• No se han encontrado resultados

Propuesta de soluciones de seguridad para la red de datos de la universidad surcolombiana (USCO)

N/A
N/A
Protected

Academic year: 2020

Share "Propuesta de soluciones de seguridad para la red de datos de la universidad surcolombiana (USCO)"

Copied!
88
0
0

Texto completo

(1)FACULTAD DE INGENIERÍA ELÉCTRICA DEPARTAMENTO DE TELECOMUNICACIONES Y ELECTRÓNICA. TESIS DE MAESTRÍA. PROPUESTA DE SOLUCIONES DE SEGURIDAD PARA LA RED DE DATOS DE LA UNIVERSIDAD SURCOLOMBIANA (USCO). Autora: Ing. Arcelia Gutiérrez Méndez Tutor: MSc. Ramón Torres Rojas. Santa Clara 2010 "Año 51 de la Revolución".

(2) UNIVERSIDAD CENTRAL “MARTA ABREU” DE LAS VILLAS FACULTAD DE INGENIERÍA ELÉCTRICA DEPARTAMENTO DE TELECOMUNICACIONES Y ELECTRÓNICA. TESIS DE MAESTRÍA PROPUESTA DE SOLUCIONES DE SEGURIDAD PARA LA RED DE DATOS DE LA UNIVERSIDAD SURCOLOMBIANA (USCO). Autora: Ing. Arcelia Gutiérrez Méndez [email protected]. Tutor: MSc. Ramón Torres Rojas [email protected]. Santa Clara 2010 "Año 51 de la Revolución".

(3) DEDICATORIA. A Dios A la memoria de mi padre Pablo, quien me inculco el amor hacia el estudio, siempre está a mi lado y junto a mi amada Berenice me enseño el valor que tienen la vida, las personas y la familia. A Juliana Sofía, mi hija que con una sola sonrisa llena lo más profundo de mi ser y me motiva a seguir alcanzando lo propuesto. A Julián, mi esposo por su amor compañía y comprensión. A mis hermanos, quienes siempre han estado ahí fundamentando el significado valioso de esa palabra. A mis amigos de siempre de antes y después, de cerca y de lejos. A todos los que han estado a mi lado en algún momento de mi vida, gracias porque de ustedes he aprendido..

(4) AGRADECIMIENTOS. Expreso mis agradecimientos a todos aquellas personas que hicieron posible esta investigación, en especial: A mi tutor MSc. Ramón Torres Rojas por su continua colaboración y asesorías que me diera en Neiva y a distancia desde la Universidad Central las Villas de Cuba. A mi tutora de metodología de investigación Dra. Ileana Moreno Campdesuñer, por su compromiso, aportes y continúas asesorías. Al Ing. Gilberto Montealegre, director del Centro de las Tecnologías de la información y las comunicaciones de la Universidad Surcolombiana. Al Ing. Javier Gualteros Sánchez, responsable del proceso de Redes y Telecomunicaciones del Centro de las Tecnologías de la Información y las Comunicaciones de la Universidad Surcolombiana, quien me brindo la información y asesoría necesarias..

(5) TAREA TÉCNICA. 1. Estudiar y describir los principios de seguridad informática con vistas al desarrollo de una propuesta de seguridad aplicada al entorno informático de la Universidad Surcolombiana. 2. Caracterizar la infraestructura actual de red y servicios de la USCO determinando las deficiencias, que serán erradicadas en la propuesta. 3. Analizar y estudiar las técnicas y herramientas que sobresalen, dado el estado del arte actual en el desarrollo de soluciones de seguridad. 4. Realizar una propuesta de soluciones de seguridad para la red de datos de la USCO.. Firma del Autor. Firma del Tutor.

(6) RESUMEN. El presente trabajo trata sobre una propuesta de seguridad aplicada al entorno de la infraestructura de red y servicios informáticos de la Universidad Surcolombiana (USCO). En él se recoge un enunciado de los principios determinantes de la seguridad informática, un estudio de las técnicas fundamentales y protocolos de seguridad. Se realiza una caracterización de los entornos de red de la USCO, debilidades infraestructurales y posibilidades para un posible mejoramiento del sistema de seguridad. Se presentan herramientas de software con diseño y prestaciones en el campo de la seguridad. Por último se realiza una propuesta de mejoras para el sistema de seguridad, desde la propia arquitectura de red hasta los servicios de las perspectivas de lado del usuario y de los administradores de red. En esta propuesta se tendrán en cuenta las herramientas de software, previamente probadas sobre recreaciones sencillas de entornos a los que se podrían aplicar..

(7) TABLA DE CONTENIDOS. RESUMEN ............................................................................................................................vi INTRODUCCIÓN .................................................................................................................. 1 Objetivo General ................................................................................................................. 2 Objetivos Específicos ......................................................................................................... 3 Hipótesis de Investigación .................................................................................................. 3 Estructura del Documento .................................................................................................. 3 CAPÍTULO 1. 1.1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES ...... 5. Definición de seguridad informática ........................................................................ 5. 1.1.1. Normas y estándares relacionados con la seguridad en redes .......................... 6. 1.1.2. Vulnerabilidades en redes ................................................................................. 8. 1.2. Amenazas de seguridad ............................................................................................ 9. 1.2.1. Amenazas naturales .......................................................................................... 9. 1.2.2. Amenazas lógicas ............................................................................................. 9. 1.3. Principales ataques a redes de datos....................................................................... 11. 1.3.1. Denegación de Servicio (DoS) ....................................................................... 11. 1.3.2. Suplantación de identidad ............................................................................... 11. 1.3.3. Escaneo de puertos.......................................................................................... 11. 1.3.4. Interceptación.................................................................................................. 12.

(8) 1.3.5. Ingeniería social .............................................................................................. 12. 1.3.6. Basurero .......................................................................................................... 12. 1.4. Herramientas de seguridad en redes ....................................................................... 12. 1.4.1 Herramientas de seguridad propietarias ............................................................... 13 1.4.2 Herramientas de seguridad de código abierto ...................................................... 13 1.4. Criptografía como base matemática de los sistemas de seguridad ........................ 14. 1.5. Protocolos de seguridad en redes ........................................................................... 14. Conclusiones del Capítulo 1 ............................................................................................. 17 CAPÍTULO 2.. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES . 18. 2.1. Valoración de la infraestructura actual de la red .................................................... 18. 2.2. Topología, conectividad y arquitectura .................................................................. 19. 2.2.1. Equipos activos en la red de la sede central .................................................... 20. 2.2.2. Equipos activos en la red de la Facultad de Salud .......................................... 21. 2.3. Valoración de la infraestructura de servicio de Internet ........................................ 22. 2.4. Análisis del servicio de RAS.................................................................................. 24. 2.5. Caracterización de los servidores que posee la universidad .................................. 24. 2.6. Medición del tráfico de Internet ............................................................................. 26. 2.7. Sistemas de Detección de Intrusos ......................................................................... 27. 2.7.1. Seguridad de los sistemas de detección de intrusos ........................................ 29. 2.7.2. Limitaciones en los sistemas de detección de intrusos en la red .................... 30. 2.8. Infraestructura de seguridad ................................................................................... 30. 2.8.1 2.9 2.10. Infraestructura de Llave Pública ..................................................................... 30. Muros de contención o firewall.............................................................................. 31 Escáner de vulnerabilidades ............................................................................... 32.

