que añade cifrado fuerte y autenticación, asegurando de esta manera las comunicaciones a través de dicho protocolo.


Protocolos no estándar: •

OpenVPN una solución de código abierto, robusta y altamente flexible. Soporta múltiples tipos de cifrado, autenticación y certificación a través de la librería OpenSSL, así como compresión mediante la librería LZO. Permite realizar un túnel IP tanto sobre un TCP como UDP.

VTun es una solución de fuente abierta que permite crear de forma sencilla túneles a través de redes TCP/IP con compresión y cifrado. Soporta, entre otros, túneles IP, PPP, SLIP y Ethernet.

cIPe es una solución similar a IPSec más ligera por tener un protocolo más sencillo, pero no estandarizada.

tinc es una solución que permite realizar una VPN con cifrado, autenticación y compresión (mediante las librerías OpenSSL y LZO), y que se puede ejecutar sobre múltiples sistemas operativos.

OpenVPN OpenVPN es una aplicación de tunneling robusta y altamente flexible. Usa para realizar la cifrado, autenticación y certificación los algoritmos soportados por la librería OpenSSL. Permite realizar túneles IP tanto sobre TCP como UDP (opción por defecto). Puede realizar compresión del tráfico usando la librería LZO. Ejemplo de uso de OpenVPN entre dos pasarelas Necesitamos cargar un dispositivo de red virtual, que podemos hacer con modprobe tun, o de forma permanente con añadiendolo de a /etc/modules Para incrementar la seguridad, generaremos un clave compartida con openvpn --genkey --secret pasarelas.key que copiaremos en ambas pasarelas. Entonces usaremos el siguiente archivo de configuración, cambiando las ip, en ambas pasarelas: #Interfaz remota remote 172.18.0.20 #Dispositivo virtual usado dev tun #Definición de las ips virtuales del tunel IP.VPN.LOCAL IP.VPN.REMOTA ifconfig 10.10.10.10 10.10.10.20 #Clave compartid secret pasarelas.key #Activar compresion comp-lzo #Usuario y grupo en el que se ejecutara la aplicación user nobody group nogroup #ejecutar como demonio daemon #nivel de detalle de los log verb 5 #Red remota que se alcanzara a través del túnel route 192.168.1.0 255.255.255.0 Esta configuración se puede proporcionar al programa openvpn --config, o en debian, situarse en el directorio /etc/openvpn/, con lo cual este tunel se iniciará al arrancar la máquina.


Debemos permitir el tráfico desde y hacia el dispositivo creado, si tenemos reglas restrictivas en nuestro _rewall. . Una configuración sencilla sería: iptables -A FORWARD -i tun+ -j ACCEPT iptables -A FORWARD -o tun+ -j ACCEPT

IPSec

IPSEC (IP Security) es un estándar para asegurar las transmisiones IP, cifrando y autenticando los paquetes IP. Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6, aunque posteriormente se adaptó también a IPv4. IPsec está formado por un conjunto de protocolos: •

Authentication Header (AH): Proporciona autenticidad al paquete, añadiéndole un cheksum de cifrado fuerte, asegurándose así la integridad del paquete.

Encapsulating Security Payload (ESP): asegura la confidencialidad de los datos mediante cifrado del payload.

IP payload compression (IPcomp): proporciona una solución para comprimir los paquetes antes del cifrado ESP, lo que suele aumentar la e_cacia de la compresión.

Internet Key Exchange (IKE): provee un sistema de negociación de las claves secretas que serán usadas por AH y ESP.

Modos IPSec Modo Transporte: Se preserva la cabecera IP y sólo la partes superiores son modificadas, añadiéndose las cabeceras IPSec seguido de los tipos de protección solicitados. Este modo fue diseñado para proteger tráfico entre distintos hosts. Modo Túnel: todo el paquete se trata como un bloque de datos, añadiéndose una nueva cabecera ip, seguida de las cabeceras ipsec y el paquete original protegido. Este es el modo generalmente utilizado para implementar una VPN con IPSec.

Protocolos de manipulación de paquetes IPSEC AH nos ofrece autenticación, integridad y protección contra la repetición. Para la autenticación y protección de integridad se basa en algoritmos de cifrado con clave, siendo requeridos en todas las implementaciones HMAC-MD5 y HMAC-SHA1.


En las cabeceras añadidas para AH, se incluyen el SPI, un número de secuencia antirrepetición de 4 bytes y los datos de autenticación obtenidos mediante el algoritmo de hash de cifrado. AH usa el número de protocolo IP 51, no obstante, si además incluye ESP usaría el 50. Puede ser interesante usar sólo AH para evitar la modificación de datos sin añadir sobrecarga por la encriptación de todo el payload. ESP nos ofrece autenticación, integridad, protección y confidencialidad de la parte de datos. En la cabecera ESP se incluyen el SPI, en número de secuencia antirrepetición y los datos de autenticación si se incluyen. Al menos se debe proporcionar cifrados DES-CBC de 56 bits. Nótese que ESP no cifra la cabecera del paquete IP, sólo el payload. El número de protocolo usado por ESP es el 50.

IPCOMP realiza la compresión antes de llevar a cabo la autenticación o cifrado antes de la autenticación o cifrado. No se debe comprimir en capas inferiores de nuevo los datos, ya que generalmente no reportará bene_cios de tamaño, y sí degradación de rendimiento. Security Associations (SA): Las Security Assocaitions (SA) especi_can los algoritmos criptográficos, claves que vamos a utilizar entre los extremos de nuestras conexiones IPSec. Las SA se almacenan en un almacén llamado SAD (Security Associations Database). Cada SA pude contener varios parámetros, algunos que actúan como selectores (como las direcciones IP y puertos de origen y destino). En una SA se pueden definir entre otros parámetros: _ Security Parameter Index (SPI), un identi_cador de 32 bits de la SA. _ Direcciones IP de origen y destino _ Números de puerto de origen y destino. _ Protocolo: AH, ESP o IPCOMP. _ Algoritmo y claves usados por los protocolos. _ Modo: transporte o túnel. _ Vida de la SA Las SA se basan en dirección de origen y de destino, por lo que para proteger ambas direcciones es necesario usar dos SAs unidireccionales.


Security Policies Las Security Policies almacenan información que determina que tráfico proteger y cuando; permitiendo tomar decisiones (descartar, pasar o aplicar IPSec) a paquetes específicos. Los SP se almacenan en la SP Database (SPD). La SPD almacena la política de protección, mientras que la SAD suministra los parámetros necesarios para establecerla. Procesado del Tráfico entrante y saliente En el tráfico saliente, se utilizará primero la SPD para determinar que hacer con el paquete. Luego si es necesario se consultará la SAD. En el tráfico entrante, IPSec consultará primero la SAD para verificar al identidad del remitente. Luego se accederá al SPD una vez verificada la identidad. Intercambio de Claves Podemos utilizar configuraciones estáticas, pero en implementaciones escalables, se suele usar el protocolo IKE para realizar un negociado dinámico de las claves. El protocolo IKE consta de dos fases: •

Una primera fase donde se autentican los extremos a través de ISAKMP (Internet Security Association Key Management Protocol), para poder realizar las segunda fase en un entorno seguro. Se pueden utilizar claves precompartidas (PSK), algoritmos de clave pública o mediante armas digitales.

Una segunda fase, donde se negocian las SA de IPSec utilizadas para proteger el tráfico IP. Mientras que la primera fase se negocia con menos frecuencia (usualmente una vez a la hora o al día), la segunda fase se negocia frecuentemente (del orden de un minuto o cada 1024K datos cifrados).

Generalmente el negociado de IKE se realiza generalmente mediante protocolo UDP y el puerto 500, por lo que debemos permitir este tráfico en nuestro cortafuegos. Otras características de IPSec IPSec soporta roadwarriors, donde no se especifican la ip de ciertos nodos con los que nos conectaremos, ya que éstos usan IPs dinámicas. Para ello las políticas se deben establecer para permitir direcciones desconocidas y usar un sistema de autenticación preacordado. También se puede usar cifrado oportunista, donde aunque la autenticación no ha sido preacordada, esta puede ser obtenida del servidor DNS. No obstante hasta la implantación de DNSSEC, esta solución no puede asegurar niveles de seguridad altos, debido a que se basa en confiar en los datos obtenidos del servidor DNS. IPsec-Tools IPsec-Tools es un port a Linux 2.6 de la las utilidades KAME de BSD. En debian deberemos instalar ipsec-tools y racoon (que nos permitir á negociar las claves automáticamente). ipsec-tools incluye el comando setkey, que nos permite modificar tanto la bases SAD y SPD para realizar una configuración manual. Utilizando racoon se puede utilizar el protocolo IKE para realizar el negociado de SAs, lo que nos permite configuraciones más escalables. No obstante, se deben establecer de igual modo las políticas SP mediante setkey. En el caso de racoon la autenticación entre distintos nodos se realiza mediante certificados X.509, kerberos o claves precompartidas. Configuración manual: modo transporte Configuraremos la conexión en modo transporte entre 172.18.0.10 y 172.18.0.20. #!/usr/sbin/setkey -f #Configuración para 172.18.0.10 #Vaciar SAD y SPD


flush; spdflush; #Definición de los SA add 172.18.0.10 172.18.0.20 ah 0x201 -A hmac-md5 \ 0x2a9233eeeef7d0621ad1e7762c33a579; add 172.18.0.10 172.18.0.20 esp 0x202 -E 3des-cbc \ 0x65dcaa077bcdeae39312bcc61db652e9d89d9d30b27d8679; add 172.18.0.20 172.18.0.10 ah 0x301 -A hmac-md5 \ 0x830ecb71a220adc2f28220e65003571d; add 172.18.0.20 172.18.0.10 esp 0x302 -E 3des-cbc \ 0xb141fef4d6d9a24e4f172dc1b4571fb1a6e5e3b08b99f9ef; #Definición de los SP spdadd 172.18.0.20 172.18.0.10 any -P in ipsec \ esp/transport//require ah/transport//require; spdadd 172.18.0.10 172.18.0.20 any -P out ipsec \ esp/transport//require ah/transport//require; Una forma de generar claves precompartidas es: # 128 bits dd if=/dev/random count=16 bs=1| xxd -ps 2a9233eeeef7d0621ad1e7762c33a579 # 192 bits dd if=/dev/random count=24 bs=1| xxd -ps 65dcaa077bcdeae39312bcc61db652e9d89d9d30b27d8679 Cuando se añaden en el SA, se debe añadir antes 0x para indicar que son hexadecimales. En la configuración para la otra máquina, sólo debemos intercambiar los parámetros in y out. Se puede comprobar la configuración del SAD mediante setkey -D y setkey -DP. Podemos también usar sólo autenticación y compresión, sin añadir encriptación: #!/usr/sbin/setkey -f #Configuración para 172.18.0.10 #Vaciar SAD y SPD flush; spdflush; add 172.18.0.10 172.18.0.20 ipcomp 0x204 -C deflate; add 172.18.0.10 172.18.0.20 ah 0x201 -A hmac-md5 \ 0x2a9233eeeef7d0621ad1e7762c33a579; add 172.18.0.20 172.18.0.10 ipcomp 0x304 -C deflate; add 172.18.0.20 172.18.0.10 ah 0x301 -A hmac-md5 \ 0x830ecb71a220adc2f28220e65003571d; spdadd 172.18.0.20 172.18.0.10 any -P in ipsec \ ipcomp/transport//use ah/transport//require; spdadd 172.18.0.10 172.18.0.20 any -P out ipsec \ ipcomp/transport//use ah/transport//require; 3.4.8.2. Configuración manual: modo túnel Con_guraremos la conexi ón en modo túnel entre 172.18.0.10 y 172.18.0.20, para interconectar dos subredes internas 192.168.1.0/24 y 192.168.2.0/24. Recordemos que debemos activar el ip_forwarding para poder retransmitir el tráfico. #!/usr/sbin/setkey -f #Configuracion para 172.18.0.10-192.168.0.0/24 #Vaciar SAD y SPD flush; spdflush; #Definicion SA (es necesario declarar el tunneling con -m tunnel add 172.18.0.10 172.18.0.20 esp 0x202 -m tunnel -E 3des-cbc \ 0x65dcaa077bcdeae39312bcc61db652e9d89d9d30b27d8679; add 172.18.0.20 172.18.0.10 esp 0x302 -m tunnel -E 3des-cbc \


0xb141fef4d6d9a24e4f172dc1b4571fb1a6e5e3b08b99f9ef; #Definimos las redes a interconectar y las IPs del tunel spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec \ esp/tunnel/172.18.0.20-172.18.0.10/require; spdadd 192.168.0.0/24 192.168.1.0/24 -P out ipsec \ esp/tunnel/172.18.0.10-172.18.0.20/require; Configuración automática: claves precompartidas Las claves precompartidas se establecen en un archivo con pares IP clave (/etc/racoon/psk.txt). 172.18.0.10 0x9ef0c24dc293c8f1671cc2b24ad8d1a2edbff83f287f4c7d158fc9bde8a6 172.18.0.20 0x395a81e3a9c83b3f7abde1ad9daa4eb326f66bd02934cf4e7d6f8e3afd2d Este _chero no debe ser accesible por usuarios no privilegiados. Se debe con_gurar el /etc/racoon/racoon.conf, o mediante otro archivo mediante racoon -F -f archivo (la opción -F nos permite ejecutarlo en foreground). path pre_shared_key "/etc/racoon/psk.txt"; remote 172.18.0.20 { exchange_mode main; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; dh_group modp1024; } } sainfo anonymous { pfs_group modp768; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; } En la otra máquina cambiaríamos el remote y la asociación de las claves. En la sainfo también se podría restringir entre que IPs aplicar la negociación. Aunque las claves son negociadas por racoon, debemos especificar las políticas. Una configuración con ESP, AH y IPCOMP sería: #!/usr/sbin/setkey -f #Configuracion para 172.18.0.10 #Flush the SAD and SPD flush; spdflush; spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec \ ipcomp/tunnel/172.18.0.10-172.18.0.20/use \ esp/tunnel/172.18.0.10-172.18.0.20/require \ ah/tunnel/172.18.0.10-172.18.0.20/require; spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec \ ipcomp/tunnel/172.18.0.20-172.18.0.10/use \ esp/tunnel/172.18.0.20-172.18.0.10/require \ ah/tunnel/172.18.0.20-172.18.0.10/require; Configuración automática: certificados X.509 Sólo la parte de autenticación mediante racoon sufre cambios: path certificate "/etc/racoon/certs"; remote 172.18.0.20 { exchange_mode main; certificate_type x509 "pasarelaCer.pem" "pasarelaKey.pem";


# ca_type x509 "cacert.pem"; verify_cert on; my_identifier asn1dn; peers_identifier asn1dn; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method rsasig; dh_group modp1024; } } sainfo anonymous { pfs_group modp768; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; } en el otro nodo sólo se debería cambiar de IPs y certificados. En ambos casos se encontrará el certificado de la CA. Generación de certificados Para generar la CA y los certificados usaremos el paquete openssl. El script /usr/lib/ssl/misc/CA.sh -newca permite simplificar la generación de una CA. También este script nos permite generar un petición de certificado (ne-wreq.pem) con /usr/lib/ssl/misc/CA.sh -newreq. Cada petición de certificado debe ser enviada a la CA y firmada con /usr/lib/ssl/misc/CA.sh -sign, devolviendo el certificado armado newcert.pem, así como el certificado de la CA (cacert.pem). Además para racoon, necesitamos una versión no cifrada con los permisos adecuados de la clave privada: openssl rsa -in newkey.pem -out /etc/racoon/certs/pasarelaKey.pem chmod 600 /etc/racoon/certs/pasarelaKey.pem El certificado debe situarse en ese mismo directorio: cp newcert.pem /etc/racoon/certs/pasarelaPub.pem El certificado de la autoridad certificadora se puede especificar en el archivo de configuración de racoon, o lo puede tomar automáticamente si su nombre es su hash.0, es decir: cp cacert.pem /etc/racoon/certs/$(openssl x509 –noout -hash <cacert.pem).0 Opciones del cortafuegos Para aumentar la seguridad en el cortafuegos, podemos restringir el tráfico entrante, permitiendo sólo tráfico que use IPSec. Mostramos sólo las reglas de INPUT, pero también se debería añadir las de output, intercambiando las IP y la opción dport por sport: #Trafico de raccon (si procede) iptables -A INPUT -p udp -s 172.18.0.20 -d 172.18.0.10 --dport 500 -j ACCEPT #Aceptar paquetes ESP (si el paquete externo es ESP) iptables -A INPUT -p esp -s 172.18.0.20 -d 172.18.0.10 -j ACCEPT #Aceptar paquetes AH (si el paquete más externo es AH) iptables -A INPUT -p ah -s 172.18.0.20 -d 172


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

CONCEPTOS DE CRIPTOGRAFIA

Instructor: Ing. Darío Eduardo Muñetón

Andrea Barrera Edgar Molina Carlos M. Rentería Luis Cáceres

Bogotá, Abril de 2009


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA Indice HISTORIA DE LA CRIPTOGRAFÍA QUE ES CRIPTOGRAFÍA QUE ES UN CRIPTOGRAMA CUALES SON LOS ALGORITMOS DE INSCRIPCIÓN DE LOS MÉTODOS ASIMÉTRICO Y SIMÉTRICO QUE SIGNIFICA CADA UNO DE LOS DES, 3DES, AES RSA (Rivest-Shamir-Adleman) AES (Advanced Encryption DES (Data Encryption Standard) (3DES) IDEA (International Data Encryption Algorithm) Blowfish CAST-128 TEA (Tiny Encryption Algorithm) ALGORITMOS DE HASH MD5 (Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5 SHA-1 (Secure Hash Algorithm 1 o Algorimo de Hash Seguro 1) IKE EXCHANGE (intercambio dinámico de claves) Configurar las políticas de seguridad VPN Configurar una política IKE Configurar una política de datos Algoritmos de Diffie Helman Bibliografía

3 3 3 4 4 4 5 5 5 5 5 6 6 7 8 8 8 9

Página 2


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA 1. HISTORIA DE LA CRIPTOGRAFÍA La Criptografía moderna nace al mismo tiempo que las computadoras. Durante la Segunda Guerra Mundial, en un lugar llamado Bletchley Park, un grupo de científicos entre los que se encontraba Alan Turing, trabajaba en el proyecto ULTRA tratando de descifrar los mensajes enviados por el ejército alemán con el más sofisticado ingenio de codificación ideado hasta entonces: la máquina ENIGMA. Este grupo de científicos empleaba el que hoy se considera el primer computador |aunque esta información permaneció en secreto hasta mediados de los 70. Su uso y la llegada del polaco Marian Rejewski tras la invasión de su país natal cambiarán para siempre el curso de la Historia. 2. QUE ES CRIPTOGRAFÍA “Arte de escribir con clave secreta o de un modo enigmático". Obviamente la Criptografía hace años que dejó de ser un arte para convertirse en una técnica o más bien un conglomerado de técnicas, que tratan sobre la protección ocultamiento frente a observadores no autorizados de la información. Entre las disciplinas que engloba cabe destacar la Teoría de la Información, la Teoría de Números o matemática Discreta, que estudia las propiedades de los números enteros y la Complejidad Algorítmica. 3. QUE ES UN CRIPTOGRAMA Es el conjunto de todos los posibles mensajes cifrados. Conceptos Mensaje Cifrado: transformación del texto en claro (mensaje original) en un criptograma (mensaje cifrado) Mensaje Descrifrado: paso del criptograma al mensaje original. Criptoanálisis: conjunto de técnicas que intentan encontrar la clave usada entre los 2 comunicantes. Finalidad desvelar el secreto de la comunicacion. Critología: criptografia + criptoanálisis 4. CUALES SON LOS ALGORITMOS DE INSCRIPCIÓN DE LOS MÉTODOS ASIMÉTRICO Y SIMÉTRICO Criptosistema simétricos o de clave privada: Son aquellos que emplean la misma clave k tanto para cifrar como para descifrar. Presentan el inconveniente de que para ser empleados en comunicaciones la clave k debe estar tanto en el emisor como en el receptor, lo cual nos lleva preguntarnos como transmitir la clave de forma segura. Criptosistemas asimétricos o de llave pública: que emplean una doble clave (kp; kP ). kp se conoce como clave privada y kP se conoce como clave pública. Una de ellas sirve para la transformacion E de cifrado y la otra para la transformacion D de descifrado. En muchos casos son intercambiables, esto es, si empleamos una para cifrar la otra sirve para descifrar y viceversa. Estos criptosistemas deben cumplir adem as que el conocimiento de la clave pública kP no permita calcular la clave privada kp. Ofrecen un abanico superior de posibilidades, pudiendo emplearse para establecer comunicaciones seguras por canales inseguros puesto que únicamente viaja por el canal la clave pública, que solo sirve para cifrar, o para llevar a cabo autenticaciones.

Página 3


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA 5. QUE SIGNIFICA CADA UNO DE LOS DES, 3DES, AES Conceptos El cifrado de bloques (block cipher) es un método de encriptación de datos en que una llave criptográfica y un algoritmo son aplicados a un bloque de datos (por ejemplo, 64 bits contiguos) de una vez sobre todo el grupo, en lugar de aplicarlo a un bit cada vez. El cifrado de flujos (stream cipher) es, por contraposición al cifrado de bloques, un método de encriptación en el que se aplica la clave y el algoritmo de cifrado a cada dígito binario del flujo de datos, un bit de cada vez. No se usa habitualmente en criptografía moderna. a. RSA (Rivest-Shamir-Adleman) es el algoritmo de encriptación y autentificación más comúnmente usado. Fué desarrollado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman, y se incluye como parte de los navegadores de Netscape y Microsoft, así como aplicaciones como Lotus Notes y muchos otros productos. El funcionamiento de este algoritmo se basa en multiplicar dos números primos extremadamente grandes y a través de operaciones adicionales obtener un par de números que constituyen la clave pública y otro número que constituye la clave privada. Una vez que se han obtenido las claves, los números primos originales ya no son necesarios para nada, y se descartan. Se necesitan tanto las claves públicas como las privadas para encriptar y desencriptar, pero solamente el dueño de la clave privada lo necesitará. b. AES (Advanced Encryption Standard) es un algoritmo de encriptación para proteger información delicada, aunque no clasificada, por las agencias gubernamentales de USA y, como consecuencia, puede transformarse en el estándar de facto para las transacciones comerciales en el sector privado. AES es un algoritmo que se basa en aplicar un número determinado de rondas a un valor intermedio que se denomina estado. Dicho estado puede representarse mediante una matriz rectangular de bytes, que posee cuatro filas, y Nb columnas. Así, por ejemplo, si nuestro bloque tiene 160 bits, Nb será igual a 5.

La llave tiene una estructura análoga a la del estado, y se representará mediante una tabla con cuatro filas y Nk columnas. Si nuestra clave tiene, por ejemplo, 128 bits, Nk será igual a 4.

c. DES (Data Encryption Standard) es un método de encriptación de clave privada muy usado. El gobierno de USA restringió su exportación a otros paises debido a su estimación de la dificultad para reventarlo por hackers. Hay 72 cuadrillones (72,000,000,000,000,000) o más de posibles claves. Para cada mensaje, se elige una clave al azar entre todas esas

Página 4


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA posibilidades. Es un método de encriptación simétrico, lo que obliga a que tanto el emisor como el receptor han de conocer la clave privada. DES aplica una clave de 56 bits a cada bloque de 64 bits de datos. El proceso se puede ejecutar en diferentes modos e implica 16 turnos de operaciones. Aunque está considerado como un algoritmo de encriptación fuerte, muchas organizaciones usan "triple DES", o sea aplicar 3 claves de forma sucesiva. Esto no quiere decir que un mensaje encriptado por DES no pueda ser reventado. El algoritmo DES codifica bloques de 64 bits empleando claves de 56 bits. Es una Red de Feistel de 16 rondas, más dos permutaciones, una que se aplica al principio (Pi) y otra que se aplica al final (Pf ), tales que Pi = P-1f.

d. (3DES) usa tres claves de 56 bits, un total de 168 bits. DES es un tipo de cifrado de los conocidos como Red Feistel Tradicional. e. IDEA (International Data Encryption Algorithm) es un algoritmo de encriptación desarrollado en el ETH de Zurich (Suiza) por James Massey y Xuejia Lai. Usa criptografía de bloque con una clave de 128 bits, y se suele considerar como muy seguro. f.

Blowfish es un algoritmo de encriptación que puede usarse como sustituto de DES y de IDEA. Es simétrico y encripta bloques, con una clave de longitud variable, desde 32 bits hasta 448 bits. Fué diseñado en 1993 por Bruce Schneier como una alternativa a los algoritmos existentes entonces, y con procesadores de 32 bits en mente, lo que lo hace significativamente más rápido que DES.

g. CAST-128 es un algoritmo de encriptación del mismo tipo que DES. Es un criptosistema SPN (Substitution-Permutation Network) que parece tener buena resistencia contra ataques diferenciales, lineales y related-key. Pertenece a la clase de algoritmos denominada como cifrados Feistel, y su mecanismo, de 4 pasos, es similar al DES. h. TEA (Tiny Encryption Algorithm) es uno de los algoritmos de encriptación más rápidos y eficientes que existen. Fué desarrollado por David Wheeler y Roger Needham en el Computer Laboratory de Cambridge University. Consiste en un cifrado Feistel que usa operaciones de grupos algebraicos mixtos (ortogonales), XORs y sumas en este caso. Encripta bloques de 64 bits usando una clave de 128 bits. Parece altamente resistente al criptoanálisis diferencial y consigue difusión total (una diferencia de un bit en el mensaje original causa aproximadamente 32 bits de diferencia en el mensaje cifrado) en solamente

Página 5


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA 6 pasos. Hasta ahora no se ha conseguido reventar este algoritmo de encriptación, y se estima (James Massey) que TEA es tan seguro como IDEA. 6. ALGORITMOS DE HASH HASH: Un valor hash, también conocido como “message digest”, es un número generado a partir de una cadena de texto. El hash es sustancialmente más pequeño que el texto en sí, y es generado por una fórmula de tal forma que sea poco probable que algún otro texto produzca el mismo valor. Los hashes juegan un papel crucial en la seguridad donde se emplean para asegurar que los mensajes transmitidos no han sido manipulados. El emisor genera un hash del mensaje, lo encripta y lo envía con el propio mensaje. El receptor luego decodifica ambos, produce otro hash del mensaje recibido y compara los dos hashes, si coinciden, existe una probabilidad muy elevada de que el mensaje recibido no haya sufrido cambios desde su origen. MD5 (Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Algoritmo de encriptación de 128-bits del tipo EAP creado en 1991 por el profesor Ronald Rivest para RSA Data Security, Inc. empleado para crear firmas digitales. Emplea funciones hash unidireccionales, es decir, que toma un mensaje y lo convierte en una cadena fija de dígitos. Cuando se utiliza una función hash de una dirección, se puede comparar un valor hash frente a otro que esté decodificado con una llave pública para verificar la integridad del mensaje. Basado en Nombre de Usuario y Contraseña, EL PRIMERO SE ENVÍA sin protección. Sólo autentica el cliente frente al servidor, no el servidor frente al cliente. SHA-1 (Secure Hash Algorithm 1 o Algorimo de Hash Seguro 1): El SHA-1 toma como entrada un mensaje de longitud máxima 264 bits (más de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. Este número es mayor que el que se utilizaba en el algoritmo SHA original, 128 bits. Ya existen nuevas versiones de SHA que trabajan con resúmenes de 224,256,384 e incluso 512 bits. Intentemos dar una descripción algo más matemática de lo que es una función HASH. Supongamos que tenemos un mensaje a, al que aplicamos una función resumen a la que llamaremos h. Decimos entonces que el resultado de esta operación, al que llamaremos b es el HASH de a. Es decir: h(a)=b Esta función debe ser sencilla de realizar para un computador, pero debe ser computacionalmente imposible realizar la operación inversa, al menos para usuarios normales. Además, esta función tiene otra característica: el tamaño de la entrada no es de longitud fija, puede ser de longitud variable. Esto tiene la siguiente consecuencia, que no demostraremos matemáticamente, pero que asumiremos por estar razonado en otros artículos publicados en Internet (al final se indican): es posible que dos mensajes de entrada a produzcan el mismo mensaje de salida b. Es decir, es posible encontrar un mensaje c, tal que: h(c)=b Sin embargo, encontrar ese mensaje debe ser, al igual que la particularidad antes mencionada, muy complejo desde el punto de vista computacional. Para los algoritmos de HASH esto es lo que se conoce como colisión: que dos mensajes de entrada produzcan el mismo mensaje de salida. Así, a priori, podemos establecer dos posibles vulnerabilidades de las funciones HASH: •

Que sea posible realizar la operación:

h-1(b)=a

Página 6


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA Habitualmente, a la operación de invertir la función HASH comprobando todas las posibilidades para los bits de salida se le llama ataque de fuerza bruta. Esto es lo que debe ser computacionalmente impracticable. Supondría aplicar la función HASH 2n veces hasta encontrar la coincidencia (n es el número de bits de salida de la función). •

Que se hallen colisiones: h(a)=b y h(c)=b, a distinto de c Lo que antes hemos denominado colisión.

Estas dos posibles debilidades dan lugar a cuatro tipos de ataques: •

Ataque Tipo 1: El atacante es capaz de encontrar dos mensajes al azar que colisionan pero es incapaz de hacerlo de forma sistemática. Si es capaz de dar sólo con dos mensajes que provocan colisión, esta no es razón suficiente para tildar el algoritmo de ineficiente. Índice de peligrosidad: 1

Ataque Tipo 2: El atacante es capaz de generar dos mensajes distintos de forma que sus HASH colisionen, pero sin saber a priori qué hash resultará. Es decir, el atacante no podría generar “queriendo” el HASH que necesite para fines maliciosos. Índice de peligrosidad: 2

Ataque Tipo 3: El atacante es capaz de construir un mensaje sin sentido de forma que su HASH colisione con el de un mensaje con sentido. Si éste es el caso, el agente malicioso puede atacar algoritmos de encriptación asimétricos con firma digital, haciendo que se firmen mensajes sin sentido, y que el destinatario los acepte como fidedignos. Índice de peligrosidad: 3

Ataque Tipo 4: El atacante es capaz de crear un segundo mensaje falso que tiene sentido y cuyo hash colisiona con el del mensaje verdadero. En este caso, el atacante puede actuar con total impunidad, puede falsificar certificados, firmar mensajes…El resultado sería desastroso. Índice de peligrosidad: 4.

El problema entonces es el siguiente: ¿cómo de difícil es encontrar una solución? ¿Qué ataques reales son practicables? ¿Qué se gana incrementando el número de bits de salida del algoritmo? En primer lugar, responderemos a la última pregunta. Si aumentamos el número de bits de salida del algoritmo, el ataque de fuerza bruta será más impracticable y también lo será encontrar los mensajes que colisionen, pues teóricamente se cumple que para confiar en que podemos encontrar dos mensajes que colisionen no hay que realizar 2n operaciones, si no sólo 2n/2. IKE EXCHANGE (intercambio dinámico de claves). (Internet Key Exchange) es un servicio de negociación automático y de gestión de claves, usado en los protocolos IPsec. IKE permite generar y negociar claves dinámicas para la conexión. Puede necesitar añadir otras reglas anteriores a IPSec en función de su entorno de red particular y de su política de seguridad. Configurar las políticas de seguridad VPN La política IKE y la política de datos estipulan cómo IKE protege las negociaciones de fase 1 y fase 2.

Página 7


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA Configurar una política IKE La política IKE define qué nivel de autenticación y de protección de cifrado utilizará IKE durante las negociaciones de fase 1. La fase 1 de IKE establece las claves que protegen los mensajes que fluyen en las negociaciones subsiguientes de la fase 2. No es necesario definir una política IKE cuando crea una conexión manual. Además, si crea la VPN con el asistente Conexión, éste puede crear la política IKE por usted. Configurar una política de datos Una política de datos define el nivel de autenticación o cifrado con que se protegen los datos que fluyen a través de la VPN. Los sistemas que establecen la comunicación se ponen de acuerdo sobre estos atributos durante las negociaciones de la fase 2 del protocolo IKE (intercambio de claves de Internet). No es necesario definir una política de datos cuando se crea una conexión manual. Además, si crea la VPN con el asistente Conexión, éste puede crear una política de datos. Después de configurar las políticas de seguridad VPN, debe configurar las conexiones seguras. Algoritmos de Diffie Helman Es conocido como el Protocolo de intercambio de claves diffie-hellman. Este fue el primer algoritmo de clave pública y es universalmente utilizado para el intercambio seguro de claves. De 768 bits / 1024 bits / 2048 bits Sea p un primo “grande” y a un entero (2 ≤ a ≤ p- 2, generador del grupo cíclico Z*p), ambos se dan a conocer a los usuarios 1 y 2. Los usuarios 1 y 2 eligen arbitrariamente exponentes enteros x e y que mantienen SECRETOS y proceden a calcular y enviarse recíprocamente lo siguiente: El usuario 1 calcula El usuario 2 calcula Ahora el usuario 2 calcula Ahora el usuario 1 calcula De esta manera ambos llegan a la misma clave secreta.

