• No se han encontrado resultados

Sistema de seguridad perimetral para mejorar performance de una red de datos empresarial

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Sistema de seguridad perimetral para mejorar performance de una red de datos empresarial"

Copied!
165
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 165 página )

Texto completo

(1)Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. UNIVERSIDAD NACIONAL DE TRUJILLO FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICAS. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. A. S. ESCUELA ACADEMICO PROFESIONAL DE INFORMÁTICA. “SISTEMA DE SEGURIDAD PERIMETRAL PARA MEJORAR PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL” TESIS PARA OPTAR EL TÍTULO DE:. INGENIERO INFORMÁTICO. E. AUTORES:. Br. VENTURA GRADOS, WILLIAM ENRIQUE. LI. O. T. Br. GRADOS JIMÉNEZ, CARLOS EDUARDO. B. IB. ASESOR:. Ing. GÓMEZ MORALES ANTHONY JOSÉ. TRUJILLO – PERÚ. 2014. i Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(2) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. DEDICATORIA Dedico esta tesis en primer lugar a Dios, por haberme dado la vida y por ser mi guía. S. espiritual que me conduce hacia el camino del bien y el éxito. A mi padre Miguel Grados. A. Urcia, a mi madre Amelia Jiménez Pastor, por brindarme siempre su apoyo y saberme. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. guiarme para lograr este éxito.. B. IB. LI. O. T. E. Grados Jiménez, Carlos Eduardo.. ii Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(3) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. DEDICATORIA Dedico esta tesis a Dios, por darme la dicha de tener a mis padres con vida y con. S. salud. A mi padre Pedro Ventura y a mi madre Violeta Grados quienes me apoyaron. IC. A. incondicionalmente en toda mi carrera profesional. Y a mis hermanas y familiares quienes me dieron fuerza y ánimos para seguir adelante en mi formación. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. .. S. profesional.. B. IB. LI. O. T. E. Ventura Grados, William Enrique.. iii Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(4) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. A. S. AGRADECIMIENTOS. IC. A nuestros padres, quienes siempre nos apoyaron y exhortarón a culminar esta. S. tesis. A los compañeros de estudios con quienes conservamos una estrecha. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. amistad hasta la fecha, a los Ingenieros Edwin Mendoza y Anthony Gómez por su tiempo y dedicación como guías y como asesores para la presente tesis. De la misma manera a familiares que de alguna forma influyerón y apoyarón con su paciencia y voluntad para guiarnos en la realización de esta meta, queremos. B. IB. LI. O. T. E. darles las gracias por forma parte de nuestras vidas diarias.. iv Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(5) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. RESUMEN. En el capítulo I se detalla la parte introductoria de la tesis completa, donde se presenta entre otras cosas como problemática, objetivos, variables las cuales nos. S. ayudaran al entendimiento de la misma.. IC. A. En el capítulo II, se procede a describir el marco teórico de la tesis el cual nos es útil para el desenvolvimiento y posterior desarrollo. Se realiza la descripción sobre. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. los equipos físicos y lógicos de la red. Dentro de la gestión, se indica la manera como se administra actualmente la red, mostrando sus debilidades, amenazas y riesgos.. En el capítulo III, procedemos a describe la metodología a ser desarrollada por la tesis, ya que con ella lograremos evaluar las posibles soluciones y/o problemas las cuales se detallan, seleccionando las muestras y recolectando datos. Además de tener fijos los objetivos propuestos por la metodología seguridad.. En este capítulo IV, se procede con el desarrollo de la metodología, en donde se formularan las políticas de seguridad, el análisis y requerimientos, además también se. E. sugieren herramientas de software de monitoreo y equipos de hardware adicionales. O. T. necesarias para la implementación del modelo de gestión. Así como también, se. LI. toman temas relacionados a calidad de servicio, recuperación ante desastres y fallas. IB. técnicas; y se establece las pautas de cómo el sistema se sobrepondrá a ellos.. B. Como parte final del capítulo IV se trata sobre las repercusiones a futuro del. modelo de gestión estandarizado que se propone para ser desarrollado en la empresa, es decir, cómo éste modelo garantizará la escalabilidad tanto del modelo. de gestión, como del hardware y software de la red para que éstos sigan cumpliendo con los estándares solicitados por la empresa bajo sus requerimientos tecnológicos y organizacionales. En. el. último. capítulo,. el. capítulo. V y VI. se. elabora los resultados, las. conclusiones y sugerencias obtenidas con el desarrollo del presente proyecto. v Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(6) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. ABSTRACT. In Chapter I, the introduction to the whole thesis, which is presented as problematic inter alia, objectives, variables which help us to the understanding of it is detailed.. A. S. In Chapter II, we proceed to describe the theoretical framework of the thesis which is. IC. useful to the growth and further development. The description of the physical and. S. logical network equipment is performed. Within management, the way indicated as. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. currently manages the network, showing its weaknesses, threats and risks. In Chapter III, we proceed to describe the methodology to be developed by the thesis, since her achieve evaluate possible solutions and / or problems which are detailed, selecting samples and collecting data. In addition to the goals set by fixed security methodology.. This chapter IV, we proceed with the development of the methodology, where security policies were formulated, analysis and requirements, plus software tools for monitoring equipment and additional hardware needed to implement the management model also suggests . As well as, issues related to quality of service, disaster recovery and technical failures are taken; and patterns of how the system will overcome them is. T. E. established.. O. As the final part of Chapter IV discusses the implications for the future management. LI. model standard that is proposed to be developed in the company, ie how this model. B. IB. will ensure the scalability of both the management model, and hardware and software network so that they continue to meet the standards required by the company under its technological and organizational requirements. In the last chapter, Chapter V and VI the results, conclusions and suggestions obtained with the development of this project is elaborated.. vi Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(7) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. ÍNDICE DE CONTENIDO. 1.. CAPITULO I: ................................................................................................... 1. GENERALIDADES DEL PROYECTO ..................................................................... 1 PROBLEMA ................................................................................................... 2. A. S. 1.1.. Realidad Problemática ......................................................................... 2. 1.1.2. FORMULACIÓN DEL PROBLEMA....................................................................... 4. 1.2. HIPÓTESIS.................................................................................................... 4. 1.3. VARIABLES DE ESTUDIO ................................................................................ 4. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. 1.1.1.. 1.3.1. Variable Independiente: ....................................................................... 4. 1.3.2. Variable Dependiente: ......................................................................... 4. 1.4. OBJETIVOS ................................................................................................... 4. 1.4.1. OBJETIVO GENERAL ...................................................................................... 4. 1.4.2. OBJETIVOS ESPECÍFICOS .............................................................................. 5. 1.5. JUSTIFICACIÓN DEL ESTUDIO ......................................................................... 5. 1.6. ANTECEDENTES ............................................................................................ 6. 1.7. ESTADO DEL ARTE ........................................................................................ 8. 1.7.1 Presentación del Asunto de Estudio .............................................................. 8. E. 1.7.2 El Estado de la Investigación ......................................................................... 8. CAPITULO II ................................................................................................. 16. LI. 2.. O. T. 1.7.3 Síntesis del Asunto de Estudio ..................................................................... 14. IB. MARCO TEORICO ................................................................................................ 16. B. 2.1 MARCO REFERENCIAL .............................................................................. 17 2.1.1 MARCO TEÓRICO ....................................................................................... 17. 2.1.1.1. Administración de Red ....................................................................... 17. 2.1.1.2. TELECOMUNICACIONES................................................................. 22. 2.1.1.3. REDES DE DATOS ................................................................................ 23. 2.1.1.4. MEDIDAS DE PROTECCION ................................................................ 26 vii. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(8) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.1.5 ¿QUE ES EL SOFTWARE LIBRE? (Foundation, 2001) .......................... 28 2.1.1.6 RED PRIVADA VIRTUAL (VPN) (VPN, servicios, 2008) ......................... 29 2.1.1.7 SISTEMAS DE DETECCION DE INTRUSOS (IDS) ................................ 31 2.1.1.8 FIREWALL .............................................................................................. 34 2.1.2 MARCO CONCEPTUAL ............................................................................... 37. S. 2.1.2.1 SEGURIDAD PERIMETRAL ..................................................................... 37. A. 2.1.2.2 METODOLOGIA DE TELECOMMUNICATIONS MANAGEMENT. IC. NETWORK (TMN) (Network, 2004)....................................................................... 38. S. 2.1.2.3 DESARROLLO DE LA METODOLOGIA ................................................... 39. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. 2.1.2.4 SERVICIOS DE COMUNICACIÓN ............................................................ 54 2.1.2.5 NORMATIVA INTERNACIONAL PARA SISTEMAS DE CABLEADO ESTRUCTURADO ................................................................................................ 55 2.1.2.6. NTP-ISO/IEC 17799: EVALUACIÓN E IMPLEMENTACIÓN DE. MEDIDAS DE SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN ................. 56 3.. CAPITULO IV................................................................................................ 58. METODOLOGÍA.................................................................................................... 58 3.1.. DEFINICIÓN CONCEPTUAL ............................................................................ 59. 3.2.. VARIABLES ................................................................................................. 59 Definición de indicadores operacional ............................................... 59. 3.2.2.. Indicadores ........................................................................................ 60. T. LI. DISEÑO ...................................................................................................... 61 POBLACIÓN Y MUESTRA ............................................................................... 62. IB. 3.5.. TIPO DE ESTUDIO ........................................................................................ 60. O. 3.3. 3.4.. E. 3.2.1.. Usuarios:............................................................................................ 