(9) 2.10.1 Nessus ............................................................................................................... 32 2.11. Herramientas para redes inalámbricas ................................................................ 33. 2.11.1 Kismet ............................................................................................................... 33 2.11.2 Aircrack ............................................................................................................ 33 2.12. Tripwire .............................................................................................................. 34. 2.13. Kerberos ............................................................................................................. 34. 2.13.1 Problemas de Kerberos ..................................................................................... 35 2.14. Certificados digitales .......................................................................................... 35. 2.14.1 Validez de los certificados digitales ................................................................. 37 2.14.2 Emisión de certificados digitales ...................................................................... 38 2.14.3 Tipos de certificados ......................................................................................... 39 2.15. SSL/TLS ............................................................................................................. 40. 2.15.1 Protocolos de SSL ............................................................................................. 41 2.15.2 Ventajas de SSL ................................................................................................ 43 2.15.3 Limitaciones y problemas de SSL .................................................................... 43 2.16. Secure Shell ........................................................................................................ 44. 2.17. IPSec ................................................................................................................... 44. 2.18. Redes Privadas Virtuales .................................................................................... 45. 2.18.1 Ventajas de las VPNs ........................................................................................ 45 2.18.2 Posibles inconvenientes de las VPNs ............................................................... 46 Conclusiones del Capítulo 2 ............................................................................................. 46 CAPÍTULO 3. 3.1. PROPUESTAS DE SEGURIDAD PARA LA RED DE LA USCO ...... 47. Arquitectura de la red propuesta como infraestructura tecnológica para el soporte. de las nuevas soluciones de seguridad .............................................................................. 47 3.1.1. Equipamiento .................................................................................................. 48.

(10) 3.2. Soluciones de seguridad basados en la nueva infraestructura ................................ 50. 3.3. Seguridad para accesos inalámbricos ..................................................................... 50. 3.3.1 3.4. WPA/RSN ...................................................... ¡Error! Marcador no definido.. Servidor de autenticación ....................................................................................... 51. 3.4.1. Servidor Samba ............................................................................................... 52. 3.4.2 Servidor FreeRADIUS ......................................................................................... 52 3.5. Descripción de los roles de los nuevos servidores ................................................. 53. 3.6. Propuestas de seguridad para los sistemas operativos de la red ............................. 53. 3.6.1. Windows Server Update Services ................................................................... 54. 3.6.2. Configurar actualizaciones automáticas ......................................................... 54. 3.6.3. Configuración de clientes WSUS ................................................................... 55. 3.7. Auditoría de seguridad ........................................................................................... 56. 3.8. Arquitectura de servicios enfocada a la seguridad ................................................. 57. 3.9. Arquitectura general de seguridad ......................................................................... 57. 3.9.1. Instalación y configuración del Sistema de Detección ................................... 57. 3.9.2. Instalación y Configuración del Sistema Gestor de Base de Datos ................ 59. Conclusiones del capítulo 3 .............................................................................................. 64 CONCLUSIONES Y RECOMENDACIONES ................................................................... 65 Conclusiones ..................................................................................................................... 65 Recomendaciones ............................................................................................................. 66 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 67 GLOSARIO .......................................................................................................................... 72 ANEXOS .............................................................................................................................. 75 Anexo I: Diagrama del proceso de investigación. ............................................................ 75.

(11) Anexo II: Asignación de puertos en la red LAN. ............................................................. 76.

(12) INTRODUCCIÓN. 1. INTRODUCCIÓN. En la medida que las organizaciones se han hecho más dependientes de los sistemas de información, comunicaciones y telecomunicaciones, surge la necesidad de verificar que estos funcionan correctamente. La seguridad de las redes de computadoras constituye una de las direcciones de investigación más importantes en la actualidad a nivel mundial. El vertiginoso desarrollo dado por los avances en diversas ramas como la electrónica y la utilización de nuevos medios de transmisión han diversificado el uso de estas y convertido en medio esencial para el correcto funcionamiento de las sociedades modernas. Una investigación realizada por el Instituto de Seguridad Computacional (CSI) muestra las flaquezas y debilidades. El 90% de los encuestados, en su gran mayoría corporaciones con más de 5000 empleados y agencias del gobierno norteamericano, han detectado vulnerabilidades de seguridad informática. El 34% ha reportado intrusos frente a las autoridades legales constituidas. El 78% ha detectado abusos de sus empleados en el uso de Internet, por ejemplo: descarga de pornografía, software pirata o uso inapropiado de sistemas de correo electrónico. El 85 % ha detectado virus de computadores. Se trata de cifras que despiertan inquietud y aunque no correspondan a la situación de Colombia. Se desconocen estadísticas y datos referenciales sobre la realidad colombiana, que sirvan como elemento probatorio para mover a los sectores empresarial, público y privado, hacia emprender acciones en conjunto con objetivos comunes. Se saben indicios que indican que la seguridad informática en muchos entornos de Colombia tiene grandes dificultades. Los sistemas de administración de seguridad existentes son débiles e ineficientes. Desde la inteligencia corporativa, falta planificación para el desarrollo e implementación de programas estratégicos de seguridad que protejan y garanticen los recursos informáticos frente a las amenazas del entorno actual..

(13) INTRODUCCIÓN. 2. Existen técnicas para la identificación del estado de un entorno informático para así diagnosticar falencias y sugerir soluciones integrales. Estas soluciones proporcionarían métodos seguros a acciones cotidianas inseguras, es decir, implicarían a los protagonistas del proceso informático que son, desde los usuarios normales hasta los usuarios más especializados con niveles de responsabilidad alto y privilegios dentro del sistema, en buenas prácticas de manejo y gestión de los Sistemas de Información y Tecnologías de Información. La Universidad Surcolombiana USCO de la ciudad de Neiva, es la única Universidad oficial del departamento del Huila, por la calidad de sus programas llegan estudiantes de otros departamentos y países. Se ha visto envuelta en los últimos años en procesos de expansión y modernización tecnológica de la red de computadoras. El número de ordenadores destinados a la enseñanza ha crecido, lo cual no se ha tenido en cuenta para un estudio técnico-administrativo que determine cuáles son las falencias presentadas y, que sugiera soluciones que mejoren la seguridad de la red. La perspectiva del trabajo será teórico práctico, con un componente de tipo cualitativo ajustado en la búsqueda del conocimiento de conceptos y principios del saber, y en el tratamiento de los SI y TI en el conocimiento del proceso saber – hacer de la propuesta. Luego, se hará énfasis en una propuesta de soluciones de seguridad para la red de datos de la Universidad Surcolombiana, con tal de establecer directrices de seguridad aplicables, claras, expresas y exigibles a la comunidad educativa; que respondan a la necesidad existente: la falta de un ambiente de control y seguridad informática en la red de datos. Pero ¿cuál es la mejor manera de responder a la necesidad de seguridad existente en la red de datos de la Universidad Surcolombiana USCO? Objetivo General Establecer una propuesta de soluciones de seguridad para la red de datos de la Universidad Surcolombiana USCO de Neiva – Huila (Colombia)..

(14) INTRODUCCIÓN. 3. Objetivos Específicos . Fundamentar un estudio del estado actual de la seguridad que ofrece la red de la Universidad (Internet e Intranet).. . Caracterizar las necesidades de seguridad existentes, así como su relación con las tecnologías y herramientas disponibles que están a la vanguardia del tema.. . Determinar el conjunto de tecnologías y herramientas que ofrezcan las soluciones de seguridad e integración necesarias.. . Diseñar la propuesta a partir de los resultados obtenidos en el estudio y la caracterización de necesidades existentes.. Hipótesis de Investigación La red de datos de la USCO presenta importantes vulnerabilidades que pueden ser determinadas y abordadas a partir de un estudio apropiado de la infraestructura de red y de servicios. Estructura del Documento Este documento está estructurado en Introducción, tres capítulos, Conclusiones, Recomendaciones y Anexos. El Capítulo 1, “Fundamentos Teóricos sobre Seguridad en Redes”, aborda los servicios básicos de seguridad, el modo general de su implementación, las técnicas criptográficas, los ataques y su clasificación. Se hace una caracterización general de herramientas de seguridad. El Capítulo 2, “Tecnologías Globales para la Seguridad en Redes”, contiene la caracterización de la las infraestructuras de red y de servicios de la USCO. Además aborda las tecnologías y herramientas específicas, así como su empleo en las soluciones actuales. En el Capítulo 3, “Propuesta de Seguridad para la Red de la USCO”, contiene las propuestas realizadas desde la propia modificación de la infraestructura de red, hasta los servicios, del lado del usuario y de del lado de los administradores de red..