Página 8


Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA Bibliografía •

Redes Privadas Virtuales VPNs. Autor: Anónimo

Redes Privadas Virtuales Autor: José Luis Ruiz González

GLOSARIO DE TÉRMINOS DE SEGURIDAD Autor: Galo Rodrigo Lalangui Eras.

http://www.infosec.sdu.edu.cn/paper/md5-attack.pdf

http://www.eumed.net/cursecon/ecoinet/seguridad/resumenes.htm

Criptografía Asimétrica Autor: Scolnik-Hecht

Página 9


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

ANÁLISIS DEL ARTICULO INGENIEROS SOCIALES, COMO TRABAJAN Y COMO DETENERLOS

Instructor: Ing. Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Febrero de 2009


INGENIEROS SOCIALES, COMO TRABAJAN Y COMO DETENERLOS ANÁLISIS DEL ARTICULO INGENIEROS SOCIALES, COMO TRABAJAN Y COMO DETENERLOS Conclusiones: 1. La empresa no tenía una solución global de la seguridad. 2. La implementación de la tecnología para satisfacer las necesidades de seguridad dejó al descubierto un problema latente: No se penso en la seguridad a traves de las personas. 3. El ser humano se va mas por la parte de sentimientos: El factor humano nunca se tuvo en cuenta. 4. Whurley el Ingeniero Social no alcanzó a implementar su estrategia: El tema de cultura sigue siendo un problema de no acabar, a pesar de que existan los mejores controles. Las personas hablan de temas de la empresa por falta de cultura empresarial y de sentido de pertenencia de los activos de la empresa. 5. Las personas en toda la organización no dan un valor real a la información: Falta capacitacion en la parte humana de la empresa 6. El tema de seguridad falla por cualquier lado no importa si la tecnología se encarga de la seguridad en las empresas. 7. Whurley generó confianza desde el guarda de seguridad hasta el Director de Información, nadie le pregunto el porque se encontraba allí y haciendo que. En las empresas hay que hacer un diagnóstico de seguridad a todo nivel desde la puerta de entrada hasta la puerta de la Presidencia, con el fin de que todos en la organización estén comprometidos con el tema de seguridad.

Carlos Manuel Rentería De La Cruz Página 2 de 2


El taller se hizo con 5 muestras del estado de la red TCP connect() scanning1. Es la forma más básica de análisis de puertos. Se intenta establecer una conexión normal al puerto mediante la llamada connect() del sistema. +--(RST|ACK puerto cerrado)-> Origen Origen --(SYN)-> Destino --+

+--(SYN|ACK puerto abierto)-> Origen –-(ACK)-> Destino

Ventajas: (1) no se necesita privilegios especiales para realizar el análisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) muy fácil de detectar y filtrar, ya que en los registros del sistema para cada puerto analizado aparece que se ha intentado establecer conexión y a continuación se ha cerrado sin enviar la información. • TCP SYN scanning. No establece una conexión TCP completa, sino que cuando recibe la respuesta SYN|ACK indicando que el puerto está a la escucha, inmediatamente envía un paquete RST para romper la conexión. Existe otra variante que no envía el paquete RST y, por lo tanto, deja el proceso de establecimiento de la conexión a medias. +--(RST|ACK puerto cerrado)-> Origen Origen --(SYN)-> Destino --+ +--(SYN|ACK puerto abierto)-> Origen –-(RST)-> Destino

Ventajas: (1) pocos sitios registran este intento de conexión análisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) hacen falta privilegios de administrador para construir el paquete SYN inicial. 1 Análisis Activo y Pasivo de Redes. Alejandro Castán Salinas. Revisión 2.8


• TCP SYN|ACK scanning. Salta el primer paso en el establecimiento de conexión TCP, enviando directamente un paquete SYN|ACK al ordenador destino. Si el puerto está abierto no se recibe respuesta, pero si está cerrado se recibe RST. En este caso podemos determinar que puertos están cerrados y, por exclusión, cuales están abiertos (mapeo inverso). En las técnicas de mapeo inverso, se pueden producir lentos falsos positivos debido a paquetes destruidos, ya sea por la acción de cortafuegos, filtros de paquetes o límites de tiempo. Origen --(SYN|ACK)-> Destino --

+--(RST puerto cerrado)-> Origen + +--(puerto abierto)

Ventajas: (1) los paquetes SYN|ACK son capaces de pasar a través de cortafuegos y sistemas de detección de intrusos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Se pueden producir falsos positivos lentos y (2) la familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los paquetes SYN|ACK sea cual sea el estado del puerto. • TCP ACK scanning. Consiste en enviar un paquete ACK al ordenador destino, que siempre responderá con un paquete RST. No obstante, si el puerto está abierto, el valor del campo TTL será menor que 64 y el valor del campo win será diferente de 0. +--(RST puerto cerrado)-> Origen Origen --(ACK)-> Destino --+ +--(RST win≠0 ttl<64 puerto abierto)-> Origen

Ventajas: (1) los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos cortafuegos que no devuelven respuesta para los puertos filtrados. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser de tipo Unix. • TCP FIN scanning. Ante un paquete FIN, los puertos cerrados deberían replicar con el debido RST y los puertos abiertos deberían ignoran el paquete FIN (mapeo inverso). Origen --(FIN)-> Destino --

+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)

Ventajas: (1) los paquetes FIN son capaces de pasar a través de cortafuegos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Algunos sistemas (por ej. Microsoft) responden paquetes RST sea cual sea el estado del puerto y (2) se pueden producir falsos positivos lentos. • TCP Null scanning. Consiste en enviar un paquete con todas las señales de código (URG, ACK, PSH, RST, SYN y FIN) de la cabecera TCP desactivadas. Si el puerto está abierto, no se recibe respuesta (mapeo inverso), pero si está cerrado se recibe RST|ACK.


Origen --()-> Destino --

+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)

Ventajas: (1) los paquetes NULL son capaces de evitar algunos sistemas de detección de intrusos. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fácil de detectar y registrar, y (3) se pueden producir falsos positivos lentos. • TCP Xmas scanning. Consiste en enviar un paquete con todas las señales de código (URG,ACK, PSH, RST, SYN y FIN) de la cabecera TCP activadas. Si el puerto está abierto, no se recibe respuesta (mapeo inverso), pero si está cerrado se recibe RST|ACK. +--(RST|ACK puerto cerrado)-> Origen Origen --(URG|ACK|PSH|RST|SYN|FYN)-> Destino --+ +--(puerto abierto)

Ventajas: (1) los paquetes XMAS son capaces de evitar algunos sistemas de detección de intrusos. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fácil de detectar y registrar, y (3) se pueden producir falsos positivos lentos.

Campo de tipo Tipo de mensaje ICMP 0 Respuesta de eco 3 Destino inalcanzable 4 Origen acallado 5 Redireccionar (cambiar una ruta) 8 Solicitud de eco 11 Tiempo excedido para un datagrama 12 Problema de parámetros en un datagrama 13 Solicitud de marca de tiempo 14 Respuesta de marca de tiempo 15 Solicitud de información (obsoleto) 16 Respuesta de información (obsoleto) 17 Solicitud de máscara de dirección 18 Respuesta de máscara de dirección


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

SEGURIDAD LOGICA NIVELES DE SEGURIDAD

Instructor: Ing. Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Febrero de 2009


SEGURIDAD LOGICA - NIVELES DE SEGURIDAD

Seguridad Lógica Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantean serán: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema: • Identificación y Autentificación • Roles • Transacciones • Limitaciones a los Servicios • Modalidad de Acceso • Ubicación y Horario • Control de Acceso Interno

Carlos Manuel Rentería De La Cruz Página 2 de 4


SEGURIDAD LOGICA - NIVELES DE SEGURIDAD • •

Control de Acceso Externo Administración

Niveles de Seguridad Informática De acuerdo con los estándares de seguridad en computadoras desarrollado en el libro naranja del Departamento de Defensa de Estados Unidos, se usan varios niveles de seguridad para proteger de un ataque al hardware, al software y a la información guardada. Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D. NIVEL D1 Es la forma más elemental de seguridad disponible, o sea, que el sistema no es confiable. Este nivel de seguridad se refiere por lo general a los sistemas operativos como MS-DOS, MS-Windows y System 7.x de Apple Macintosh. Estos sistemas operativos no distinguen entre usuarios y tampoco tienen control sobre la información que puede introducirse en los discos duros. NIVEL C1 El nivel C tiene dos subniveles de seguridad: C1 y C2. El nivel C1, o sistema de protección de seguridad discrecional, describe la seguridad disponible en un sistema típico Unix. Los usuarios deberán identificarse a sí mismos con el sistema por medio de un nombre de registro del usuario y una contraseña para determinar qué derechos de acceso a los programas e información tiene cada usuario. NIVEL C2 Junto con las características de C1, el nivel C2 tiene la capacidad de reforzar las restricciones a los usuarios en su ejecución de algunos comandos o el acceso de algunos archivos basados no sólo en permisos, sino en niveles de autorización. Además requiere auditorias del sistema. La auditoría se utiliza para mantener los registros de todos los eventos relacionados con la seguridad, como aquellas actividades practicadas por el administrador del sistema. La auditoría requiere autenticación y procesador adicional como también recursos de disco del subsistema. NIVEL B1 El nivel B de seguridad tiene tres niveles. El nivel B1, o protección de seguridad etiquetada, es el primer nivel que soporta seguridad de multinivel, como la secreta y la ultrasecreta. Parte del principio de que un objeto bajo control de acceso obligatorio no puede aceptar cambios en los permisos hechos por el dueño del archivo.

Carlos Manuel Rentería De La Cruz Página 3 de 4


SEGURIDAD LOGICA - NIVELES DE SEGURIDAD NIVEL B2 Conocido como protección estructurada, requiere que se etiquete cada objeto como discos duros, terminales. Este es el primer nivel que empieza a referirse al problema de comunicación de objetos de diferentes niveles de seguridad. NIVEL B3 O nivel de dominios de seguridad, refuerza a los dominios con la instalación de hardware. Requiere que la terminal del usuario se conecte al sistema por medio de una ruta de acceso segura. NIVEL A Nivel de diseño verificado, es el nivel más elevado de seguridad. Todos los componentes de los niveles inferiores se incluyen. Es de distribución confiable, o sea que el hardware y el software han sido protegidos durante su expedición para evitar violaciones a los sistemas de seguridad.

Carlos Manuel Rentería De La Cruz Página 4 de 4


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

Conceptos sobre: Ley Ley 1266 de 2008 - Habeas Data Ley 1273 2009 de la protección de la información y de los datos

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Febrero de 2009


Conceptos sobre la Ley Ley 1266 de 2008 - Habeas Data Ley 1273 2009 de la protección de la información y de los datos

Ley Ley 1266 de 2008 - Habeas Data Millones de colombianos que figuran en los listados financieros de morosos aún se demora, las llamadas ‘listas negras’ de las centrales de riesgo crediticio tienen en sus bases de datos personas que en algún momento registraron mora en el pago de sus obligaciones. Antes de que el gobierno reglamentara esta Ley, el colombiano del común y corriente permanecía indefinidamente en las bases de datos de las centrales de riesgos debido a que la central de riesgo demoraba mucho tiempo en la actualización de las bases de datos. Estas conductas, en últimas, se realizan en la práctica para capturar datos de las personas y utilizarlos con fines ilícitos como cuando a alguien se le hace ingresar a la supuesta página web de su entidad financiera para solicitarle actualizar sus datos o cambiar sus claves. El delincuente, luego de lo anterior, utilizará esa información obtenida ilegalmente para, entre otras, saquear las cuentas de ahorro de la persona o cargar a su tarjeta de crédito la adquisición de bienes o la prestación de servicios nunca requeridos por el verdadero titular. Ley 1273 2009 de la protección de la información y de los datos Acceso abusivo a un sistema informático: El que sin autorización o por fuera de lo acordado, acceda en todo o en aparte a un sistema informático protegido o no con una medida de seguridad. Obstaculización ilegítima de sistema informático o red de telecomunicación: El que sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos allí contenidos, o a una red de telecomunicaciones. Interceptación de datos informáticos: El que sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte. Daño informático: El que sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos. Uso de software malicioso: El que sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos. Carlos Manuel Rentería ‐ Página 2


Fundamentos de Seguridad en Redes La Arquitectura de Red - Telemática Ltda. de Colombia INDICE

Características de la red Telemática Ltda. de Colombia IP válidas para 6 host Matriz de Hardware Matriz de aplicaciones en producción Matriz de otros dispositivos Topología de red Vulnerabilidades, amenazas y riesgos Conclusiones y recomendaciones Bibliografía

3 4 5 6 7 8 9 11 12


IP: 200.10.1.0 Binario: 11001000.00001010.00000001.00000000 Mascara: 255.255.255.252 Host: 200.10.1.1 ‐ 200.10.1.62 Bits Subnet: 2 Mascara Subnet: 26 Max Subnet: 2 Max Host: 2 Supernet: 192.0.0.0 Mascara Bits: 3 Max Supernets: 128 Max Adress: 254 Route: 200.10.1.0 Subnet ID: 200.10.1.0 Broadcast: 200.10.1.63 # ID RANGO BROADCAST 1 200.10.1.4 200.10.1.5 ‐ 200.10.1.6 200.10.1.7 2 200.10.1.8 200.10.1.9 ‐ 200.10.1.10 200.10.1.11 3 200.10.1.12 200.10.1.13 ‐ 200.10.1.14 200.10.1.15 4 200.10.1.16 200.10.1.17 ‐ 200.10.1.18 200.10.1.19 5 200.10.1.20 200.10.1.21 ‐ 200.10.1.22 200.10.1.23 6 200.10.1.24 200.10.1.25 ‐ 200.10.1.26 200.10.1.27 7 200.10.1.28 200.10.1.29 ‐ 200.10.1.30 200.10.1.31 8 200.10.1.32 200.10.1.33 ‐ 200.10.1.34 200.10.1.35 9 200.10.1.36 200.10.1.37 ‐ 200.10.1.38 200.10.1.39 10 200.10.1.40 200.10.1.41 ‐ 200.10.1.42 200.10.1.43 11 200.10.1.44 200.10.1.45 ‐ 200.10.1.46 200.10.1.47 12 200.10.1.48 200.10.1.49 ‐ 200.10.1.50 200.10.1.51 13 200.10.1.52 200.10.1.53 ‐ 200.10.1.54 200.10.1.55 14 200.10.1.56 200.10.1.57 ‐ 200.10.1.58 200.10.1.59 15 200.10.1.60 200.10.1.61 ‐ 200.10.1.62 200.10.1.63 16 200.10.1.64 200.10.1.65 ‐ 200.10.1.66 200.10.1.67 17 200.10.1.68 200.10.1.69 ‐ 200.10.1.70 200.10.1.71 18 200.10.1.72 200.10.1.73 ‐ 200.10.1.74 200.10.1.75 19 200.10.1.76 200.10.1.77 ‐ 200.10.1.78 200.10.1.79 20 200.10.1.80 200.10.1.81 ‐ 200.10.1.82 200.10.1.83 21 200.10.1.84 200.10.1.85 ‐ 200.10.1.86 200.10.1.87 22 200.10.1.88 200.10.1.89 ‐ 200.10.1.90 200.10.1.91 23 200.10.1.92 200.10.1.93 ‐ 200.10.1.94 200.10.1.95 24 200.10.1.96 200.10.1.97 ‐ 200.10.1.98 200.10.1.99 25 200.10.1.100 200.10.1.101 ‐ 200.10.1.102 200.10.1.103 26 200.10.1.104 200.10.1.105 ‐ 200.10.1.106 200.10.1.107 27 200.10.1.108 200.10.1.109 ‐ 200.10.1.110 200.10.1.111 28 200.10.1.112 200.10.1.113 ‐ 200.10.1.114 200.10.1.115 29 200.10.1.116 200.10.1.117 ‐ 200.10.1.118 200.10.1.119 30 200.10.1.120 200.10.1.121 ‐ 200.10.1.122 200.10.1.123 31 200.10.1.124 200.10.1.125 ‐ 200.10.1.126 200.10.1.127 32 200.10.1.128 200.10.1.129 ‐ 200.10.1.130 200.10.1.131 33 200.10.1.132 200.10.1.133 ‐ 200.10.1.134 200.10.1.135 34 200.10.1.136 200.10.1.137 ‐ 200.10.1.138 200.10.1.139


35 200.10.1.140 200.10.1.141 ‐ 200.10.1.142 200.10.1.143 36 200.10.1.144 200.10.1.145 ‐ 200.10.1.146 200.10.1.147 37 200.10.1.148 200.10.1.149 ‐ 200.10.1.150 200.10.1.151 38 200.10.1.152 200.10.1.153 ‐ 200.10.1.154 200.10.1.155 39 200.10.1.156 200.10.1.157 ‐ 200.10.1.158 200.10.1.159 40 200.10.1.160 200.10.1.161 ‐ 200.10.1.162 200.10.1.163 41 200.10.1.164 200.10.1.165 ‐ 200.10.1.166 200.10.1.167 42 200.10.1.168 200.10.1.169 ‐ 200.10.1.170 200.10.1.171 43 200.10.1.172 200.10.1.173 ‐ 200.10.1.174 200.10.1.175 44 200.10.1.176 200.10.1.177 ‐ 200.10.1.178 200.10.1.179 45 200.10.1.180 200.10.1.181 ‐ 200.10.1.182 200.10.1.183 46 200.10.1.184 200.10.1.185 ‐ 200.10.1.186 200.10.1.187 47 200.10.1.188 200.10.1.189 ‐ 200.10.1.190 200.10.1.191 48 200.10.1.192 200.10.1.193 ‐ 200.10.1.194 200.10.1.195 49 200.10.1.196 200.10.1.197 ‐ 200.10.1.198 200.10.1.199 50 200.10.1.200 200.10.1.201 ‐ 200.10.1.202 200.10.1.203 51 200.10.1.204 200.10.1.205 ‐ 200.10.1.206 200.10.1.207 52 200.10.1.208 200.10.1.209 ‐ 200.10.1.210 200.10.1.211 53 200.10.1.212 200.10.1.213 ‐ 200.10.1.214 200.10.1.215 54 200.10.1.216 200.10.1.217 ‐ 200.10.1.218 200.10.1.219 55 200.10.1.220 200.10.1.221 ‐ 200.10.1.222 200.10.1.223 56 200.10.1.224 200.10.1.225 ‐ 200.10.1.226 200.10.1.227 57 200.10.1.228 200.10.1.229 ‐ 200.10.1.230 200.10.1.231 58 200.10.1.232 200.10.1.233 ‐ 200.10.1.234 200.10.1.235 59 200.10.1.236 200.10.1.237 ‐ 200.10.1.238 200.10.1.239 60 200.10.1.240 200.10.1.241 ‐ 200.10.1.242 200.10.1.243 61 200.10.1.244 200.10.1.245 ‐ 200.10.1.246 200.10.1.247 62 200.10.1.248 200.10.1.249 ‐ 200.10.1.250 200.10.1.251



Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

La Arquitectura de Red Telemática Ltda. de Colombia

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Marzo de 2009


La Arquitectura de Red Telemática Ltda. de Colombia INDICE

Características de la red Telemática Ltda. de Colombia IP válidas para 6 host Topología de red Matriz de Hardware Matriz de aplicaciones en producción Matriz de otros dispositivos Vulnerabilidades, amenazas y riesgos Tabla de Incidentes y Gráfico Conclusiones y recomendaciones Bibliografía

3 4 5 6 7 8 9 10 11 12

Página 2


La Arquitectura de Red Telemática Ltda. de Colombia

Características de la red Telemática Ltda. de Colombia La empresa cuenta con un Router Cisco de Frontera para conectividad con internet para comunicación de los clientes internos y externos. A este router van conectados los siguientes servidores utilizando la topología de estrella: -

Servidor Windows 2000 Server que se utiliza como Servidor de autenticación Servidor Web para conectividad de clientes externos Servidor Base de Datos ORACLE para la conectividad de los clientes, el sistema de facturación y el software de cartera de la empresa El Proxi Server para conectividad de clientes externos Cortafuego Firewall para conexiones internas y externas con Regla ANY ANY 30 Estaciones de trabajo Bogota 40 Estaciones de trabajo Cali Servidor de Correo Electrónico que es utilizado por el Departamento de Recursos Humanos

Las características actuales de la red son las siguientes: IP: 200.10.1.0 Binario: 11001000.00001010.00000001.00000000 Mascara: 255.255.255.252 Host: 200.10.1.1 - 200.10.1.62 Bits Subnet: 2 Mascara Subnet: 26 Max Subnet: 2 Max Host: 2 Supernet: 192.0.0.0 Mascara Bits: 3 Max Supernets: 128 Max Adress: 254 Route: 200.10.1.0 Subnet ID: 200.10.1.0 Broadcast: 200.10.1.63

Página 3


La Arquitectura de Red Telemática Ltda. de Colombia

IP VALIDAS para 6 HOST Mascara: 255.255.255.252 Servidor Servidor de Aplicaciones

ID DE RED

HOST VALIDOS

BROADCAST

200.10.1.4

200.10.1.5 - 200.10.1.6

200.10.1.7

200.10.1.8

200.10.1.9 - 200.10.1.10

200.10.1.11

Servidor de Base de Datos ORACLE

200.10.1.12

200.10.1.13 - 200.10.1.14

200.10.1.15

Servidor Windows 2000 Server - Autenticación

200.10.1.16

200.10.1.17 - 200.10.1.18

200.10.1.19

Servidor de Correo Electrónico

200.10.1.20

200.10.1.21 - 200.10.1.22

200.10.1.23

200.10.1.24

200.10.1.25 - 200.10.1.26

200.10.1.27

200.10.1.28

200.10.1.29 - 200.10.1.30

200.10.1.31

200.10.1.29

200.10.1.30 - 200.10.1.31

200.10.1.32

200.10.1.50

200.10.1.51 - 200.10.1.109

200.10.1.100

200.10.1.101

200.10.1.102 - 200.10.1.149

200.10.1.150

Servidor Web

Servidor de Aplicaciones Proxi Server Router Estaciones Bogota Estaciones Cali

Página 4


La Arquitectura de Red Telemática Ltda. de Colombia

Matriz de Hardware

Página 5


La Arquitectura de Red Telemática Ltda. de Colombia

Matriz de aplicaciones en producción

Página 6


La Arquitectura de Red Telemática Ltda. de Colombia

Matriz de otros dispositivos

Página 7


La Arquitectura de Red Telemática Ltda. de Colombia

Topología de red

Página 8


La Arquitectura de Red Telemática Ltda. de Colombia

Vulnerabilidades, amenazas y riesgos

Página 9


La Arquitectura de Red Telemática Ltda. de Colombia

Tabla de Incidentes y Gráfico

Página 10


La Arquitectura de Red Telemática Ltda. de Colombia

Conclusiones y Recomendaciones La seguridad hoy en día se ha convertido en la carta de navegación para el tema de la inversión en tecnología, debemos considerar aspectos relacionados con la gestión de la seguridad, con el fin de que esta inversión este alineada plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad, por esta y muchas más razones la empresa Telemática Ltda. de Colombia debería implementar un programa de riesgos de alto impacto para mitigar las amenazas a todo nivel y poder subsanar todas las falencias con las que cuenta en este momento. Las políticas que debe considerar a futuro deben ir de la mano de la capacitación del personal tanto en la sede de Bogotá como en la sede de Cali, con el fin de tomar decisiones de choque que causen impresión y sean relevantes en el corto plazo. Para esto es necesario considerar las siguientes recomendaciones con el propósito de mejorar la calidad del servicio dentro y fuera de la empresa y la eficiencia en la información. La organización como ente empresarial • Roles y Responsabilidades de Seguridad de la Información • Políticas para la conexión con terceros. Clasificación de la información • Importancia de la información según la organización. Seguridad en el recurso humano • Responsabilidades de seguridad de la información para los diferentes cargos. • Capacitación en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo. Administración de las operaciones de cómputo y comunicaciones. • Políticas sobre el uso del correo electrónico • Políticas sobre el uso de Internet. • Políticas sobre el uso de recursos.

Página 11


La Arquitectura de Red Telemática Ltda. de Colombia

Bibliografía •

METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP SISTESEG Bogotá, Colombia

SERVICIOS EN SEGURIDAD DE LA SERVICIOS EN SEGURIDAD DE LA INFORMACIÓN. Autor: Ing: Rodrigo Ferrer V. CISSP CISA BS ( British Standard) lead Auditor 27001

POLÍTICAS Y PROCEDIMIENTOS EN LA SEGURIDAD DE LA INFORMACIÓN Víctor Cappuccio Versión 1

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion Objetivos de control y controles 2005 - 10 - 15

Página 12


TALLER DE CONOCIMIENTO Y DESEMPEÑO

Se deben configurar los equipos y servidores de acuerdo al diagrama. Los servicios son: • SNMP (Comunidades por defecto public y private con permisos de lectura y escritura • Web en los equipos activos y en los servidores WEB • FTP (con cuenta anónima habilitada) • TFTP • Telnet Para el trabajo del grupo se recogieron cinco muestras. La muestra que nos pareció más completa es la muestra UNO y con esa vamos a hacer el análisis: A. Reconocimiento: 1. Estados de las banderas de TCP, explicar el estado de las banderas trama por trama en una sesión

Para ver el estado de las bandera escogemos las tramas: 977 a 1580 tal como lo muestra en la figura.


Los paquetes 1112 a 1258 son el establecimiento de la conexiรณn TCP entre nuestro cliente y nuestro equipo, pero realmente 1258 y 1259 el que comienza a tener ya informaciรณn interesante. Es decir, que ya la comunicaciรณn de banderas se hace uno a uno. Analicemos pues: Servidor Source: 192.168.7.60 Cliente Destination: 192.168.7.48 Duracion: 214 Bytes Los siguientes graficos analizan flujos TCP. Permiten representar la secuencia de tiempos. Todas estas graficas muestran el estado de la conexiรณn en funciรณn del tiempo. Grafico general de la muestra

Grafico con el filtro TCP


Gráfico con el filtro UDP

En el frame 1259 se tiene en cuenta lo siguiente: Tamaño del paquete: 62 bytes Captura: 62 bytes Banderas: SYN de sincronización de la comunicación ACK de confirmación Lenght=163.058 Elapsed time: 408.967 sec Cantidad de paquetes: 2009 Bytes trafic: 810787 Con la opción Folow TCP Stream se nos abrirá una ventana donde podremos analizar de forma muy cómoda toda la comunicación que ha habido entre cliente y servidor (separada cómodamente en dos colores):

2. Protocolos y servicios: Listado de protocolos observados en las capturas Del frame 1 al 2009 UDP TCP SSDP SMB NBNS NBDS MDNS IGMP


HTTP DNS BOOTP ARP 3. Direcciones IP: Verificaci贸n origen y destino, listado de IP Protocolo BOOTP NBNS MDNS TCP BOOTCP ARP NBNS ARP NBNS NBNS UDP NBNS NBNS

IP Origen 0.0.0.0 10.82.140.15 169.254.3.160 172.16.14.2 192.168.7.1 192.168.7.1 192.168.7.103 192.168.7.176 192.168.7.186 192.168.7.193 192.168.7.193 192.168.7.216 192.168.7.221

IP Destino 255.255.255.255 192.168.7.60 224.0.0.251 192.168.7.60 255.255.255.255 BROADCAST 192.168.7.255 BROADCAST 192.168.7.255 192.168.7.255 224.0.0.252 192.168.7.255 192.168.7.255

4. Que modelo de referencia es mostrada en la informaci贸n de las capturas. TCPDump, ethereal


5. Saludo de tres vías: a que parte de la interfaz del ethereal me debo remitir para encontrar dicha información. Justifique respuesta. Para mayor comodidad en el análisis es conveniente colocar el cursor del mouse en el paquete 1258, luego con el botón derecho del mouse vamos al menú Show packet en new window. Se nos abre una nueva ventana en donde analizaremos la muestra.

B. Explorando sistemas 1. Realizar barrido de ping y un escaneo de puertos e identifique las direcciones IP en uso y los puertos abiertos. 2. Usando herramienta GFI, Netscan, Solarzwin2000, Netscan y nmap encuentre: • Sistemas operativos • Vulnerabilidades • Niveles de riesgo sobre cada IP activa


• Direcciones IP de routers, Swiches y Servidores • Describa 3 vulnerabilidades encontradas 3. Mediantes Solarzwin2000 identifique los nombres de las comunidades SNMP que se están utilizando. C. Explotando vulnerabilidades 1. Con el barrido de ping que vulnerabilidades se podrían explorar 2. Con la información obtenida de los sistemas operativos de los servidores y de los PC’s de la red que vulnerabilidades se podrían explotar. Expliquelas 3. Que vulnerabilidades se podrían explotar a través del conocimiento de las comunidades SNMP que encontraron en uso. 4. Haga la negación de servicio de un dispositivo, explique como lo realizo. Explique las técnicas de negación de servicio y explíquelas. D. Manteniendo el acceso 1. Con las vulnerabilidades que se encontraron cree dos puertas traseras y responda las siguientes preguntas. a. Como se puede mantener el acceso en el servidor FTP b. Como se puede mantener el acceso en los servidores WEB c. Como se puede mantener el acceso en los routers y swiches d. Como se puede mantener el acceso a una base de datos E. Cubriendo el rastro 1. De acuerdo a la arquitectura de red implementada, investigue: a. Que tipos de logs existen en los sistemas operativos Windows / Linux y como se pueden acceder. b. Que tipos de logs existen en los router, como se pueden acceder y como se activan.


ANEXO BANDERAS TCP connect() scanning1. Es la forma más básica de análisis de puertos. Se intenta establecer una conexión normal al puerto mediante la llamada connect() del sistema. Origen --(SYN)-> Destino --+

+--(RST|ACK puerto cerrado)-> Origen +--(SYN|ACK puerto abierto)-> Origen –-(ACK)-> Destino

Ventajas: (1) no se necesita privilegios especiales para realizar el análisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) muy fácil de detectar y filtrar, ya que en los registros del sistema para cada puerto analizado aparece que se ha intentado establecer conexión y a continuación se ha cerrado sin enviar la información. • TCP SYN scanning. No establece una conexión TCP completa, sino que cuando recibe la respuesta SYN|ACK indicando que el puerto está a la escucha, inmediatamente envía un paquete RST para romper la conexión. Existe otra variante que no envía el paquete RST y, por lo tanto, deja el proceso de establecimiento de la conexión a medias. +--(RST|ACK puerto cerrado)-> Origen Origen --(SYN)-> Destino --+ +--(SYN|ACK puerto abierto)-> Origen –-(RST)-> Destino

Ventajas: (1) pocos sitios registran este intento de conexión análisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) hacen falta privilegios de administrador para construir el paquete SYN inicial. • TCP SYN|ACK scanning. Salta el primer paso en el establecimiento de conexión TCP, enviando directamente un paquete SYN|ACK al ordenador destino. Si el puerto está abierto no se recibe respuesta, pero si está cerrado se recibe RST. En este caso podemos determinar que puertos están cerrados y, por exclusión, cuales están abiertos (mapeo inverso). En las técnicas de mapeo inverso, se pueden producir lentos falsos positivos debido a paquetes destruidos, ya sea por la acción de cortafuegos, filtros de paquetes o límites de tiempo. Origen --(SYN|ACK)-> Destino --

+--(RST puerto cerrado)-> Origen + +--(puerto abierto)

Ventajas: (1) los paquetes SYN|ACK son capaces de pasar a través de cortafuegos y sistemas de detección de intrusos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Se pueden producir falsos positivos lentos y (2) la familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los paquetes SYN|ACK sea cual sea el estado del puerto. 1 Análisis Activo y Pasivo de Redes. Alejandro Castán Salinas. Revisión 2.8


• TCP ACK scanning. Consiste en enviar un paquete ACK al ordenador destino, que siempre responderá con un paquete RST. No obstante, si el puerto está abierto, el valor del campo TTL será menor que 64 y el valor del campo win será diferente de 0. +--(RST puerto cerrado)-> Origen Origen --(ACK)-> Destino --+ +--(RST win≠0 ttl<64 puerto abierto)-> Origen

Ventajas: (1) los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos cortafuegos que no devuelven respuesta para los puertos filtrados. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser de tipo Unix. • TCP FIN scanning. Ante un paquete FIN, los puertos cerrados deberían replicar con el debido RST y los puertos abiertos deberían ignoran el paquete FIN (mapeo inverso). Origen --(FIN)-> Destino --

+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)

Ventajas: (1) los paquetes FIN son capaces de pasar a través de cortafuegos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Algunos sistemas (por ej. Microsoft) responden paquetes RST sea cual sea el estado del puerto y (2) se pueden producir falsos positivos lentos. • TCP Null scanning. Consiste en enviar un paquete con todas las señales de código (URG, ACK, PSH, RST, SYN y FIN) de la cabecera TCP desactivadas. Si el puerto está abierto, no se recibe respuesta (mapeo inverso), pero si está cerrado se recibe RST|ACK.