62. 3.5.2.. Recursos............................................................................................ 62. 3.5.3.. Muestra .............................................................................................. 62. B. 3.5.1.. 3.6.. TÉCNICAS Y PROCEDIMIENTOS DE RECOLECCIÓN DE DATOS ............................ 65. 3.7.. MÉTODOS DE ANÁLISIS DE DATOS ................................................................ 65. 3.7.1.. Prueba Z (n >30)................................................................................ 66. 3.7.2.. Prueba T Student (n <= 30) ............................................................... 68 viii. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(9) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 4.. CAPITULO V................................................................................................. 71. DESARROLLO DE LA METODOLOGÍA ............................................................... 71 INTRODUCCIÓN ........................................................................................... 72. 4.2.. OBJETIVOS DEL DESARROLLO DE LA METODOLOGÍA ...................................... 73. 4.2.1.. OBJETIVOS GENERALES .............................................................................. 73. 4.2.2.. OBJETIVOS ESPECÍFICOS ............................................................................ 73. 4.3.. POLÍTICAS DE SEGURIDAD ........................................................................... 73. 4.3.1.. POLÍTICA INTERNA DE SEGURIDAD................................................................ 74. 4.3.2.. POLÍTICA EXTERNA DE SEGURIDAD .............................................................. 74. 4.3.3.. ANÁLISIS Y REQUERIMIENTOS DE LA SITUACIÓN ACTUAL DE LA RED DE DATOS. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. A. S. 4.1.. ....................................................................................................... 75. EMPRESARIAL. EQUIPOS UTILIZADOS EN LA RED DE DATOS DE LA EMPRESA ................. 76 4.4.. FASE I ....................................................................................................... 79. 4.4.1.. SELECCIÓN DEL MODELO DE GESTIÓN Y ADMINISTRACIÓN DE RED .................. 79. 4.4.2.. METODOLOGÍA PARA LA IMPLEMENTACIÓN DEL MODELO DE GESTIÓN Y. ADMINISTRACIÓN DE LA RED. EN LA EMPRESA ............................................................ 81. 4.4.2.1. PROPUESTA ESQUEMÁTICA DEL REDISEÑO LÓGICO DE LA RED DE COMUNICACIONES EMPRESARIAL .............................................................................. 86. E. 4.4.2.2. SELECCIÓN DE LA INFRAESTRUCTURA DE LA RED .......................................... 87 FASE II....................................................................................................... 89. 4.5.1.. ADMINISTRACIÓN DEL SOFTWARE................................................................. 89. O. APROVISIONAMIENTO DE LA RED .................................................................. 89. LI. 4.5.2.. T. 4.5.. FUNCIONES PARA EL DESEMPEÑO DE OPERACIONES DE LA RED ..................... 90. 4.5.4.. GESTIÓN DE IMÁGENES DE SOFTWARE ......................................................... 91. 4.5.5.. PROCEDIMIENTOS Y POLÍTICAS RELACIONADAS CON EL ÁREA DE. B. IB. 4.5.3.. CONFIGURACIÓN...................................................................................................... 92 4.5.5.1. PROCEDIMIENTOS DE INSTALACIÓN DE APLICACIONES MÁS UTILIZADAS ........... 92 4.5.5.2. POLÍTICA DE RESPALDO DE CONFIGURACIONES............................................. 93 4.5.5.3. PROCEDIMIENTOS DE INSTALACIÓN DE UNA NUEVA VERSIÓN DEL SISTEMA OPERATIVO. ....................................................................................................... 93 ix. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(10) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 4.6.. FASE III...................................................................................................... 93. 4.6.1.. ADMINISTRACIÓN DEL RENDIMIENTO ............................................................. 93. 4.6.1.1. MONITOREO DE LOS RECURSOS DE RED....................................................... 94 4.6.1.1.1.. UTILIZACIÓN DE ENLACES .................................................................. 95. 4.6.1.1.2.. CARACTERIZACIÓN DEL TIPO DE GRAFICO ........................................... 96. S. 4.6.1.2. ADMINISTRACIÓN DE FALLAS...................................................................... 101 FASE IV ................................................................................................... 107. 4.7.1.. ADMINISTRACIÓN DE REPORTES................................................................. 107. IC. A. 4.7.. S. 4.7.1.1. CREACIÓN DE REPORTES .......................................................................... 107. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. 4.7.1.2. SEGUIMIENTO DE REPORTES ..................................................................... 108 4.7.1.3. MANEJO DE REPORTES ............................................................................. 108 4.7.1.4. FINALIZACIÓN DE REPORTES...................................................................... 108 4.7.1.5. PLAN DE ADMINISTRACIÓN ......................................................................... 109 4.7.1.6. PLAN DE CONTINGENCIA............................................................................ 110 4.7.2.. POLÍTICAS DE SEGURIDAD PARA EL FIREWALL PERIMETRAL.......................... 111. 4.7.2.1. COMPONENTES DE UNA POLÍTICA DE SEGURIDAD ......................................... 111 4.7.2.2. ACCESOS REQUERIDOS HACIA Y DESDE INTERNET ....................................... 113 4.7.2.3. REGLAS ADICIONALES REQUERIDAS ............................................................ 113 4.7.2.4. POLÍTICA DE SEGURIDAD A SER APLICADA EN EL FIREWALL PERIMETRAL......... 114 POLÍTICA DE ACCESO PARA EL CONCENTRADOR VPN SSL........................... 116. E. 4.7.3.. T. 4.7.3.1. COMPONENTES DE UNA POLÍTICA DE ACCESO REMOTO ................................. 