(15) INTRODUCCIÓN. Por último se incluyen las conclusiones finales y recomendaciones para trabajos futuros.. 4.

(16) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 5. CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. En este capítulo se hace un análisis sobre los principios de la seguridad en redes de datos. 1.1. Definición de seguridad informática. Existen muchos autores que han hecho referencias al valor e importancia de la información en el entorno; en [Rubio, 2005, p. 1] se señala: (…) La información es un recurso o activo que, como otros recursos importantes del negocio, es esencial a una organización y a su operación y por consiguiente necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado (…) La Seguridad de la Información es el conjunto de metodologías, prácticas y procedimientos que buscan proteger la información como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que está expuesta, a efectos de asegurar la continuidad de los procesos, minimizar los daños a la organización y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo, de proteger la identidad y la privacidad. [Torres, 2004] El diseño de una solución de seguridad depende de cómo se lleven a la práctica los servicios fundamentales de identificación, autorización, autenticación, no repudio, integridad y confidencialidad. Identificación es el proceso en el cual se reconoce un elemento. De la misma forma que se identifican las personas, determinada información única es asociada con la entidad capaz de.

(17) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 6. reproducirla. Idealmente, dicha información debe representarse de manera que no pueda ser capturada por un espía. La autenticación trata sobre validar identificaciones; es la garantía para una entidad de que otra es quien dice ser. Identificación y autentificación son diferentes. La identificación requiere que el verificador compruebe la información presentada contra todas las entidades que conoce y solo involucra un elemento a la vez en el proceso. Mientras, la autenticación es para el chequeo de una entidad previamente identificada, la cual no tiene que implicar solo un componente. Esto da paso a una propiedad interesante que consiste en ocultar la identidad: la privacidad. Cuando una persona se autentifica con un sistema, no tiene que decir quién es. La autorización es el proceso de determinar qué está permitido hacer. Depende de la autenticación y posiblemente de la identificación, en conjunto con una regla para determinar si se permite el acceso a funciones y recursos dentro del sistema. El no repudio se refiere a que las entidades permanezcan honestas ante sus acciones, o sea, asegura que no puedan negar su participación en las operaciones en que realmente se vieron implicadas. Requiere de otros servicios adicionales para su implementación. La integridad es la garantía de que los datos no han sido alterados en la comunicación o con el transcurso del tiempo, ya haya ocurrido ex profeso o involuntariamente. Confidencialidad se refiere a que nadie, con la excepción de los autorizados, pueda leer determinada información. [Orozco, 2008, p. 3-4] 1.1.1 Normas y estándares relacionados con la seguridad en redes Las normas de seguridad para las comunicaciones inalámbricas están descritas en los estándares IEEE (Institute of Electrical and Electronics Engineers) 802.11x, este es de gran importancia pues está dirigido a combatir las vulnerabilidades actuales en la seguridad para protocolos de autenticación y de codificación en estas redes. El estándar abarca los protocolos 802.1x, TKIP (Protocolo de Claves Integra – Seguras – Temporales) y AES. Se implementa en WPA (Wi-Fi Protected Access). Apoyadas en las RFC y en muchas de estas normas surge el estándar para la seguridad de la información ISO/IEC 27001, donde se especifica los requisitos necesarios para establecer,.

(18) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 7. implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el Ciclo de Deming. Fue aprobado y publicado como estándar internacional en Octubre de 2005 por la International Organization for Standardization y por la International Electrotechnical Comisión, aunque en realidad le precede una historia evolutiva (ver Ilustración 1.1).. Ilustración 1.1 Historia y evolución de ISO 27001.. La implantación de ISO/IEC 27001 en una organización es un proyecto que depende del grado de madurez en seguridad de la información y debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI. En general, es recomendable la ayuda de consultores externos especializados. La certificación de un SGSI es un proceso en el que una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y en caso positivo, emite el correspondiente certificado. El proceso de gestión de seguridad informática es el siguiente:.

(19) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 8. Ilustración 1.2 Ciclo PHVA.. 1.1.2 Vulnerabilidades en redes La primera y más importante regla en redes de telecomunicaciones es tener claramente establecido el perímetro de seguridad que aísla la red interna de la externa. Existen tres zonas que han de estar muy bien delimitadas: Intranet es la red interna privada y segura de una empresa, utilice o no medios de transporte de terceros; Zona desmilitarizada o DMZ es el perímetro de seguridad que conecta la red interna a una red externa, solo deja pasar el trafico legítimo; Internet es la red de redes, metared a donde se conecta cualquier red que se desee abrir al exterior, de alcance mundial, publica e insegura. [Cole, Krutz y Conley, 2005] Las políticas de protección en redes de telecomunicaciones se determinan en dos grupos: Paranoicas cuando absolutamente todo está prohibido, requiriéndose de una autorización específica para cada servicio, y las Promiscuas cuando todo está autorizado [González, 2010]. Todos los Sistemas de comunicación, desde el punto de vista de auditoría, presentan en general una problemática común: la información transita por, y es accesible desde, lugares físicamente alejados de las personas responsables. Esto presupone un compromiso en la seguridad, ya que no existen procedimientos físicos para garantizar la inviolabilidad de la información. Y un compromiso en la disponibilidad, pues un fallo en comunicaciones impide dar el servicio. [Northcutt et al., 2008].

(20) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 1.2. 9. Amenazas de seguridad. Una red de datos siempre se ve amenazada; entre los elementos que atentan contra su seguridad se pueden mencionar: las acciones de individuos mal intencionados, catástrofes naturales, programas malignos, por solo mencionar algunos. Las amenazas se pueden agrupar en dos grandes grupos: amenazas naturales y amenazas lógicas. 1.2.1 Amenazas naturales Las amenazas naturales atentan contra la seguridad física de la red, este tipo de amenazas se pueden considerar catástrofes; pueden ser terremotos, maremotos, inundaciones, incendios, descargas eléctricas, por solo mencionar algunas. Estas amenazas generalmente se conocen con anterioridad, por lo que se toman medidas para prevenir los daños. Siempre deben existir copias de seguridad en lugares mejor protegidos físicamente para que cualquier imprevisto no sea sorpresa. El uso de tecnología RAID (Redundant Array of Independent Disks) además de proveer mejor desempeño es una buena opción para mantener el sistema tolerante a fallos y prácticamente libre de pérdida de información [Photopoulos, 2008]. Hay medidas que pueden ser tomadas en ausencia de estas catástrofes, un buen aterramiento para el caso de las descargas eléctricas, alarmas de temperaturas que ayudan a prevenir incendios, así como un plan de acción pre elaborado para actuar ante cualquier contingencia de este tipo. Se puede señalar que la seguridad física no solo se ve amenazada por la naturaleza, la acción malévola del hombre también puede ser una seria amenaza; no hacemos nada con tener los mejores antivirus, firewalls, software de protección si una persona tiene acceso físico a los recursos de la red y puede dañarlos físicamente o simplemente robarse los mismos. Por eso muchas veces los peores ataques que sufre una entidad son los realizados por personal interno que conoce la estructura y tiene acceso a recursos. [Harris, Harper, Eagle y Ness, 2008] 1.2.2 Amenazas lógicas Todo programa que atente contra un sistema puede ser considerado como una amenaza lógica tales como virus, gusanos, bombas lógicas, caballos de Troya, spyware, spam, puertas traseras e incluso herramientas de seguridad si se usan con malos fines..