Origen --()-> Destino --

+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)

Ventajas: (1) los paquetes NULL son capaces de evitar algunos sistemas de detección de intrusos. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fácil de detectar y registrar, y (3) se pueden producir falsos positivos lentos. • TCP Xmas scanning. Consiste en enviar un paquete con todas las señales de código (URG,ACK, PSH, RST, SYN y FIN) de la cabecera TCP activadas. Si el puerto está abierto, no se recibe respuesta (mapeo inverso), pero si está cerrado se recibe RST|ACK. +--(RST|ACK puerto cerrado)-> Origen Origen --(URG|ACK|PSH|RST|SYN|FYN)-> Destino --+ +--(puerto abierto)

Ventajas: (1) los paquetes XMAS son capaces de evitar algunos sistemas de detección de intrusos.


Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fรกcil de detectar y registrar, y (3) se pueden producir falsos positivos lentos.


ANEXO Campo de tipo Tipo de mensaje ICMP 0 Respuesta de eco 3 Destino inalcanzable 4 Origen acallado 5 Redireccionar (cambiar una ruta) 8 Solicitud de eco 11 Tiempo excedido para un datagrama 12 Problema de parámetros en un datagrama 13 Solicitud de marca de tiempo 14 Respuesta de marca de tiempo 15 Solicitud de información (obsoleto) 16 Respuesta de información (obsoleto) 17 Solicitud de máscara de dirección 18 Respuesta de máscara de dirección


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Item Primer Paso: Reconocimiento Objeto Social, Misión, Visión, Política de Calidad, Teléfonos, Direcciones Contactos, Información a otros servidores, WHOIS, Dirección IP Cual es el dominio de la entidad encargada en Colombia de manejar los registros de Dominios. Que información es necesaria para registrar un dominio. Formato de Carta de responsabilidad Esa información suministrada es de carácter público o privado.

Pág 2 3 4 5 6 7

Segundo Paso: Enumeración de la red Direcciones IP, Rangos de direcciones, Sistemas operativos de los servidores, aplicaciones y versiones de la actualización más reciente. Tiempos de respuesta de los servidores

7 8

Tercer Paso: Reconocimiento de la red Ubicación geográfica de los diferentes nodos por donde pasan los paquetes. Identifique las direcciones IP de cada nodo

8 9

Cuarto Paso: Explorando los sistemas Haga un barrido de ping. Identifique cuales son las direcciones IP que están activas Que pasa con las direcciones que no correspondieron al ping. Realice un escaneo de puertos a las diferentes direcciones IP. Que puertos están abiertos. Porque estos puertos están abiertos

9 9 10 10 10

Quinto Paso: Explotando las vulnerabilidades Que debilidades podría explotar de la información que encontró en el primer paso Con el ping, que vulnerabilidades se pueden explotar Con la duplicación de las páginas web que tipo de vulnerabilidades se pueden dar. Con los puertos abiertos y según su conocimiento, que vulnerabilidades se pueden explotar. Consulte en internet e investigue tres vulnerabilidades que se pueden servicios encontrados. Determine dos vulnerabilidades de los sistemas operativos identificados en el paso dos. Como se podría explotar estas vulnerabilidades.

11 11 11 12 12 12 12 13

Sexto Paso: Manteniendo el acceso Si se encontraron vulnerabilidades, como podría usted tener acceso permanente a los diferentes servicios.

13

Séptimo Paso: Cubriendo el rastro Investigue como se pueden lograr los logs de los servicios encontrados.

13

Bibliografía

14


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

Titulo: Taller de Ethical Hacking II

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz Luis Caceres

Bogotá, Marzo de 2009


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Ethical Hacking Empresa: PLASTIHOGAR

Primer Paso: Reconocimiento Objeto Social, Misión, Visión Plastihogar es una empresa que fue fundada en 1987 y cuyo objetivo es la fabricación y comercialización de productos plásticos de consumo masivo. Lo que inicialmente fue un sueño para su fundador y actual gerente, es hoy una realidad: más de 83 productos se mercadean y venden en el mercado Colombiano y 10 mercados internacionales en todo el Grupo Andino, Centroamérica y El Caribe. En todos ellos, tiene nuestra línea una extensa y merecida reputación. En su inicio la compañía participaba únicamente en el mercado de envases para líquidos; hoy lo hace activamente en múltiples categorías: envases para Líquidos con 20 referencias, recipientes para Sólidos (cocina, nevera y despensa) con 14 referencias, Loncheras con 4 referencias, Aseo con 15 referencias, Infantil con 12 referencias, Accesorios de Cocina con 3 referencias, Jardinería con 5 referencias y Thermos para bebidas liquidas (calientes y frías) con 5 referencias,, los nuevos Thermos sopa & Seco y el nuevo Portalimentos Duplo. Plastihogar es reconocida en el Mercado Colombiano por su capacidad de innovación, es una compañía que a través de sus lanzamientos ha cambiado hábitos de consumo gracias a la versatilidad de sus productos. Política de Calidad PLASTIHOGAR S.A. tiene como política de calidad, entregar al mercado productos innovadores que satisfacen las necesidades y expectativas de nuestros clientes, esto se hará efectivo mediante un mejoramiento continuo de nuestro proceso productivo, que nos permita generar confianza hacia nuestros productos y de esta manera asegurar el crecimiento sostenido de la empresa. Teléfonos PBX 422 45 55 Direcciones Plastihogar S.A Av. Calle 17 No. 132- 60 Bogotá - Colombia. Plastihogar s.a. Calle 22 no 133-84 Bogotá, D.C. N/D

Ethical Hacking – Plastihogar ‐ Página 2


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Contactos Ayala, Mauricio mayala@mareaweb.net marea agencia web Carrera 16 no 58a-13 Bogotá, D.C. N/D Colombia +571.2100253 fax plastihogar@plastihogar.com Información a otros servidores Herramientas: www.intodns.com www.netcraft.com www.network-tools.com

www.openrbl.com www.dnsstuff.com www.nic.co

Registro Web

Herramienta: www.register.com. Se utiliza para registrar los dominios de las páginas web. WHOIS Registrant: PLASTIHOGAR S.A. CALLE 22 No 133-84 BOGOTA, D.C. N/D Colombia Registered through: GoDaddy.com, Inc. (http://www.godaddy.com) Domain Name: PLASTIHOGAR.COM Created on: 06-Apr-00 Expires on: 06-Apr-09 Last Updated on: 06-Apr-08 Administrative Contact: AYALA, MAURICIO mayala@mareaweb.net MAREA AGENCIA WEB CARRERA 16 No 58A-13 BOGOTA, D.C. N/D Colombia +57.12100253 Fax -Technical Contact: AYALA, MAURICIO mayala@mareaweb.net MAREA AGENCIA WEB CARRERA 16 No 58A-13 BOGOTA, D.C. N/D Colombia +571.2100253 Fax --

Ethical Hacking – Plastihogar ‐ Página 3


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Domain servers in listed order: NS1.CO.GEARHOST.NET NS2.CO.GEARHOST.NET Domain Name: PLASTIHOGAR.COM Registrar: GODADDY.COM, INC. Whois Server: whois.godaddy.com Referral URL: http://registrar.godaddy.com Status: clientDeleteProhibited Status: clientRenewProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 06-apr-2008 Creation Date: 06-apr-2000 Expiration Date: 06-apr-2009 Dirección IP PLASTIHOGAR.COM.CO 69.24.71.158 Investigar: Cual es el dominio de la entidad encargada en Colombia de manejar los registros de Dominios. En Colombia, la Universidad de los Andes es la organización prestadora del servicio de registro de Dominios de Internet para Colombia. En el lenguaje internacional es el NIC (Network Information Center) oficial delegado por InterNIC. Por ello, toda organización que desee registrar un dominio .CO debe hacerlo por intermedio nuestro. Por esta razón, si desea registrar un nombre de dominio.co es necesario que lo haga por intermedio de: https://www.nic.co/dominio/index.htm En Colombia, un nombre de dominio está compuesto por tres campos, con el carácter "." (punto) como separador. Por ej: uniandes.edu.co donde: Primer campo (uniandes): nombre, sigla o abreviatura del nombre de la Organización o Empresa solicitante del dominio, Segundo campo (edu): carácter de la Organización o Empresa. Tercer campo (co): abreviatura de Colombia. Que información es necesaria para registrar un dominio. Descripción

Terminación Requisitos*

Para entidades comerciales

.com.co

Locales Enviar: 1. Fotocopia de la tarjeta NIT 2. Certificado de la Cámara de Comercio 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Solicitud empresas fuera de Colombia Los documentos solicitados son: 1. Fotocopia de la tarjeta NIT y del Certificado de la Cámara de Comercio del apoderado. 2. Poder debidamente apostillado para la firma de abogados o entidad representante, directamente emitida por la empresa solicitante, en persona del representante legal de la empresa extranjera. 3. Equivalente del Certificado de la Cámara de Comercio y del

Ethical Hacking – Plastihogar ‐ Página 4


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II número de identificación tributaria en el país de origen. 4. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Más información empresas fuera de Colombia Instituciones de educación o investigación

.edu.co

Instituciones públicas Enviar:3 1. Fotocopia del certificado del RUT 2. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Instituciones privadas Enviar: 1. Fotocopia de la tarjeta NIT 2. Certificación expedida por el ICFES, la Secretaría de Educación, o Certificado de la Cámara de Comercio. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

Organizaciones .org.co no gubernamentales

Enviar: 1. Fotocopia de la tarjeta NIT 2. Personería Jurídica o Certificado de la Cámara de Comercio. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

Embajadas

Enviar: 1. Fotocopia de la tarjeta NIT 2. Carta del embajador en papel membreteado. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

.org.co

Agencias .gov.co gubernamentales

Enviar: 1. Fotocopia de la tarjeta NIT. 2. Certificación de que la entidad es gubernamental adjuntando los siguientes documentos: decreto de creación, acta de posesión del funcionario o carta oficial del representante legal en papel membreteado. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

Agencias militares

.mil.co

Enviar: 1. Fotocopia de la tarjeta NIT. 2. Certificación de que la entidad es militar adjuntando los siguientes documentos: decreto de creación, acta de posesión del funcionario o carta oficial del representante legal en papel membreteado. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

Proveedores de Servicios de Internet

.net.co

Enviar: 1. Fotocopia de la tarjeta NIT 2. Certificado de la Cámara de Comercio 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

Personas naturales

.nom.co

Enviar: 1. Fotocopia de la cédula 2. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)

Ethical Hacking – Plastihogar ‐ Página 5


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Los documentos deben enviarse por UNA de estas tres vías: Escaneados: e-mail: adminco@uniandes.edu.co Correo certificado: Cra. 1ª No. 18 A 12 Edificio RGB Bogotá, DC ó Fax: (1) 3324491 Formato de Carta de responsabilidad Ciudad y fecha……………………………………………………………………… Señores DOMINIO.CO Dirección Tecnologías de Información UNIVERSIDAD DE LOS ANDES Carrera 1ª. No. 18A – 10 Bogotá, D.C. Por la presente, Yo ....................................................... como representante de la Organización………… ..................................... identificada con NIT ........................................ me hago responsable como solicitante del registro del nombre de dominio ............................. com.co El dominio solicitado será utilizado con el propósito de.............................................................. .............................................................................................................................................. .................................................................................................................................................. Declaro bajo juramento que, según mi conocimiento, el registro y uso del nombre de dominio solicitado no interfiere ni afecta derechos de terceros. Asimismo declaro bajo juramento que el registro del nombre de dominio solicitado no se realiza con ningún propósito ilegal ni viola legislación alguna, y que todos los datos suministrados son verdaderos, no habiendo ocultado u omitido información alguna. Declaro que conozco las políticas de Dominio.CO y, de manera particular lo referente a la violación de una marca cuando dice: “el registrar un nombre de dominio no significa registrar una marca. Es requisito indispensable del solicitante asegurarse que no está violando marca alguna”. Y continúa: “En el caso de una disputa o conflicto o controversia entre los solicitantes por los derechos de un nombre en particular, el NIC Colombia no adquiere responsabilidad al registrarlo. Solamente proveerá información a ambas partes. En este caso, me comprometo a someterme al procedimiento administrativo obligatorio establecido en la Política Uniforme de Resolución de Controversias de nombre de dominio (UDRP) y en su reglamento, aprobados por la Internet Corporation for Assigned Names and Numbers (ICANN)”. Conozco que la Universidad de los Andes, al actuar como Registrador del Dominio .CO, lo hace dentro del marco de las normas vigentes y bajo los postulados de la buena fe. Por esta razón, autorizo a Dominio .CO para cancelar el registro del nombre de dominio en caso de comprobar que existe alguna falta o incumplimiento de las políticas. Atentamente, FIRMA NOMBRE: DIRECCIÓN: CIUDAD: TELEFONO: E-MAIL:

Esa información suministrada es de carácter público o privado. La información del registro tanto del dominio.com como del dominio.com.co es pública. Segundo Paso: Enumeración de la red. Identifique la siguiente información: Direcciones IP Herramienta: www.DNSstuff.com IP Information - 69.24.71.158 When the server was last reloaded, we had 5754 IP addresses banned. Remember, you are not allowed to use automated programs to access our tools, unless you have a purchased a DNSstuff automated usage plan. Please email sales@dnsstuff.com to learn more. IP address: 69.24.71.158 Reverse DNS: [Timeout] Reverse DNS authenticity: [Unknown] ASN: 40728

Ethical Hacking – Plastihogar ‐ Página 6


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II ASN Name: IP range connectivity: Registrar (per ASN): Country (per IP registrar): Country Currency: Country fraud profile: City (per outside source): Country (per outside source): Private (internal) IP? IP address registrar: Known Proxy? Link for WHOIS:

GEARHOST 2 ARIN US [United States] USD [United States Dollars] Normal Englewood, Colorado US [United States] No whois.arin.net No 69.24.71.158

Rangos de direcciones Herramienta: http://www.intodns.com/ Country IP Range 69.24.64.0 to 69.24.127.255 NS records from your nameservers NS records got from your nameservers listed at the parent NS are: ns1.co.gearhost.net ['69.24.64.10'] [TTL=3600] ns2.co.gearhost.net ['69.24.64.15'] [TTL=3600] ns2.gearhost.com ['69.24.64.12'] [TTL=3600] ns1.gearhost.com ['69.24.64.11'] [TTL=3600] Sistemas operativos de los servidores, aplicaciones y versiones de la actualización más reciente. Herramienta: http://www.netcraft.com/

Ethical Hacking – Plastihogar ‐ Página 7


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Tiempos de respuesta de los servidores

Tercer Paso: Reconocimiento de la red. Usando la página www.intodns.com encuentre la siguiente información: Ubicación geográfica de los diferentes nodos por donde pasan los paquetes. VectorTrace: 69.24.71.158 Generated by www.DNSstuff.com at 15:06:43 GMT on 28 Mar 2009. MANCHESTER,UK Details [Internal IP] [85.113.83.1] [212.187.136.37] ae-1111.car2.manchesteruk1.level3.net. ae-4-4.ebr1.london2.level3.net. ae-47-107.ebr2.london2.level3.net. ae-2-2.ebr1.london1.level3.net. ae-1-100.ebr2.london1.level3.net. ae-43-43.ebr1.newyork1.level3.net. ae-3-3.ebr4.washington1.level3.net. ae-9494.csw4.washington1.level3.net. ae-9292.ebr2.washington1.level3.net. ae-2-2.ebr2.chicago2.level3.net. ae-1-100.ebr1.chicago2.level3.net. ae-3.ebr2.denver1.level3.net. ae-21-56.car1.denver1.level3.net. data393hol.car1.denver1.level3.net. 208-42-224-141.static.data393.net. 208-42-239-161.static.data393.net. [216.239.226.186] [69.24.71.158]

DALLAS,TX Details

SEATTLE,WA Details

[75.125.239.209] et2-11.ibr01.hstntx1.theplanet.com. te-7-2.car2.houston1.level3.net. ae-2-5.bar2.houston1.level3.net. ae-0-11.bar1.houston1.level3.net. ae-13-13.ebr1.dallas1.level3.net. ae-81-81.csw3.dallas1.level3.net. ae-82-82.ebr2.dallas1.level3.net. ae-2.ebr1.denver1.level3.net. ae-1-110.ebr2.denver1.level3.net. ae-21-52.car1.denver1.level3.net. data393hol.car1.denver1.level3.net. 208-42-224-137.static.data393.net. 208-42-239-165.static.data393.net. [216.239.226.186] [69.24.71.158]

vl101d1.acc.sea2.hopone.net. ge51.core1.sea2.hopone.net. ge71.core1.sea1.hopone.net. gi0-4-5.ar4.sea1.gblx.net. [64.212.107.46] 207.88.12.189.ptr.us.xo.net. te-3-0-0.rar3.la-ca.us.xo.net. 207.88.12.45.ptr.us.xo.net. 207.88.14.34.ptr.us.xo.net. 207.88.185.114.ptr.us.xo.net. 208-42-224141.static.data393.net. 208-42-239161.static.data393.net. [216.239.226.186] [69.24.71.158]

Ethical Hacking – Plastihogar ‐ Página 8


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II MANCHESTER,UK Details

DALLAS,TX Details

SEATTLE,WA Details

69.24.71.158 best=131ms ASN-C2INTERNET to Level3 to DATA393-ASN1 to GEARHOST

69.24.71.158 best=22ms THEPLANET-AS to Level3 to DATA393-ASN1 to GEARHOST

69.24.71.158 best=54ms HOPONE-GLOBAL to GBLX to XO-AS15 to DATA393ASN1 to GEARHOST

Identifique las direcciones IP de cada nodo NS records got from your nameservers listed at the parent NS are: ns1.co.gearhost.net ['69.24.64.10'] [TTL=3600] ns2.co.gearhost.net ['69.24.64.15'] [TTL=3600] ns2.gearhost.com ['69.24.64.12'] [TTL=3600] ns1.gearhost.com ['69.24.64.11'] [TTL=3600] Cuarto Paso: Explorando los sistemas Haga un barrido de ping. Identifique cuales son las direcciones IP que están activas PINGing PLASTIHOGAR.COM.CO Resolving PLASTIHOGAR.COM.CO ... 69.24.71.158 9:35:44 108 milliseconds, 108 ms average, 0% loss 9:35:45 107 milliseconds, 108 ms average, 0% loss 9:35:46 107 milliseconds, 107 ms average, 0% loss …. 9:36:06 106 milliseconds, 107 ms average, 0% loss …. Pinging plastihogar.com [69.24.71.158] with 32 bytes of data: Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Que pasa con las direcciones que no correspondieron al ping. Argumente su respuesta. Las direcciones que no están en el rango del ping son direcciones que navegan por internet. Hay otros usuarios que preguntan constantemente por ejemplo al servicio al cliente en línea, para correo, transferencia de archivos, etc. Tracing route to plastihogar.com [69.24.71.158] over a maximum of 30 hops: 1 x0.gw1.chi1.rninc.net 2 Loopback0.GW6.CHI2.ALTER.NET 3 0.so-2-0-2.XT1.CHI2.ALTER.NET 4 0.so-7-1-0.XL3.CHI13.ALTER.NET 5 204.255.169.158 6 ber2-ge-8-1.chicagoequinix.savvis.net 7 cr2-tengig-0-0-5-0.chicago.savvis.net 8 cr1-tengig-0-0-2-0.denver.savvis.net

[63.101.50.1] [137.39.4.214] [152.63.67.218] [152.63.64.109] [204.70.194.242] [204.70.195.117] [204.70.196.225]

Ethical Hacking – Plastihogar ‐ Página 9


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II 9 10 11 12 13

208.172.163.130 208-42-224-141.static.data393.net 208-42-239-161.static.data393.net 216.239.226.186 69.24.71.158

[208.42.224.141] [208.42.239.161]

Trace complete. Realice un escaneo de puertos a las diferentes direcciones IP.

Que puertos están abiertos. # Generated by Port Scanner # Version 8.0.3 # 28/03/2009 11:38:59 a.m. # Port Scan from 63.101.50.1 to 69.24.71.158 # Ports: 7, 9, 21, 23, 25, 80, 443, 99, 100, 8080 "IP Address"

"DNS Lookup"

63.101.50.1 a 63.101.50.9 63.101.50.15 63.101.50.52 a 63.101.50.59 63.101.50.65 63.101.50.68 63.101.50.92 63.101.50.93 63.101.50.94 63.101.50.114 a 63.101.50.115 63.101.50.135 63.101.50.141 63.101.50.142 a 63.101.50.144 63.101.50.145 63.101.50.147 63.101.50.158 63.101.50.168 a 63.101.50.172

21 ftp Open Open Open Open Open Open Open Open Open Open Open Open Open

25 smtp Open Open Open Open Open Open Open Open Open Open Open Open Open Open Open Open

Porque estos puertos están abiertos Los puertos que se encuentran abiertos son los de ftp para transmisión de datos y el puerto smtp para correo.

Ethical Hacking – Plastihogar ‐ Página 10


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Quinto Paso: Explotando las vulnerabilidades Que debilidades podría explotar de la información que encontró en el primer paso Suplantación de identidad, porque se tienen los datos personales tanto del representante legal de la empresa como de los contactos más importantes de la misma. Con el ping, que vulnerabilidades se pueden explotar Podemos saber a ciencia cierta cuales son las IP validas de la empresa, los puertos abiertos. Los servicios que utiliza para salir a internet (ftp, correo, telnet, etc). Para el ejemplo tenemos las siguientes vulnerabilidades según puertos: POP3: 69.24.71.160 - 69.24.71.165 - 69.24.71.166 - 69.24.71.170 - 69.24.71.185

Ethical Hacking – Plastihogar ‐ Página 11


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Con la duplicación de las páginas web que tipo de vulnerabilidades se pueden dar.

Se puede hacer pishing con la página de la empresa y se puede vulnerar el servicio de correo de la misma. Se tiene acceso al servidor web de la empresa siempre y cuando este servidor sea local, si las bases de datos se acceso desde el mismo servidor se puede tener acceso a ellas. Con los puertos abiertos y según su conocimiento, que vulnerabilidades se pueden explotar. Una aplicación acepta conexiones TCP o paquetes UDP en este puerto. El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos. Las personas orientadas a la seguridad saben que cada puerto abierto es un vector de ataque. Los atacantes y las personas que realizan pruebas de intrusión intentan aprovechar puertos abiertos, por lo que los administradores intentan cerrarlos, o protegerlos con cortafuegos, pero sin que los usuarios legítimos pierdan acceso al servicio. Los puertos abiertos también son interesantes en sondeos que no están relacionados con la seguridad porque indican qué servicios están disponibles para ser utilizados en una red. Consulte en internet e investigue tres vulnerabilidades que se pueden dar en los servicios encontrados. •

El sondeo SYN es el utilizado por omisión y el más popular por buenas razones. Puede realizarse rápidamente, sondeando miles de puertos por segundo en una red rápida en la que no existan cortafuegos.

El sondeo TCP Connect() es el sondeo TCP por omisión cuando no se puede utilizar el sondeo SYN. Esto sucede, por ejemplo, cuando el usuario no tiene privilegios para enviar paquetes en crudo o cuando se están sondeando redes IPv6.

Aunque la mayoría de los servicios más habituales en Internet utilizan el protocolo TCP, los servicios UDP también son muy comunes. Tres de los más comunes son los servicios DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y 67/68 respectivamente). Dado que el sondeo UDP es generalmente más lento y más difícil que TCP, algunos auditores de seguridad ignoran estos puertos.

Determine dos vulnerabilidades de los sistemas operativos identificados en el paso dos. • •

Amenazas del sistema (Seguridad Lógica). Amenazas en la red (Comunicaciones).

Ethical Hacking – Plastihogar ‐ Página 12


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Como se podría explotar estas vulnerabilidades. Accediendo al sistema e infiltrándose en la red. En un puerto abierto un usuario externo puede clonar un dispositivo y robar información de vital importancia para la empresa. En el caso de Plastihogar pudiera robar nuevas tecnologías para la extrusión de materiales plásticos que solo la tenga la empresa y que sea su estrategia para vencer a la competencia. Sexto Paso: Manteniendo el acceso Si se encontraron vulnerabilidades, como podría usted tener acceso permanente a los diferentes servicios. Argumente su respuesta. Al igual que en el punto anterior esas vulnerabilidades de sistema y de red se pueden explotar siempre y cuando el usuario temporal extraiga de la red y de los sistemas los elementos necesarios para estar presente sin dejar rastros de su estadía. Se debería disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se pueden utilizar. Es importante que los Administradores actualicen constantemente sus conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear las medidas de seguridad evolucionan de forma continua. Séptimo Paso: Cubriendo el rastro. Investigue como se pueden lograr los logs de los servicios encontrados. Un log es un registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informática es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué (who, what, when, where y why, W5) un evento ocurre para un dispositivo en particular o aplicación. La mayoría de los logs son almacenados o desplegados en el formato estándar, el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado por un dispositivo en particular puede ser leído y desplegado en otro diferente.

Ethical Hacking – Plastihogar ‐ Página 13


Fundamentos de Seguridad en Redes Taller de Ethical Hacking II Bibliografía Plastihogar S.A. http://www.plastihogar.com.co/ Especificación de puertos y orden de sondeo http://nmap.org/man/es/man-port-scanning-techniques.html NIC.COM - Network Information Center, Domain Name Registration https://www.nic.co/dominio/index.htm Register Domain Names at Register.com - Business Web Hosting Services and Domain Name Registration Provider http://www.register.com/titan/index.rcmx? www.openrbl.org IP-Address 200.21.18.189 DNS Network Tools Network Monitoring and DNS Monitoring from DNSstuff http://www.dnsstuff.com/ Netcraft Ltd - Internet Research, Anti-Phishing and PCI Security Services http://www.netcraft.com/ Traceroute, Ping, Domain Name Server (DNS) Lookup, WHOIS http://network-tools.com/ intoDNS checks DNS and mail servers health http://www.intodns.com/ TCP-IP Network Utilities http://www.simplelogic.com/net_utils/allutils.asp

Ethical Hacking – Plastihogar ‐ Página 14


TALLER

1.

Diagrama lógico de la red que deben implementar los dos grupos

Los servicios que deben de quedar configurados son: • SNMP (con las comunidades por defecto public y prívate con permisos de lectura y escritura). • FTP (con la cuenta anónimo habilitada) • WEB (en los equipos activos y en los del servidor WEB) • Servidor de dominio • TELNET 2. 3. 4. 5. 6. 7. 8. 9.

El grupo 1 y el grupo 2 debe instalar y configurar el firewall de hardware. Se debe conectar el firewall de acuerdo al diagrama anterior. Identifique las interfaces y las zonas, defina una dirección IP para las dos interfaces. Verifique que sucede con el firewall cuando no se define ninguna regla. Configure NAT uno a uno, para dos servicios, configure virtual server para estos servicios. Defina una regla para permitir todas las conexiones entrantes y salientes. Defina la regla para el acceso solo al servicio de HTTP haciendo NAT con una IP publica. Defina la regla para el acceso solo al servicio de FTP haciendo NAT con una IP publica. Defina una regla para denegar todos los servicios de cada red.



Configuraci贸n del ROUTER



FORMA DE CONECTAR EL FIREWALL


CONFIGURACION DEL FIREWALL ADVANCED NETWORKING – NAT

NETWORK SETTINGS – CONECTION TO ISP



NETWORK SETTINGS – CONNECTION TO ISP

NETWORK SETTINGS – LAN SETTINGS


ADVANCED NETWORKING – STATIC ROUTING

ADVANCED

NETWORKING

STATIC

ROUTING


ADVANCED NETWORKING – DYNAMIC ROUTING


FIREWALL – VIRTUAL SERVERS

FIREWALL – PC PRIVILEGES


FIREWALL – SPECIAL APPLICATIONS


STATUS AND LOGS

STATUS AND LOGS – ROUTING TABLE




TALLER DE FIREWALL SEGURIDAD EN REDES Modulo 2: Redes de Internet

TALLER DE FIREWALL

SENA ANDREA BARRERA EDGAR MOLINA CARLOSRENTERIA LUIS CACERES 14/04/2009

SEGURIDAD EN REDES Módulo 2: Seguridad en Internet


TALLER DE FIREWALL SEGURIDAD EN REDES Modulo 2: Redes de Internet

TALLER DE FIREWALL

Andrea Barrera Edgar Molina Carlos Rentería Luis Cáceres

Ingeniero Darío Muñeton Tutor

SERVICIO NACIONAL DE APRENDIZAJE “SENA” SEGURIDAD EN REDES Módulo 1: Fundamentos de seguridad en redes Bogotá D.C. 2009


TALLER DE FIREWALL SEGURIDAD EN REDES Modulo 2: Redes de Internet

DIAGRAMA LÓGICO DE LA RED

LAN

MEDELLIN

DMZ

Capítulo: DIAGRAMA LÓGICO DE LA RED

WAN

1


TALLER DE FIREWALL SEGURIDAD EN REDES Modulo 2: Redes de Internet

MATRIZ DE REGLAS PARA LA RED 1. Acceso de usuarios externos a Servidor Web

IP ORIGEN 0.0.0.0

IP DESTINO 200.10.5.2

PROTOCOLO HTTP

SERVICIO 80

ACCION PERMITIR

SERVICIO 80

ACCION PERMITIR

2. Acceso de usuarios externos a Servidor Web

IP ORIGEN 192.168.12.0

IP DESTINO 192.168.11.0

PROTOCOLO HTTP

3. Conexión con el servidor de aplicaciones y la base de datos

IP ORIGEN 192.168.11.0

IP DESTINO 192.168.12.0

PROTOCOLO TCP

SERVICIO 1521

ACCION PERMITIR

PROTOCOLO FTP TELNET POP3 SMTP

SERVICIO 20 23 110 25

ACCION DENEGAR DENEGAR DENEGAR DENEGAR

4. Restricciones internas

IP ORIGEN 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0

IP DESTINO 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

5. Autenticación de todos los usuarios internos y externos

IP ORIGEN 192.168.13.0 192.168.13.0 192.168.13.0 192.168.13.0 192.168.13.0 192.168.13.0 192.168.11.0 192.168.11.0

IP DESTINO 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0

PROTOCOLO TCP TCP TCP TCP TCP TCP TCP TCP

SERVICIO 135 136 137 138 139 445 135 136

ACCION PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR

Capítulo: MATRIZ DE REGLAS PARA LA RED

2


TALLER DE FIREWALL SEGURIDAD EN REDES Modulo 2: Redes de Internet

192.168.11.0 192.168.11.0 192.168.11.0 192.168.11.0

192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0

TCP TCP TCP TCP

137 138 139 445

PERMITIR PERMITIR PERMITIR PERMITIR

6. Recursos humanos puede enviar correos a sus proveedores.

IP ORIGEN 192.168.12.0 192.168.12.0

IP DESTINO 192.168.11.0 192.168.11.0

PROTOCOLO POP3 SMTP

SERVICIO 110 25

ACCION PERMITIR PERMITIR

SERVICIO 110 25

ACCION PERMITIR PERMITIR

7. Envios de correos por los usuarios internos

IP ORIGEN 200.10.5.3 200.10.5.3

IP DESTINO 0.0.0.0 0.0.0.0

PROTOCOLO POP3 SMTP

8. Acceso Remoto de los administradores

IP ORIGEN 0.0.0.0

IP DESTINO 200.10.5.4

PROTOCOLO HTTP

SERVICIO 80

ACCION PERMITIR

IP DESTINO 192.168.12.0 192.168.12.0

PROTOCOLO FTP FTP

SERVICIO 20 21

ACCION PERMITIR PERMITIR

PROTOCOLO FTP FTP FTP FTP

SERVICIO 20 21 20 21

ACCION PERMITIR PERMITIR PERMITIR PERMITIR

IP ORIGEN 192.168.11.0 192.168.11.0

10. BOGOTA ‐ MEDELLIN

IP ORIGEN 192.168.12.0 192.168.12.0 192.168.11.0 192.168.11.0

IP DESTINO 192.168.11.0 192.168.11.0 192.168.13.0 192.168.13.0

Capítulo: MATRIZ DE REGLAS PARA LA RED

9. Intranet

3


TALLER DE FIREWALL SEGURIDAD EN REDES Modulo 2: Redes de Internet 11. ANY‐ANY

IP ORIGEN ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY

IP DESTINO ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY

PROTOCOLO FTP FTP TCP POP3 SMTP TELNET HTTP DNS SNMP SNMP ICMP MSN DHCP DHCP

SERVICIO 20 21 1521 110 25 23 80 53 161 162 123 1863 546 547

ACCION DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR

NAT 200.10.5.2 200.10.5.3 200.10.5.4

Capítulo: MATRIZ DE REGLAS PARA LA RED

NAT DIRECCION 192.168.11.0 - S. WEB 192.168.11.0 – S. PASARELA 192.168.11.0 – S. REMOTO

4


SEGURIDAD EN REDES

SENA

TALLER FIREWALL SONICWALL

TALLER POR MEDIO DEL CUAL SE REALIZA EL APRENDIZAJE DE FIREWALL SONICWALL


TALLER DE FIREWALL Seguridad en Redes

2

TALLER DE FIREWALL

Andrea Barrera Edgar Molina Carlos Rentería Luis Cáceres Ana Cesar Rafael Castro Viviana Sanchez