116. O. 4.7.3.2. POLÍTICA REQUERIDA POR LA EMPRESA ...................................................... 117. LI. 4.7.3.3. POLÍTICA DE SEGURIDAD A SER APLICADA EN EL CONCENTRADOR VPN SSL .. 118. B. IB. 4.7.3.4. POLÍTICA DE ACCESO A INTERNET PARA USUARIOS EN EL PROXI DE NAVEGACIÓN .. 4.7.4.. ..................................................................................................... 119. ESTUDIO DE FACTIBILIDAD ......................................................................... 120. 4.7.4.1. ESTRUCTURA DE COSTOS ......................................................................... 121 4.7.4.2. BENÉFICOS DEL PROYECTO ....................................................................... 125 4.7.4.3. ANÁLISIS DE RENTABILIDAD ....................................................................... 127 5.. CAPITULO VI.............................................................................................. 132. RESULTADOS Y DISCUSIÓN ............................................................................ 132 x Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(11) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 5.1.. INDICADORES CUANTITATIVOS ................................................................... 133. 5.1.1.. CANTIDAD DE CONEXIONES EXTERNAS AJENOS A LA RED LAN ...................... 133. 5.1.1.1. DEFINICIÓN DE VARIABLES......................................................................... 133 5.1.1.2. HIPÓTESIS ESTADÍSTICAS .......................................................................... 133 5.1.1.3. NIVEL DE SIGNIFICANCIA............................................................................ 133. S. 5.1.1.4. ESTADÍGRAFO DE CONTRASTE ................................................................... 133 CANTIDAD DE EQUIPOS CON CONEXIÓN A RED ............................................ 136. IC. 5.1.2.. A. 5.1.1.6. CONCLUSIÓN ............................................................................................ 135. S. 5.1.2.1. DEFINICIÓN DE VARIABLES ......................................................................... 136. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. 5.1.2.2. HIPOTESIS ESTADISTICA ............................................................................ 136 5.1.2.3. RESULTADOS ........................................................................................... 136 5.1.2.4. CONCLUSIÓN ............................................................................................ 137 5.1.2.5. DISCUSIÓN ............................................................................................... 138 INDICADORES CUALITATIVOS...................................................................... 140. 5.2.1.. NIVEL DE SATISFACCIÓN DE LOS USUARIOS ................................................ 140. 5.2.1.1.1.. CALCULO DEL NIVEL DE SATISFACCIÓN DEL USUARIO CON EL SISTEMA. ACTUAL. ..................................................................................................... 140. 5.2.1.1.2.. CALCULO DEL NIVEL DE SATISFACCIÓN DEL CLIENTE CON EL SISTEMA. PROPUESTO. ..................................................................................................... 142. 5.2.1.1.3.. HIPÓTESIS ESTADÍSTICAS ................................................................ 144. 5.2.1.1.4.. E. 5.2.. T. ESTADISTICA DE LA PRUEBA ............................................................ 144. O. 5.2.1.1.5.. NIVEL DE SIGNIFICANCIA .................................................................. 144. REGIÓN DE RECHAZO ...................................................................... 144. 5.2.1.1.7.. RESULTADO DE HIPOTESIS ESTADISTICA........................................... 144. 5.2.1.1.8.. CONCLUSIÓN .................................................................................. 145. B. IB. LI. 5.2.1.1.6.. 6.. CAPITULO VII............................................................................................. 146. CONCLUSIONES Y RECOMENDACIONES ...................................................... 146 7.. CAPITULO VII............................................................................................. 149. BIBLIOGRAFIA ................................................................................................... 149. xi Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(12) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. ÍNDICE DE FIGURAS. FIGURA 1: CLASIFICACIÓN DE ATAQUES DE RED............................................................ 9 FIGURA 2: SERVICIOS VPN ...................................................................................... 30 FIGURA 3: FUNCIONAMIENTO IDS ............................................................................. 34. A. S. FIGURA 4: FIREWALL ............................................................................................... 35. IC. FIGURA 5: SEGURIDAD PERIMETRAL.......................................................................... 37. S. FIGURA 6: REPRESENTACIÓN DE LA APLICACIÓN DE LA HIPÓTESIS ................................ 61. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. FIGURA 7: ESTRUCTURA ACTUAL DE LA RED .............................................................. 79 FIGURA 8: ETAPAS DEL SISTEMA DE ADMINISTRACIÓN Y GESTIÓN ............................... 82 FIGURA 9: ADMINISTRACIÓN DE LA CONFIGURACIÓN ................................................... 83 FIGURA 10: DIAGRAMA FÍSICO PROPUESTO ............................................................... 88 FIGURA 11: ETAPAS PARA LA ADMINISTRACIÓN DE RENDIMIENTO ................................. 94 FIGURA 12: EJEMPLO DE GRAFICA GENERADA POR MRTG SOBRE CONSUMO DE ANCHO DE BANDA .............................................................................................................. 96. FIGURA 13: EJEMPLO DE MONITOREO DE CARACTERÍSTICAS DEL TRÁFICO CON NTOP .. 97 FIGURA 14: EJEMPLO DE MONITOREO DE LOS DATOS ESTADÍSTICOS DEL FUNCIONAMIENTO DE UN SERVIDOR CON OPMANAGER. ................................................................... 99. FIGURA 15: DIAGRAMA DEL ESCENARIO ................................................................... 