(21) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 10. Los mensajes spam o correos no deseados desordenan el buzón de entrada de los usuarios, consumen recursos de red, favoecen ataques de DoS (Denial of Service), extienden malware, etc. En [Dhinakaran, Nagamalai y Lee, 2007] se ayuda a entender mejor los rasgos del spam y de las vulnerabilidades de las cuentas de correo. Una puerta trasera, también conocida como una puerta secreta, existe cuando hay un punto de entrada secreto en un programa que permite a un usuario, que es consciente del mismo o tiene conocimientos de programación, ganar el acceso evadiendo los procedimientos de seguridad habituales. Muchas veces por problemas de cuestiones económicas programadores dejan backdoors en la realización de software para después cobrar por parches, actualizaciones o simplemente para tener acceso y control futuro sobre la aplicación. Los bugs son más difíciles de identificar en la mayoría de las ocasiones. Cuando un software recopila información del usuario y la envía a un sitio central es un Spyware. El popular programa de música compartida Kazaa viene en su versión original con un Spyware adjunto, cuando el usuario está de acuerdo con la licencia e instala el programa se instala el Spyware y envía información al sitio central. Dentro de los tipos de programas de amenazas más antiguos que existen se encuentran las bombas lógicas, que se ejecutan cuando ciertas condiciones (presencia o ausencia de un archivo, una fecha) están creadas. Una vez ejecutadas pueden cambiar o suprimir archivos enteros, causar interrupciones u otro daño. [Ribagorda, 2008] La mayoría de los expertos concuerdan en que un troyano es un programa que demanda desarrollar alguna deseable o necesaria función que de hacerlo o no despliega una o varias funciones las cuales no son esperadas por el usuario. Si un código es escrito con la intención de adjuntarse, generalmente es un virus, además se adhiere a sí mismo a un programa o archivo para propagarse de un equipo a otro. Va infectando a medida que se transmite y puede dañar el software, hardware y la información. Al igual que un virus, un gusano está diseñado para propagarse de un equipo a otro, pero automáticamente sin la intervención del usuario distribuyendo copias completas y hasta modificadas de él mismo por las redes..

(22) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 1.3. 11. Principales ataques a redes de datos. Existen variedad de ataques, algunos pasivos que solo escuchan y monitorean tráfico en la red sin alterar la información y otros activos que sí alteran la información. A continuación se menciona algunos de estos ataques contra los cuales se lucha constantemente. 1.3.1 Denegación de Servicio (DoS) La seguridad está perdida si es negado el acceso a los datos o recursos autorizados. Cuando un atacante impide que el funcionamiento de un sistema sea normal, se considera un ataque de negación de servicio. Estos ataques muchas veces son difíciles de prevenir; cada computadora tiene dispositivos con límites de capacidad, un DoS pone estos dispositivos a su límite y hace que estos fallen, puede también que el dispositivo no llegue a fallar pero el usuario entonces no tendrá forma de acceder al mismo. También existen ataques de DDoS (Distributed Denial-of-Service) donde el atacante utiliza varias estaciones de trabajo en un momento dado para realizar unos ataques simultáneos. [Tilborg, 2005] 1.3.2 Suplantación de identidad Existen varios tipos de ataques spoffing como los de IP, ARP (Adress Resolution Protocol) y DNS (Domain Name System). En el spoffing IP el atacante sustituye la dirección de IP del remitente, o en algunos casos el destino, con una dirección diferente. El spoffing IP normalmente es usado para explotar un objetivo anfitrión, en otros casos, es usado para comenzar un ataque de negación de servicio. En el spoffing ARP el atacante sirve de puente entre las estaciones de trabajo por lo que es muy difícil de detectar. El spoffing DNS es usado en clientes de red que necesitan una dirección IP de un sistema remoto basada en sus nombres; aquí el atacante engaña la estación objetivo haciendo que se conecte a la suya. [Tilborg, 2005] 1.3.3 Escaneo de puertos Ports Scaning son programas que escanean la pila TCP/IP de las computadoras en busca de puertos que estén en el estado de escucha. TCP/IP combina varios protocolos; es una.

(23) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 12. arquitectura jerárquica que posibilita la comunicación entre los niveles, mediante un principio de servicio similar al del modelo OSI de 7 niveles. [Tanenbaum, 2002] 1.3.4 Interceptación Según [Torres, 2004] para la interceptación se utiliza un sniffer que captura paquetes que viajan sobre la red; estos contienen datos como pueden ser nombre de usuarios, contraseñas u otra información privada que viaja en texto plano. 1.3.5 Ingeniería social Los ataques de ingeniería social están basados en métodos para obtener información valiosa de un sistema a través de las personas. Generalmente el atacante conoce una pequeña porción de información para aprovecharse. [Mitnick y Simon, 2003] 1.3.6 Basurero A menudo los usuarios pocos experimentados en cuanto a la seguridad informática, dejan sus contraseñas escritas en libretas, papeles u otro lugar fácil de encontrar, estos papeles pueden contener este tipo de información, e incluso CDs que ya no consideran de relevancia. Aquí yace el ataque trashing (basurero), en el que los atacantes revisan en los cestos y basureros encontrando muchas veces información que les sirve después para iniciar otro tipo de ataque que si causará daños notables. 1.4. Herramientas de seguridad en redes. Las herramientas de seguridad de redes constituyen importantes instrumentos para lograr un sistema con un nivel de seguridad apropiado, estas proporcionan alternativas y configuraciones a implementar por parte de los administradores de sistemas. Unas son propietarias, pues requieren de remuneración para su uso; también llamadas herramientas comerciales. Otras son de código abierto y se autoriza su utilización sin costo alguno. Estas herramientas brindan al usuario múltiples servicios y configuraciones, proporcionadas en un solo paquete. Agrupan las capacidades de varias herramientas sencillas para lograr alta protección en la red. [Bryan et al., 2007].

(24) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 13. 1.4.1 Herramientas de seguridad propietarias Entre las herramientas que ofrecen una mayor integración en sus servicios se encuentran las desarrolladas por GFI. Esta es una empresa destacada desarrolladora de software que proporciona una única fuente para que los administradores dirijan sus necesidades en materia de seguridad de red, seguridad de contenido y mensajería. GFI adopta las nuevas tecnologías, por ejemplo: GFI MailEssentials fue el primer software anti-spam basado en servidor en incluir filtrado Bayesiano. GFI MailSecurity fue el primer software en abordar el problema de la seguridad del correo de forma más agresiva, mediante sus características de análisis de vulnerabilidades y control de Troyanos. GFI FAXmaker es el ejemplo con su perfecta integración con el correo y la red. GFI LANguard NSS se ha probado revolucionario en el mercado del análisis de seguridad. 1.4.2 Herramientas de seguridad de código abierto La Free Software Foundation, establece cuatro libertades a los usuarios del software: la libertad de usar el programa con cualquier propósito; de estudiar el funcionamiento del programa y adaptarlo a las necesidades; de distribuir copias, de mejorar el programa a partir de la disposición del código fuente y hacer estas mejoras de dominio público. Esto es considerado software libre. Existen una gran cantidad de herramientas de software libre que consiguen protección bajo la Licencia Pública General de GNU o GPL. Fue creada por la FSF a mediados de los „80 y está orientada principalmente a proteger la libre distribución, modificación y uso de software. Aunque muchas herramientas que forman parte de esta categoría no son verdaderamente libres pues no incluyen acceso al código fuente cercenando la libertad de modificación. [Clarke y Dhanjani, 2005] En este grupo se destaca un número significativo de productos como Nessus, Snort, Wireshark, BackTrack, etc. El gran número se debe precisamente al paradigma de desarrollo y no es sinónimo de mala calidad, al contrario, algunas de estas son líderes en las ramas de soluciones en las que se especializan [Archibald, Ramirez y Rathaus, 2005]..