Ingeniero Darío Muñeton Tutor

SERVICIO NACIONAL DE APRENDIZAJE “SENA” SEGURIDAD EN REDES


3

TALLER DE FIREWALL Seguridad en Redes TALLER DE FIREWALL

Módulo 1: Fundamentos de seguridad en redes Bogotá D.C. 2009


TALLER DE FIREWALL Seguridad En redes RED LOGICA (INTERFACES, ZONAS Y DIRECCIONES IP) RED LOGICA (INTERFACES, ZONAS Y DIRECCIONES IP) WAN RED 1 RED 2

RED 4

WAN WAN

LAN RED 5

LAN 200.31.3.2 RED 3


5

TALLER DE FIREWALL Seguridad en Redes RED LOGICA (INTERFACES, ZONAS Y DIRECCIONES IP)


TALLER DE FIREWALL Seguridad En redes CONFIGURACION DEL FIREWALL SONICWALL

CONFIGURACION DEL FIREWALL SONICWALL 1. COLOCANDO EL RELOJ LA ZONA


7

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL

PANEL DE CONTROL DEL SONICWALL

CONFIGURACION FIREWALL


8

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL

CONEXIÓN EN LA RED


9

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL

CONFIGURACION DEL FIREWALL


10

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


11

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


12

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


13

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


Servicio Nacional de Aprendizaje – Sena Centro de Gestión de Mercados, Logística y Tecnologías de la Información

Conceptos de Seguridad en Redes

Instructor: Darío Eduardo Muñetón

Carlos Manuel Rentería de la Cruz

Bogotá, Febrero de 2009


Fundamentos de Seguridad en Redes CONFIDENCIALIDAD [H.235] Propiedad que impide la revelación de información a individuos, entidades o procesos no autorizados [J.170] Una manera de asegurar que la información sólo es revelada a las partes destinadas y a nadie más. La información esta criptada para proporcionar la confidencialidad. Se denomina también privacidad. [X.800] Propiedad de una información que no está disponible ni es divulgada a personas, entidades o procesos no autorizados. Véase Privacidad y confidencialidad de datos

Privacidad y confidencialidad de datos Una de las razones principales para buscar la seguridad en las telecomunicaciones es el propio concepto de privacidad, algo que se conoce comúnmente como el derecho que tiene cada persona para controlar quién recopila y almacena información relacionada con ella, qué tipo de información y quién tiene acceso a ésta. Además, este concepto tiene que ver con los medios técnicos necesarios (por ejemplo, la criptografía) para garantizar que la información sólo llegue a los destinatarios deseados, de tal manera que solamente aquellas partes explícitamente autorizadas puedan recibirla e interpretarla. En general, los términos privacidad y confidencialidad se confunden, aunque conviene anotar que la Rec. UIT-T X.805 establece una diferencia explícita entre la privacidad y la confidencialidad de datos, pues la primera tiene que ver con la protección de la asociación de la identidad de los usuarios y sus actividades (por ejemplo, compras en línea, sitios que visitan en la Internet, etc.), mientras que la segunda se refiere a la protección contra accesos no autorizados al contenido de los datos. Para garantizar la confidencialidad de datos se suele utilizar métodos del tipo criptación, listas de control de acceso y permisos de acceso a ficheros. INTEGRIDAD [H.235] Propiedad de que los datos no han sido alterados de una manera no autorizada. [J.170] Con ella se garantiza que nadie haya modificado la información, excepto por aquellas personas autorizadas. [X.800] Véase integridad de datos Integridad de datos Propiedad que consisten en que los datos no han sido alterados de una manera no autorizada. Además, la integridad de los datos garantiza que la información esté protegida contra las siguientes operaciones no autorizadas: modificación, supresión, creación, y copia de los datos. Se proporciona también un indicador de estas actividades no autorizadas. En las Recomendaciones UIT-T H.235, J.160, J.93, J.95, Q.1290, Q.1531, X.800 y X.815 se hace referencia al término Integridad. [X.800] Confirmación de que los datos no han sido modificados o destruidos por personas no autorizadas. [X.805] La dimensión de seguridad integridad de los datos garantiza la exactitud y la veracidad de los datos. Protege los datos contra acciones no autorizadas de modificación, supresión, creación o duplicación, y señala estas acciones no autorizadas. DISPONIBILIDAD [X.800] Propiedad de ser accesible y utilizable a petición por una entidad autorizada. [X.805] La dimensión de seguridad de disponibilidad garantiza que las circunstancias de la red no impiden el acceso autorizado a los elementos de red, la información almacenada, los flujos

Carlos Manuel Rentería ‐ Página 2


Fundamentos de Seguridad en Redes de información, los servicios y las aplicaciones. Esta categoría incluye soluciones para recuperación en caso de catástrofe. VULNERABILIDADES Suele ocurrir que ante el imperativo deseo de poner en marcha la solución IT más ventajosa o de querer determinar cuál de las últimas aplicaciones, servidores y bases de datos en Internet se acomodan mejor a los objetivos de una organización, se deje en un segundo plano la protección de la información que contienen todos estos elementos. Es probable que en muchas empresas se piense erróneamente que al no haber sido aún víctimas de algún intento de ataque, no existe ninguna amenaza para ellos. Los organismos de normalización poseen capacidades y responsabilidades únicas para tratar el tema de las vulnerabilidades de la seguridad en los protocolos. Hay algunas medidas inmediatas y relativamente simples que éstos pueden emprender a fin de mejorar la seguridad de todos los protocolos que se están normalizando actualmente. Una vulnerabilidad de seguridad es un defecto o debilidad en el diseño, implementación o funcionamiento de un sistema que podría ser utilizado para violar su seguridad (RFC 2828). Una vulnerabilidad de seguridad no es un riesgo, amenaza o ataque. Hay cuatro tipos de vulnerabilidades: • Vulnerabilidad modelo de amenaza, que resulta de la dificultad para prever amenazas futuras (por ejemplo en el sistema de señalización N.º 7); • Vulnerabilidad diseño y especificación, producida de errores o descuidos en el diseño del protocolo que lo hacen inherentemente vulnerable (por ejemplo la norma WEP 802.11b del IEEE, también conocida como WiFi); • Vulnerabilidad implementación, que se produce como resultad o de errores en la implementación del protocolo; • Vulnerabilidad funcionamiento y configuración, que resulta de la utilización errónea de opciones en las implementaciones o de políticas insuficientes de instalación (por ejemplo, cuando el administrador de red no facilita la utilización de la criptación en una red WiFi, o cuando escoge un cifrado de trenes que no es suficientemente robusto). AMENAZAS Cualquier acción o evento que puede ocasionar consecuencias adversas. Situación o evento con que puede provocar daños en un sistema. Conforme a la Rec. UIT-T X.800, una amenaza de seguridad es una violación potencial de la seguridad, que puede ser activa, es decir que existe la posibilidad de un cambio deliberado y no autorizado del estado del sistema, o pasiva, cuando hay amenaza de revelación no autorizada de la información. RIESGOS La explotación de una vulnerabilidad por parte de una amenaza. Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto. Análisis de riesgos: El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre

Carlos Manuel Rentería ‐ Página 3


Fundamentos de Seguridad en Redes los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Consideraciones de software: Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo. Impacto: Los resultados y consecuencias de que se materialice un riesgo. Riesgo residual: El riesgo que permanece después de que se han implementado contra medidas y controles CONTROL [H.235] [X.800] Prevención del uso no autorizado de un recurso, incluida la prevención del uso de un recurso de una manera no autorizada (X.800). [J.170] Limitación del flujo de información de los recursos de un sistema de una red solamente a personas, programas, procesos u otros recursos de sistema autorizados. [X.805] La dimensión de seguridad control de acceso protege contra la utilización de recursos de red sin autorización. El control de acceso garantiza que sólo las personas y los dispositivos autorizados pueden acceder a los elementos de red, la información almacenada, los flujos de información, los servicios y las aplicaciones. Además, el control de acceso basado en las funciones (RBAC, role-based access control) establece varios niveles para restringir el acceso a los elementos de red, la información almacenada, los flujos de información, los servicios y las aplicaciones, a las personas y los dispositivos autorizados. (Véase Lista de control de acceso). Lista de control de acceso [X.800] Lista de entidades, con sus derechos de acceso, que están autorizadas a tener acceso a un recurso. SEGURIDAD FISICA Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos -generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta. A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto. Protección del hardware El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización. Problemas a los que nos enfrentamos: • Acceso físico • Desastres naturales - Terremotos y vibraciones - Tormentas eléctricas

Carlos Manuel Rentería ‐ Página 4


Fundamentos de Seguridad en Redes •

• • •

- Inundaciones y humedad - Incendios y humos Alteraciones del entorno - Alimentación eléctrica, - El ruido eléctrico producido por los equipos - Los cambios bruscos de temperatura. Protección de los datos - Eavesdropping - Backups - Otros elementos Copias de seguridad Soportes no electrónicos Radiaciones electromagnéticas

SEGURIDAD COMPUTACION Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.[1] El termino Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aun que su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologías utilizadas, y las zonas de concentración. La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas. Las principales tecnologías referentes a la seguridad de la información son: - Cortafuegos - Administración de cuentas de usuarios - Detección y prevención de intrusos - Antivirus - Infraestructura de llave publica - Capas de Socket Segura (SSL) - Conexión única "Single Sign on- SSO" - Biométria - Cifrado - Cumplimiento de privacidad - Acceso remoto - Firma digital - Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT" - Redes Virtuales Privadas "VPNs" - Transferencia Electrónica Segura "SET" - Informática Forense - Recuperación de datos - Tecnologías de monitoreo SEGURIDAD COMUNICACIÓN [X.805] La dimensión de seguridad de la comunicación garantiza que la información sólo circula entre los puntos extremo autorizados (no hay desviación ni interceptación de la información que circula entre estos puntos extremo). Véase Red de Comunicación de datos

Carlos Manuel Rentería ‐ Página 5


Fundamentos de Seguridad en Redes Red de comunicación de datos [M.3010] Red de comunicación dentro de una RGT o entre RGT que soportan la función comunicación de datos (DCF). INGENIERIA SOCIAL La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Término usado entre crackers y samurais para referirse a las técnicas de violación que se sustentan en las debilidades de las personas mas que en el software. El objetivo es engañar a la gente para que revele contraseñas u otra información que comprometa la seguridad del sistema objetivo. Objetivos Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para: • Cometer Fraude • Entrometerse en las Redes • Espionaje Industrial • Robo de Identidad (de moda) • Irrumpir en los Sistemas o Redes Las víctimas típicas incluyen: • Empresas Telefónicas • Servicios de Helpdesk y CRM • Corporaciones Renombradas • Agencias e Instituciones Gubernamentales y Militares • Instituciones Financieras • Hospitales. El boom del internet tuvo su parte de culpa en la proliferación de ataques a pequeños “startup´s”, pero en general, los ataques se centran en grandes compañías. INCIDENTE Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad. El reporte de los incidentes permite responder a los mismos en forma sistemática, minimizar su ocurrencia, facilitar una recuperación rápida y eficiente de las actividades minimizando la pérdida de información y la interrupción de los servicios, mejorar continuamente el marco de seguridad y el proceso de tratamiento de incidentes, y manejar correctamente los aspectos legales que pudieran surgir durante este proceso. Error de Tipo I: Error producido cuando el sistema diagnostica como ataque una actividad normal. Error de Tipo II: Error producido cuando el sistema diagnostica como actividad normal un ataque.

Carlos Manuel Rentería ‐ Página 6


Fundamentos de Seguridad en Redes Error de software Un defecto de software (computer bug en inglés), es el resultado de un fallo o deficiencia durante el proceso de creación de programas de ordenador o computadora (software). Dicho fallo puede presentarse en cualquiera de las etapas del ciclo de vida del software aunque los más evidentes se dan en la etapa de desarrollo y programación. Los errores pueden suceder en cualquier etapa de la creación de software

MODELO DE REPORTE DE INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN Fecha de notificación:

Hora de notificación: DATOS DE LA PERSONA QUE NOTIFICA

Apellido y Nombres: Sede / C.R. / Delegado: Correo electrónico: Teléfono:

Área Interno:

/

Dependencia:

Teléfono particular:

INFORMACIÓN SOBRE EL INCIDENTE Fecha en que observó el incidente: Hora en que observó el incidente: Marque con una cruz todas las opciones que considere aplicables. Uso indebido de información crítica. Ingeniería social, fraude o phishing. Uso prohibido de un recurso informático o de Modificación no autorizada de un sitio o red de la Universidad. página web de la Universidad. Divulgación no autorizada de información personal.

Eliminación insegura de información.

Robo o pérdida de información. Interrupción prolongada en un sistema o servicio de red.

Modificación o eliminación no autorizada de datos. Anomalía o vulnerabilidad técnica de software. Amenaza o acoso por medio electrónico. Ataque o infección por código malicioso (virus, gusanos, troyanos, etc.)

Modificación, instalación o eliminación no autorizada de software.

Robo o pérdida de un recurso informático de la Universidad.

Acceso o intento de acceso no autorizado a un sistema informático.

Otro no contemplado. Describa:

Intrusión física. Destrucción no autorizada de información.

INFORMACIÓN SOBRE EL INCIDENTE Describa el incidente:

Si el incidente: •se trata de una infección por código malicioso, detalle en lo posible el nombre del virus detectado por el programa antivirus. •se trata de una anomalía o vulnerabilidad técnica, describa la naturaleza y efecto de la anomalía en términos generales, las condiciones en las cuales ocurrió la vulnerabilidad, los síntomas del problema y mensajes de error que aparezcan en pantalla. •se trata de un caso de fraude mediante correo electrónico (phishing), no elimine el mensaje de correo, contáctese en forma telefónica con el Depto. de S.I. y reenvíe el mensaje como adjunto a la dirección seguridad@empresa.com

Carlos Manuel Rentería ‐ Página 7


Fundamentos de Seguridad en Redes Bibliografía La Seguridad de las Telecomunicaciones y las Tecnologías de la Información. Visión general de asuntos relacionados con la seguridad de las telecomunicaciones y la implementación de las Recomendaciones UIT-T existentes. Diciembre de 2003 Ingeniería Social para no Creyentes Carlos A. Biscione Technical Account Manager North of Latin America Sun Microsystems Seguridad en redes, Teleinformáticas y Telecomunicaciones La seguridad de la información y los negocios electrónicos por Quina Monroy Baker Tecnología Empresarial Año 2000 Núm. 21 Glosario de términos relacionados con la seguridad informática

Carlos Manuel Rentería ‐ Página 8


Fundamentos de Seguridad en Redes Anexo - Recomendaciones del UIT-T Las Recomendaciones del UIT-T pueden consultarse en el sitio de la UIT en la red: http://www.itu.int/publications/bookshop/how-tobuy.html (en este sitio figura también información sobre el acceso gratuito a un número limitado de Recomendaciones del UIT-T). Marco de arquitectura de seguridad X.800 – Arquitectura de seguridad X.802 – Modelo de seguridad de capas más bajas X.803 – Modelo de seguridad de capas superiores X.805 – Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo X.810 – Marcos de seguridad para sistemas abiertos: Visión general X.811 – Marcos de seguridad para sistemas abiertos: Marco de autenticación X.812 – Marcos de seguridad para sistemas abiertos: Marco de control de acceso X.813 – Marcos de seguridad en sistemas abiertos: Marco de no rechazo X.814 – Marcos de seguridad para sistemas abiertos: Marco de confidencialidad X.815 – Marcos de seguridad para sistemas abiertos: Marco de integridad X.816 – Marcos de seguridad para sistemas abiertos: Marco de auditoría y alarmas de seguridad Protocolos X.273 – Protocolo de seguridad de la capa de red X.274 – Protocolo de seguridad de la capa de transporte Seguridad en la retransmisión de tramas X.272 – Compresión de datos y privacidad en las redes con retransmisión de tramas Técnicas de seguridad X.841 – Objetos de información de seguridad X.842 – Directrices para el uso y gestión de servicios a tercera parte confiable X.843 – Especificación de servicios de tercera parte confiable para soportar la aplicación de firmas digitales Servicios de directorio y autenticación X.500 – Visión de conjunto de conceptos, modelos y servicios X.501 – Modelos X.509 – Marco para los certificados de claves públicas y de atributos X.519 – Especificaciones de protocolo Seguridad de gestión de redes M.3010 – Principios para una red de gestión de las telecomunicaciones M.3016 – Visión general de la seguridad en la red de gestión de las telecomunicaciones M.3210.1 – Servicios de gestión de red de gestión de las telecomunicaciones para la seguridad de las IMT-2000 M.3320 – Marco de los requisitos de gestión para la interfaz X de la RGT M.3400 – Funciones de gestión de la red de gestión de las telecomunicaciones Gestión de sistemas X.733 – Función señaladora de alarmas X.735 – Función control de ficheros registro cronológico X.736 – Función señaladora de alarmas de seguridad X.740 – Función de pista de auditoría de seguridad X.741 – Objetos y atributos para el control de acceso Facsímil T.30 Anexo G – Procedimientos para la transmisión segura de documentos por facsímil grupo 3 mediante la utilización de los sistemas HKM y HFX T.30 Anexo H – Seguridad en facsímil del grupo 3 basada en el algoritmo RSA T.36 – Capacidades de seguridad para su utilización con terminales facsímil del grupo 3 T.503 – Perfil de aplicación de documento para el intercambio de documentos facsímil del grupo 4 T.563 – Características de terminal para aparatos facsímil del grupo 4 Sistemas de televisión y cable J.91 – Métodos técnicos para asegurar la privacidad de las transmisiones internacionales de televisión a larga distancia J.93 – Requisitos del acceso condicional en la distribución secundaria de televisión digital por sistemas de televisión por cable J.170 – Especificación de seguridad de IPCablecom Comunicaciones multimedios H.233 – Sistemas de confidencialidad para servicios audiovisuales H.234 – Sistema de gestión de claves de criptación y de autenticación para servicios audiovisuales H.235 – Seguridad y criptado para terminales multimedios de la serie H (basados en las Recomendaciones UIT-T H.323 y H.245) H.323 Anexo J – Sistemas de comunicación multimedios basados en paquetes – Seguridad para el anexo F/H.323 (Tipos de punto extremo simples) H.350.2 – Arquitectura de servicios de directorio para H.235 H.530 – Procedimientos de seguridad simétricos para movilidad de sistemas H.323 según la Recomendación H.510

Carlos Manuel Rentería ‐ Página 9





a) Descripción del escenario - Se instala spyware en el sistema informático de la compañía, lo cual implica el robo de la base de datos de personal de la misma. - Se instala spyware en el sistema informático de una compañía dedicada al emárketing, lo cual implica el robo de la base de datos de un cliente. b) Normativa afectada Normativa en materia de protección de datos: - Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal: - Artículo 9: obligación del responsable del fichero de aplicar las medidas de seguridad dispuestas en la normativa de desarrollo a los efectos de garantizar la seguridad de los datos de carácter personal; - Artículo 10: deber de secreto del responsable del fichero y de quienes intervengan en el tratamiento de los datos; - Artículo 44.1.e): infracción leve el incumplir el deber de secreto cuando no sea una infracción grave; - Artículo 44.3.h): infracción grave el no aplicar las medidas de seguridad; - Artículo 44.4.b): infracción muy grave la comunicación de datos personales salvo en los supuestos en que esté permitido); - Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal: deber del responsable del fichero de comunicar las normas a los empleados (Artículos 1 y 9). - Código Penal, Artículo 278 y 279 apoderamiento de secretos de la empresa y divulgación de los mismos; y 197, relativo al apoderamiento de datos reservados de carácter personal. - Código Penal, Artículo 30 relativo al régimen de responsabilidad de los delitos y faltas cometidos. - Ley de Sociedades Anónimas, Artículo 133 relativo a la Responsabilidad de los administradores. c) Infracciones y Responsabilidades derivadas de las mismas La compañía es responsable de custodiar los datos de carácter personal albergados en sus sistemas y garantizar su seguridad y recae sobre la misma el deber de secreto. - El Artículo 9 de la LOPD establece que es obligación del responsable del fichero el aplicar las medidas de seguridad dispuestas en la normativa de desarrollo a los efectos de garantizar la seguridad de los datos de carácter personal habida cuenta del estado de la tecnología. De ello se deduce que la compañía deberá protegerse contra la instalación de spyware mediante la instalación de programas informáticos que se comercialicen para ello. En el supuesto de producirse el robo de datos de carácter personal titularidad de la compañía y su divulgación, la compañía podría llegar a ser responsable de una infracción muy grave de la LOPD, con sanciones de hasta 600.000 Euros. - Cabe destacar que el Artículo 45.5 de la LOPD establece la posibilidad de disminuir la cuantía de una sanción por infracción de la LOPD, siendo aplicable las sanciones de grado inmediatamente menor, en aquéllos casos en los que concurra “una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho”. En el caso que nos ocupa, en que la compañía


responsable del fichero podría ser sancionada por no haber evitado la divulgación datos de carácter personal de su titularidad como consecuencia de un ataque de spyware, la instalación de un programa que detecte y bloquee la instalación de spyware por parte de la compañía podría implicar la aplicación, por parte de la Agencia Española de Protección de Datos, de la citada reducción de la cuantía de la sanción. Conforme a lo establecido por el Artículo 133 de la Ley de Sociedades Anónimas, los administradores responderán frente a la sociedad, frente a los accionistas y los acreedores sociales del daño causado por actos u omisiones o por los actos realizados incumpliendo los deberes inherentes al desempeño de su cargo. En el escenario que nos ocupa, los administradores de la compañía podrían responder por una omisión de la protección del deber de proteger la información confidencial de la compañía y sus activos inmateriales así como de realizar acciones dirigidas al control de los trabajadores. Por lo que se refiere a la posible responsabilidad penal de la compañía, podría ser de aplicación el artículo 197.2 del Código Penal que establece una pena de prisión de uno a cuatro años y multa de doce a veinticuatro meses para aquel que se apodere, en perjuicio de tercero, de datos reservados de carácter personal. Dicha pena aumentará de dos a cinco años si los datos se revelan o difunden, tal y como sucede en el supuesto de hecho analizado en el presente apartado. El Código Penal establece en su Artículo 30 un régimen específico en materia de responsabilidad penal para los delitos y faltas cometidos a "utilizando medios o soportes de difusión mecánicos". De acuerdo con este sistema de responsabilidad escalonada, la empresa responderá penalmente de forma subsidiaria al autor por la divulgación de información confidencial así como de datos de carácter personal conforme a lo establecido por el Artículo 30 del Código Penal, en el que se establece: 1.º Los que realmente hayan redactado el texto o producido el signo de que se trate, y quienes les hayan inducido a realizarlo. 2º. Los directores de la publicación o programa en que se difunda. 3º. Los directores de la empresa editora, emisora o difusora. 4º. Los directores de la empresa grabadora, reproductora o impresora. De ello se desprende que conviene a la compañía el incorporar los medios necesarios para evitar que dichas situaciones se produzcan a los efectos de estar en condiciones de demostrar que la custodia de documentación confidencias y datos de carácter personal ha sido realizada con la con la máxima diligencia posible. Por lo que se refiere a la responsabilidad del Responsable de IT en relación con la instalación de spyware en los sistemas de la compañía, éste deberá en todo caso advertir a la compañía de dicha posibilidad y recomendar la instalación de medidas técnicas dirigidas a la detección y bloqueo de spyware. En el supuesto que el Responsable de IT no realice de forma diligente sus funciones, podría considerarse que el mismo ha incurrido en el incumplimiento de las instrucciones de la empresa por la falta de realización de las tareas asignadas al mismo ya sea por negligencia o de forma dolosa, lo cual facultará al empresario a emprender acciones disciplinarias contra el mismo conforme a lo establecido en la normativa sectorial.


d) Recomendaciones - Incorporar software destinado a bloquear la instalación de spyware en los sistemas de la compañía a los efectos de intentar minimizar la cuantía de la sanción en aquéllos casos de instalación del mismo y robo de datos de carácter personal responsabilidad de la compañía. - Incorporar, en los sistemas de Websense, un sistema de control de acceso a Webs (control de reenvío de información a direcciones IP).


Ley Número 527 de 1999 (agosto 18) Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. El Congreso de Colombia DECRETA : PARTE I PARTE GENERAL CAPÍTULO I Disposiciones Generales Artículo 1°. Ámbito de aplicación. La presente ley será aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos: a) En las obligaciones contraídas por el Estado colombiano en virtud de Convenios o Tratados internacionales. b) En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o consumo. Artículo 2°. Definiciones. Para los efectos de la presente ley se entenderá por: a) Mensaje de Datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera; c) Firma Digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación; d) Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. e) Intercambio Electrónico de Datos (EDI). La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto; f) Sistema de Información. Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos. Artículo 3°. Interpretación. En la interpretación de la presente ley habrán de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y la observancia de la buena fe.


Las cuestiones relativas a materias que se rijan por la presente ley y que no estén expresamente resueltas en ella, serán dirimidas de conformidad con los principios generales en que ella se inspira. Artículo 4°. Modificación mediante acuerdo. Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envían, reciben, archivan o procesan de alguna otra forma mensajes de datos, las disposiciones del Capítulo III, Parte I, podrán ser modificadas mediante acuerdo. Artículo 5°. Reconocimiento jurídico de los mensajes de datos. No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos. CAPÍTULO II Aplicación de los requisitos jurídicos de los mensajes de datos Artículo 6°. Escrito. Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas prevén consecuencias en el caso de que la información no conste por escrito. Artículo 7º. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si: a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación. b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que no exista una firma. Artículo 8°. Original. Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si: a) Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma; b) De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que la información no sea presentada o conservada en su forma original. Artículo 9°. Integridad de un mensaje de datos. Para efectos del artículo anterior, se considerará que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido, será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso. Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil.


En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original. Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente. Artículo 12. Conservación de los mensajes de datos y documentos. Cuando la Ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho, siempre que se cumplan las siguientes condiciones: 1. Que la información que contengan sea accesible para su posterior consulta; 2. Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o recibido o en algún formato que permita demostrar que reproduce con exactitud la información generada, enviada o recibida, y 3. Que se conserve, de haber alguna, toda información que permita determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento. No estará sujeta a la obligación de conservación, la información que tenga por única finalidad facilitar el envío o recepción de los mensajes de datos. Los libros y papeles del comerciante podrán ser conservados en cualquier medio técnico que garantice su reproducción exacta. Artículo 13. Conservación de mensajes de datos y archivo de documentos a través de terceros. El cumplimiento de la obligación de conservar documentos, registros o informaciones en mensajes de datos, se podrá realizar directamente o a través de terceros, siempre y cuando se cumplan las condiciones enunciadas en el artículo anterior. CAPÍTULO III Comunicación de los mensajes de datos Artículo 14. Formación y validez de los contratos. En la formación del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptación podrán ser expresadas por medio de un mensaje de datos. No se negará validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado en su formación uno o más mensajes de datos. Artículo 15. Reconocimiento de los mensajes de datos por las partes. En las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negarán efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de mensaje de datos. Artículo 16. Atribución de un mensaje de datos.- Se entenderá que un mensaje de datos proviene del iniciador, cuando éste ha sido enviado por: El propio iniciador. Por alguna persona facultada para actuar en nombre del iniciador respecto de ese mensaje, o 3. Por un sistema de información programado por el iniciador o en su nombre para que opere automáticamente. Artículo 17. Presunción del origen de un mensaje de datos. Se presume que un mensaje de datos ha sido enviado por el iniciador, cuando:


1. Haya aplicado en forma adecuada el procedimiento acordado previamente con el iniciador, para establecer que el mensaje de datos provenía efectivamente de éste, o 2. El mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relación con el iniciador, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el iniciador para identificar un mensaje de datos como propio. Artículo 18. Concordancia del mensaje de datos enviado con el mensaje de datos recibido. Siempre que un mensaje de datos provenga del iniciador o que se entienda que proviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las relaciones entre el iniciador y el destinatario, éste último tendrá derecho a considerar que el mensaje de datos recibido corresponde al que quería enviar el iniciador, y podrá proceder en consecuencia. El destinatario no gozará de este derecho si sabía o hubiera sabido, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que la transmisión había dado lugar a un error en el mensaje de datos recibido. Artículo 19. Mensajes de datos duplicados. Se presume que cada mensaje de datos recibido es un mensaje de datos diferente, salvo en la medida en que duplique otro mensaje de datos, y que el destinatario sepa, o debiera saber, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el nuevo mensaje de datos era un duplicado. Artículo 20. Acuse de recibo. Si al enviar o antes de enviar un mensaje de datos, el iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos, pero no se ha acordado entre éstos una forma o método determinado para efectuarlo, se podrá acusar recibo mediante: a) Toda comunicación del destinatario, automatizada o no, o b) Todo acto del destinatario que baste para indicar al iniciador que se ha recibido el mensaje de datos. Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje de datos, y expresamente aquél ha indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de datos no ha sido enviado en tanto que no se haya recepcionado el acuse de recibo. Artículo 21. Presunción de recepción de un mensaje de datos. Cuando el iniciador recepcione acuse recibo del destinatario, se presumirá que éste ha recibido el mensaje de datos. Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido. Cuando en el acuse de recibo se indique que el mensaje de datos recepcionado cumple con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá que ello es así. Artículo 22. Efectos jurídicos. Los artículos 20 y 21 únicamente rigen los efectos relacionados con el acuse de recibo. Las consecuencias jurídicas del mensaje de datos se regirán conforme a las normas aplicables al acto o negocio jurídico contenido en dicho mensaje de datos. Artículo 23. Tiempo del envío de un mensaje de datos. De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido cuando ingrese en un sistema de información que no esté bajo control del iniciador o de la persona que envió el mensaje de datos en nombre de éste. Artículo 24. Tiempo de la recepción de un mensaje de datos. De no convenir otra cosa el iniciador y el destinatario, el momento de la recepción de un mensaje de datos se determinará como sigue: a. Si el destinatario ha designado un sistema de información para la recepción de mensaje de datos, la recepción tendrá lugar: 1. En el momento en que ingrese el mensaje de datos en el sistema de información designado; o 2. De enviarse el mensaje de datos a un sistema de información del destinatario que no sea el sistema de información designado, en el momento en que el destinatario recupere el mensaje de datos; b. Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar cuando el


mensaje de datos ingrese a un sistema de información del destinatario. Lo dispuesto en este artículo será aplicable aun cuando el sistema de información esté ubicado en lugar distinto de donde se tenga por recibido el mensaje de datos conforme al artículo siguiente. Artículo 25. Lugar del envío y recepción del mensaje de datos. De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido en el lugar donde el iniciador tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente artículo: Si el iniciador o destinatario tienen más de un establecimiento, su establecimiento será el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, su establecimiento principal. Si el iniciador o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual. PARTE II COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCÍAS Artículo 26. Actos relacionados con los contratos de transporte de mercancías. Sin perjuicio de lo dispuesto en la parte I de la presente ley, este capítulo será aplicable a cualquiera de los siguientes actos que guarde relación con un contrato de transporte de mercancías, o con su cumplimiento, sin que la lista sea taxativa: Indicación de las marcas, el número, la cantidad o el peso de las mercancías. Declaración de la naturaleza o valor de las mercancías. Emisión de un recibo por las mercancías. Confirmación de haberse completado el embarque de las mercancías. Notificación a alguna persona de las cláusulas y condiciones del contrato. Comunicación de instrucciones al transportador. Reclamación de la entrega de las mercancías. Autorización para proceder a la entrega de las mercancías. Notificación de la pérdida de las mercancías o de los daños que hayan sufrido; Cualquier otra notificación o declaración relativas al cumplimiento del contrato; Promesa de hacer entrega de las mercancías a la persona designada o a una persona autorizada para reclamar esa entrega; Concesión, adquisición, renuncia, restitución, transferencia o negociación de algún derecho sobre mercancías; Adquisición o transferencia de derechos y obligaciones con arreglo al contrato. Artículo 27. Documentos de transporte. Con sujeción a lo dispuesto en el inciso tercero (3°) del presente artículo, en los casos en que la ley requiera que alguno de los actos enunciados en el artículo 26 se lleve a cabo por escrito o mediante documento emitido en papel, ese requisito quedará satisfecho cuando el acto se lleve a cabo por medio de uno o más mensajes de datos. El inciso anterior será aplicable, tanto si el requisito en él previsto está expresado en forma de obligación o si la ley simplemente prevé consecuencias en el caso de que no se lleve a cabo el acto por escrito o


mediante un documento emitido en papel. Cuando se conceda algún derecho a una persona determinada y a ninguna otra, o ésta adquiera alguna obligación, y la ley requiera que, para que ese acto surta efecto, el derecho o la obligación hayan de transferirse a esa persona mediante el envío o utilización de un documento emitido en papel, ese requisito quedará satisfecho si el derecho o la obligación se transfiere mediante la utilización de uno o más mensajes de datos, siempre que se emplee un método confiable para garantizar la singularidad de ese mensaje o esos mensajes de datos. Para los fines del inciso tercero, el nivel de confiabilidad requerido será determinado a la luz de los fines para los que se transfirió el derecho o la obligación y de todas las circunstancias del caso, incluido cualquier acuerdo pertinente. Cuando se utilicen uno o más mensajes de datos para llevar a cabo alguno de los actos enunciados en los incisos f) y g) del artículo 26, no será válido ningún documento emitido en papel para llevar a cabo cualquiera de esos actos, a menos que se haya puesto fin al uso de mensajes de datos para sustituirlo por el de documentos emitidos en papel. Todo documento con soporte en papel que se emita en esas circunstancias deberá contener una declaración en tal sentido. La sustitución de mensajes de datos por documentos emitidos en papel no afectará los derechos ni las obligaciones de las partes. Cuando se aplique obligatoriamente una norma jurídica a un contrato de transporte de mercancías que esté consignado, o del que se haya dejado constancia en un documento emitido en papel, esa norma no dejará de aplicarse a dicho contrato de transporte de mercancías del que se haya dejado constancia en uno o más mensajes de datos por razón de que el contrato conste en ese mensaje o esos mensajes de datos en lugar de constar en documentos emitidos en papel.