101. E. FIGURA 16: ETAPAS PARA LLEVAR A CABO LA ADMINISTRACIÓN DE FALLAS ................. 102. O. T. FIGURA 17: CODIFICACIÓN DE TIPO DE ALARMA – SEVERIDAD................................... 104. LI. FIGURA 18: DIAGRAMA DE FLUJO DE APLICACIÓN DE PRUEBAS DE DIAGNOSTICO ......... 106. IB. FIGURA 19: ESQUEMA DE MODELO DE REPORTE...................................................... 109. B. FIGURA 20: EJEMPLO DE REGLA DE ACCESO ............................................................ 112. xii Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(13) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. ÍNDICE DE TABLAS. T ABLA 1: INDICADORES DEL PROYECTO .................................................................... 60 T ABLA 2: DETALLES DE INDICADORES DEL PROYECTO ................................................ 64 T ABLA 3: MUESTRAS TOMADAS POR INDICADOR ......................................................... 65. A. S. T ABLA 4: ASIGNACIÓN DE HERRAMIENTAS DE RECOLECCIÓN DE INFORMACIÓN ............. 65. IC. T ABLA 5: SELECCIÓN MÉTODOS DE ANÁLISIS DE DATOS .............................................. 66. S. T ABLA 6: PRUEBA Z ................................................................................................ 66. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. T ABLA 7: PRUEBA T STUDENT .................................................................................. 68 T ABLA 8: TABLA CON PRINCIPALES EQUIPOS DE INTERCONEXIÓN Y APLICACIONES PARA SER GESTIONADOS Y ADMINISTRADOS ................................................................. 91. T ABLA 9: PLAN DE CONTINGENCIA .......................................................................... 111 T ABLA 10: REGLAS PARA EL FIREWALL EXTERNO O PERIMETRAL .............................. 113 T ABLA 11: REGLAS ADICIONALES PARA EL FIREWALL PERIMETRAL ............................ 114 T ABLA 12: POLÍTICA DE SEGURIDAD PARA EL FIREWALL PERIMETRAL ........................ 115 T ABLA 13: POLÍTICA REQUERIDA POR LA EMPRESA .................................................. 117 T ABLA 14: USUARIOS EN EL CONCENTRADOR VPN SSL........................................... 118 T ABLA 15: TABLA USUARIOS EN EL CONCENTRADOR VPN SSL ................................ 119 T ABLA 16: POLITICA DE SEGURIDAD PARA EL PROXY .................................. 120. E. T ABLA 17: COSTO DE PLANEAMIENTOS DE HARDWARE ............................................. 121. O. T. T ABLA 18: COSTO DE PLANEAMIENTO DE HARDWARE............................................... 121. LI. T ABLA 19: COSTO DE PLANEAMIENTO ..................................................................... 121 MATERIALES POR ADQUIRIR.................... 122. IB. T ABLA 20: COSTO DE IMPLEMENTACIÓN DE. T ABLA 21: COSTO DE IMPLEMENTACIÓN - MATERIALES DE ORDENAMIENTO............... 123. B. T ABLA 22: COSTO DE IMPLEMENTACIÓN – MATERIALES PARA ORDENAMIENTO ........... 123 T ABLA 23: COSTO DE IMPLEMENTACIÓN – MATERIALES DE ENLACE .......................... 124 T ABLA 24: COSTO DE IMPLEMENTACIÓN – MATERIALES DE OBRAS CIVILES................. 124 T ABLA 25: COSTO DE IMPLEMENTACIÓN – RESUMEN DE MATERIALES Y CONSUMIBLES 124 T ABLA 26: COSTO DE CONSUMO ELÉCTRICO........................................................... 124 T ABLA 27: COSTO DE CONSUMO ELÉCTRICO........................................................... 125 T ABLA 28: COSTO DE OPERACIÓN – COSTO DE MANTENIMIENTO............................... 125 xiii. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(14) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. T ABLA 29: AHORRO DE TRABAJO............................................................................ 125 T ABLA 30: AHORRO DE MATERIALES....................................................................... 126 T ABLA 31: BENEFICIOS DE PROYECTO - AUMENTO DE INGRESOS .............................. 126 T ABLA 32: FLUJO DE CAJA .................................................................................... 127 T ABLA 33: RESULTADOS ....................................................................................... 134. S. T ABLA 34: PROYECCIÓN DE EQUIPOS...................................................................... 136. A. T ABLA 35: VARIACIÓN NÚMERO DE PUNTOS Y EQUIPOS ............................................ 137. IC. T ABLA 36: ÍNDICE DE VALORES LIKET ...................................................................... 140. S. T ABLA 37: PONDERACIÓN DE LIKERT-TEST .............................................................. 142. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. T ABLA 38: PONDERACIÓN DE LIKERT POST-TEST .................................................... 143 T ABLA 39: CONTRASTACIÓN DE RESULTADOS ......................................................... 143. E. ÍNDICE DE GRÁFICOS. T. GRÁFICO 1: NIVEL DE SIGNIFICANCIA ......................................................................... 67. O. GRÁFICO 2: DISTRIBUCIÓN Z (NORMAL)..................................................................... 68. LI. GRÁFICO 3: DISTRIBUCIÓN T STUDENT ...................................................................... 70. IB. GRÁFICO 4: ZONA DE ACEPTACIÓN Y RECHAZO ......................................................... 135. B. GRÁFICO 5: INCREMENTO DE NÚMERO DE PUNTOS Y EQUIPOS ................................... 138 GRÁFICO 6: COMPARACIÓN DE NÚMERO DE PUNTOS Y EQUIPOS ................................ 139 GRÁFICO 7: VARIACIÓN DE NÚMERO DE EQUIPOS DE ACCESO .................................... 139. xiv Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(15) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. MEJORAR. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. A. S. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. 1.. CAPITULO I:. B. IB. LI. O. T. E. GENERALIDADES DEL PROYECTO. 1 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(16) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. 1.1. Problema 1.1.1. Realidad Problemática Hoy en día no se puede ocultar que existe una creciente tendencia al mal uso y abuso de los sistemas de comunicaciones, multitud de personajes con conocimientos técnicos suficientes e incluso algunos que. S. no los tienen los llamados “script-kiddies” o hackers sin experiencia que. A. usan aplicaciones desarrollados por otros para atacar SISTEMAS y. IC. SITIOS WEB, en lugar de utilizar sus energías y conocimientos para. S. construir, los dedican a intentar obtener un beneficio ilícito a nuestra. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. costa.. Sorprende que la mayoría del tráfico que ocupa hoy día los recursos de internet sea tráfico inútil. Más del 80% del correo que circula por la red son correos no solicitados ofreciendo todo tipo de cosas de dudosa legalidad, o correo intentando engañar y obtener datos reservados (cuentas de banco, direcciones, etc.) además de correos contaminantes que pretenden infectar los equipos de los usuarios y hacerse con el control de los mismos. Tenemos ataques directos que intentan explotar deficiencias en los programas que se ejecutan en los servidores y las estaciones de trabajo mediante peticiones extrañas a los servidores web o a los servidores ftp, así como a los propios sistemas operativos de los routers y firewalls.. E. Y si lo expuesto hasta aquí le parece imposible ahí están los números. T. para aclarar cualquier duda. Según el informe del segundo trimestre de. B. IB. LI. O. 2012 sobre tendencias de actividad de phishing emitido por la APWG (Anti-Phishing Work Group) aunque el número absoluto de ordenadores infectados ha descendido respecto del trimestre anterior todavía un total del 48,35% de los casi 23 millones de equipos escaneados están infectados. por. malware.. Esto. hace. que. incluso. sistemas. de. autentificación de doble factor o de verificación telefónica estén siendo inútiles para frenar los fraudes comerciales. En la actualidad existe un tipo de tecnología para promover la seguridad perimetral en servidores, para evitar problemas con sistemas cisco y checkpoint, configurado y gestionando otros sistemas basados en linux (Endian) y en equipos de otros fabricantes como SonicWall y Fortigate 2 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(17) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. diseñados exclusivamente para resolver problemas con la seguridad perimetral. La Empresa Huemura S.A.C es una empresa localizada en la ciudad de Trujillo, departamento de La Libertad, con diferentes anexos entre el mismo Trujillo, Chiclayo, Piura y Lima. La Empresa en su afán de obtener una buena performance en el trabajo diario, se ve en la seguridad. perimetral en. su. red. S. mejorar la. de. A. necesidad de. IC. computadoras, ante los múltiples ataques informáticos que atenten contra los datos vulnerables del negocio.. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. Gracias a la implementación de red hecha con anterioridad, la empresa puede brindar a sus colaboradores y administrativo una red local que facilite compartir archivos y con acceso a internet.. Por lo expuesto se desarrollara el diseño de un Sistema de Seguridad Perimetral segura para una red de datos empresarial, la cual cuenta con una Red LAN y WAN que en la actualidad no logra cubrir todas las instalaciones y no cuenta con ningún sistema de seguridad. Después de una breve descripción de incidentes se ha podido determinar los siguientes problemas: . Los múltiples protocolos y estándares han tratado de brindar los. primeros intentos de seguridad; la mayoría de ellos han sido. frecuencia. Las herramientas que se usan para esta encriptación de los mismos vectores y permitir descubrir el password en pocos minutos, lo cual ocasiona que la red inalámbrica sea. IB B. vectores de iniciación que se repiten con mayor o menor WEP generan tráfico expresamente para aumentar la repetición. LI. O. T. E. intentos fallidos; como el uso del protocolo WEP, que utiliza unos. vulnerable ante posibles ataques de hackers.. . Además, hubo un aumento de equipos de TI sin planificación de su uso y aprovechamiento, por lo que, hay equipos que no tienen acceso a la red y son requeridos por el personal administrativo, que no pueden compartir recursos y no cuentan con equipos portátiles (laptop).. . Los trabajadores de la empresa presentan molestias ya que el internet. inalámbrico. de. las. instalaciones. tiene. algunas. 3 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(18) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. deficiencias, además de equipos (Access Point), en posiciones inadecuadas lo cual ocasiona señal deficiente (Señal de baja intensidad). . La red LAN. no cumple con los estándares de un cableado. estructurado, lo cual provoca la caída del servicio en ocasiones, provoca la molestia de la parte administrativa del negocio. A. La carencia de utilización de nuevas tecnologías de información. IC. . S. además de perdida de datos.. provoca que los trabajadores de la constructora necesitan. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. monitorear los proyectos desde la misma empresa y no vía internet (VPN) que sería cómodo en caso de un seguimiento, lo. cual provoca pérdida de tiempo valioso para realizar los procesos de la empresa.. 1.1.2 Formulación del Problema. ¿Cómo mejorar la seguridad de una red de datos para establecer la mejor performance de la red de datos empresarial?. 1.2 Hipótesis. El sistema de seguridad perimetral utilizando IDS, VPN y FIREWALL, mejorara significativamente la performance de la red de datos empresarial.. T. E. 1.3 Variables de Estudio. B. IB. LI. O. 1.3.1 Variable Independiente: Sistema de Seguridad Perimetral utilizando IDS, VPN y FIREWALL 1.3.2 Variable Dependiente: Mejorar Performance de una Red de Datos Empresarial. 1.4 Objetivos 1.4.1 Objetivo General Diseñar el sistema de seguridad perimetral para mejorar la performance de la red de datos mediante un SISTEMA DE SEGURIDAD PERIMETRAL (IDS-VPN-FIREWALL).. 4 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(19) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. A. S. 1.4.2 Objetivos Específicos  Analizar y documentar la situación actual del sistema de seguridad perimetral de la red de datos empresarial.  Diseñar el sistema de seguridad perimetral usando IDS, VPN, FIREWALL buscando alcanzar la mejor performance de la red de computadoras.  Desarrollar el sistema de seguridad perimetral, para alcanzar la mejor performance de la red de datos empresarial.  