(25) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 14. 1.4 Criptografía como base matemática de los sistemas de seguridad Los sistemas actuales para la comunicación en las redes utilizan la criptografía como base matemática que ha posibilitado la solución de la mayoría de los problemas de seguridad. Constituye la base de los protocolos y mecanismos de seguridad que existen en estos momentos. La criptografía se utiliza como base para comunicar información de forma segura ocultando su contenido, garantizando así el secreto en la comunicación, además de asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado o criptograma, no haya sido modificado en su tránsito. Una de las ramas de la criptografía más importante dada que busca asociar al emisor de un mensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo es el de la firma digital (ver Ilustración 1.2). [Lucena, 2008] 1. 2 Función hash. Remitente. 3 Resumen cifrado. Resumen. Mensaje en texto plano. Llave privada 6 Resumen. Comparación Destinatario. 4 Función hash Mensaje en texto plano. 7 5 Resumen. Resumen cifrado. Resumen cifrado. Llave pública. Ilustración 1.3 Procedimiento genérico de firma digital. Fuente: [Orozco, 2008, pp. 12]. 1.5 Protocolos de seguridad en redes Los estándares de seguridad proporcionan las normas fundamentales en cuanto a seguridad de redes y sistemas, estos consideran las relacionadas directamente con todo tipo de necesidades puntuales de seguridad para sistemas, protocolos de comunicación y herramientas de gestión concretas. Muchas de estas normas tienen su base en los documentos RFC, de acceso completamente gratuito y manejado por la Internet Engineering Task Force, como el organismo de desarrollo y creación de normas de facto para el entorno de redes IP a nivel mundial..

(26) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 15. Entre las más significativas se debe citar las normas IPSec, creadas por el IETF. Las IPSec son de gran importancia pues permiten una comunicación segura a través de redes inseguras, como Internet, estas hacen referencia a un conjunto de protocolos y su forma de uso obteniéndose de los documentos RFC 2401, 2402, 2406, 2407, 2408, 2409 y 2411 [Doraswamy y Harkins, 2003]. Algunas otras normativas patrocinadas por IETF relevantes son Kerberos cuyas cuatro primeras versiones fueron diseñadas e implementadas desde 1987 por el proyecto ATHENA del MIT (Masachusset Institute of Tecnology). Este protocolo y sistema de autenticación es muy utilizado en las redes, para la transmisión segura de correo electrónico es muy utilizado el protocolo PEM (Privacy Enhanced Mail) debido a que brinda servicios de mejora de la privacidad mediante el uso de criptografía de extremo a extremo entre procesos origen y destino en nivel de agente usuario (RFC 2630 y 2631). [Torres, 2004] Para el trabajo con correo electrónico cifrado es eficiente el protocolo PGP (Pretty Good Privacy), su versión estándar proviene de un sistema criptográfico y protocolo desarrollados por Phil Zimmerman en 1991 versión estándar [Callas, Donnerhacke, Finney, Shaw, & Thayer, 2007]. En las transacciones HTTP seguras por Internet (RFC 2660) se utiliza HTTPS, por sus siglas en inglés Hypertext Transfer Protocol Secure. Este protocolo proporciona servicios de seguridad aplicables de manera independiente para la confidencialidad, autenticidad, integración y no repudio del origen; además ofrece la máxima flexibilidad en la elección de los mecanismos de administración de claves, políticas de seguridad y algoritmos criptográficos, mediante la negociación de opciones entre los participantes de cada transacción. En cuanto a mensajes que pasan a través de cortafuegos el sistema de seguridad SOCKS es muy útil (RFC 1928, 1929 y 1961). Dentro de las aplicaciones criptográficas son muy importantes las normas PKCS (Public Key Cryptographic Standards), desarrolladas por RSA Labs, en cooperación con un consorcio informal con la participación de Apple, Microsoft, DEC, Sun y el MIT. Esta serie de normas son utilizadas para la creación y gestión de infraestructuras de clave pública y para el uso de claves digitales públicas y privadas para protección de datos. Relacionada.

(27) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 16. con las normas PKCS existe otro conjunto de normas recogidas en el ISO/IEC JTC1/SC27, cada vez más utilizadas en cualquier entorno en el que se haga necesario el uso de autenticación mediante certificados digitales [Orozco, 2008]. Relacionado con este último apartado aparece el estándar X.509 o Directory Authentication Framework, originalmente desarrollado por la ITU-T, hoy es una norma patrocinada por la ISO y con múltiples RFC del IETF. Su importancia viene dada debido a que es fundamental para la creación, administración segura y mantenimiento correcto de cualquier infraestructura de autenticación de clave pública, definiendo cómo debe estar estructurado un certificado digital [UIT-T, 2008]. Otra norma técnica, importantísima por la constante aparición en sistemas de comercio electrónico y en redes privadas virtuales es el protocolo SSL (Secure Sockets Layer). Un grupo de normas cruciales para el correcto funcionamiento de muchos de los sistemas citados es el que hace referencia a los algoritmos criptográficos simétricos, fundamentales para el mantenimiento de la privacidad de datos en disco y de mensajes por redes. Uno de ellos que ha sido y es uno de los algoritmos más utilizados de los últimos 25 años es el DES, normalizado por el NIST (National Institute of Standards and Technology) de Estados Unidos. Como durante los últimos años se ha demostrado su debilidad en una serie de circunstancias, el propio NIST ha buscado en un proceso abierto su sustitución por AES (Advanced Encryption Standard). Aprobado recientemente como el algoritmo de cifrado simétrico recomendado por el Gobierno de Estados Unidos. Su base es el algoritmo de Rijndael [Orozco, 2008, pp. 41]. En cuanto a firma digital, se encuentran las normas RSA. Aparecen además las normas DSS/DSA (Digital Signature Standard/Digital Signature Algorithm), desarrolladas por el NIST y de obligado cumplimiento para actividades del Gobierno Federal de Estados Unidos. En la seguridad relacionada específicamente con el World Wide Web, se destacan las de especificación XML (Extensible Markup Language) que permite que un cliente obtenga información clave (valores, certificados, datos de administración, entre otras) de un servicio Web, como las normas XKMS (XML Key Management Specification). Además se encuentran las que especifican el uso de la sintaxis XML para representar una firma digital,.

(28) CAPÍTULO 1. FUNDAMENTOS TEÓRICOS SOBRE SEGURIDAD EN REDES. 17. estas son las normas XMLDSIG (XML Digital Signature). En este entorno Web, son reseñables los estándares SAML (Security Assertion Markup Language), basados en XML para servicios Web que permite el intercambio de información de autenticación y de autorización entre participantes [Orozco, 2008, pp. 17]. Conclusiones del Capítulo 1 Hasta este punto se han organizado los fundamentos sobre seguridad necesarios para continuar con el desarrollo más profundo, en los próximos capítulos. Se han enunciado los ataques y amenazas que justifican la realización de este trabajo..

(29) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 18. CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. En este capítulo se dará un completo análisis de la infraestructura actual, para identificar los diferentes elementos, servicios y aplicaciones de la red de los sistemas de información de la USCO. Esto permitirá realizar una valoración de la infraestructura existente en cuanto a revisión, análisis y reconocimiento del sistema de cableado estructurado del campus y sus sedes además del análisis de la actual topología, conectividad y arquitectura de la red LAN y WAN. La seguridad informática es un tema muy amplio, por ende las tecnologías para ello también, por lo cual este trabajo se centrará en algunos protocolos y mecanismos de seguridad. 2.1. Valoración de la infraestructura actual de la red. La Universidad Surcolombiana tiene una población educativa de más de 6000 personas entre estudiantes y administrativos, cuenta con una capacidad de acceso a la red LAN de más de 900 puntos interconectados a través de enlaces de fibra óptica entre sus diferentes edificios y enlace metropolitano de microondas con la Facultad de Salud. La USCO cuenta con un grupo de servidores aplicativos y de contenidos para la operación de la red, servicios de Internet para usuarios internos y externos, y además cuenta con un enlace de Internet de 2Mbps full duplex banda ancha sin rehúso, entregado en su última milla. Este equipamiento se adquirió hace más de siete años momento en el cual fue una excelente infraestructura de red, por esto se hace necesaria una actualización y una nueva estructura en los servicios y recursos de la red de datos. Tomando como guía modelo OSI y TCP-IP se empezará a desglosar la red desde el nivel físico hasta llegar a las aplicaciones con las cuales funcionan los diferentes servicios..