PARTE III FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN CAPÍTULO I Firmas digitales Artículo 28. Atributos jurídicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo. Parágrafo. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos: Es única a la persona que la usa. Es susceptible de ser verificada. Está bajo el control exclusivo de la persona que la usa. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional. CAPÍTULO II Entidades de certificación Artículo 29. Características y requerimientos de las entidades de certificación. Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las


siguientes condiciones: a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación. b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley. c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el mismo período que la ley penal o administrativa señale para el efecto. Artículo 30. Actividades de las entidades de certificación. Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades: 1. Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas. 2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos. 3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la presente Ley. 4. Ofrecer o facilitar los servicios de creación de firmas digitales certificadas. 5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos. 6. Ofrecer los servicios de archivo y conservación de mensajes de datos. Artículo 31. Remuneración por la prestación de servicios. La remuneración por los servicios de las entidades de certificación serán establecidos libremente por éstas. Artículo 32. Deberes de las entidades de certificación. Las entidades de certificación tendrán, entre otros, los siguientes deberes: a) Emitir certificados conforme a lo solicitado o acordado con el suscriptor; b) Implementar los sistemas de seguridad para garantizar la emisión y creación de firmas digitales, la conservación y archivo de certificados y documentos en soporte de mensaje de datos; c) Garantizar la protección, confidencialidad y debido uso de la información suministrada por el suscriptor; d) Garantizar la prestación permanente del servicio de entidad de certificación; e) Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores; f) Efectuar los avisos y publicaciones conforme a lo dispuesto en la ley; g) Suministrar la información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administración; h) Permitir y facilitar la realización de las auditorías por parte de la Superintendencia de Industria y Comercio; i) Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de prestación del servicio; j) Llevar un registro de los certificados. Artículo 33. Terminación unilateral. Salvo acuerdo entre las partes, la entidad de certificación podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un preaviso no menor de noventa (90) días. Vencido este término, la entidad de certificación revocará los certificados que se encuentren pendientes de expiración. Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación con la entidad de certificación dando un preaviso no inferior a treinta (30) días. Artículo 34. Cesación de actividades por parte de las entidades de certificación. Las entidades de


certificación autorizadas pueden cesar en el ejercicio de actividades, siempre y cuando hayan recibido autorización por parte de la Superintendencia de Industria y Comercio. CAPÍTULO III Certificados Artículo 35. Contenido de los certificados. Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente: 1. Nombre, dirección y domicilio del suscriptor. 2. Identificación del suscriptor nombrado en el certificado. 3. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación. 4. La clave pública del usuario. 5. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos. 6. El número de serie del certificado. 7. Fecha de emisión y expiración del certificado. Artículo 36. Aceptación de un certificado. Salvo acuerdo entre las partes, se entiende que un suscriptor ha aceptado un certificado cuando la entidad de certificación, a solicitud de éste o de una persona en nombre de éste, lo ha guardado en un repositorio. Artículo 37. Revocación de certificados. El suscriptor de una firma digital certificada, podrá solicitar a la entidad de certificación que expidió un certificado, la revocación del mismo. En todo caso, estará obligado a solicitar la revocación en los siguientes eventos: 1. Por pérdida de la clave privada. 2. La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido. Si el suscriptor no solicita la revocación del certificado en el evento de presentarse las anteriores situaciones, será responsable por las pérdidas o perjuicios en los cuales incurran terceros de buena fe exenta de culpa que confiaron en el contenido del certificado. Una entidad de certificación revocará un certificado emitido por las siguientes razones: 1. A petición del suscriptor o un tercero en su nombre y representación. 2. Por muerte del suscriptor. 3. Por liquidación del suscriptor en el caso de las personas jurídicas. 4. Por la confirmación de que alguna información o hecho contenido en el certificado es falso. 5. La clave privada de la entidad de certificación o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado. 6. Por el cese de actividades de la entidad de certificación, y 7. Por orden judicial o de entidad administrativa competente. Artículo 38. Término de conservación de los registros. Los registros de certificados expedidos por una entidad de certificación deben ser conservados por el término exigido en la ley que regule el acto o negocio jurídico en particular. CAPÍTULO IV Suscriptores de firmas digitales Artículo 39. Deberes de los suscriptores. Son deberes de los suscriptores: 1. Recibir la firma digital por parte de la entidad de certificación o generarla, utilizando un método autorizado por ésta. 2. Suministrar la información que requiera la entidad de certificación. 3. Mantener el control de la firma digital. 4. Solicitar oportunamente la revocación de los certificados. Artículo 40. Responsabilidad de los suscriptores. Los suscriptores serán responsables por la falsedad,


error u omisión en la información suministrada a la entidad de certificación y por el incumplimiento de sus deberes como suscriptor. CAPÍTULO V Superintendencia de Industria y Comercio Artículo 41. Funciones de la Superintendencia. La Superintendencia de Industria y Comercio ejercerá las facultades que legalmente le han sido asignadas respecto de las entidades de certificación, y adicionalmente tendrá las siguientes funciones: 1. Autorizar la actividad de las entidades de certificación en el territorio nacional. 2. Velar por el funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación. 3. Realizar visitas de auditoría a las entidades de certificación. 4. Revocar o suspender la autorización para operar como entidad de certificación. 5. Solicitar la información pertinente para el ejercicio de sus funciones. 6. Imponer sanciones a las entidades de certificación en caso de incumplimiento de las obligaciones derivadas de la prestación del servicio. 7. Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales. 8. Designar los repositorios y entidades de certificación en los eventos previstos en la ley. 9. Emitir certificados en relación con las firmas digitales de las entidades de certificación. 10. Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación. 11. Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación. Artículo 42. Sanciones. La Superintendencia de Industria y Comercio de acuerdo con el debido proceso y el derecho de defensa, podrá imponer según la naturaleza y la gravedad de la falta, las siguientes sanciones a las entidades de certificación: 1) Amonestación. 2) Multas institucionales hasta por el equivalente a dos mil (2.000) salarios mínimos legales mensuales vigentes, y personales a los administradores y representantes legales de las entidades de certificación, hasta por trescientos (300) salarios mínimos legales mensuales vigentes, cuando se les compruebe que han autorizado, ejecutado o tolerado conductas violatorias de la ley. 3) Suspender de inmediato todas o algunas de las actividades de la entidad infractora. 4) Prohibir a la entidad de certificación infractora prestar directa o indirectamente los servicios de entidad de certificación hasta por el término de cinco (5) años. 5) Revocar definitivamente la autorización para operar como entidad de certificación. CAPÍTULO VI Disposiciones varias Artículo 43. Certificaciones recíprocas. Los certificados de firmas digitales emitidos por entidades de certificación extranjeras, podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley para la emisión de certificados por parte de las entidades de certificación nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia. Artículo 44. Incorporación por remisión. Salvo acuerdo en contrario entre las partes, cuando en un mensaje de datos se haga remisión total o parcial a directrices, normas, estándares, acuerdos, cláusulas, condiciones o términos fácilmente accesibles con la intención de incorporarlos como parte del contenido o hacerlos vinculantes jurídicamente, se presume que esos términos están incorporados por remisión a ese mensaje de datos. Entre las partes y conforme a la ley, esos términos serán jurídicamente válidos como si hubieran sido incorporados en su totalidad en el mensaje de datos.


PARTE IV REGLAMENTACIÓN Y VIGENCIA Artículo 45. La Superintendencia de Industria y Comercio contará con un término adicional de doce (12) meses, contados a partir de la publicación de la presente ley, para organizar y asignar a una de sus dependencias la función de inspección, control y vigilancia de las actividades realizadas por las entidades de certificación, sin perjuicio de que el Gobierno Nacional cree una unidad especializada dentro de ella para tal efecto. Artículo 46. Prevalencia de las leyes de protección al consumidor. La presente Ley se aplicará sin perjuicio de las normas vigentes en materia de protección al consumidor. Artículo 47. Vigencia y Derogatorias. La presente ley rige desde la fecha de su publicación y deroga las disposiciones que le sean contrarias.


DOMINIOS DE SEGURIDAD 1. Dominio de políticas de seguridad 1.1 Política de seguridad de información 1.1.1 Documentar política de seguridad de información 1.1.2 Revisión de la política de seguridad de la información 2 La organización de seguridad de la información 2.1 Organización interna 2.1.1 Compromiso de la gerencia con la seguridad de la información 2.1.2 Coordinación de la seguridad de información 2.1.3 Asignación de responsabilidad desde la seguridad de la información 2.1.4 Proceso de autorización para los medios de procesamiento información 2.1.5 Acuerdos de confidencialidad 2.1.6 Contacto con autoridades 2.1.7 Contacto con grupos de interés especial 2.1.8 Revisión independiente de la seguridad de la información 2.2 Entidades externas 2.2.1 Identificación de riesgos relacionados con entidades externas 2.2.2 Tratamiento de la cuando seguridad se trabaja con clientes 2.2.3 Tratamiento de la seguridad en contratos con terceras personas 3 Gestión de Activos 3.1 Responsabilidad por los activos 3.1.1 Inventarios de activos 3.1.2 Propiedad de los activos 3.1.3 Uso aceptable de los activos 3.2 Clasificación de la información 3.2.1 Lineamientos de clasificación 3.2.2 Etiquetado y manejo de la información 4 Seguridad de los recursos humanos 4.1 Antes del empleo 4.1.1 Roles y responsabilidades 4.1.2 Selección 4.1.3 Términos y condiciones de empleo 4.2 Durante el empleo 4.2.1 Gestión de responsabilidades 4.2.2 Capacitación y educación en seguridad de la información 4.2.3 Proceso disciplinario 4.3 Terminación o cambio del empleo 4.3.1 Responsabilidad desde terminación 4.3.2 Devolución de activos 4.3.3 Eliminación de derechos de acceso 5 Seguridad física y ambiental 5.1 Áreas seguras 5.1.1 Perímetro de seguridad física

de


Fundamentos de Seguridad en Redes

5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7

Controles de entrada físicos Seguridad de oficinas, habitaciones y medios Protección contra amenazas externas y ambientales Trabajo en áreas seguras Áreas de acceso público, entrega y carga Seguridad del equipo Ubicación y protección del equipo Servicios públicos Seguridad en el cableado Mantenimiento de equipo Seguridad del equipo fuera del local Eliminación seguro o reuso del equipo Traslado de Propiedad

6 Gestión de las comunicaciones y operaciones Los procesos de la empresa y la parte operacional de la misma Red interna y externa, tiene comunicación con entes internos. 6.1.1 Procedimientos y responsabilidades operacionales 6.1.2 Procedimientos de operación documentados 6.1.3 Gestión de cambio 6.1.4 Segregación de deberes 6.1.5 Separación de los medios de desarrollo y operacionales 6.2 Gestión de la entrega del servicio de terceros 6.2.1 Entrega del servicio 6.2.2 Monitoreo y revisión de los servicios de terceros 6.2.3 Manejar los cambios en los servicios de terceros 6.3 Planeación y aceptación del sistema 6.3.1 Gestión de capacidad 6.3.2 Aceptación del sistema 6.4 Protección contra software malicioso y código móvil 6.4.1 Controles contra software malicioso 6.4.2 Controles contra códigos móviles Respaldo (back-up) 6.5 6.5.1 Back-up o respaldo de la información 6.6 Gestión de seguridad de redes 6.6.1 Controles de red 6.6.2 Seguridad de los servicios de red 6.7 Gestión de medios 6.7.1 Gestión de los medios removibles 6.7.2 Eliminación de medios 6.7.3 Procedimientos de manejo de la información 6.7.4 Seguridad de documentación del sistema 6.8 Intercambio de información 6.8.1 Procedimientos y políticas de información y software 6.8.2 Acuerdos de intercambio 6.8.3 Medios físicos en tránsito 6.8.4 Mensajes electrónicos 6.8.5 Sistemas de información comercial 6.9 Servicios de comercio electrónico Página 2 de 5


Fundamentos de Seguridad en Redes

6.9.1 Comercio electrónico 6.9.2 Transacciones en línea 6.9.3 Información 6.10 Monitoreo 6.10.1 Registro de auditoria 6.10.2 Protección de la información del registro 6.10.3 Registros del administrador y operador 6.10.4 Registro de fallas 6.10.5 Sincronización de relojes 6.11 Uso del sistema de monitoreo 7 Controles de acceso 7.1 Requerimiento comercial para el control del acceso. 7.1.1 Política de control de acceso 7.1.2 Gestión del acceso del usuario 7.1.3 Inscripción del usuario 7.1.4 Gestión de privilegios 7.1.5 Gestión de la clave del usuario 7.1.6 Revisión de los derechos de acceso del usuario 7.2 Responsabilidades del usuario 7.2.1 Uso de clave 7.2.2 Equipo de usuario desatendido 7.2.3 Política de pantalla y escritorio limpio 7.3 Control de acceso a redes 7.3.1 Política sobre el uso de servicios en red 7.3.2 Autenticación del usuario para conexiones externas 7.3.3 Identificación del equipo en red 7.3.4 Protección del puerto de diagnóstico remoto 7.3.5 Segregación en redes 7.3.6 Control de conexión de redes 7.3.7 Control de ‘routing’ de redes Control de acceso al sistema de operación 7.4 7.4.1 Procedimientos de registro en el terminal 7.4.2 Identificación y autenticación del usuario 7.4.3 Sistema de gestión de claves 7.4.4 Uso de utilidades del sistema 7.4.5 Sesión inactiva 7.4.6 Limitación de tiempo de conexión 7.5 Control de acceso a la aplicación e información 7.5.1 Restricción al acceso a la información 7.5.2 Aislamiento del sistema sensible 7.6 Computación móvil y tele-trabajo 7.6.1 Computación móvil y comunicaciones 7.6.2 Tele-trabajo 8 Adquisición, desarrollo y mantenimiento de los sistemas de información. 8.1 Requerimientos de seguridad de los sistemas información. 8.1.1 Análisis y especificación delos requerimientos de seguridad Página 3 de 5


Fundamentos de Seguridad en Redes

8.2

Procesamiento aplicaciones.

8.2.1 8.2.2 8.2.3 8.2.4 8.3 8.3.1 8.3.2 8.4 8.4.1 8.4.2 8.4.3 8.5 8.5.1 8.5.2

Validación de data de Insumo Control de procesamiento interno Integridad del mensaje Validación de data de output Controles criptográficos Política sobre el uso de controles criptográficos Gestión clave Seguridad de los archivos del sistema Control de software operacional Protección de la data de prueba del sistema Control de acceso al código fuente del programa Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambio Revisión técnica de las aplicaciones después de cambios en el sistema operativo Restricciones sobre los cambios en los paquetes de software Filtración de información Desarrollo de outsourced software Gestión de vulnerabilidad técnica Control de vulnerabilidades técnicas

8.5.3 8.5.4 8.5.5 8.6 8.6.1

correcto

en

las

aplicaciones

información

en

las

9 Gestión de incidentes en la seguridad de la información 9.1 Responsabilidades y procedimientos 9.2 Aprendizaje de los incidentes en la seguridad de la información 9.3 Recolección de evidencia 10 Gestión de la continuidad comercial 10.1 Incluir seguridad de la información en el proceso de gestión de continuidad comercial 10.2 Continuidad comercial y evaluación del riesgo 10.3 Desarrollar e implementar planes de continuidad incluyendo seguridad de la información 10.4 Marco referencial para la planeación de la continuidad comercial 10.5 Prueba, mantenimiento y re-evaluación de planes de continuidad comerciales 11 Cumplimiento requerimientos legales 11.1 Identificación de legislación aplicable 11.1.1 Derechos de propiedad intelectual (IPR 11.1.2 Protección los registros organizacionales 11.1.3 Protección de data y privacidad de información personal 11.1.4 Prevención de mal uso de medios de procesamiento de información 11.1.5 Regulación de controles criptográficos 11.2 Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico Página 4 de 5


Fundamentos de Seguridad en Redes

11.2.1 Cumplimiento con las políticas y estándares de seguridad 11.2.2 Chequeo de cumplimiento técnico 11.3 Consideraciones de auditoria de los sistemas de información 11.3.1 Controles de auditoria de sistemas de información 11.3.2 Protección de las herramientas de auditoria de los sistemas de información

Página 5 de 5


SEGURIDAD EN REDES

SENA

TALLER FIREWALL SONICWALL

TALLER POR MEDIO DEL CUAL SE REALIZA EL APRENDIZAJE DE FIREWALL SONICWALL


TALLER DE FIREWALL Seguridad en Redes

2

TALLER DE FIREWALL

Andrea Barrera Edgar Molina Carlos Rentería Luis Cáceres Ana Cesar Rafael Castro Viviana Sanchez

Ingeniero Darío Muñeton Tutor

SERVICIO NACIONAL DE APRENDIZAJE “SENA” SEGURIDAD EN REDES


3

TALLER DE FIREWALL Seguridad en Redes TALLER DE FIREWALL

Módulo 1: Fundamentos de seguridad en redes Bogotá D.C. 2009


TALLER DE FIREWALL Seguridad En redes RED LOGICA (INTERFACES, ZONAS Y DIRECCIONES IP) RED LOGICA (INTERFACES, ZONAS Y DIRECCIONES IP) WAN RED 1 RED 2

RED 4

WAN WAN

LAN RED 5

LAN 200.31.3.2 RED 3


5

TALLER DE FIREWALL Seguridad en Redes RED LOGICA (INTERFACES, ZONAS Y DIRECCIONES IP)


TALLER DE FIREWALL Seguridad En redes CONFIGURACION DEL FIREWALL SONICWALL

CONFIGURACION DEL FIREWALL SONICWALL 1. COLOCANDO EL RELOJ LA ZONA


7

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL

PANEL DE CONTROL DEL SONICWALL

CONFIGURACION FIREWALL


8

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL

CONEXIÓN EN LA RED


9

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL

CONFIGURACION DEL FIREWALL


10

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


11

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


12

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


13

TALLER DE FIREWALL Seguridad en Redes CONFIGURACION DEL FIREWALL SONICWALL


INDICE

Características de la red Multiandina de Colombia Ltda. de Colombia IP válidas para 6 host Topología de red Matriz de Hardware Matriz de aplicaciones en producción Matriz de otros dispositivos Vulnerabilidades, amenazas y riesgos Tabla de Incidentes y Gráfico Conclusiones y recomendaciones Bibliografía


Características de la red Multiandina de Colombia Ltda. de Colombia La empresa cuenta con un Router Cisco de Frontera para conectividad con internet para comunicación de los clientes internos y externos. A este router van conectados los siguientes servidores utilizando la topología de estrella:

Servidor Windows 2000 Server que se utiliza como Servidor de autenticación Servidor Web para conectividad de clientes externos Servidor Base de Datos ORACLE para la conectividad de los clientes, el sistema de facturación y el software de cartera de la empresa El Proxi Server para conectividad de clientes externos Cortafuego Firewall para conexiones internas y externas con Regla ANY ANY 30 Estaciones de trabajo Bogota 40 Estaciones de trabajo Cali Servidor de Correo Electrónico que es utilizado por el Departamento de Recursos Humanos


IP válidas para 6 host Servidor Servidor de Aplicaciones Servidor Web Servidor de Base de Datos ORACLE Servidor Windows 2000 Server - Autenticación Servidor de Correo Electrónico Servidor de Aplicaciones Proxi Server Router Estaciones Bogota Estaciones Cali

ID DE RED

HOST VALIDOS

BROADCAST


 La Tabla detalla el tipo de atacante, las herramientas utilizadas, en que fase se realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.Â


Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente. Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.


¿Cómo defenderse de estos Ataques? La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes: 1. Mantener las máquinas actualizadas y seguras físicamente 2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). 3. Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección. 4. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf. 5. Filtrar el tráfico IP Spoof. 6. Auditorias de seguridad y sistemas de detección. 7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información. 8. Por último, pero quizás lo más importante, la capacitación continúa del usuario.


Riesgos Una falta de control adecuado de dichas amenazas, puede tener consecuencias enormemente negativas para las empresas y sus órganos directivos: • • • •

Riesgos para la empresa Perjuicios derivados de los daños o inutilización de los sistemas de información Pérdida de reputación y efectos negativos para la imagen de la empresa Riesgo de insolvencia

Riesgos para los administradores Responsabilidad civil frente a la empresa, sus accionistas o frente a terceros en caso de falta de diligencia en la protección de los sistemas informáticos como activo de la empresa. Posible responsabilidad penal directa en algunos casos • Riesgo para el Director de Sistemas de Información • Posible despido en caso de falta de ejercicio diligente de sus funciones • Posibles responsabilidades civiles y penales en algunos casos Conclusiones Constituyendo los sistemas de información un elemento clave para el éxito empresarial, se hace necesario disponer de sistemas de protección adecuados frente a sus amenazas internas y externas, con el fin de asegurar su adecuado uso, así como para reducir y evitar posibles responsabilidades laborales, civiles y penales.


Conclusiones y Recomendaciones La seguridad hoy en día se ha convertido en la carta de navegación para el tema de la inversión en tecnología, debemos considerar aspectos relacionados con la gestión de la seguridad, con el fin de que esta inversión este alineada plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad, por esta y muchas más razones la empresa Multiandina de Colombia Ltda. de Colombia debería implementar un programa de riesgos de alto impacto para mitigar las amenazas a todo nivel y poder subsanar todas las falencias con las que cuenta en este momento. Las políticas que debe considerar a futuro deben ir de la mano de la capacitación del personal tanto en la sede de Bogotá como en la sede de Cali, con el fin de tomar decisiones de choque que causen impresión y sean relevantes en el corto plazo. Para esto es necesario considerar las siguientes recomendaciones con el propósito de mejorar la calidad del servicio dentro y fuera de la empresa y la eficiencia en la información. La organización como ente empresarial • Roles y Responsabilidades de Seguridad de la Información • Políticas para la conexión con terceros. Clasificación de la información • Importancia de la información según la organización. Seguridad en el recurso humano • Responsabilidades de seguridad de la información para los diferentes cargos. • Capacitación en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo. Administración de las operaciones de cómputo y comunicaciones. • Políticas sobre el uso del correo electrónico • Políticas sobre el uso de Internet. • Políticas sobre el uso de recursos.


Bibliografía •

METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP SISTESEG Bogotá, Colombia

SERVICIOS EN SEGURIDAD DE LA SERVICIOS EN SEGURIDAD DE LA INFORMACIÓN. Autor: Ing: Rodrigo Ferrer V. CISSP CISA BS ( British Standard) lead Auditor 27001

POLÍTICAS Y PROCEDIMIENTOS EN LA SEGURIDAD DE LA INFORMACIÓN Víctor Cappuccio Versión 1

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion Objetivos de control y controles 2005 - 10 - 15




CONFIGURACION ROUTER CISCO BORRAR LA CONFIGURACION ACTUAL Router#enable Router#erase start Router#conform OK ENTRAR AL MODO PRIVILEGIADO PARA MODIFICAR CONFIGURACION Router#enable Router#config ter CONFIGURAR EL NOMBRE DEL HOST Router#hostname Router CONFIGURAR EL PASSWORD Router#line console 0 Router#password CISCO Router#login Router#exit o ctrl+z Router#enable secret class Router#exit o ctrl+z CONFIGURAR MENSAJE DE BIENVENIDA Router#config ter Router(config)#banner motd "Bienvenido al router Router# CONFIGURAR EL PASSWORD PARA TELNET Router(config)#line vty 0 4 Router(config‐line)#password CISCO Router(config‐line)#login Router(config‐line)#exito ctrl+z CONFIGURACION DE INTERFACE SERIAL Router(config)#INTERFACE SERIAL0/0/1 Router(config‐if)#IP ADDRESS 200.31.2.2 255.255.255.252 Router(config‐if)#NO SHUTDOWN Router(config‐if)#^Z CONFIGURAR INTERFACE ETHERNET HACIA EL COMPUTADOR Router(config)#INTERFACE FASTETHERNET0/1 Router(config‐if)#IP ADDRESS 200.31.2.2 255.255.255.252 Router(config‐if)#NO SHUTDOWN Router(config‐if)#^Z CONFIGURAR ENRUTAMIENTO RIP Router#CONFIG TER Router(config)#IP ROUTING Router(config)#ROUTER RIP Router(config‐router)#VERSION 2 Router(config‐router)#NETWORK 200.31.1.0 Router(config‐router)#NETWORK 200.31.2.0 Router(config‐router)#NETWORK 200.31.3.0 Router(config‐router)#NETWORK 200.31.4.0 Router(config‐router)#NETWORK 192.168.1.0 Router(config‐router)#^Z VER CONFIGURACION Router#show run


CONFIGURACION ROUTER CISCO SUBIR RED Router#config ter Router(config)#interface ethernet0 Router(config‐if)#ip address IP MASCARA Router(config‐if)#no shutdown Router(config‐if)#exit o ctrl+z MOSTRAR EL ESTADO DE LA INTERFAZ SERIAL QUE VA HACIA EL ROUTER Router#show interface s0 CONSULTAR EL ESTADO DE LOS PROTOCOLOS Router#show protocol MOSTRAR EL ESTADO DEL CONTROLADOR PARA LA INTERFAZ SERIAL Router#sh controll s0 Router#interface serial0 MOSTRAR LA TABLA DE HOST Router#show host MOSTRAR INFORMACION DE CONFIGURACION DEL ROUTER Router#show version MOSTRAR INFORMACION EN EL FLASH Router#show flash Router#show start CONFIGURAR RELOJ Router#clock set hh:mm:ss Router#clock set hh:mm:ss 20 march 2009 LISTAR EL ESTADO DE LAS INTERFACES Router#show interface MOSTRAR EL ESTADO DEL ROUTER Router#show ip int brief Interface IP‐Address OK? Method Status FastEthernet0/0 unassigned YES unset administratively down FastEthernet0/1 200.31.4.1 YES manual up Serial0/0/0 unassigned YES unset administratively Serial0/0/1 200.31.2.2 YES manual up LISTAR ROUTER Router#traceroute <hostname> TEST DE CONECTIVIDAD Router#ping <ip‐address> HISTORIAL DE COMANDOS Router#show history

Protocol down up down down


TALLER

1.

Diagrama lógico de la red que deben implementar los dos grupos

Los servicios que deben de quedar configurados son: • SNMP (con las comunidades por defecto public y prívate con permisos de lectura y escritura). • FTP (con la cuenta anónimo habilitada) • WEB (en los equipos activos y en los del servidor WEB) • Servidor de dominio • TELNET 2. 3. 4. 5. 6. 7. 8. 9.

El grupo 1 y el grupo 2 debe instalar y configurar el firewall de hardware. Se debe conectar el firewall de acuerdo al diagrama anterior. Identifique las interfaces y las zonas, defina una dirección IP para las dos interfaces. Verifique que sucede con el firewall cuando no se define ninguna regla. Configure NAT uno a uno, para dos servicios, configure virtual server para estos servicios. Defina una regla para permitir todas las conexiones entrantes y salientes. Defina la regla para el acceso solo al servicio de HTTP haciendo NAT con una IP publica. Defina la regla para el acceso solo al servicio de FTP haciendo NAT con una IP publica. Defina una regla para denegar todos los servicios de cada red.



Configuraci贸n del ROUTER



FORMA DE CONECTAR EL FIREWALL


CONFIGURACION DEL FIREWALL ADVANCED NETWORKING – NAT

NETWORK SETTINGS – CONECTION TO ISP


NETWORK SETTINGS – CONNECTION TO ISP

NETWORK SETTINGS – LAN SETTINGS


ADVANCED NETWORKING – STATIC ROUTING

ADVANCED

NETWORKING

STATIC

ROUTING


ADVANCED NETWORKING – DYNAMIC ROUTING

FIREWALL – VIRTUAL SERVERS


FIREWALL – PC PRIVILEGES

FIREWALL – SPECIAL APPLICATIONS


STATUS AND LOGS

STATUS AND LOGS – ROUTING TABLE




Usermode Commands Command

Sl. No.

Comments, if any.

1

disconnect

Terminates the suspended telnet session and then logout it.

2

enable

-

3

ping <host-name>

Used to tests the connectivity.It uses ICMP to initiate the connection.

4

ping <ip-address>

-

5

traceroute <hostname>

Lists all routers along path to destination and finds the routing problems if any.

6

traceroute <ip-address>

-

Privileged Mode Commands Command

Sl. No.

Comments, if any.

1

clear arp-cache

-

2

configure terminal

Allows to execute commands that change the router's configuration.

3

copy running-config startup-config

It saves the active configuration of the router.

4

copy startup-config running-config

5

debug ip packet

6

disable

Returns to the UserEXEC mode from Privilege mode.

7

disconnect <TELNET_ID>

-

8

erase startup-config

Deletes all the configuration files present on a router.

9

logout

It exits router from the user or privilege mode.

10

ping <host-name>

Used to tests the connectivity.It uses ICMP to initiate the connection.

11

ping <ip-address>

12

reload

13

resume <TELNET_ID>

14

show access-list

Displays all accesslists from all protocols present in a specified router.

15

show banner

-

16

show cdp

Shows the status of CDP such as holdtime value,no.of packets for every 60sec.

-

-


17

show cdp interface

18

show cdp neighbor

19

show cdp traffic

20

show clock

It tells the CDP configuration on an interface-by-interface basis.

-

21

show flash

Used to view all IOS images and file stored in flash(Default location of IOS images is in flash).

22

show frame-relay lmi

Shows the detailed statistics regarding LMI.

23

show frame-relay map

-

24

show frame-relay pvc <dlci_num>

Shows all the frame relay PVC's terminated and their statistics at a specified router.

25

show history

Shows the previously executed commands.IOS device stores the last ten commands that are executed.

26

show hosts

-

show interfaces

To view interfaces,status,and statistics for an interface.If u don't lists a specific interface,all of the interfaces on the router are listed.

show interfaces ethernet <Port_number>

-

27

28.a 28.b

show interfaces ethernet <Slot_number>/<Port_number>

-

show interfaces loopback <Loopback_num>

Loopback interface number,0 to 9 are supported

30.a

show interfaces serial <Port_number>

displays the lmi type that is being used and also sme LMI statisstics.

30.b

show interfaces serial <Slot_number>/<Port_number> -

29

31

show ip arp

-

32

show ip eigrp neighbors

Shows the list of eigrp neighbors that a specified router has.

33

show ip eigrp neighbors detail

-

34

show ip eigrp topology

Displays the list of successor and feasible successors,as well as other types of routes.

35

show ip eigrp traffic

It shows the information about trafiic statistics for eigrp

36

show ip interface

-

37

show ip interface brief

38 39

show ip nat statistics show ip nat translations

Verifies the IP configuration. -


40

show ip ospf

-

41

show ip ospf database

42

show ip ospf interface

43

show ip ospf neighbor

44

show ip ospf neighbor detail

-

45

show ip ospf virtual-links

-

46

show ip route

Verifies the configurationof static and default routes on a router.

47

show protocols

Displays the routing protocols that have been configured and running on a specified router.

48

show running-config

-

49

show sessions

shows the telnet sessions that are currently suspended.

50

show startup-config

-

51

show version

Display version information for the hardware and firmware.

52

telnet <host-name>

53

telnet <IP-address>

54

traceroute <hostname>

55

traceroute <ip-address>

56

write erase

57

write memory

58

write terminal

Lists all routers along path to destination and finds the routing problems if any.

Back

Sl. No. 1 2 3 4

Global configuration mode Commands Command Comments, if any. access-list <list-num> {permit | deny} <source-ipOnly standard access list of the address> format given is supported. access-list <list-num> {permit | deny} <any> access-list <list-num> {permit | deny} <ip-address> <ip-address> access-list <list-num> {permit | deny} <host-name> <ip-address>

5

banner motd <banner>

6

cdp advertise-v2

7

cdp holdtime <seconds>

8

cdp run

9

cdp timer <seconds>

10

config-register <value>

It creates the login banner on a specified router.

Hexadecimal or decimal value that represents the 16-bit configuration register value. It


is used at the router start-up. The value range is from 0x0 to 0xFFFF (0 to 65535 in decimal). Normally, the default value is 0x2102 11

dialer-list<list-num>protocol ip permit

-

12

enable password <password>

Sets the paasword.The level number is either 1 or 15.

13

enable secret <password>

Encrypts the password when it is saved.

14

end

15

hostname <host-name>

16 17

interface bri <port-number> interface bri <Slot-number>/<port-number>

18

interface ethernet <port-number> interface ethernet <Slot-number>/<port-number>

19

interface loopback <port-number>

20.a

interface serial <port-number>

20.b

interface serial <port-number>.<Subint-num>

21.a 21.b

interface serial <Slot-number>/<port-number> interface serial <Slot-number>/ <portnumber>.<Subint-num>

22

ip default-network <ip-address>

23

ip domain-lookup

24

25 26 27 28 29 30 31

ip host <name> <ip-address>

Used to access ethernet interface and enter Interface subconfiguration mode.

Used to create loopback interface.Port numbers can specify between 0 to 2147483647. However, in the simulator, Loop back interface numbers 0 to 9 are supported

Complete syntax for this command: ip host name [tcpport-number] address1 [address2...address8]

By using this Router access the DNS server to resolve the names to ip addresses. ip nat inside source list <ANUM> pool <WORD> ip nat inside source static <ip-address> <ip-address> ip nat outside source static <ip-address> <ip-address> ip nat pool <WORD> <ip-address> <ip-address> netmask <ip-address> ip route <prefix> <mask> {next-hop-ip-addr | Not supported at this time. interface-type} ip name-server<ip-address>

ip route 0.0.0.0 0.0.0.0 <ip-address>

-

33

ip route<ip-address> <ip-address> <ip-address> [<Dist_Metric>] ip route <ip-address> <ip-address> serial 0

Not supported at this time

34

ip routing

-

32

-


35

ipx routing

36

isdn switch-type <switch_type>

37

line aux

38

line console 0

To enter into console interface.Here 0 specifies the console part.

39

line vty

It supports 16 simultaneous telnet connections and each connection is internally tracked by a number:0-15.

40

no banner motd

-

41

no cdp run

It can globally enable or disable the cdp on a router.

42

no ip domain-lookup

It disables all the DNS lookups on the router.

43

no ip routing

44

no ip route

45

no router eigrp

46

no router ospf

47

no router rip

48

router eigrp <aut_sys>

-

-

49

router ospf <proc_id>

Process_id is locally significant and is used to differentiate different ospf processes running on a router.

50

router rip

Enters into the RIP routing protocol configuration mode.

51

username <name> password <password>

Back

Sl. No. 1 2

Interface subconfiguration mode Commands Command Comments, if any. Required bandwidth, in kilobits bandwidth <kilobits> per second. cdp enable

-

3

clock rate <bps>

Desired clock rate in bits per second: 1200, 2400, 4800, 9600, 19200, 38400, 56000, 64000 etc.

4

compress stac <num> in

-

5

description <string>

Character string from 1 to 80 characters.

6

dialer-group<dialer_list_#>

7

dialer map ip <ip-address> <des-phone>

8

dialer map ip <ip-address> name <hostname> <desphone>

-

9

dial string< phone_#>

-

-


10 11

dialer map ip <ip-address> <BROADCAST> <desphone> dialer map ip <ip-address> name <hostname> <desphone > <BROADCAST> < des-phone >

-

-

12

encapsulation <encapsulation-type>

Only PPP/HDLC are supported at this time by the simulator. ex: encapsulation hdlc

13

encapsulation framerelay [cisco][ietf]

-

14

15 16 17 18 19 20

frame-relay lmi-type <lmi_type>

frame-relay map<protocol-name> <dlci_num> frame-relay map<protocol-name> <dlci_num> broadcast frame-relay map<protocol-name> <dlci_num> broadcast cisco frame-relay map<protocol-name> <dlci_num> broadcast ietf frame-relay map<protocol-name> <dlci_num> cisco frame-relay map<protocol-name> <dlci_num> ietf

<ip-address> <ip-address>

23

ip address <ip-address> <sub-net mask>

24 25

ip nat inside ip nat outside

28

keepalive <seconds>

29

login

30

no bandwidth

31

no cdp enable

32

no clock rate

33 34 35 36 37

no frame map <protocol name> <ip-address> <dlci_num> no frame map<protocol-name> <ip-address> <dlci_num> broadcast no frame map<protocol-name> <ip-address> <dlci_num> cisco no frame map<protocol-name> <ip-address> <dlci_num> ietf no ip address

-

<ip-address>

ip access-group <num> out

isdn spid2<spid_num>

-

<ip-address>

22

27

-

<ip-address>

ip access-group <num> in

isdn spid1<spid_num>

-

<ip-address>

21

26

Specifies the LMI type that is used to communicate between a router and carrier's switch.LMI type is specific to the entire interface,not to a VC. It configures the manual resolution of PVC's.

-

Defines the spid's that are used to authenticate call requests.Used only on local connection between router and isdn switch.

-

-


38

no shutdown

-

39

shutdown

It disable the interfaces.Interfaces are enabled by default.

40

speed

Back

Sl. No. 1

Line subconfiguration mode Commands Command Comments, if any. exec-timeout <minutes> [seconds] seconds is optional.

2

logging synchronous

3

password <password>

Back

Sl. No. 1

Subinterface Subconfiguration mode Commands Command Comments, if any. It specifies the DLCI discription<string> number.Uses a dynamic resolution with inverse ARP.

2 3

encapsulation <encapsulation-type>

4

frame-relay interface-dlci<dlci_num>

encapsulation framerelay [cisco][ ietf]

11 12

frame-relay map<protocol-name> <ip-address> <dlci_num> frame-relay map<protocol-name> <ip-address> <dlci_num> broadcast frame-relay map<protocol-name> <ip-address> <dlci_num> broadcast cisco frame-relay map<protocol-name> <ip-address> <dlci_num> broadcast ietf frame-relay map<protocol-name> <ip-address> <dlci_num> cisco frame-relay map<protocol-name> <ip-address> <dlci_num> ietf ip address<ip-address> <subnet-mask> no ip address

13

no shutdown

14

shutdown

5 6 7 8 9 10

It specifies the DLCI number.Uses a dynamic resolution with inverse ARP. It specifies the DLCI number.Uses a dynamic resolution with inverse ARP. It specifies the DLCI number.Uses a dynamic resolution with inverse ARP.

Back IP Routing Protocol Subconfiguration mode Commands


Sl. No. Command 1 network <ip-address> 2 network <ip-address> < ip-address > area <Area-id> 3 area <Area-id> stub [no-summary] 4 area <Area-id> virtual-link < ip-address >

Comments, if any. Used with routing rip, igrp etc. (for ospf routing) -

Back

Supported Switch Commands User mode Commands Sl.No. 1

commands enable

Comments, if any.

Back

Privilegemode Commands Sl.No. commands 1 clock set hh:mm:ss <1-31> Month <2004-2035> -

Comments, if any.

2

configure terminal

3

copy running-config startup-config

4

copy startup-config running-config

5

disable

6

erase startup-config

7

logout

8

reload

9

show banner

10

show flash

Used to view all IOS images and file stored in flash(Default location of IOS images is in flash).

11

show history

-

12

show interfaces

To view interfaces,status,and statistics for an interface.If u don't lists a specific interface,all of the interfaces on the switch are listed.

13

show ip interface brief

Verifies the IP configuration.

14

show running-config

It examine the active configuration on a switch.

15

show startup-config

-

16

show version

Display version information for the hardware and firmware

Allows to execute commands that change the switch's configuration. It saves the active configuration of the switch.

Returns to the UserEXEC mode from Privilege mode.

It exits switch from the user or privilege mode.

-

Back Global Configuration mode Commands Sl.No. commands Comments, if any. 1 banner motd <phrase> It creates the login banner on a specified router. 2

cdp advertise-v2

3

cdp holdtime <seconds>

-


Sl.No. 4 cdp run

Global Configuration mode Commands commands Comments, if any.

-

5

cdp timer <seconds>

6

enable password <password>

It sets the paasword.The level number is either 1 or 15.

7

enable secret <secret>

Encrypts the password when it is saved.

8

end

9

hostname <name>

10

ip default-gateway <ip-address>

Tells the switch which router or switch have to use when the switch needs to reach the destination thats not in its configured subnet.

11

ip host<hostname> <ip-address>

-

12

interface fastethernet <0-0>/<0-24>

Depends on the switch type. For module 0, port 1 the command is interface fastethernet 0/1

13

interface fastethernet <pnum>

14

interface vlan <vlan_num>

15

line console 0

16 17

-

You can enter interface config mode. example: interface vlan 1 (config-if)#ip address 192.168.10.1 255.255.255.0

line vty 0 15 mac-address-table static <mac-address> vlan <valn_num> interface fastethernet <pnum>

18

no vlan <vlan_num>

19

snmp-server enable traps vtp

-

20

speed <speed>

Enter switch port speed 10,100, auto.

Back Interface Subconfiguration mode Commands Sl.No. commands Comments, if any. 1 description <phrase> 2

duplex <duplex-type>

-

3

ip address <ip-address> <subnet mask>

A switch can have one IP address. The IP address of the switch can be accessed only through ports that belong to the management VLAN.

4

ip name-server <ip-address>

5

login

6

no ip address

-

7

no shutdown

It reenables the interface when the interface is disabled.By default interfaces are enabled.

8

no switchport <port_security>

-

9

shutdown

Disables a port and shuts-down management vlan. no shutdown command enables a port.

10

switchport access vlan <vlan_num>

-

11

switchport port-security mac-address sticky<mac_addr>

-

12

switchport port-security maximum <max_macadd>

-


Interface Subconfiguration mode Commands commands Comments, if any.

Sl.No.

switchport port-security violation <violat_mode>

13

Back

Line Subconfiguration mode Commands commands Comments, if any. password <password> -

Sl.No. 1

Back Vlan mode Commands commands

Sl.No.

Comments, if any.

VLAN numbers can range 1-1000,However only 64VLANs can be active ata time.

1

vlan<vlan_num>

2

vtp client

3

vlan database

Used to access all VLAN and VTP configuration.

4

vtp domain

Defines the domain name for a specified switch.For switches to share VTP informtion they must be in the same domain.

5

vtp password

6

vtp pruning

7

vtp server

8

vtp transparent

Specifies the VTP mode of the switch.

Back

Workstation Commands Sl. No.

Command

1

ip address <ip-address> <subnet-mask>

2

ping <ip-address>

3

ping <hostname>

4

telnet <host-name>

5

telnet <ip-address>

6

traceroute <hostname>

7

traceroute <ip-address>

Â

Comments, if any.

-


SEGURIDAD EN REDES MÓDULO 1: FUNDAMENTOS DE SEGURIDAD EN REDES ETHICAL HACKING

TALLER DE ETHICAL HACKING

Andrea Barrera Edgar Molina Carlos M. Rentería

Ingeniero Darío Muñetón Tutor

SERVICIO NACIONAL DE APRENDIZAJE “SENA” Seguridad en redes Módulo 1: Fundamentos de seguridad en redes Bogotá D.C. 2009

___________________________________________________________________________ Servicio Nacional de aprendizaje SENA


SEGURIDAD EN REDES MÓDULO 1: FUNDAMENTOS DE SEGURIDAD EN REDES ETHICAL HACKING

TALLER ETHICAL HACKING Se tienen dos redes con (La primera conectada por un Hub y la segunda conectada por un switch) interconectadas entre si, para cada una de las redes se deben configurar los servicios de SNMP, WEB, FTP, TFTP, TELNET.

0.

FUNDAMENTOS

A. MODELANDO LA RED: SUBNETING Se escogió trabajar con una red: Clase: C IP: 192.168.1.0 CLASE C OCTETO DIR IP

RED 1 192

RED 2 168

RED 3 1

HOST 4 0

Cuarto octeto 27 0

26 0

25 0

24 0

23 0

22 0 4

21 0 2

20 0 1

1. RECONOCIMIENTO A. ESTADO DE LAS BANDERAS TCP BANDERAS

TRAMA

DIRECCION DESTINO

DIRECCION RECIBO

EXPLICACION EN SESION

___________________________________________________________________________ Servicio Nacional de aprendizaje SENA 1


SEGURIDAD EN REDES MÓDULO 1: FUNDAMENTOS DE SEGURIDAD EN REDES ETHICAL HACKING B. PROTOCOLOS DE SERVICIOS PROTOCOLO

DESCRIPCION DE LA CONEXIÓN

PUERTO

C. LISTADO DE CONEXIONES IP DIRECCION IP

PROTOCOLOS

PUERTOS

D. CONCLUSIONES DEL RECONOCIMIENTO ¿Con respecto a que modelo de referencia es mostrada la información de las capturas? Si quiero ver el establecimiento de una conexión TCP (Saludo de tres Vías), a que parte de la interfaz de captura del Ethereal me debo remitir para encontrar dicha información?, Justifique su respuesta.

B. EXPLORANDO LOS SISTEMAS A. HOST DIRECCION IP

SIS. OPERATIVOS

VULNERABILIDA DES

NIVEL DE RIESGO

___________________________________________________________________________ Servicio Nacional de aprendizaje SENA 2


SEGURIDAD EN REDES MÓDULO 1: FUNDAMENTOS DE SEGURIDAD EN REDES ETHICAL HACKING

B. DISPOSITIVOS DE RED( ROUTER, SWITCH, SERVIDOR) DISPOSITIVO

DIRECCION IP

CARACTERISTICAS

C. CONCLUSIONES DE LA EXPLORACIÓN Nombres de las comunidades SNMP que se están utilizando tanto públicas como privadas

C. EXPLOTANDO VULNERABILIDADES A. ¿Qué vulnerabilidades se pueden explotar con el barrido de ping? B. Con la información obtenida acerca de los sistemas operativos de los servidores y de los demás host de la red, que vulnerabilidades se podrían explotar?, Explíquelas C. ¿Qué vulnerabilidades se pueden explotar a través del conocimiento de las comunidades de SMNP que se encontraron en uso? D. Haga una negación de servicio de un dispositivo, explique cómo lo realizó?, investigue dos técnicas de negación de servicio y explíquelas.

D. MANTENIENDO EL ACCESO A. B. C. D.

¿Cómo se puede mantener el acceso en el servidor FTP? ¿Cómo se puede mantener el acceso en los servidores WEB? ¿Cómo se puede mantener el acceso en los routers y switches? ¿Cómo se puede mantener el acceso a una base de datos?

E. CUBRIENDO EL RASTRO ___________________________________________________________________________ Servicio Nacional de aprendizaje SENA 3


SEGURIDAD EN REDES MÓDULO 1: FUNDAMENTOS DE SEGURIDAD EN REDES ETHICAL HACKING Qué tipos de logs existen en los sistemas operativos Windows y Linux. Cómo se puede acceder a ellos. Qué tipos de logs existen en los routers, cómo se puede acceder a ellos y como se activan.

___________________________________________________________________________ Servicio Nacional de aprendizaje SENA 4


www.monografias.com

Estudio de Subnetting, Vlsm, CIDR y Comandos de Administración y Configuración de Routers 1. 2. 3. 4. 5.

Qué es el Subnetting, Vlsm y CIDR? Ejemplo de Subnetting y Vlsm, obtener Subredes y Host x Subred Ejercicios para calcular Máscaras Wildcard Conceptos sobre Redes LAN/VLAN/WAN y Protocolos de Enrutamiento no Propietarios Proyecto de Cálculo de Subnetting y Configuración de Ruteadores

El siguiente trabajo detalla con sumo cuidado el aprendizaje de las técnicas de obtención de Subnetting, Vlsm, CIDR(Resumen de Rutas) y él calculo de las Mascaras Wildcard que se aplican en el esquema de direccionamiento IP-VersiónIV de 32 Bits y que son técnicas muy necesarias que todo Administrador de Redes debe dominar para poder diseñar y administrar con eficacia una red LAN y WAN. Además se dan notas explicativas de algunos comandos de configuración de ROUTERS y protocolos de enrutamiento no propietarios. Al final de la teoría se encuentra un proyecto de aplicación que combina las técnicas de subnetting explicadas con varios comandos de configuración de routers, las configuraciones y comandos pueden variar dependiendo del tipo de proveedor del hardware. Qué es el Subnetting, Vlsm y CIDR? El subneting es una colección de direcciones IP que permiten definir él numero de redes y de host que se desean utilizar en una subred determinada; el Vlsm es una técnica que permite dividir subredes en redes más pequeñas pero la regla que hay que tener en consideración siempre que se utilice Vlsm es que solamente se puede aplicar esta técnica a las direcciones de redes/subredes que no están siendo utilizadas por ningún host, VLSM permite crear subredes mas pequeñas que se ajusten a las necesidades reales de la red (los routers que utilizan protocolos de enrutamiento ‘sin clase’ como RIPV2 y OSPF pueden trabajar con un esquema de direccionamiento IP que contenga diferentes tamaños de mascara, no así los protocolos de enrutamiento ‘con clase’ RIPV1 que solo pueden trabajar con un solo esquema de direcciones IP, es decir una misma mascara para todas las subredes dentro de la RED-LAN) y por ultimo tenemos el CIDR(Resumen de Rutas) que es la simplificación de varias direcciones de redes o subredes en una sola dirección IP Patrón que cubra todo ese esquema de direccionamiento IP. Ejemplo de Subnetting y Vlsm, obtener Subredes y Host x Subred: Antes de entrar de lleno en el estudio de las técnicas de subnetting quiero indicar que existen 2 tipos de direcciones IP: Publicas y Privadas, las IP públicas son utilizadas para poder comunicarse a través del Internet y son alquiladas o vendidas por los ISP(Proveedores de Servicios de Internet) y las IP-Privadas son utilizadas para construir un esquema de direccionamiento interno de la red LAN y no pueden ser utilizadas para enviar trafico hacia el Internet. Valores por defecto para los diferentes tipos de RED(IP Privadas): CLASE A: (10.0.0.0 a 10.255.255.255) Net_ID 8, Host_ID 24, Mask : 255.0.0.0; Ejemplo: 10.0.0.0 CLASE B: (172.16.0.0 a 172.31.255.255) Net_ID 16, Host_ID 16, Mask : 255.255.0.0; Ejemplo: 172.17.0.0 CLASE C: (192.168.0.0 a 192.168.255.255) Net_ID 24, Host_ID 8, Mask : 255.255.255.0; Ejemplo: 192.168.18.0 Valores por defecto para los diferentes tipos de RED(IP Públicas): CLASE A: (0 – 127, 127 – Dirección de LoopBack) Net_ID 8, Host_ID 24, Mask : 255.0.0.0; Ejemplo: 11.0.0.0 CLASE B: (128 – 191) Net_ID 16, Host_ID 16, Mask : 255.255.0.0; Ejemplo: 172.15.0.0 CLASE C: (192 – 223)


Net_ID 24, Host_ID 8, Mask : 255.255.255.0; Ejemplo: 192.25.18.0 Dir_IP: 192.10.20.64/28(Clase C). Bueno en primer lugar debemos tener en consideración que las redes de clase ‘C’ tienen 24 bits como Net_ID y 8 bits para el Host_ID pero en este caso se esta creando una subred con 4 bits; el desarrollo es el siguiente: 2(4)-2 = 14 Subredes validas, 2 subrds. 1Dir_IP y 1Broadcast, total 16. 2(4)-2 = 14 Host validos por subred. Identificando el paso de las subredes de esta serie /28. Los avances o saltos para obtener la siguiente dirección de red se basan en los bits restantes del octeto del Host_ID, en este caso seria 11110000, 2(4)=16. Ej: 192.10.20.64/28, IP utilizables : 192.10.20.65 – 192.10.20.78 192.10.20.80/28, IP utilizables : 192.10.20.81 – 192.10.20.94 192.10.20.96/28, IP utilizables : 192.10.20.97 – 192.10.20.110 Identificando la Dirección de Red y la Dirección de Broadcast: 192.10.20.64/28 Dirección de Red : 192.10.20.64 Direcciones Validas : 192.10.20.65 hasta 192.10.20.78 Dirección de BroadCast : 192.10.20.79 La dirección de RED y de BROADCAST no se puede asignar a una dirección de HOST ya que invalida la red. Obteniendo la mascara de la red en formato decimal. 192.10.20.64/28 Para sacar la mascara de esta dirección hay que tener en consideración que los bits por defecto para este tipo de Red Clase ‘C’ es de 24 entonces procedemos a restar el prefijo de la red actual que es: /28-24 y obtenemos una diferencia de 4 bits, construimos el nuevo octeto basado en esta información y tenemos 11110000 en binario que transformado a formato decimal es 240. La mascara es: 255.255.255.240. Cómo saber si una dirección IP es una Red o una Subred? Para determinar si una dirección IP es una red hay que comparar la dirección IP con la MASCARA de red por defecto de esa clase y observar si la parte del Host_ID esta libre. Ejemplo: Mascara CLASE_C por defecto : 255.255.255.0 a. 192.10.20.64/28 : 255.255.255.240; ES SUBRED. b. 192.10.20.0/24 : 255.255.255.0; ES RED. Identificando la ultima subred de la serie. Para identificar la ultima red perteneciente a esta subred se aplica la siguiente fórmula: 256Nro_Host/Red = Ultima Red. Aplicando a nuestro caso : 256-16=240 Seria la ultima red. Ejemplos con Redes Tipo ‘B’. Mascara x def. : 255.255.0.0 Dirección IP : 172.20.0.0/16 Subnetting: a. Dirección IP: 172.20.0.0/21 VLSM : 172.20.11111000.00000000 Mascara : 255.255.248.0 Subredes : 2(5bits)-2 = 30 Redes Validas. Host por Subred : 2(11bits)-2 = 2046 Host Validas/Red. Rango de las Redes, el paso para las subredes siguientes es: 2(3)=8; se cogen los bits restantes del octeto que pertenece al Host_ID. 172.20.0.0/21 172.20.8.0/21


172.20.16.0/21...248. b. Dirección IP: 172.20.0.0/23 VLSM : 172.20.11111110.00000000 Mascara : 255.255.254.0 Subredes : 2(7bits)-2 = 126 Redes Validas. Host por Subred : 2(9bits)-2 = 510 Host Validas/Red. Rango de las Redes, el paso para las subredes siguientes es: 2(1)=2; se cogen los bits restantes del octeto que pertenece al Host_ID. 172.20.0.0/21 172.20.2.0/21 172.20.4.0/21...127. c. Dirección IP: 172.20.0.0/25 VLSM : 172.20.11111111.10000000 Mascara : 255.255.255.128 Subredes : 2(9bits)-2 = 510 Redes Validas. Host por Subred : 2(7bits)-2 = 126 Host Validas/Red. Rango de las Redes, el paso para las subredes siguientes es: 2(7)=128; se cogen los bits restantes del octeto que pertenece al Host_ID. 172.20.0.0/21 172.20.0.128/21 172.20.1.0/21 172.20.1.128/21 172.20.2.0/21 172.20.2.128/21

Los routers que aparecen en el diagrama usan las asignaciones de subred que se ilustran. ¿Cuál es el resumen de ruta más eficiente que se puede configurar en Router3 para publicar las redes internas hacia la nube? Posibles Respuestas: 192.1.1.0/26 y 192.1.1.64/27 192.1.1.128/25 192.1.1.0/23 y 192.1.1.64/23 192.1.1.0/24 192.1.1.0/25 *** Resumen de Ruta Optima. 192.1.1.0/24 y 192.1.1.64/24 Para poder sacar la ruta resumida mas optima de una manera rápida debemos ordenar las direcciones de red de forma ascendente de menor a mayor teniendo en consideración la mascara de la red(Todas las redes son Clase C), Ejemplo: 192.1.1.0/27 192.1.1.32/27 192.1.1.64/28 192.1.1.80/28


192.1.1.96/29 192.1.1.104/29 192.1.1.112/29 192.1.1.120/29 Pasos a seguir para la resolución del problema: Sacamos el paso de la ultima red que es 192.1.1.120/29: Esta red tiene: 2(5)= 32 Redes, 2(3)=8 Host x Red. Entonces sabemos con certeza que la próxima red es 192.1.1.128/29. Ahora procedemos a darnos cuenta que desde la red: 192.1.1.0/27 hasta la red 192.1.1.120/29 están incluidas 127 direcciones(Se incluye hasta la dirección 192.1.1.127/29 por que es el Broadcast de esta red). Como necesitamos solo 127 direcciones, cual será la mascara que cubra esa demanda? Respuesta: Una red clase C cuya red tenga una Mascara de /25 Bits, 2(1)=2 Redes y 2(7)=128 Host x Red. Ahora bien la dirección de la Red es: 192.1.1.0/25 porque las redes contenidas en la ruta resumida están dentro de las primeras 128 direcciones. La dirección de red 192.1.1.0/24 también contiene a todas las direcciones internas pero abarca un rango mucho más amplio no siendo optimo el proceso. Ejemplo : /24 esto deja 255 direcciones de host desde la dirección Ip : 192.1.1.1 hasta 192.1.1.254 y nosotros solo necesitamos 127 direcciones.

Se requiere una subred adicional para un nuevo enlace Ethernet entre el Router1 y el Router2, como se indica en el diagrama. ¿Cuál de las siguientes direcciones de subred se puede utilizar en esta red para suministrar una cantidad máxima de 14 direcciones utilizables para este enlace desperdiciando la menor cantidad de direcciones posible? Posibles Respuestas: 192.1.1.16/26 192.1.1.96/28 192.1.1.160/28 192.1.1.196/27 192.1.1.224/28 *** Respuesta Optima(No se sobrepone con ninguna red). 192.1.1.240/28 Para poder identificar si una red esta sobrepuesta o contenida en otra subred se deben realizar las siguientes observaciones: Se debe escoger la red que tenga el menor tamaño de mascara y sacar el paso de la siguiente red y observar si dentro de ese rango esta contenida la red cuya mascara sea superior, Ejemplo: Se desea saber si la siguiente red 192.1.1.64/26 contiene a la subred 192.1.1.96/28. Primeramente procedemos a sacar el paso de la red 192.1.1.64/26 2(2)=4 Redes 2(6)=64 Host x Red y nos damos cuenta que el paso es 64 por lo tanto observamos que la siguiente red seria 192.1.1.128/26 lo que significa que la red 192.1.1.96/28 esta contenida en la red 192.1.1.64/26.


Hay otra manera de determinar si una subred esta contenida dentro de otra red de mayor jerarquía pero no es un método tan eficiente como el anteriormente descrito debido a que requiere mas tiempo para su desarrollo pero es un proceso mas ilustrativo, Ejemplo: Red : 192.1.1.64/26, se desea saber si contiene a la red 192.1.1.96/28. Red: 192.1.1.64/26 la pasamos a 192.1.1.64/28 y sacamos el paso : 2(2)=4 Redes VLSM y 2(4)=16 Host x Red VLSM. Sacamos todas las subredes VLSM de esta red: 192.1.1.64/28, 192.1.1.80/28, 192.1.1.96/28, 192.1.1.112/28 y observamos que la red 192.1.1.96/28 esta contenida en la red principal. Cálculo del CIDR ó RESUMEN DE RUTA: Aplicamos el ‘SUPERNETTING’ para las redes : 172.16.3.0/26, 172.16.3.64/26, 172.16.3.128/26, 172.16.3.192/26 172.16.3.0/26: 10101100.00010000.00000011.00000000 172.16.3.64/26: 10101100.00010000.00000011.01000000 172.16.3.128/26: 10101100.00010000.00000011.10000000 172.16.3.192/26: 10101100.00010000.00000011.11000000 PATRON: 10101100.00010000.00000011.00000000 MASCARA: 11111111.11111111.11111111.00000000 BITS COMUNES: /24 Conversión a formato decimal: Dirección IP: 172.16.3.0/24, Mascara: 255.255.255.0 Para calcular el resumen de rutas solo se toma en consideración los Bits comunes de todas las direcciones de red, el resto de bits se ignoran. Notas: Las subredes jamas pueden terminar en números impares ya que son siempre múltiplos de 2(2,4,8,16,32,64,128), las direcciones que terminan en números impares por lo general son Direcciones de Host. Las direcciones de red tienen números pares e impares ya que incrementan su valor con un paso de 1 pero el Net_ID solo ocupan desde el primer octeto hasta el tercer octeto y el cuarto octeto es solamente para el host_ID ‘00000000’ este es el caso para las redes de tipo Clase_C y en las redes de tipo Clase_B el proceso es casi idéntico ya que su valor se incrementa con un paso de 1 pero el Net_ID solo ocupa desde el primer octeto hasta el segundo octeto y el tercero y cuarto octeto es utilizado solamente para el host_ID ‘00000000.00000000’ , si existen valores diferentes de ‘0’ en los octetos que pertenecen al Host estamos hablando ya no de una Red sino de una Subred. Ejemplo: Redes Clase C: 192.10.1.0, 192.10.2.0, 192.10.3.0. Redes Clase B: 172.10.0.0, 172.11.0.0, 172.12.0.0. En la parte del Host siempre tienen que quedar 2 Bits ‘00’ para crear como mínimo redes con 4 Host. Solo se puede aplicar VLSM a subredes que no han sido utilizadas. En Vlsm puedo utilizar mínimo 1 Bit, aquí ya no es necesario dejar una IP como ‘Dirección de Red’ ni otra IP para ‘Dirección de Broadcast’ solo en la parte de los Host se aplica esta regla. Es muy usual utilizar redes con mascara de /30 en los enlaces seriales porque solo se necesitan 2 host validos para entablar la conexión. Los prefijos validos para el SUPERNETTING van desde el /13 al /27; para obtener la mascara del resumen de rutas se procede a cambiar todo el patron coincidente por bits ‘1’ y el no coincidente por bits ‘0’. Según la conceptualización de VLSM no se puede subdividir una red que se va a utilizar en otro enlace ya que esto crea un conflicto de conectividad por lo tanto antes de añadir redes a un diseño de red hay que tener en consideración que las redes no se sobrepongan.


Ejercicios para calcular Máscaras Wildcard En el cálculo de la Máscara Wildcard el ‘0’ sirve para validar el bit y el ‘1’ para ignorar el bit; por lo general las mascaras wildcard se utilizan en el protocolo de enrutamiento OSPF y en el calculo de las Listas de Acceso(ACL) para especificar que redes/subredes/host intervienen en las ACLs. EJERCICIOS CON REDES TIPO CLASE C. 192.20.17.32/27 192.20.17.00100000 0.0.0 .00011111 VALIDACION DE BITS. 0.0.0.31 MASCARA WILDCARD. SOLO SE VALIDA CON CEROS HASTA EL ULTIMO BIT QUE DE ‘1’ QUE ES EL PATRON.

192.55.20.48/28 192.55.20.00110000 0.0.0 .00001111 0.0.0.15

VALIDACION DE BITS. MASCARA WILDCARD.

192.70.80.12/30 192.70.80.00001100 0.0.0 .00000011 0.0.0.3

VALIDACION DE BITS. MASCARA WILDCARD.