(30) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 2.2. 19. Topología, conectividad y arquitectura. La universidad cuenta con una topología tipo estrella basada en cableado estructurado. La concentración y configuración geográfica se muestra en la Ilustración 2.1. La sede central, donde se concentran los equipos más importantes para el funcionamiento de la red de datos, está compuesta por el NOC (Network Operation Center) el cual también es denominado USCONET. Este está localizado en el edificio de ingeniería, tercer piso, que es estructura central del sistema de información de teleinformática. Sobre el mismo edificio se tiene la torre de telecomunicaciones en la cual se reciben los accesos de última milla para Internet y la conexión con la facultad de salud. Desde este nodo salen en topología estrella tres enlaces en fibra óptica del tipo multimodal (62,5/125uM) con capacidad de seis hilos a los tres armarios localizados en los edificios de vicerrectoría académica (segundo piso), biblioteca general (tercer piso) y edificio central; de los cuales están en funcionamiento dos hilos ópticos (Tx/Rx) respectivamente quedando cuatro disponibles para futuras ampliaciones.. Ilustración 2.1. Topología actual de la red de la USCO.. En los centros de cableado existentes se han implementado racks de 19 pulgadas cerrados y protegidos. En el caso de la biblioteca se desarrolló un centro de cableado en un cuarto cerrado configurando un rack abierto con una versatilidad mayor. Además desde estos centros se inician las rutas del segmento horizontal tanto en los servicios de datos como eléctricos, se debe resaltar que no se cuenta con unidad de regulación ni de respaldos a.

(31) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 20. nivel de UPS básicas para la alimentación de los equipos activos. Como se puede observar en la Ilustración 2.2, el estado del sistema de conexión a nivel de Instalación Intermedia de Distribución o patch panels está en malas condiciones ya que los cables presentan un mal trato por su uso de muchos años, además no se tiene una marcación definida. En la red de la universidad se encuentran equipos adquiridos desde los inicios del montaje de la red, equipos de marca tales como Cabletron, Sistems y 3Com, los cuales aún se encuentran en estado de operación. 2.2.1 Equipos activos en la red de la sede central La configuración de la red de la universidad está basada en un core HUB en fibra óptica de 3Com modelo 3300FX, conectado a nivel de UTP de forma que constituye el backbone primario de la red mediante el Switch 4400. La red está interconectada en fibra óptica con los edificios y centros de cableado ubicados en el bloque central, biblioteca y vicerrectoría académica, pero el core Switch 4400 actúa como el segmento primario o segmento core, del cual se desprenden conexiones al router Cisco 40001 (ver Anexo III), a unos servidores de aplicación y de Internet. El router Cisco 4000 es el encargado de enviar la información a los diferentes segmentos de red, enlazando el core Switch 4400 que actúa como segmento core, y éste a su vez se encarga de enlazar la red LAN. Además este router es el encargado de enlazar la Facultad de Salud a través de su WAN hacia un radio que direcciona la red a la antena, y ésta a su vez mediante enlace microondas conecta la otra sede. En la Ilustración 2.4 se observa que la topología de la red abarca hasta un tercer nivel de segmentación mediante la conexión en cascada de los HUB existentes. La conexión de fibra óptica cuenta con una velocidad de interconexión de 100Mbps según el estándar de 100FX de la IEEE 802.3. Como se puede observar en la figura, la red está. 1. Las arquitecturas de hardware enunciadas de Cisco y HP fueron directamente abordadas desde Internet. No. se referencian en el texto para no empobrecer la apariencia, dada la aplicación de norma Harvard; no obstante aparecen en la sección de Referencias Bibliográficas. De igual forma se hizo con el resto de la información consultada en el internet..

(32) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 21. conformada principalmente por HUBs sin ninguna clase de segmentación, por lo cual en la actualidad existe un gran número de colisiones considerando el número de usuarios que se interconectan a ella (ver Ilustración 2.2). Esto permite que los usuarios tengan acceso fácilmente a toda la información en el dominio de colisión, gracias al principio de difusión de los HUBs.. Ilustración 2.2 Diagrama de equipos activos en la sede principal.. 2.2.2 Equipos activos en la red de la Facultad de Salud Como se mencionó anteriormente, la Facultad de Salud se comunica con la sede central mediante un enlace metropolitano de microondas. Sobre el edificio del nodo USCONET se tiene la torre de telecomunicaciones en la cual se reciben los accesos de última milla para la sede central y la Facultad de Salud. Como se puede observar en la Ilustración 2.3, la red LAN de la facultad de salud está configurada en topología tipo estrella con equipos del tipo Hub Cabletron 100BaseT [Wikipedia, 2010], con una conexión de cableado estructurado entre el edificio principal y la sede de Psicología (La Casita) en UTP al igual que con la biblioteca, y la conexión con el.

(33) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 22. edificio de salud se hace mediante fibra óptica multimodo de 6 hilos por estar a una distancia aproximada de 200 metros.. Ilustración 2.3 Diagramas de equipos activos en la Facultad de Salud.. 2.3. Valoración de la infraestructura de servicio de Internet. La topología es estrella y está implementada bajo los HUB y el core Switch 3Com 4400. De aquí también se interconectan los servicios de Internet de entrada y salida, así como los servicios que interconectan la red LAN de la facultad de salud (ver Ilustración 2.4).. Ilustración 2.4 Enrutamiento y Backbone del servicio de Internet..

(34) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 23. El servicio de internet es proveído a la universidad por un operador EQUANT. Se soporta a través de un enlace que interconecta el NAP internacional de la Cámara Colombiana de Informática y Telecomunicaciones (CCIT) o NAP Colombia y la red Internet. El enlace es sobre una red nacional de fibra óptica y de microondas de alta disponibilidad a Neiva, vía Internexa y ETB. Las características del enlace de Internet son: Ancho de banda. 2048kbps. Tipo de trafico. Full duplex. Nivel de rehúso. 1:1 (no tiene rehúso). Simetría. simétrico 1:1. Última milla. Enlace PDH con radios Nokia en la banda de 15 Ghz. IP publicas. Dos segmentos de 254 mascaras de subred. Para realizar la conexión de la red WAN con la LAN se utiliza un radio NOKIA. A la salida del radio se conecta un convertidor de interface tipo RAD G. 703 a V. 35 para poder interconectar las dos salidas, entre el radio y el router Cisco 4000, el cual está configurado con dos módulos WAN cada uno de 4 puertos del tipo V. 35 y un módulo LAN de dos puertos LAN interface IEEE802.3 con salida 10BaseT. El router está programado con dos segmentos WAN Y LAN independientes los cuales se interconectan al core Switch 3Com 4400. Este permite interconectar los servidores de dominio DNS, de autenticación y demás servidores para la correcta navegación. Además de aquí se realiza la conexión con el HUB óptico 3300FX, que a su vez interconecta toda la intranet de la universidad como se mencionó anteriormente. El Switch 3Com 4400 también está encargado de interconectar el servidor RAS el cual es el encargado de prestar el servicio de acceso a Internet vía telefónica. El esquema de interconexión es el de la Ilustración 2.5..