192.168.1.150 hasta 192.168.1.175 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 150 = 10010110 160 = 10100000 175 = 10101111 ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '10' QUE SE TRANSFORMA A: ‘00111111’ QUE EN NOTACION DECIMAL ES 63. DIRECCION: 192.168.1.150 WILDCARD : 0.0.0.63

EJERCICIOS CON CLASES B: FILTRADO DE GRUPOS. 172.17.224.0 HASTA 172.17.239.255 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 224 = 11100000 230 = 11100110 239 = 11101111

ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '1110' QUE SE TRANSFORMA A: ‘00001111’ QUE EN NOTACION DECIMAL ES 15. DIRECCION: 172.17.224.0 WILDCARD : 0.0.15.255

172.20.15.1 HASTA 172.20.15.61 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 1 = 00000001 30 = 00011110 60 = 00111100


ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '00' QUE SE TRANSFORMA A: 00111111 QUE EN NOTACION DECIMAL ES 63. DIRECCION: 172.20.15.1 WILDCARD : 0.0.0.63

172.30.16.0 hasta 172.30.31.0 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 16 = 00010000 25 = 00011001 31 = 00011111 ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '0001' QUE SE TRANSFORMA A: ‘00001111’ QUE EN NOTACION DECIMAL ES :15. DIRECCION: 172.30.16.0 WILDCARD : 0.0.15.255


Conceptos sobre Redes LAN/VLAN/WAN y Protocolos de Enrutamiento no Propietarios PROTOCOLO DE ENRUTAMIENTO RIPV1-V2: Envía broadcast : 255.255.255.255(RIPV1) Envía multicast : 224.0.0.9(RIPV2) RIP actualiza sus tablas de enrutamiento cada 30 segundos. Para RIP la distancia administrativa por defecto es de 120. Numero de saltos 15, redes pequeñas. Son un protocolo vector-distancia(IGP) Enrutamiento con clase(RIPV1) Enrutamiento sin clase(RIPV2), soporta VLSM y CIDR. Topología Lógica Plana. Permite el balanceo de cargas, hasta 6 rutas de igual costo. Las redes directamente conectadas al router tienen un valor de distancia administrativa de 0. Las redes creadas con rutas estáticas tienen un valor de distancia administrativa de 1. PROTOCOLO DE ENRUTAMIENTO OSPF: Un protocolo de estado de enlace(IGP) Tiene una distancia administrativa de 110. El método de actualización es desencadenada por eventos. Tienen una visión completa de la red. Utiliza el algoritmo SPF para calcular la ruta mas corta. Usan un mecanismo HELLO para comunicarse con los vecinos. Es un protocolo de enrutamiento sin clase, VLSM y CIDR. La métrica se calcula a partir del ancho de banda del enlace. Tiene una topología lógica de tipo Jerárquica, DR y BDR. Garantiza un enrutamiento sin bucles. No tiene limite de tamaño y es para redes grandes. Tienen 3 tipos de redes: a. Multiacceso por Broadcast(Ethernet), b. Redes Punto a Punto y c. Multiacceso sin Broadcast(NMBA- FR). Formula para calcular las adyacencias entre los routers: N*(N-1)/2. Dirección multicast para todos los routers OSPF: 224.0.0.5 Dirección multicast para los routers DR y BDR: 224.0.0.6 Los paquetes HELLO se envían cada 10 segundos en redes Multiacceso con broadcast y 30 segundos para redes Multiacceso sin Broadcast, los paquetes muertos son 4 veces el valor de los paquetes hello. Para el paquete HELLO el campo tipo se establece en 1. Las áreas para OSPF pueden ser desde 0 hasta 65.535 Las procesos para OSPF pueden ser desde 1 hasta 65.535 Las interfaces LOOPBACK le dan estabilidad al protocolo OSPF. Las prioridades de los routers se pueden establecer desde 0-255, una prioridad de 0 no permite a un router participar en la elección del DR. Formula para calcular la ruta(métrica) en ospf: 10^8/ancho banda. El ancho de banda por defecto para las interfaces seriales de cisco es de 1,544 Mbps. El intervalo muerto del protocolo HELLO ofrece un mecanismo sencillo para determinar que un vecino adyacente esta desactivado. El área principal de los routers ospf es el AREA 0. Realiza actualizaciones parciales e incrementales dentro de la misma AREA. El tiempo de vida de los LSA es de 30 minutos y el router ospf que lo envió al DR lo vuelve a reenviar para que sepan que esta activo y funcional. CONCEPTOS GENERALES SOBRE LAS REDES: El Vlsm y el Supernetting/Agregación de Ruta son características del CIDR. El VLSM consiste en subdividir subredes que no estén en uso. El SUPERNETTING ó AGREGACION DE RUTA consiste en resumir rutas contiguas, el prefijo va desde 13 a 27 bits. En los SWITCH de Capa2 no se configuran direcciones IP, salvo únicamente la DIR-IP de configuración general del SWITCH para poder administrar el dispositivo a través de la RED.


Un SWITCH crea dominios de colisión, llamados microsegmentos. Los SWITCH y Puentes funcionan en la CAPA2 del modelo OSI, pero en la actualidad existen los SWITCH-Multicapa que funcionan en CAPA2 y en CAPA3 y soportan protocolos de enrutamiento. Los SWITCH crean múltiples dominios de colisión pero pertenecen al mismo dominio de broadcast. Un HUB es un dispositivo de CAPA1, regeneran las señales y amplían el dominio de colisión existente. Los Puentes y SWITCH no restringen el trafico de broadcast. Un router es un dispositivo de CAPA3 que toma decisiones en base a las direcciones de RED y que no envían broadcast y por lo tanto permiten reducir los dominios de broadcast en una red; los routers permiten conectividad entre redes y subredes. Ethernet es una tecnología de transmisión en broadcast. La latencia o retardo es el tiempo que una trama tarda en hacer el recorrido desde la estación origen hasta su destino final; Retardo de nic, retardo de propagación real y retardo de los dispositivos. Tiempo de Bit es la unidad básica de tiempo en la que se puede transmitir un bit de datos. Las operaciones básicas de los SWITCH son 2, conmutación de tramas de datos y mantenimiento de las operaciones del SWITCH. La tabla MAC se almacena en la CAM(Memoria de Contenido Direccionable) y cada entrada MAC tiene una marca de tiempo, la tabla MAC se elimina automáticamente a los 300 segundos, esto permite que la tabla siempre contenga direcciones actualizadas. La conmutación de capa2 se basa en las direcciones MAC y el enrutamiento de capa3 se basa en la dirección de capa de RED o en las direcciones IP. La conmutación LAN se puede clasificar como asimétrica(ptos de distinto ancho de banda) y simétrica(puertos que tienen el mismo ancho de banda). Los SWITCH asimétricos usan 2 tipos de Buffers: Bufer de memoria basado en puerto y Búfer de memoria compartida. Métodos de Conmutación: Almacenamiento-envió y método de Corte(Libre de fragmentos{64 bytes} y Conmutación Rápida). Dentro de un Puente pasar por alto una trama se denomina filtrar y copiar la trama se denomina enviar. La segmentación LAN se puede implementar mediante el uso de puentes, SWITCH y routers. Los métodos de transmisión en una red son 3: Unicast, multicast y broadcast. Broadcast de capa 2 es la siguiente: 11111111.11111111.11111111.11111111. FF:FF:FF:FF:FF:FF, 255.255.255.255 El dominio de broadcast de la capa2 se conoce como dominio Mac de Broadcast. La implementación de las VLAN combina la conmutación de capa2 y capa3 para limitar tanto los dominios de colisión como los dominios de broadcast, también ofrecen seguridad. Capas del diseño Jerárquico de las Redes, son 3: Capa de acceso(ACLS), capa de distribución(ACLS, VLAN y SEGURIDAD) y la capa del núcleo. Los SWITCH de capa de acceso son los que permiten a los usuarios finales acceso a la red; la capa de distribución de la red se encuentran entre las capas de acceso y el núcleo, en esta capa se realiza manipulación de paquetes y por ultimo la capa del núcleo que es el backbone de una red conmutada, la capa del núcleo es la capa3, aquí no hay manipulación de paquetes. Documentación del diseño lan: 1. Mapa lógico de LAN, 2. Mapa Físico LAN, 3. Mapa lógico de VLAN, 4. Mapa lógico de capa3, Mapas de dirección. Los HUBS solo operan en modo Half-Duplex, los SWITCH funcionan en Full-Duplex. Los SWITCH tienen algunos tipos de indicadores LED: Led de sistema, Led de estado de puerto, Led de modo de puerto, Led de suministro remoto de energía RPS. Cuando se inicia un SWITCH se ejecuta el POST, el led del sistema indica el éxito o falla del sistema, el color verde indica el éxito de la prueba y el color ámbar indica que la prueba fallo. El protocolo spanning-tree esta por defecto activo en los SWITCH cisco. El protocolo spanning-tree se usa en redes conmutadas para crear una topología lógica sin loops a partir de una topología física con loops.


Una topología conmutada redundante puede provocar tormentas de broadcast En el encabezado de capa2 no hay TTL, si una trama se envía a una topología con loops de SWITCH de capa2, circula el loop indefinidamente, en capa3 el TTL decrece hasta 0. El STP utiliza las BPDU que son tramas que contienen información especifica, las BPDU son las que eligen el Puente Raíz; el Pte. Raíz es aquel que tiene el ID MAS BAJO(dirección MAC). El STP tiene los siguientes elementos: a. Un Puente Raíz(todos los puertos son designados), b. Un Puerto Raíz en los Puentes No-Designados, c. Un Puerto Designado en cada segmento. El STP se encuentra en convergencia cuando todos los puertos han efectuado la transición al estado de envío o al de bloqueo. Costo de Ruta del STP: 10GBPS 2, 1Gbps 4, 100Mbps 19, 10Mbps 100. El IEEE estableció el ESTÁNDAR 802.1d para el protocolo STP y el ESTÁNDAR 802.1w para el RSTP. Las BPDU se envían cada 2 segundos y los INTERVALOS MUERTOS son a los 20 segundos; las BPDU son enviadas con el ID de puente; el BID se compone de una prioridad de puente que asume un valor por defecto de 32768 y la dirección MAC del SWITCH, los BID tienen una longitud de 8 Bytes(2 bytes Id Prioridad y 6 Bytes MAC). Las etapas del STP son 5: bloqueo(20s), escuchar(15s), aprender(15s), enviar, desconectado, total 50 segundos, cantidad máxima de SWITCH 7. El protocolo Rapid Spanning Tree cambia el nombre del estado ‘bloqueado’ por un estado de ‘descarte’, con estos cambios la convergencia de la red no debe tardar mas de 15 segundos; tiene 3 estados: Descarte, aprendizaje y reenvío. La VLAN1 es la VLAN por defecto del SWITCH, sirve para administrar el SWITCH. Cuando se define una VLAN distinta por cada puerto del SWITCH se considera que las VLAN son dominios de colisión diferentes. Una VLAN es un agrupamiento lógico de dispositivos de red y solo se comunican con los mismos dispositivos que están dentro de la VLAN. Las VLAN segmentan de una forma lógica la red en diferentes dominios de broadcast; los SWITCH no puentean ningún trafico entre las VLAN. El router en capa3 enruta el trafico entre las VLAN. Cada puerto del SWITCH se puede asignar a una VLAN. Hay 2 tipos de VLAN: Estáticas(VLAN basadas en puertos y protocolos) y Dinámicas(basadas en direcciones MAC). Métodos utilizados para el etiquetado de trama: ISL(propietario de cisco) y el 802.1Q(abierto), 802.10(FDDI) y LANE. Cada VLAN debe tener una Dirección IP única de red/subred de capa3. Todos los puertos son asignados a la VLAN1 por defecto. Un puerto físico en un Router o SWITCH puede formar parte de mas de un spanning tree si se trata de un enlace troncal. Hay 2 tipos de STP: el STP IEEE y el STP DEC. Enlace Troncal VLAN : Permiten que se definan varias VLAN en toda la organización, agregando etiquetas especiales a las tramas que identifican a las VLAN. Un backbone puede contener varios enlaces troncales. Un enlace troncal es una conexión física y lógica entre 2 SWITCH a través de la cual viaja el trafico pero también puede darse entre un SWITCH y un Router. Los protocolos de enlace troncal se desarrollaron para administrar las tramas entre las diferentes VLAN. VTP : es un protocolo de mensajería de tramas que funciona en capa2. Los SWITCH VTP operan en cualquiera de los 3 modos: Servidor, Cliente y transparente. Existen 2 tipos de publicaciones VTP: 1. Peticiones de clientes y 2. Respuesta de los Servidores. Existen 3 clases de mensajes VTP: 1. Peticiones de publicación, 2. Publicaciones de resumen, 3. Publicaciones de subconjunto. VTP tiene 2 versiones y entre ellas son incompatibles. Actualmente existen 2 mecanismos de TRUNKING que son el ‘Filtrado de Tramas’ y el ‘Etiquetado de Tramas’.


Todos los SWITCH dentro del mismo ‘Dominio de Administración’ comparten su información VLAN entre sí, y un SWITCH solo puede participar en un dominio de administración VTP. Los Servidores VTP guardan la información de configuración VTP en la NVRAM. Por defecto los Dominios de Administración están establecidos a un modo no seguro, lo que significa que los SWITCH interactúan sin utilizar una contraseña. La misma contraseña debe de configurarse en todos los SWITCH del Dominio de Administración para utilizar el modo seguro. Por defecto los SWITCH Catalyst Servidor y Cliente emiten publicaciones de resumen cada 5 minutos. El Pruning VTP se utiliza para restringir el trafico INTER-VLAN innecesario dentro del enlace troncal. Siempre la VLAN1 es de pruning inelegible(no se puede restringir). En el enfoque tradicional de las VLAN se utiliza una interfaz física para conectar cada VLAN con el Router y obtener comunicación INTER-VLAN pero esta técnica a medida que se incrementan las VLAN se vuelve ineficiente y costosa; el nuevo enfoque es la utilización de un ‘Enlace Troncal’ que permite la implementación de varias interfaces lógicas dentro de la misma. El router puede admitir varias interfaces lógicas en enlaces físicos individuales; Fastethernet puede admitir 3 interfaces virtuales. Una subinterfaz es una interfaz lógica dentro de una interfaz física. Para que el enrutamiento entre VLAN funcione correctamente todos los routers y SWITCH involucrados deben admitir el mismo encapsulamiento(802.1q). Un BACKBONE puede estar formado por varios enlaces troncales. El cableado vertical utilizado para unir los IDF y los MDF siempre tiene que ser fibra óptica porque ofrece mayor ancho de banda y velocidad. En la Redes WAN cuando se utiliza Frame Relay la topología física que mas se utiliza es la PUNTO–MULTIPUNTO debido a su bajo costo de implementación. En las redes LAN LOCALES la Regla 80/20 significa que el 80% del trafico se realiza en el área local y el 20% restante del trafico son conexiones remotas. En las redes LAN GEOGRAFICAS la Regla 20/80 significa que el 20% del trafico se realiza localmente y el 80% restante del trafico se lleva a cabo en conexiones remotas. La dirección 127.0.0.1 es una dirección LOOPBACK. REDES INALAMBRICAS - WLAN IEEE 802.11, REDES LAN TOKEN RING - IEEE 802.5, REDES LAN ETHERNET – IEEE 802.3 Procesador de Ruta – Contiene la mayoría de los componentes de memoria del sistema y el procesador principal del sistema. Los siguientes comandos que a continuación utilizo para llevar a cabo las diversas tareas de configuración del Ruteador han sido implementadas utilizando equipos de marca CISCO plataforma 1900/2950; los comandos de configuración y las salidas de los mismos están sometidas a variación en caso de utilizar otros tipos de marcas. CONFIGURACIÓN DEL PROTOCOLO RIP: ROUTER#CONFIGURE TERMINAL ROUTER(CONFIG)#ROUTER RIP Para habilitar la versión que se utilizará tanto en el envío como en la recepción: ROUTER(CONFIG-ROUTER)#VERSION <#RO DE VERSION> Para especificar las redes que intervienen en las publicaciones: ROUTER(CONFIG-ROUTER)#NETWORK <#RO DE RED> Comando para establecer una ruta por defecto en las redes que utilizan protocolos de enrutamiento dinámico: ROUTER(CONFIG)#IP DEFAULT-NETWORK <#RO DE RED> Para inhabilitar el Horizonte Dividido, técnica para anular loops: ROUTER(CONFIG-IF)#NO IP SPLIT-HORIZONT Para inhabilitar el envío de actualizaciones en una interfaz utilice: ROUTER(CONFIG-ROUTER)#PASSIVE-INTERFACE <NRO_INTERFAZ> Para cambiar el nro máximo de rutas paralelas(balanceo de cargas): ROUTER(CONFIG-ROUTER)#MAXIMUN-PATHS <NUMERO>


Para cambiar el temporizador de espera RIP(120sg): ROUTER(CONFIG-ROUTER)#HOLDOWN-TIMER <SEGUNDOS> Para cambiar el intervalo de actualización(Tabla/Enrutamiento 30sg): ROUTER(CONFIG-ROUTER)#UPDATE-TIMER <SEGUNDOS> Para intercambiar información de enrutamiento en una red sin difusión como FRAMERELAY. ROUTER(CONFIG-ROUTER)#NEIGHBOR IP ADDRESS Para configurar una interfaz para enviar versiones determinadas de los paquetes RIP: ROUTER(CONFIG-IF)#IP RIP SEND VERSION <NRO_VERSION> Para configurar una interfaz para recibir versiones determinadas de los paquetes RIP: ROUTER(CONFIG-IF)#IP RIP RECEIVE VERSION <NRO_VERSION> Para redistribuir una ruta estática en RIP: REDISTRIBUTE STATIC Para enviar paquetes a la mejor ruta superred posible utilice(Habilitar/Deshabilitar el uso de las Subredes RIP II): RTA(CONFIG)#IP CLASSLESS; RTA(CONFIG)#NO IP CLASSLESS Para ver el contenido de la base de datos RIP: SHOW IP RIP DATABASE Muestra las actualizaciones de enrutamiento a medida que se envían y se reciben: DEBUG IP RIP Desactivan las operaciones de depuración: NO DEBUG ALL, UNDEBUG ALL

CONFIGURACIÓN DEL PROTOCOLO OSPF: ROUTER(CONFIG)#ROUTER OSPF <PROCESS-ID> Para publicar las redes IP: ROUTER(CONFIG_ROUTER)#NETWORK ADDRESS <WILCARD-MASK> AREA <#RO_AREA> Para crear interfaces LOOPBACK(No son interfaces físicas sino virtuales; se puede especificar una Dirección IP de Host con una Mask de 32 Bits): ROUTER(CONFIG)#INTERFACE LOOPBACK <NUMERO> ROUTER(CONFIG_IF)#IP ADDRESS IP_ADDRESS SUBNET_MASK, EJ: ROUTER(CONFIG)#INTERFACE LOOPBACK 1 ROUTER(CONFIG_IF)#IP ADDRESS 192.168.31.11 255.255.255.255 Comando para configurar la prioridad del router ospf: ROUTER(CONFIG-IF)#IP OSPF PRIORITY <NUMERO> Para el funcionamiento correcto de ospf es necesario establecer el ancho de banda correcto de la interfaz: ROUTER(CONFIG)#INTERFACE SERIAL 0/0 ROUTER(CONFIG-IF)#BANDWIDTH 64 Para modificar el costo del enlace: ROUTER(CONFIG-IF)#IP OSPF COST <numero> Comando para configurar la autenticación OSPF: ROUTER(CONFIG-IF)#IP OSPF AUTHENTICATION-KEY PASSWITCHORD, la clave puede ser hasta 8 caracteres. Después de configurar la autenticación la habilitamos: ROUTER(CONFIG-ROUTER)#AREA AREA-NUMBER AUTHENTICATION Comando para configurar la autenticación OSPF, con MD5: ROUTER(CONFIG-IF)#IP OSPF MESSAGE-DIGEST-KEY KEY-ID ENCRYPTION-TYPE MD5 KEY, el key-id es un identificador y toma un valor de 1 a 255; key es una contraseña alfanumérica. Después de configurar la autenticación la habilitamos, MD5: ROUTER(CONFIG-ROUTER)#AREA AREA-NUMBER AUTHENTICATION MESSAGE-DIGEST Para configurar los temporizadores HELLO y DEAD: ROUTER(CONFIG-IF)#IP OSPF HELLO-INTERVAL SECONDS ROUTER(CONFIG-IF)#IP OSPF DEAD-INTERVAL SECONDS Para cambiar el valor del temporizador del algoritmo SPF(se recomienda modificar los temporizadores solo en el puente raíz): TIMERS SPF <SEGUNDOS>


Para redistribuir una ruta estática en OSPF: ROUTER(CONFIG-ROUTER)#DEFAULT-INFORMATION ORIGINATE Para configurar una red topología malla completa multiacceso que no soporta difusiones, hay que introducir manualmente la dirección de cada vecino OSPF en cada router(NEIGHBOR): ROUTER(CONFIG)#ROUTER OSPF 1 ROUTER(CONFIG-ROUTER)#NETWORK 3.1.1.0 0.0.0.255 AREA 0 ROUTER(CONFIG-ROUTER)#NEIGHBOR 3.1.1.2 ROUTER(CONFIG-ROUTER)#NEIGHBOR 3.1.1.3 Borra la tabla de enrutamiento IP entera: CLEAR IP ROUTE Permite ver información sobre el valor de prioridad de la interfaz y además visualizar cual es el DR y BDR del área actual: SHOW IP OSPF INTERFACE Para diagnosticar las fallas de la formación de adyacencias su prioridad y su estado(init, exstart, full): SHOW IP OSPF NEIGHBOR DETAIL Para comprobar las interfaces que se han configurado en las áreas pretendidas: SHOW IP OSPF INTERFACE Muestra el contenido de la base de datos topológica mantenida por el router. El comando también muestra el ID del Router y el ID del proceso OSPF. SHOW IP OSPF DATABASE Mostrar información sobre cada paquete recibido: DEBUG IP OSPF PACKET Comando para depurar las operaciones OSPF: DEBUG IP OSPF

COMANDOS BAJO EL S.O. WINDOWS: Comando para probar conectividad de capa3. PROMPT C:\>PING <DIR-IP DESTINO> Comando para averiguar la Dirección MAC de un dispositivo; si se quiere saber la dirección MAC de un host remoto primeramente hay que realizar un ping. PROMPT C:\>ARP –A Para añadir una ruta en la tabla de rutas en el host: PROMPT C:\>ROUTE ADD Para ver la tabla de rutas del host por pantalla: PROMPT C:\>ROUTE PRINT Para obtener ayuda sobre los comandos NET en Windows: NET /?


Proyecto de Cálculo de Subnetting y Configuración de Ruteadores Realizar la asignación de direcciones IP tanto para las redes locales como para los enlaces seriales y establecer la respectiva configuración para el Ruteador ‘RT5’. La ACL’s Extendida que se implementa en RT5 solo permitirá el tráfico HTTP y DNS de cualquier HOST de la RedF(172.16.3.64) al Servidor HTTP/DNS y el resto del tráfico será DENEGADO automáticamente. Dirección Subneteada para la red interna: 172.16.0.0/24 Dirección IP de Server HTTP/DNS: 172.16.1.10/24 (RedB) Este proyecto consta de 13 Subredes, 8 Routers Internos y 1 Routers Externo: - 6 para los enlaces seriales WAN(punto a punto) - 7 para las redes locales LAN. 172.16.0.0/24(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED HOST 2(8) = 256 Subredes. 2(8) = 256 Host/Subred Mask : 255.255.255.0 DIRECCIONES IP PARA REDES LOCALES – LAN. RED B: 172.16.1.0/24 Host Requeridos: 200 Host Totales: 256-2 = 254 Host Utilizables. 2(8)=256–2 = Host/Subred 172.16.1.0/24(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED HOST RED C: 172.16.2.0/25 Host Requeridos: 80 Host Totales: 128-2 = 126 Host Utilizables. 2(1) = 2 Subredes VLSM 2(7) = 128 Host/VLSM 172.16.2.0/25(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED VLS HOST Las SUBREDES VLSM obtenidas son 2: a. 172.16.2.0/25 b. 172.16.2.128/25 RED D: 172.16.2.128/25 Host Requeridos: 100 Host Totales: 128-2 = 126 Host Utilizables. RED E: 172.16.3.0/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. 2(2) = 4 Subredes VLSM 2(6) = 64 Host/VLSM 172.16.3.0/26(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED VLS HOST Las SUBREDES VLSM obtenidas son 4: a. 172.16.3.0/26 b. 172.16.3.64/26 c. 172.16.3.128/26


d. 172.16.3.192/26 RED F: 172.16.3.64/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. RED G: 172.16.3.128/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. RED H: 172.16.3.192/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. Aplicamos el ‘SUPERNETTING’ para la red 172.16.3.0/26: 172.16.3.0/26: 10101100.00010000.00000011.00000000 172.16.3.64/26: 10101100.00010000.00000011.01000000 172.16.3.128/26: 10101100.00010000.00000011.10000000 172.16.3.192/26: 10101100.00010000.00000011.11000000 PATRON: 10101100.00010000.00000011.00000000 MASCARA: 11111111.11111111.11111111.00000000 BITS COMUNES: /24 Conversión a formato decimal: Dirección IP: 172.16.3.0/24, Mascara: 255.255.255.0 DIRECCIONES IP PARA LOS ENLACES SERIALES WAN. Por lo general para los enlaces WAN solo se utilizan 2 IP’s. RED E: 172.16.4.0/30 Host Requeridos: 2 Host Totales: 4-2 = 2 Host Utilizables. 2(6) = 64 Subredes VLSM 2(2) = 4 – 2 = 2 Host/VLSM 172.16.4.0/30(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED VLS, HOST Las SUBREDES VLSM obtenidas son 64: a. 172.16.4.0/30 172.16.4.0/30, No Utilizable – Dirección de RED. 172.16.4.1/30 172.16.4.2/30 172.16.4.3/30, No Utilizable – Dirección de BroadCast. b. 172.16.4.4/30 172.16.4.4/30, No Utilizable – Dirección de RED. 172.16.4.5/30 172.16.4.6/30 172.16.4.7/30, No Utilizable – Dirección de BroadCast. c. 172.16.4.8/30 172.16.4.8/30, No Utilizable – Dirección de RED. 172.16.4.9/30 172.16.4.10/30 172.16.4.11/30, No Utilizable – Dirección de BroadCast. d. 172.16.4.12/30 172.16.4.12/30, No utilizable – Dirección de RED. 172.16.4.13/30 172.16.4.14/30 172.16.4.15/30, No utilizable – Dirección de BroadCast.


e. 172.16.4.16/30 172.16.4.16/30, No utilizable – Dirección de RED. 172.16.4.17/30 172.16.4.18/30 172.16.4.19/30, No utilizable – Dirección de BroadCast. f. 172.16.4.20/30 172.16.4.20/30, No utilizable – Dirección de RED. 172.16.4.21/30 172.16.4.22/30 172.16.4.23/30, No utilizable – Dirección de BroadCast. CUADRO DE ASIGNACIÓN DE LOS ENLACES SERIALES WAN: 1. Rt2-Rt8: 172.16.4.0/30 Mask:255.255.255.252 2. Rt2-Rt3: 172.16.4.4/30 Mask: 255.255.255.252 3. Rt3-Rt7: 172.16.4.8/30 Mask: 255.255.255.252 4. Rt3-Rt6: 172.16.4.12/30 Mask: 255.255.255.252 5. Rt3-Rt5: 172.16.4.16/30 Mask: 255.255.255.252 6. Rt3-Rt4: 172.16.4.20/30 Mask: 255.255.255.252 CUADRO DE ASIGNACIÓN DE DIRECCIONES IP PARA LAS REDES LOCALES, LAN: Rt1, RedA: 200.24.201.112/28 Mascara: 255.255.255.240 Rt2, RedB: 172.16.1.0/24 Mascara: 255.255.255.0 Rt3, RedC: 172.16.2.0/25 Mascara: 255.255.255.128 Rt4, RedD: 172.16.2.128/25 Mascara: 255.255.255.128 Rt5, RedE: 172.16.3.0/26 Mascara: 255.255.255.192 Rt6, RedF: 172.16.3.64/26 Mascara: 255.255.255.192 Rt7, RedG: 172.16.3.128/26 Mascara: 255.255.255.192 Rt8, RedH: 172.16.3.192/26 Mascara: 255.255.255.192 TABLA DE ENRUTAMIENTO ESTÁTICA DEL ROUTER ‘RT5’: Dirección de Red Gateway Métrica RedA: 200.24.201.112/28 172.16.4.17/30 3 saltos RedB: 172.16.1.0/24 172.16.4.17/30 2 saltos RedC: 172.16.2.0/25 172.16.4.17/30 3 saltos RedD: 172.16.2.128/25 172.16.4.17/30 1 saltos RedE: 172.16.3.0/26 172.16.4.17/30 2 saltos RedF: 172.16.3.64/26 Red Local --------RedG: 172.16.3.128/26 172.16.4.17/30 2 saltos RedH: 172.16.3.192/26 172.16.4.17/30 2 saltos O a su vez definir una ruta de salida por defecto para cualquier red que no este directamente conectada al router: Red-D Mask Gateway 0.0.0.0 0.0.0.0 172.16.4.17 CONFIGURACIÓN DEL ROUTER ‘RT5’: Configuración de claves y consolas virtuales: ¡contraseña de consola. Router# configure terminal Router(config)# line console 0 Router(config-line)#login Router(config-line)#pasSwitchord cisco !contraseña de terminal virtual. Router# configure terminal Router(config)# line vty 0 4


Router(config-line)#login Router(config-line)#pasSwitchord cisco !contraseña autorizada. Router(config)#enable pasSwitchord san-fran Router(config)#service pasSwitchord-encryption Cambio del nombre del ruteador: Router# configure terminal Router(config)# Hostname Rt5 Rt5(config)# Configuración de las interfaces: 1. Interfaz Serial0:(DCE) Rt5(config)#interface serial0 Rt5(config-if)#ip address 172.16.4.18 255.255.255.252 Rt5(config-if)#clock rate 56000 Rt5(config-if)#description interfaz serial via Rt5 – Rt3 Rt5(config-if)#no shutdown Rt5(config-if)#exit 2. Interfaz Ethernet0: Rt5(config)#interface ethernet 0 Rt5(config-if)#ip address 172.16.3.65 255.255.255.192 Rt5(config-if)#description Interfaz local ‘RedF’ Rt5(config-if)#no shutdown Rt5(config-if)#exit Configuración del protocolo de enrutamiento: Rt5# configure terminal Rt5(config)# router rip Rt5(config-router)# version 2 Rt5(config-router)#network 172.16.3.64 Rt5(config-router)#network 172.16.4.16 Configuración de la tabla de enrutamiento: ‘Ruta por defecto: Rt5(config)#Ip route 0.0.0.0 0.0.0.0 172.16.4.17 Rt5(config)#exit Configuración de Listas de acceso ACL. Se permite solo acceso a los servicios http(Pto80) y DNS/UDP(Pto53), el resto de servicios están denegados, uso de Acl’s extendidas, se coloca lo mas cerca del origen del trafico. Rt5(config)#access list 110 tcp permit 172.16.3.64 0.0.0.255 172.16.1.10 0.0.0.0 eq http Rt5(config)#access list 110 udp permit 172.16.3.64 0.0.0.255 172.16.1.10 0.0.0.0 eq dns ‘Se aplica la access list en la interfaz serial. Rt5(config-if)#interface serial0 Rt5(config-if)#ip access-group 110 out Rt5(config-if)#exit Grabación del archivo de configuración en la NVRAM: Rt5#copy running-config startup-config

Autor: Tclgo. Juan Carlos Romero Jijón. Lankansi@yahoo.com Machala – El Oro – Ecuador.


Ejemplo de configuración de túnel VPN

http://www.redline-software.com/eng/support/docs/winroute/ch12s05.php Este capítulo proporciona una descripción detallada ejemplar sobre cómo crear un túnel cifrado conectar dos redes privadas utilizando el Kerio VPN. Este ejemplo puede ser fácilmente personalizados. Nota: Este ejemplo describe un patrón más complicado de VPN con las restricciones de acceso para las redes locales y los clientes VPN. Un ejemplo de configuración de VPN básica se proporciona en el Kerio WinRoute Firewall de Paso A Paso Configuración de documento. Especificación Suponiendo que una empresa tiene su sede en Nueva York y una oficina en Chicago. Tenemos la intención de interconectar las redes locales de la sede por un túnel VPN utilizando el Kerio VPN. Clientes VPN se les permitirá conectarse a la red de la sede. El servidor (puerta de enlace por defecto) de la sede utiliza la dirección IP pública 63.55.21.12 (newyork.company.com es el nombre DNS), el servidor de la oficina utiliza una dirección IP dinámica asignada por DHCP. La red local de la sede consta de dos subredes, 1 de LAN y LAN 2. La sede company.com utiliza el dominio DNS. La red de la oficina se compone de una única subred (LAN). La oficina filial.company.com. La siguiente figura proporciona un esquema de todo el sistema, incluyendo las direcciones IP y los túneles VPN que se construirá.

Supongamos que ambos ya se han desplegado las redes y establecer de acuerdo a la figura y que la conexión a Internet está disponible. El tráfico entre la red de la sede, la red de la sucursal y clientes VPN será restringido de acuerdo a las siguientes normas: 1. VPN de los clientes pueden conectarse a la LAN 1 y a la red de la sucursal. 2. Conexión a clientes VPN está desactivado para todas las redes. 3. Sólo la red LAN 1 está disponible en la sucursal. Además de esto, sólo la WWW, FTP y Microsoft SQL servicios disponibles. 4. No se aplica ninguna restricción para las conexiones de la sede a la red de sucursales. 5. LAN 2 no está a disposición de la red de sucursales ni a los clientes VPN. Sede de la configuración 1. Instalar WinRoute (versión 6.0.0 o posterior) en la sede central de la puerta de enlace por defecto (servidor). 2. Utilice Asistente para reglas de red (véase el capítulo Asistente para reglas de red) para configurar la base de políticas de tráfico en WinRoute. En el paso 5, seleccione Sí, quiero utilizar Kerio VPN.


Este paso permitirá la creación de normas para la conexión del servidor VPN, así como para la comunicación de clientes VPN con la red local (con el servidor de seguridad).

3.