(35) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 24. Ilustración 2.5 Interconexión de los segmentos de red.. 2.4. Análisis del servicio de RAS. Para prestar el servicio de acceso a Internet se ha implementado un servidor RAS modelo MAX, fabricado por ASCEND – LUCENT. Este se encarga de interconectar vía enlace telefónico o dial-up a los estudiantes y personal académico desde la casa mediante marcación telefónica y bajo tarifa telefónica reducida. El servidor RAS está configurado con 4 puertos E1, conectados actualmente, dos mediante enlaces de última milla bajo HDSL vía par dedicado proveído por Telecom-Neiva. Gracias a los dos enlaces E1 existentes es posible recibir simultáneamente a 60 usuarios remotos, que entran a la red y por validación se les presta la interconexión a Internet (ver Anexo III). 2.5. Caracterización de los servidores que posee la universidad. Los servidores que se analizaran en primer lugar son los encargados del direccionamiento y enrutamiento de navegación a Internet y se dividen en funciones de la siguiente forma: El Proxy1 es un servidor está implementado bajo plataforma operativa Linux Red Hat con características en hardware, procesador Pentium II, RAM de 512MB, disco de 80GB a 4500rpm y puede gestionar la navegación de más de 500 usuarios. Su dirección IP real es 206.49.38.13..

(36) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 25. El Proxy2 está implementado bajo plataforma operativa Linux Red Hat, con procesador Pentium III, RAM de 256MB, disco de 40GB a 4500rpm y puede gestionar la navegación a más de 60 usuarios. Su dirección IP real es 206.49.38.27. El Proxy3 está implementado bajo plataforma operativa Linux Red Hat, con procesador Pentium II, RAM de 512MB, disco de 80GB a 4500rpm y gestiona la navegación de más de 100 usuarios. Su dirección IP real es 206.49.38.28. La distribución de usuarios por servidor proxy responde únicamente a elementos organizacionales, no a elementos teóricos de tráfico ni rendimiento, capacidad o políticas específicas. Por otra parte los servidores de aplicación soportan los sistemas de información. Entre estos está el servidor Opita que es uno de los más importantes, debido a que soporta el dominio de la página web de la universidad entre otras funciones. Está implementado sobre una plataforma hardware Compaq ProLiant ML350, con sistema operativo Linux Red Hat 7.3, para brindar los servicios de: WWW, DNS, correo (Sendmail y Open Webmail), autenticación del RAS y base de datos del sistema de autenticación. Su IP público es 206.49.38.13. El Servidor de la Biblioteca (Gaitana) está implementado en una plataforma HP ProLiant DL380, con sistema operativo Linux Red Hat 8.0. Soporta el front end de las aplicaciones académicas. Dentro de los principales servicios podemos mencionar los préstamos y circulación, usuarios del servicio, sanciones e inventario. El servidor administrativo y financiero está implementado sobre una plataforma HP ProLiant DL380 y sistema operativo Windows 2000 Server. Se le ha instalado el paquete Linix con Oracle 8, para maneja todos los módulos financieros y administrativos de la USCO. Los servicios de este servidor son: inventario y almacén, contabilidad, tesorería, presupuesto y nómina. Por su parte el servidor académico, implementado mediante una aplicación cliente-servidor, maneja la base de datos SQL Server de Microsoft 7.0 sobre OS Windows 2000 Server. Además del Jboss Application Server que permite que los usuarios que entran vía la página web tengan un ambiente web entre el aplicativo y las estaciones clientes. Este servidor también soporta los paquetes SIPPA (Sistema de Programación Planeación Académica) y SIRCA, módulos que permiten la administración de todo el sistema académico. Los.

(37) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 26. servicios de este servidor son para registro y control de notas, matriculas, fichas, certificados, admisiones, inscripciones, liquidación, pagos y plantilla física (ver Ilustración 2.6).. Ilustración 2.6 Organización de los servidores.. Los anteriores servidores de aplicaciones financieras y académicas están localizados en el Rack 2 del nodo de USCONET. Están configurados para la ejecución de procesos compartidos tal como se enunció anteriormente y se conoce que no es la mejor forma de ofrecer los servicios de red. Además estos equipos están conectados directamente al core Switch 3Com 4400 localizado en el Rack 1 del nodo USCONET. Existen además otros servidores con roles no descritos porque se utilizan para diferentes proyectos por facultades, sobre todo en educación y en la facultad de ingeniería. 2.6. Medición del tráfico de Internet. La conexión a Internet sale del router Cisco 4000 sin pasar por ningún software o mecanismo de seguridad y llega al segmento del Switch 3Com 4400. Se usó el aplicativo PRTG (Paessler Router Traffic Grapher) programado en el puerto 2 WAN del router, para.

(38) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 27. realizar mediciones de tráfico y comportamiento [Anónimo, 2010]. En la Ilustración 2.7 se observa el canal mantiene una utilización del 100% durante el horario laboral.. Ilustración 2.7 Gráficos del tráfico en el canal de Internet.. 2.7. Sistemas de Detección de Intrusos. Los sistemas de detección de intrusos son una tecnología que se desarrolla continuamente ofreciendo grandes soluciones de seguridad [Prieto, Mancini Y Jajodia, 2008]. El OSSEC, de Open Source Host-based Intrusion Detection System2, es una herramienta de fuente abierta muy útil pues realiza análisis de sucesos, chequeos de integridad de archivos, monitoreo de seguridad, detección de rootkit, alertas en tiempo real y respuesta activas ante determinados problemas. Este software puede implementar su arquitectura de clienteservidor de forma granulada, manejando distintas políticas de seguridad, en múltiples plataformas como Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac y VMware ESX.. 2. http://www.ossec.net/doc/.

(39) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 28. Actualmente esta herramienta puede ser integrada a sistemas SIM/SEM (Security Incident Management/Security Events Management) que están diseñados para la centralización de reportes y correlación de eventos. Brinda alertas de seguridad, las que pueden ser configuradas por el administrador permitiéndole recibir alertas de sucesos críticos por encima del ruido y situaciones de menor importancia. La integración con el SMTP, SMS y syslog [Anónimo, 2004] permite que las alarmas sean enviadas electrónicamente a dispositivos portátiles como los teléfonos celulares [Prieto, Mancini Y Jajodia, 2008]. Además tiene opciones de repuestas activas para bloquear un ataque inmediatamente. Las alertas de seguridad que son enviadas provienen de diversas situaciones como la detección de cambios en los archivos del sistema, además son generadas por el análisis de eventos cuando se detectan cambios de reglas en un firewall, la instalación de nuevas aplicaciones, la aparición de errores u otro tipo de comportamiento sospechoso. Las alertas son generadas también ante la detección de rootkit. [Tilborg, 2005] El monitoreo es realizado por agentes y aplicaciones de bajo nivel que no necesitan ser instalados, esto es lo que se conoce como agentless. Ofrece gran flexibilidad pues los agentes supervisan los sistemas y componentes de redes como routers y firewalls. También permite definir las restricciones del software que se instala en los sistemas. La arquitectura de esta herramienta la divide en múltiples piezas. El servidor de control central supervisa toda la información recibida de agentes de syslog, bases de datos y de los dispositivos agentless. El servidor guarda los archivos de chequeo de integridad, los eventos, los informes de los agentes, las opciones de configuración, las reglas y los decodificadores; lo que permite la administración relativamente fácil de un número elevado de agentes. Los agentes son instalados en los sistemas a supervisar y coleccionan información en tiempo real la cual es enviada al servidor central. Tienen una memoria muy pequeña y no afectan el uso del sistema. En el caso de no poder instalar un agente, se utiliza el principio agentless, muy útiles pues permiten monitorear firewalls, routers y sistemas Unix que no permiten la instalación de agentes. El programa es capaz de monitorear máquinas virtuales como VMware ESX..

(40) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 29. Existen otros IDS como Prelude y Snort, que realizan análisis de eventos y detectan anomalías del sistema además de generar informes al usuario. Estos corren sobre la plataforma de Linux, también herramientas que se utilizan para crear una plataforma para instalar alguna IDS como el Henwen, que realiza una implantación efectiva de Snort sobre Mac OSx brindando facilidades de implementación y configuración [Palazzoli Y Valenza, 2008]. 2.7.1 Seguridad de los sistemas de detección de intrusos Los propios IDS pueden ser objetivos de ataque. El bloqueo de las respuestas de un detector de intrusiones, dejaría a este sistema mudo, anulando toda su eficacia. Puesto que el IDS es capaz de monitorizar todo el tráfico que la universidad tiene hacia el exterior, una intrusión en el mismo puede tener consecuencias desastrosas para la red. Se hace necesario implementar políticas de seguridad para protegerlo de intrusos de la red, como inhibir servicios innecesarios, utilizar autenticación robusta y actualizar el sistema operativo y los servicios. Una de las cuestiones que hay que tener presente en los detectores de intrusos es la de no ser reconocidos por el atacante. Cuando un sistema está siendo comprometido, no conviene que el intruso se percate de que se le está monitorizado. Por esta razón, se utilizan técnicas que permitan al detector de intrusiones registrar todo lo sucedido y comunicar las incidencias a los responsables, todo esto sin ser interceptado. En la mayoría de las ocasiones se suele utilizar canales de comunicación cifrada, de esta forma el intruso no puede detectar ni modificar el contenido de las comunicaciones. Otras de las soluciones recomendadas es el uso de la redundancia en las comunicaciones, o lo que es lo mismo, en situaciones de alarma crítica. Conviene utilizar más de una vía de comunicación para transmitir la misma notificación. Se pueden enviar mensajes por un canal cifrado y otra a través de mensaje de gestión de red, de esta forma se reducen las probabilidades de que los mensajes sean bloqueados. Una vez comunicadas las alarmas hay que almacenarlas de forma segura, protegiéndolas ante alteraciones o eliminaciones, esto es especialmente importante cuando se pretende utilizar el material obtenido para asuntos legales. Otra manera es utilizar redundancia, en los casos más importantes, una de las soluciones practicadas es el almacenamiento de los registros en medios de una sola escritura, como un CD-ROM o incluso una impresora de papel continuo [Torres, 2006]..

(41) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 30. 2.7.2 Limitaciones en los sistemas de detección de intrusos en la red Uno de los problemas más importantes de los Sistemas de Detección de Intrusos es su incapacidad de reconstruir exactamente lo que está ocurriendo en el sistema que se está monitorizando. Los detectores de intrusos basados en firmas funcionan examinando el contenido de los paquetes que se están transmitiendo por la red. Los ataques de denegación de servicio también pueden dar al traste con una política de seguridad basada en un IDS. Es entonces cuando hay que decidir si el IDS será fail-open o fail-closed. En el primer caso se tiene que cuando el IDS caiga, la red quedará totalmente abierta a merced de cualquier ataque, mientras que en el segundo caso, el tráfico hacia el exterior y viceversa quedará bloqueado [Torres, 2006]. 2.8. Infraestructura de seguridad. Un sustrato dominante constituye el soporte base para cualquier empresa; una infraestructura puede ser vista como tal. La definición de una infraestructura de seguridad es bastante amplia. Abarca aspectos tales como: nombramiento consecuente, políticas de seguridad, monitoreo, auditoria, administración de los recursos, revisión, control de acceso de dispositivos, etc. Las ventajas que fluyen de un acercamiento infraestructural a la seguridad son variadas y numerosas. La infraestructura proporciona un apoyo de seguridad para toda la organización, hace que lo seguro esté disponible en el acto a aplicaciones individuales, refuerza y simplifica el proceso de autentificación, proporciona la transparencia de usuario final, y ofrece seguridad completa a todos los objetos del ambiente [Orozco, 2008, pp. 4]. 2.8.1 Infraestructura de Llave Pública En los últimos años, las PKI (Public Key Infrastructure) han cobrado una gran importancia. De un modo sencillo, se puede describir a una infraestructura de clave pública como el conjunto de componentes y políticas necesarias para crear, gestionar y revocar certificados digitales que pueden ser utilizados para autenticar cualquier aplicación, persona, proceso u organización de una red de empresa, extranet o internet [Komar y Team, 2008]. Como bien lo dice su nombre las PKI basan su funcionamiento en los principios y técnicas de llaves públicas. Una PKI totalmente funcional, abarca un número grande de componentes y.

(42) CAPÍTULO 2. TECNOLOGÍAS GLOBALES PARA LA SEGURIDAD EN REDES. 31. servicios con los cuales debe lidiar estos son Autoridades de Certificación, Depósitos de Certificados, Autoridades de Registro, Revocación de Certificados, Reserva y Recuperación de Claves, Actualización Automática de Clave, Apoyo al No Repudio, Marcador de Tiempo Seguro o Software de Cliente. Puede ser correctamente argumentado que algunos ambientes específicos no necesitan toda esta funcionalidad. Por ejemplo, un PKI que brinde correo electrónico seguro entre amigos probablemente tiene poca necesidad del apoyo al no repudio [Kambourakis, Kontoni, Rouskas y Gritzalis, 2007]. Sin embargo, una verdadera PKI conceptualmente diseñada como entidad infraestructural independiente debe ser capaz de desplegarse en cualquier ambiente. Así, tiene sentido implementar una PKI con el mayor número de componentes posibles. En cualquier despliegue dado, cualquier servicio innecesario entonces puede ser fácilmente apagado o no instalado en absoluto [Orozco, 2008]. 2.9. Muros de contención o firewall. Los cortafuegos son muy utilizados en las redes de computadoras debido a las facilidades y posibilidades que brindan. Entre estos se pueden encontrar algunos como el ZoneAlarm3, este es un cortafuego personalizable con un sistema de advertencia eficaz que permite determinar cuándo una computadora está en riesgo. Este va formado por varias capaz de seguridad entre ellas cortafuegos, protección de robo de identidad total, contiene AntiSpyware y detección de rootkits. La herramienta ofrece una interfaz gráfica muy fácil de trabajar y brinda grandes posibilidades como cortafuegos pues ofrece monitoreo de tráfico y bloqueo de trafico maligno, tanto en sentido de entrada como de salida. Se puede configurar de forma que sea invisible a los usuarios externos, desactiva de forma automática programas maliciosos y realiza pruebas que verifican el correcto funcionamiento del programa. Como Anti-Spyware la herramienta posee soluciones que bloquean el acceso a sitios malignos con spyware, protege el núcleo del sistema operativo contra spyware, detecta y elimina de forma eficiente posibles virus y protege los sistemas de correo electrónico evitando la entrada o salida de programas con contenido maligno.. 3. http://www.zonelabs.com.

Figure

Ilustración 1.1 Historia y evolución de ISO 27001.
Ilustración 1.2 Ciclo PHVA.
Ilustración 1.3 Procedimiento genérico de firma digital.  Fuente: [Orozco, 2008, pp. 12]
Ilustración 2.1. Topología actual de la red de la USCO.
+7

Referencias

Documento similar

Las soluciones innovadoras de los Dispositivos de seguridad adaptables (ASA) de Cisco ® para la seguridad del centro de datos están diseñadas para brindar seguridad en

Plan de Seguridad informática para la red de datos de la Cooperativa San José de Montalvo... AUTOR: BRAYAN ISRAEL

El sistema operativo de red Apple Talk está completamente integrado en el sistema operativo de cada equipo que ejecuta el Mac OS. Su primera versión,

Guía de elección Soluciones de seguridad Preventa Interruptores de seguridad Aplicaciones Proteger al operario provocando la parada de la máquina al extraer el pestillo Toda

"ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UNA ARQUITECTURA DE SEGURIDAD PARA EL CONTROL DE ACCESO A LA RED INALÁMBRICA DE LA UNIVERSIDAD INTERNACIONAL SEK -.. ECUADOR EN EL

La motivación fue la implementar una red que fuese capaz de soportar la nueva versión de IP, IPv6 en convivencia con IPv4, sobre un conjunto heterogéneo de equipos y

El Plan Institucional de Archivo de la Empresa para la Seguridad y Soluciones urbanas – ESU, es un instrumento utilizado para la elaboración del plan de acción anual y para

Actualmente no existe una única definición para la arquitectura de redes definidas por software, sin embargo, el concepto de SDN puede ser definido como una red definida por un