Cuando el túnel VPN se crea, personalizar estas normas de acuerdo con la restricción de los requisitos (Paso 6). Personalizar la configuración de DNS de la siguiente manera: o En la configuración del DNS reenviador en WinRoute, especificar los servidores DNS a los que las consultas DNS que no se ha dirigido a la company.com dominio será enviado (primaria y secundaria del servidor DNS del proveedor de conexión a Internet por defecto).

o

Habilitar la opción de reenvío de uso personalizado y definir normas para la

filial.company.com de dominio. Para especificar el reenvío de servidor DNS, utilice la dirección IP del anfitrión remoto WinRoute la interfaz conectada a la red local.


o

Establecer la dirección IP 10.1.1.1 como un servidor DNS principal también para los otros hosts. Nota: Para una correcta funcionalidad de DNS, DNS de la base de datos debe incluir los registros para las máquinas en una red local. Para lograr esto, guardar los nombres DNS y direcciones IP de los anfitriones locales en el archivo hosts (si usan direcciones IP) o permitir la cooperación de la reenviador DNS con el servidor DHCP (en el caso de que las direcciones IP se asignan dinámicamente a estos hosts). Para más información, consulte el capítulo de DNS reenviador. Habilitar el servidor VPN y configurar su certificado SSL (crear un certificado auto-firmado, si no certificado por una autoridad de certificación está disponible).

o

4.

Establecer la dirección IP de la interfaz (10.1.1.1) como un servidor DNS primario para la interfaz del host WinRoute conectado a la red local.


Nota: La libertad de subred que se ha seleccionado ya está especificado automáticamente en la red VPN y Máscara entradas.

5.

Para obtener una descripción detallada sobre la configuración del servidor VPN, consulte el capítulo Configuración del servidor VPN. Crear un pasivo final del túnel VPN (servidor de la oficina utiliza una dirección IP dinámica). Usar la huella digital del servidor VPN de la oficina como una especificación de la huella digital del certificado SSL remoto.


6.

Personalizar las reglas de tránsito de acuerdo con la restricción de los requisitos.

o

o

En el estado del tráfico local, eliminar todos los artículos excepto los que pertenecen a la red local de la sede de la empresa, es decir, excepto el cortafuegos y LAN 1 y LAN 2. Define (añadir) la regla de clientes VPN que permitirá a los clientes VPN para conectarse a la LAN 1 y a la red de la sucursal (a través del túnel VPN).


Crear la oficina de la Subdivisión de la regla que permite conexiones a los servicios en la LAN 1. o Añadir la Sede de la empresa norma que permite las conexiones desde la sede de subredes la red de sucursales .. Reglas definidas de esta manera cumplir con todos los requisitos de la restricción. Tráfico que no coincide con ninguna de estas normas será bloqueado por la norma por defecto (véase el capítulo Definición de las reglas de tránsito personalizado). Sucursal de configuración 1. Instalar WinRoute (versión 6.0.0 o posterior) en la puerta de enlace predeterminada de la oficina (servidor). 2. Utilice Asistente para reglas de red (véase el capítulo Asistente para reglas de red) para configurar una política básica de tráfico en WinRoute. En el paso 5, seleccione Sí, quiero utilizar Kerio VPN.

o

Este paso permitirá la creación de normas para la conexión del servidor VPN, así como para la comunicación de clientes VPN con la red local (a través del firewall).

3.

Cuando el túnel VPN se crea, personalizar estas normas de acuerdo con la restricción de los requisitos (Paso 6). Personalizar la configuración de DNS de la siguiente manera: o En la configuración del DNS reenviador en WinRoute, especificar los servidores DNS a los que las consultas DNS que no se ha dirigido a la company.com dominio será enviado (primaria y secundaria del servidor DNS del proveedor de conexión a Internet por defecto).


o

Habilitar la opción de reenvío de uso personalizado y definir normas para el dominio company.com. Para especificar el reenvío de servidor DNS, utilice la dirección IP del anfitrión remoto WinRoute la interfaz conectada a la red local.

o

Establecer la dirección IP de la interfaz (192.168.1.1) como un servidor DNS primario para la interfaz del host WinRoute conectado a la red local.


Establecer la dirección IP 192.168.1.1 como servidor DNS principal también para los otros hosts. Nota: Para una correcta funcionalidad de DNS, DNS de la base de datos debe incluir los registros para las máquinas en una red local. Para lograr esto, guardar los nombres DNS y direcciones IP de los anfitriones locales en el archivo hosts (si usan direcciones IP) o permitir la cooperación de la reenviador DNS con el servidor DHCP (en el caso de que las direcciones IP se asignan dinámicamente a estos hosts). Para más información, consulte el capítulo de DNS reenviador. Habilitar el servidor VPN y configurar su certificado SSL (crear un certificado auto-firmado, si no certificado por una autoridad de certificación está disponible). Nota: La libertad de subred que se ha seleccionado ya está especificado automáticamente en la red VPN y Máscara entradas.

o

4.


5.

Para una descripción detallada sobre la configuración del servidor VPN, consulte el capítulo Configuración del servidor VPN. Crear un punto final de la VPN túnel que se conectará al servidor de la sede (newyork.company.com). Usar la huella digital del servidor VPN de la sede como una especificación de la huella digital del certificado SSL remoto.


6.

En este punto, debería establecerse la conexión (es decir, el túnel debe crearse). Si se conecta con éxito, el estado Conectado se informó en el adaptador de la columna de información de los dos extremos del túnel. Si la conexión no puede establecerse, le recomendamos que, para comprobar la configuración de la prueba las reglas de tránsito y la disponibilidad del servidor remoto en nuestro ejemplo, el comando ping newyork.company.com se puede utilizar en el servidor de la sucursal. Nota: En caso de una colisión de red VPN y la red remota se detecta a la creación del túnel VPN, seleccione una subred libre y especificar sus parámetros en el servidor VPN (ver paso 4). Para obtener información detallada sobre la forma de crear túneles VPN, véase el capítulo de interconexión de dos redes privadas a través de Internet (túnel VPN). Añadir el nuevo túnel VPN en la norma de tráfico local. También es posible quitar la interfaz de Dial-In y el grupo de clientes VPN de esta norma (clientes VPN no están autorizados a conectarse a la sucursal).

Nota: No es necesario para realizar cualquier otra adaptación de las normas de circulación. La restricción debe ser necesaria ya establecidos en la política de tráfico en el servidor de la sede.


VPN prueba La configuración de la VPN túnel se ha terminado por ahora. En este punto, se recomienda poner a prueba la disponibilidad de hosts remotos de cada extremo del túnel (de dos redes locales). Por ejemplo, el ping y / o tracert comandos del sistema operativo puede ser utilizado para este ensayo. Se recomienda probar la disponibilidad de hosts remotos tanto a través de direcciones IP y nombres DNS. Si un host remoto se prueba a través de dirección IP y no responde, compruebe la configuración de las reglas de tránsito y / o averiguar si las subredes no colisionan (es decir, si la misma subred no se utilice en ambos extremos del túnel). Si una dirección IP ha sido probado con éxito y se informó de un error (Host desconocido) cuando una prueba es el nombre DNS y, a continuación, comprobar la configuración de DNS.


http://publib.boulder.ibm.com/html/as400/v5r1/ic2931/index.htm?info/rzaja/rzajacreate vpncon.htm Configuración de VPN La interfaz de OS/400 VPN le ofrece varias formas distintas de configurar las conexiones VPN. Siga leyendo para decidir qué tipo de conexión va a configurar y cómo va a hacerlo. ¿Qué tipo de conexión debo configurar? Una conexión dinámica genera y negocia dinámicamente las claves que protegen la conexión, mientras está activa, mediante el protocolo IKE. Las conexiones dinámicas proporcionan un nivel suplementario de seguridad para los datos que fluyen a través de ellas porque las claves cambian automáticamente, a intervalos regulares. En consecuencia, es más difícil que un asaltante capture una clave, tenga tiempo de descifrarla y la utilice para desviar o capturar el tráfico protegido por esta. Por otro lado, una conexión manual es aquélla en la que todas las propiedades de la VPN deben configurarse a mano. Además, ambos extremos de la conexión requieren la configuración de varios atributos que deben coincidir exactamente. Las conexiones manuales utilizan claves estáticas que no se renuevan ni cambian mientras la conexión está activa. Debe detener una conexión manual para cambiar la clave asociada. Si considera que supone un riesgo para la seguridad, puede crear una conexión dinámica en su lugar. ¿Cómo se configura una conexión dinámica VPN? Una VPN es en realidad un grupo de objetos de configuración que definen las características de una conexión. Una conexión VPN dinámica necesita que cada uno de los siguientes objetos funcione correctamente. Siga los enlaces que figuran a continuación para obtener información específica sobre cómo configurarlos: Configuración de las conexiones con el asistente Conexión Por lo general, utilizará el asistente Conexión para crear todas las conexiones dinámicas. El asistente crea automáticamente cada uno de los objetos de configuración que OS/400 necesita para funcionar correctamente, incluyendo las reglas de paquete. Si especifica que el asistente deberá activar las reglas de paquetes VPN, puede saltar al paso 6 que se encuentra a continuación, Iniciar la conexión. En caso contrario, después de que el asistente haya terminado de configurar la VPN, debe activar las reglas de paquetes y, a continuación, puede iniciar la conexión. Configuración de las conexiones con el asistente Conexión VPN El asistente Conexión VPN permite crear una red privada virtual (VPN) entre cualquier combinación de sistemas principales y pasarelas. Por ejemplo, de sistema principal a sistema principal, de pasarela a sistema principal, de sistema principal a pasarela o de pasarela a pasarela. El asistente crea automáticamente cada uno de los objetos de configuración que OS/400 necesita para funcionar correctamente, incluyendo las reglas de paquete. Sin embargo, si necesita añadir más funciones; por ejemplo, registrar por diario o convertir direcciones, deberá refinar más la VPN mediante las hojas de propiedades del grupo de claves dinámicas o de la conexión adecuados. Para ello, primero debe detener la conexión si está activa. A continuación, pulse con el botón derecho del ratón el grupo de claves dinámicas o la conexión y seleccione Propiedades. Complete el Asesor de planificación VPN antes de empezar. El asesor le ofrece información importante que necesitará para crear la VPN.


Para crear una VPN con el asistente Conexión, siga estos pasos: En Operations Navigator, expanda el servidor --> Red--> Políticas IP. Pulse con el botón derecho del ratón Red privada virtual y seleccione Nueva conexión para iniciar el asistente Conexión. Siga los pasos del asistente para crear una conexión VPN básica. Pulse el botón Ayuda si la necesita. Si decide no utilizar el asistente para configurar las conexiones dinámicas VPN, siga estos pasos para completar la configuración: Configurar las políticas de seguridad VPN Debe definir políticas de seguridad VPN para todas las conexiones dinámicas. La política IKE y la política de datos estipulan cómo IKE protege las negociaciones de fase 1 y fase 2. Configuración de las políticas de seguridad VPN Después de determinar cómo va a utilizar la VPN, debe definir sus políticas de seguridad VPN. Concretamente, tendrá que: Configurar una política IKE (intercambio de claves de Internet) La política IKE define qué nivel de autenticación y de protección de cifrado utilizará IKE durante las negociaciones de fase 1. La fase 1 de IKE establece las claves que protegen los mensajes que fluyen en las negociaciones subsiguientes de la fase 2. No es necesario definir una política IKE cuando crea una conexión manual. Además, si crea la VPN con el asistente Conexión, éste puede crear la política IKE por usted. Configurar una política de datos Una política de datos define el nivel de autenticación o cifrado con que se protegen los datos que fluyen a través de la VPN. Los sistemas que establecen la comunicación se ponen de acuerdo sobre estos atributos durante las negociaciones de la fase 2 del protocolo IKE (intercambio de claves de Internet). No es necesario definir una política de datos cuando se crea una conexión manual. Además, si crea la VPN con el asistente Conexión, éste puede crear una política de datos. Después de configurar las políticas de seguridad VPN, debe configurar las conexiones seguras. Configurar conexiones seguras Tras haber definido las políticas de seguridad para la conexión, deberá configurar la conexión segura. Para las conexiones dinámicas, el objeto de conexión segura incluye un grupo de claves dinámicas y una conexión de claves dinámicas. El grupo de claves dinámicas define las características comunes de una o varias conexiones VPN, mientras que la conexión de claves dinámicas define las características de las conexiones de datos individuales entre pares de puntos finales. La conexión de claves dinámicas existe dentro del grupo de claves dinámicas. Nota: sólo necesita completar los siguientes dos pasos, Configurar las reglas de paquete y Definir una interfaz para las reglas, si selecciona la opción La regla de filtrado de políticas se definirá en las reglas de paquete en la página Grupo de claves dinámicas Conexiones en la interfaz VPN. De lo contrario, estas reglas se crearán como parte de las configuraciones VPN y se aplicarán a la interfaz que especifique.


Se recomienda que siempre permita a la interfaz OS/400 VPN crear sus reglas de filtrado. Llévelo a cabo seleccionando la opción Generar el siguiente filtro de políticas para este grupo en la página Grupo de claves dinámicas - Conexiones. Configuración de la conexión VPN segura Tras haber definido las políticas de seguridad para la conexión, deberá configurar la conexión segura. Para las conexiones dinámicas, el objeto de conexión segura incluye un grupo de claves dinámicas y una conexión de claves dinámicas. El grupo de claves dinámicas define las características comunes de una o varias conexiones VPN. La configuración de un grupo de claves dinámicas permite utilizar las mismas políticas, pero puntos finales de datos distintos, para cada conexión del grupo. Los grupos de claves dinámicas también permiten negociar con iniciadores remotos satisfactoriamente cuando los puntos finales de datos propuestos por el sistema remoto no se conocen específicamente de antemano. Lo lleva a cabo asociando la información de políticas del grupo de claves dinámicas con una regla de filtro de políticas que tenga un tipo de acción IPSec. Si los puntos finales de datos específicos que ofrece el iniciador remoto caen dentro del rango especificado en la regla de filtro IPSec, pueden estar sujetos a la política definida en el grupo de claves dinámicas. La conexión de claves dinámicas define las características de las conexiones de datos individuales entre los pares de puntos finales. La conexión de claves dinámicas existe dentro del grupo de claves dinámicas. Después de configurar un grupo de claves dinámicas para describir qué conexiones de políticas del grupo deben utilizarse, necesita crear conexiones de claves dinámicas individuales para las conexiones que inicie localmente. Para configurar el objeto de conexión segura, complete estas tareas: Parte 1: Configurar un grupo de claves dinámicas: En Operations Navigator, expanda el servidor --> Red--> Políticas IP--> Red privada virtual--> Conexiones de seguridad. Pulse con el botón derecho del ratón Por grupo y seleccione Nuevo grupo de claves dinámicas. Pulse Ayuda si tiene preguntas acerca de cómo cumplimentar una página o alguno de los campos. Pulse Aceptar para guardar los cambios. Parte 2: configurar una conexión de claves dinámicas: En Operations Navigator, expanda el servidor --> Red --> Políticas IP--> Red privada virtual--> Conexiones de seguridad-> Por grupo. En el panel izquierdo de la ventana de Operations Navigator, pulse con el botón derecho del ratón el grupo de claves dinámicas que ha creado en la parte 1 y seleccione Nueva conexión de claves dinámicas. Pulse Ayuda si tiene preguntas acerca de cómo cumplimentar una página o alguno de los campos. Pulse Aceptar para guardar los cambios. Tras completar estos pasos, necesitará activar las reglas de paquetes que la conexión requiere para funcionar correctamente. Nota: en la mayor parte de casos, deberá permitir que la interfaz OS/400 VPN genere las reglas de paquetes VPN automáticamente seleccionando la opción Generar el


siguiente filtro de políticas para este grupo en la página Grupo de claves dinámicas Conexiones. Sin embargo, si selecciona la opción La regla de filtro de políticas se definirá en las Reglas de paquetes, deberá configurar una regla de paquete VPN manualmente y, a continuación, activarlas. Configurar las reglas de paquete Tras haber completado la configuración de VPN, deberá crear y aplicar las reglas de filtrado que permiten al tráfico de datos fluir por la conexión. La regla VPN anterior a IPSec permite todo el tráfico IKE en las interfaces especificadas, de forma que IKE pueda negociar las conexiones. La regla de filtro de políticas define qué direcciones, protocolos y puertos puede utilizar el nuevo grupo de claves dinámicas. Por lo general, sólo tendrá que configurar las reglas de paquetes para la VPN cuando esté migrando desde un release anterior y tenga reglas de paquetes que desee seguir utilizando. Si es el caso, debe revisar el tema, Antes de empezar a configurar las reglas de paquetes VPN. Configuración de las reglas de paquetes VPN Si está creando una conexión por primera vez, debe permitir que OS/400 VPN genere automáticamente las reglas de paquetes VPN. Puede llevarlo a cabo utilizando el asistente Conexión o las páginas de propiedades de OS/400 VPN para configurar la conexión. Si decide crear reglas de paquetes manualmente, deberá crear también cualquier otra regla manualmente. Inversamente, si desea que OS/400 VPN genere las reglas de filtrado de políticas, deberá crear todas las reglas de filtrado de políticas adicionales de esta forma. Revise"Antes de empezar a configurar las reglas de paquetes VPN," para obtener más detalles. Siga los enlaces siguientes para aprender a configurar las reglas de paquetes VPN manualmente: Reglas de paquetes necesarias para las conexiones dinámicas Regla anterior a IPSec Las reglas anteriores a IPSec son todas las reglas de su sistema que preceden a las reglas con un tipo de acción IPSec. Este tema sólo trata las reglas anteriores a IPSec que OS/400 VPN necesita para funcionar correctamente. En este caso, las reglas anteriores a IPSec son un par de reglas que permiten el proceso IKE en la conexión. IKE permite generar y negociar claves dinámicas para la conexión. Puede necesitar añadir otras reglas anteriores a IPSec en función de su entorno de red particular y de su política de seguridad. Regla de filtro de políticas La regla de filtro de políticas define el tráfico que puede utilizar la VPN y qué política de protección de datos debe aplicarse a este tráfico. Aspectos a considerar antes de empezar Al añadir reglas de filtrado a una interfaz, el sistema añade automáticamente una regla DENY por omisión para esa interfaz. Esto significa que se deniega cualquier tráfico no permitido explícitamente. No es posible ver ni cambiar esta regla. Como consecuencia, el tráfico que anteriormente funcionaba falla misteriosamente al activar las reglas de filtrado de VPN. Si desea permitir en la interfaz un tráfico que no sea VPN, debe añadir explícitamente reglas PERMIT para hacerlo.


Tras configurar las reglas de filtrado apropiadas, debe definir la interfaz a la que se aplicarán y, a continuación, activarlas. Es esencial que configure las reglas de filtrado de forma apropiada. Si no es así, las reglas de filtrado pueden bloquear todo el tráfico IP entrante y saliente de el iSeries 400. Esto incluye la conexión a Operations Navigator, que se utiliza para configurar las reglas de filtrado. Si las reglas de filtrado no permiten el tráfico de Operations Navigator, Operations Navigator no podrá comunicarse con el iSeries 400. Si se encuentra en esta situación, necesitará conectarse al iSeries mediante una interfaz que aún tenga conectividad, como por ejemplo, la consola de operaciones. Utilice el mandato RMVTCPTBL TBL(*ALL) para eliminar todos los filtros del sistema. Este mandato también finaliza los servidores *VPN y, a continuación, los reinicia. Después, configure los filtros y reactívelos. Definir una interfaz para las reglas Después de configurar las reglas de paquetes y cualquier otra regla que necesite para habilitar la conexión VPN, debe definir una interfaz a la que aplicarlas. Definición de una interfaz para las reglas de filtrado VPN Después de configurar las reglas de paquetes de VPN y cualquier otra regla que necesite para habilitar la conexión VPN, debe definir una interfaz a la que aplicarlas. Para definir una interfaz a la que pueda aplicar las reglas de filtrado VPN, siga estos pasos: Nota: Si acaba de configurar las reglas de paquetes VPN, la interfaz de reglas de paquetes aún estará abierta; vaya al cuarto paso. En Operations Navigator, expanda el servidor --> Red--> Políticas IP. Pulse con el botón derecho del ratón Reglas de paquetes y seleccione Configuración. De esta forma se visualizará la interfaz de reglas de paquete, que le permitirá crear o editar reglas NAT y de filtro para el iSeries 400. Desde el menú Archivo, seleccione Nuevo archivo. Pulse con el botón derecho del ratón Interfaces de filtro y seleccione Nueva interfaz de filtro. En la página General, seleccione Nombre de línea y, a continuación, seleccione la descripción de línea a la que se aplicarán las reglas de paquetes VPN en la lista desplegable. (opcional) Especifique una descripción. En la página Conjuntos de filtros, pulse Añadir para añadir el nombre de cada conjunto a los filtros que acaba de configurar. Pulse Aceptar. Guarde el archivo de reglas. El archivo se guarda en el sistema de archivos integrado de iSeries con la extensión i3p. Nota: no guarde el archivo en el siguiente directorio: /QIBM/UserData/OS400/TCPIP/RULEGEN Este directorio es de uso exclusivo del sistema. Si alguna vez necesita utilizar el mandato RMVTCPTBL *ALL para desactivar las reglas de paquete, el mandato suprimirá todos los archivos que se encuentren dentro de este directorio.


Después de definir una interfaz para las reglas de filtrado, debe activarlas para poder iniciar la VPN. Activar las reglas de paquete Después de definir una interfaz para las reglas de paquete, debe activarlas para poder iniciar la conexión. Activación de las reglas de paquetes VPN Para poder iniciar una conexión VPN, primero debe activar las reglas de paquetes VPN. No puede activar un conjunto de reglas a menos que tenga el archivo de reglas abierto. Además, no puede activar (o desactivar) las reglas de filtrado mientras se estén ejecutando las conexiones VPN. Por lo tanto, antes de activar las reglas de filtrado VPN, asegúrese de que no hay ninguna conexión activa asociada con éstas. La forma de crear reglas de paquetes determina la forma de activarlas: Activar las reglas de paquetes generadas por OS/400 VPN En Operations Navigator, expanda el servidor --> Red--> Políticas IP. Pulse con el botón derecho del ratón Reglas de paquetes y seleccione Configuración. Se visualizará la interfaz de reglas de paquetes. Desde el menú Archivo, seleccione Nuevo archivo. Desde el menú Archivo, seleccione Activar. Se abrirá un diálogo que le permitirá especificar si desea activar las reglas en una interfaz determinada o en todas las interfaces. Se recomienda activar siempre las reglas de paquetes en todas las interfaces. Pulse Aceptar en el diálogo para confirmar que desea verificar y activar las reglas en la interfaz o interfaces que ha especificado. Tras haberse completado el proceso de verificación, se visualizará un mensaje de anotación en la parte inferior de la ventana. El sistema activa las reglas si ha podido verificar que no presentan errores. Si hay errores, debe resolverlos antes de intentar reactivar las reglas. Activar las reglas de paquetes configuradas manualmente En Operations Navigator, expanda el servidor --> Red--> Políticas IP. Pulse con el botón derecho del ratón Reglas de paquetes y seleccione Configuración. Se visualizará la interfaz de reglas de paquetes. Abra el archivo de reglas que desee activar. Desde el menú Archivo, seleccione Activar. Se abrirá un diálogo que le permitirá especificar si desea activar las reglas en una interfaz determinada o en todas las interfaces. Se recomienda activar siempre las reglas de paquetes en todas las interfaces. Pulse Aceptar en el diálogo para confirmar que desea verificar y activar las reglas en la interfaz o interfaces que ha especificado. Tras haberse completado el proceso de verificación, se visualizará un mensaje de anotación en la parte inferior de la ventana. El sistema activa las reglas si ha podido verificar que no presentan errores. Si hay errores, debe resolverlos antes de intentar reactivar las reglas. Después de haber activado las reglas de filtrado, podrá iniciar la conexión VPN. Iniciar la conexión Complete esta tarea para iniciar las conexiones. ¿Cómo se configura una conexión VPN manual? Inicio de una conexión VPN


Estas instrucciones presuponen que ha configurado correctamente la conexión VPN. Siga estos pasos para iniciar la conexión VPN: Configurar conexiones manuales Las conexiones manuales definen las características de una conexión, incluyendo los protocolos de seguridad y los puntos finales de conexión y de datos. Nota: sólo necesita completar los siguientes dos pasos, Configurar la regla de filtro de políticas y Definir una interfaz para las reglas, si selecciona la opción La regla de filtrado de políticas se definirá en las reglas de paquete en la página Conexión manual Conexión en la interfaz VPN. De lo contrario, estas reglas se crearán como parte de las configuraciones VPN. Se recomienda que siempre permita a la interfaz OS/400 VPN crear sus reglas de filtrado de políticas. Para ello seleccione la opción Generar un filtro de políticas que coincida con los puntos finales de datos en la página Conexión manual - Conexión. Configuración de una conexión manual Tal como sugiere el nombre, una conexión manual es una conexión en la que deben configurarse a mano todas las propiedades de VPN. Además, ambos extremos de la conexión requieren la configuración de varios elementos que deben coincidir exactamente. Por ejemplo, las claves de entrada, deben coincidir con las claves de salida del sistema remoto, de otro modo fallará la conexión. Las conexiones manuales utilizan claves estáticas que no se renuevan ni cambian mientras la conexión está activa. Debe detener una conexión manual para cambiar la clave asociada. Si considera que supone un riesgo para la seguridad y ambos extremos de la conexión soportan el protocolo IKE (intercambio de claves de Internet), considere la posibilidad de configurar una conexión dinámica como alternativa. Configurar la regla de filtro de políticas Tras haber completado la configuración de atributos de la conexión manual, deberá crear y aplicar la regla de filtro de políticas que permita al tráfico de datos fluir por la conexión. La regla de filtro de políticas define qué direcciones, protocolos y puertos puede utilizar la conexión asociada. Configuración de una regla de filtro de políticas Atención: sólo deberá completar esta tarea si ha especificado que no desea que OS/400 VPN genere su regla de filtro de políticas automáticamente. La regla de filtro de políticas de IPSEC define qué direcciones, protocolos y puertos pueden utilizar la VPN. También identifica la política que se aplicará al tráfico en la conexión VPN. Para configurar una regla de filtro de políticas, siga estos pasos: Nota: si acaba de configurar la regla anterior a IPSec (sólo para conexiones dinámicas), la interfaz de reglas de paquetes aún estará abierta; vaya al cuarto paso. En Operations Navigator, expanda el servidor --> Red--> Políticas IP. Pulse con el botón derecho del ratón Reglas de paquetes y seleccione Configuración. De esta forma se visualizará la interfaz de reglas de paquete, que le permitirá crear o editar reglas NAT y de filtro para el iSeries 400. Desde el menú Archivo, seleccione Nuevo archivo. Pulse con el botón derecho del ratón Filtros y seleccione Filtro nuevo. En la página General, especifique un nombre de conjunto para las reglas de filtrado VPN. Le recomendamos que cree al menos tres conjuntos distintos: uno para las reglas


de filtrado anteriores a IPSec, uno para las reglas de filtrado de políticas y otra para las reglas de filtrado DENY y PERMIT misceláneas. Por ejemplo, policyfilters. En el campo Acción, seleccione IPSEC en la lista desplegable. El campo Dirección toma OUTBOUND por omisión y no puede cambiarlo. A pesar de que este campo toma OUTBOUND por omisión, en realidad es bidireccional. El valor OUTBOUND aparece para clarificar la semántica de los valores de entrada. Por ejemplo, los valores origen son valores locales y los valores destino son valores remotos. Para Nombre de la dirección de origen, seleccione = en el primer campo y, a continuación, especifique la dirección IP del punto final de datos local en el segundo campo. También puede especificar un rango de direcciones IP o una dirección IP más una máscara de subred tras haberlos definido mediante la función Definir direcciones. Para Nombre de dirección de destino, seleccione = en el primer campo y, a continuación, especifique la dirección IP del punto final de datos remoto en el segundo campo. También puede especificar un rango de direcciones IP o una dirección IP más una máscara de subred tras haberlos definido mediante la función Definir direcciones. En el campo Registro por diario, especifique el nivel de registro por diario que necesita. En el campo Nombre de la conexión, seleccione la definición de conexión a la que se aplican estas reglas de filtrado. (Opcional) Especifique una descripción. En la página Servicios, seleccione Servicio.De esta forma se habilitan los campos Protocolo, Puerto origen y Puerto destino. En los campos Protocolo, Puerto de origen y Puerto de destino, seleccione el valor apropiado para el tráfico. O puede seleccionar el asterisco (*) en la lista desplegable. De esta forma, cualquier protocolo puede utilizar la VPN a través de cualquier puerto. Pulse Aceptar. El siguiente paso consiste en definir la interfaz a la que se aplican estas reglas de filtrado. Nota: al añadir reglas de filtrado para una interfaz, el sistema añade automáticamente una regla DENY por omisión para la interfaz. Esto significa que se deniega cualquier tráfico no permitido explícitamente. No es posible ver ni cambiar esta regla. Como consecuencia, verá que algunas conexiones que anteriormente funcionaban, fallan misteriosamente tras activar sus reglas de paquetes VPN. Si desea permitir en la interfaz un tráfico que no sea VPN, debe añadir explícitamente reglas PERMIT para hacerlo. Definir una interfaz para las reglas Después de configurar las reglas de paquetes y cualquier otra regla que necesite para habilitar la conexión VPN, debe definir una interfaz a la que aplicarlas. Activar las reglas de paquete Después de definir una interfaz para las reglas de paquete, debe activarlas para poder iniciar la conexión. Iniciar la conexión Complete esta tarea para iniciar las conexiones que se inician localmente.


VPN (Redes Privadas Virtuales) Indice 1. Introducción 2. ¿Por qué una VPN? 3. ¿Que es una VPN? 4. Tecnología de túnel 5. Requerimientos básicos de una VPN 6. Herramientas de una VPN 7. Ventajas de una VPN 8. Conclusión 9. Bibliografía 1. Introducción Una RED se extiende sobre un área geográfica amplia, a veces un país o un continente; contiene una colección de máquinas dedicadas a ejecutar programas de usuario ( aplicaciones ). En los últimos años las redes se han convertido en un factor crítico para cualquier organización. Cada vez en mayor medida, las redes transmiten información vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad, alcance geográfico y efectividad en costos. Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de las empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentas con oficinas remotas a varios kilómetros de distancia, pero tambien es cierto que estas redes remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y las redes para obtener información confidencial. Por tal motivo la seguridad de las redes es de suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN 2. ¿Por qué una VPN? Cuando deseo enlazar mis oficinas centrales con alguna sucursal u oficina remota tengo tres opciones: Modem: Las desventajas es el costo de la llamada, ya que el costo de esta llamada sería por minuto conectado, ademas sería una llamada de larga distancia, a parte no contaría con la calidad y velocidad adecuadas. Línea Privada: Tendría que tender mi cable ya sea de cobre o fibra óptica de un punto a otro, en esta opción el costo es muy elevado porque si por ejemplo necesito enlazar mi oficina central con una sucursal que se encuentra a 200 Kilómetros de distancia el costo sería por la renta mensual por Kilómetro. Sin importar el uso. VPN: Los costos son bajos porque solo realizo llamadas locales, ademas de tener la posibilidad de que mis datos viajen encriptados y seguros, con una buena calidad y velocidad. 3. ¿Que es una VPN? Es una red privada que se extiende, mediante un proceso de encapsulación y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras públicas de transporte. Los paquetes de datos de la red privada viajan por medio de un “túnel” definido en la red pública. (ver figura siguiente) Figura 1 Figura 2 En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de una pared para engañar a los intrusos a la red, despues los datos llegan a nube de internet donde se genera un túnel dedicado unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto. Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente. Figura 3 4. Tecnología de túnel 1


Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños. Figura 4 El servidor busca mediante un ruteador la dirección IP del cliente VPN y en la red de transito se envian los datos sin problemas. 5. Requerimientos básicos de una VPN Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: Identificación de usuario Administración de direcciones Codificación de datos Administración de claves Soporte a protocolos múltiples Identificación de usuario La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que información y cuando. Administración de direcciones La VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así. Codificación de datos Los datos que se van a transmitir a traves de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red. Administración de claves La VPN debe generar y renovar las claves de codificación para el cliente y el servidor. Soporte a protocolos múltiples La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros. 6. Herramientas de una VPN VPN Gateway Software Firewall Router VPN Gateway Dispositivos con un software y hardware especial para proveer de capacidad a la VPN Software Esta sobre una plataforma PC o Workstation, el software desempeña todas las funciones de la VPN. 7. Ventajas de una VPN Dentro de las ventajas más significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. Reducción de costos. Sencilla de usar. Sencilla instalación del cliente en cualquier PC Windows. Control de Acceso basado en políticas de la organización Herramientas de diagnostico remoto. Los algoritmos de compresión optimizan el tráfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PC´s remotas. 8. Conclusión Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y practicamente se ha vuelto un tema importante en las organizaciones, debido a 2


que reduce significativamente el costo de la trasnferencia de datos de un lugar a otro, el unico inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las polĂ­ticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias. Figura 5 9. BibliografĂ­a Internet http://www.entarasys.com/la http://www.cisco.com/warp/public/44/solutions/network/vpn.shtml

3


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.