Disminuir el tiempo de detección y solución de problemas generales en la red de la empresa, mediante políticas y procedimientos de seguridad, que nos proporcionaran beneficios directos como prevenir o detectar fraudes o disuadir hacker, también beneficios indirectos como proteger a la organización de potenciales responsabilidades o salvarla de posibles vergüenzas.  Aumentar la satisfacción del usuario final.  Evaluar el sistema de seguridad perimetral para la mejora de la performance de la red de datos empresarial. 1.5 Justificación del Estudio Económica. El presente proyecto busca ser lo más rentable posible pues se ha tomado en cuenta la utilización Software libre para la configuración. E. de herramientas y servidores.. B. IB. LI. O. T. Tecnológica. La seguridad perimetral es una tecnología que emplea herramientas eléctricas y electrónicas la mayoría de las compañías y los edificios suelen poseer diferentes sistemas de seguridad que los protege contra los intrusos, y entre lo que podemos mencionar están los sistemas de monitoreo, sistemas de alarmas electrónicas y vigilancia privada para los servicios de comunicación actualmente existen aplicaciones en Linux las cuales son las más usadas, los tipos de seguridad son : Seguridad en el puesto de trabajo , datos , sistemas y redes.. 5 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(20) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. Operativa El servicio de comunicación permite incrementar su valor como Empresa actualizada y con mejor acceso a futuras mejoras por medio de herramientas en software libre como es el caso del aplicativo Endian en su versión 2.5 el cual es un software todo uno. S. por su variedad de opciones y configuraciones.. A. Beneficiando a la empresa en cuanto al resguardo de información,. IC. así como el bloqueo de fraudes informáticos, nos permite tener. S. información de movimientos de suceden dentro de la empresa,. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. bloqueo de intrusiones en pocas palabras en un sistema no perimetral al activarse la alarma el intruso ya está adentro de la propiedad en este caso en nuestra red.. Antecedentes 1.6.1. 1.6. El crecimiento de las redes locales en los últimos años ha permitido incrementar el flujo de información a grandes escalas, permitiendo con ello agilizar procesos educativos, personales y comerciales, pero también con ello nuevas amenazas y vulnerabilidades. En la actualidad es imprescindible la implementación de una red en cualquier sector, ya que la existencia de una empresa que no cuente con dicha infraestructura no le será posible. T. E. garantizar su productividad ni mucho menos su existencia en el mercado.. O. Todo este tipo de actividades que involucran el uso de las computadoras y. B. IB. LI. telecomunicaciones están relacionados con información, dado que la información es un bien al cual es asociado un valor, por lo tanto están sujetos a riesgos, impactando de manera económica, comercial, de prestigio y confianza y existencia de la organización, principalmente. En este escenario hay factores a tomar en cuenta, los equipos de cómputo y protocolos de comunicación empleados de manera inicial, no fueron creados con la seguridad en mente por default, así mismo la venta de equipo de cómputo de forma masiva, pone la capacidad de amenaza en manos de más personas, por esta razón no existe un momento en el que no importe la seguridad, para cualquier organización. 6. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(21) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. A pesar de la gran utilidad y todas las ventajas que ofrecen las redes no se puede dejar a un lado y mucho menos dar por hecho que la seguridad de la organización se encuentra en optimas condiciones, actualmente cada vez más. empresas. reconocen. tener. incidentes. de. seguridad. en. sus. organizaciones, lo que demuestra que es importante invertir en su seguridad, tomando en cuenta conceptos como administración, seguridad informática y. A. S. todo lo que ello implica.. IC. Dada la importancia de las redes y su indiscutible necesidad, han permitido. S. el desarrollo de nuevas tecnologías así como una nueva forma de lucrar con. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. la información ajena, de manera general se han mostrado las ventajas que éstas ofrecen, sin embargo, se deben tomar en cuenta ciertas cuestiones como garantizar que la información que circula a través de la red, así como aquella que es almacenada en un equipo final sea confiable, integra, disponible y confidencial.. Las instituciones actualmente están buscando mecanismos que permitan minimizar el riesgo al cual puedan estar expuestos, ya que no existe como tal un proceso que se debiera seguir y que con ello garantice o se considere una red 100% segura, pues la práctica demuestra lo contrario, aunque al implementar mecanismos de control, como lo son el uso de estándares de seguridad, políticas internas, legislación informática, respaldos, planes de. E. contingencias, esquemas de seguridad perimetral, servicios de seguridad,. T. recomendaciones de instituciones como NIST, SANS, ISO, entre otras, todo. LI. O. esto ayuda a reducir riesgos.. B. IB. Mantener la información íntegra, disponible y de manera confidencial es de. gran importancia para cualquier organización, ya que de ello depende que dicha organización cumpla con sus objetivos establecidos. Por otro lado, no es posible garantizar la seguridad global, pero sí es posible disminuir los riegos dentro de una red de área local, ¿cómo lograrlo?, existen distintas formas aunque como se mencionó, no necesariamente existe un camino, es decir, se pueden tener distintos esquemas de seguridad de acuerdo con las necesidades propias de cada organización.. 7 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(22) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. 1.7 Estado del Arte 1.7.1 Presentación del Asunto de Estudio En el mundo actual la interconexión de millones de dispositivos: computadoras personales, notebooks, servidores, teléfonos celulares, pda’s, etc., es el centro de la actividad comercial moderna. Gracias a estas redes,. S. personas y empresas pueden intercambiar información, y extender sus. A. relaciones y negocios rompiendo las barreras del idioma, distancia y tiempo.. IC. La interconexión que hace posible esta comunicación, es también la causa. S. de su vulnerabilidad, pues una entrada que permite el acceso a alguien. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. autorizado también puede convertirse en el punto de ingreso de indeseables, ladrones o maliciosos.. Es por este motivo que tan importante como el delimitar las puertas de acceso, es saber quién ingresa, desde donde ingresa, como lo hace y que es lo que hace una vez que haya ingresado. 1.7.2 El Estado de la Investigación. Antes de buscar la mejor solución de seguridad, debemos primero estar conscientes de qué es lo que queremos proteger, para que lo queremos proteger, y aun más importante, de que lo queremos proteger. Si queremos proteger nuestra casa contra robos, lo primero que hacemos es. E. buscar las posibles rutas de acceso a los ladrones, como lo son las puertas,. T. ventanas, tragaluces (vulnerabilidades). El siguiente paso es averiguar cómo. O. podrían los ladrones ingresar: forzando la cerradura de la puerta o. B. IB. LI. rompiendo la ventana con una piedra (amenazas). Una vez que tenemos esto bien claro, recién podemos pensar en cambiar la cerradura a la puerta o ponerle una cerradura adicional, y/o colocar rejas en nuestras ventanas (contramedidas). Amenazas y Ataques Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de información desde una fuente, como puede ser un servidor de archivos o de correo, a un destino, como por ejemplo un. 8 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(23) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. usuario o un cliente Web. Una amenaza se convierte en ataque cuando ésta es ejecutada. De acuerdo a su comportamiento, Stamp diferencia las amenazas en pasivas y activos, los cuales a su vez pueden ser agrupadas en cuatro categorías. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. A. S. principales: interrupción, intercepción, modificación y fabricación.. Figura 1: Clasificación de ataques de red. . Interrupción. Un recurso del sistema es destruido o se vuelve no disponible. Este. . ataque tenemos el Ataque de Denegación de Servicios, bombas lógicas y a los Worms o gusanos. Intercepción Una entidad no autorizada consigue acceso a un recurso. Este es. B. IB. LI. O. T. E. es un ataque directo contra la disponibilidad. Como ejemplo de. un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un equipo. Por ejemplo un spyware o Caballos de Troya. . Modificación Una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo, modificar sus funciones y la información que maneja. Ejemplo: Virus, Hackers. 9. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(24) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. . MEJORAR. Fabricación Una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Por ejemplo: Phishing y Farming.. Contramedidas. A. S. Dentro de las soluciones tecnológicas que actualmente están disponibles. IC. para reforzar la seguridad de una red, los Cortafuegos son muy populares. Adicionalmente existen en el mercado una buena cantidad de productos. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. conocidos como Sistemas de Detección de Intrusos - IDS (Intrusión Detection System). Estos sistemas basan su funcionamiento en la recolección y análisis de información de diferentes fuentes, que luego utilizan para determinar la posible existencia de un ataque o penetración de intrusos y cuentan con la capacidad para identificar falsos positivos. Existen también soluciones como los Web Application Firewall, Proxies reversos y otras soluciones que son soluciones de aplicación muy específica.. A.- Cortafuegos (Firewall). Los Firewall son utilizados para restringir el acceso desde una red hacia otra. La mayoría de las empresas utiliza los firewalls para restringir el acceso a usuarios de Internet hacia su red. Un firewall soporta y refuerza. E. las políticas de seguridad de red de una empresa. Estas políticas. O. T. pueden ser definidas en forma muy granular, estableciendo los servicios. B. IB. LI. que pueden ser accedidos, las direcciones ip’s o rangos que deben ser restringidos y que puertos pueden ser utilizados. Actualmente los firewall son pasarelas que pueden ser ruteadores, servidores de autenticación o equipos de aplicación especifica. Monitorean los paquetes que entran y salen desde la red que protegen. Filtran los paquetes que no cumplen con los requerimientos de la política de seguridad. Pueden descartar estos paquetes, re-empaquetarlos o redireccionarlos dependiendo de la configuración del firewall y de las políticas de seguridad. Estos paquetes son filtrados de acuerdo a la dirección fuente o destino, puerto o servicio, tipo de paquete, protocolo, entre otros. 10. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(25) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. Existen diferentes tipos de firewalls disponibles actualmente ya que cada escenario puede tener requerimientos únicos así como metas de seguridad específicas. A continuación se presentan las diferentes tecnologías de Firewalls.  Filtro de Paquetes (Packet Filtering). A. S. Este tipo de filtro está basado en la información de la capa de red. El. IC. firewall puede tomar decisiones basado en la información de la cabecera solamente, la cual es limitada. Este tipo de firewall es. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. considerado de primera generación debido a que fueron los primeros en ser creados y usados..  Inspección de Estado (Stateful Inspection). La inspección de estado requiere que el firewall conserve una tabla de estado (state table), la cual es como una ficha donde guarda quien dijo que a quien. Cuando un equipo con filtro de paquetes con inspección de estado recibe un paquete, éste primero mira en su tabla de estado para ver si existe una conexión establecida y si esta información fue requerida. Si no existe una conexión previa y la tabla de estado no tiene información sobre el paquete, el paquete es comparado con la ACLs. Si la ACL permite este tipo de tráfico, el paquete puede ingresar a la red. Si no esta permitido, el paquete es. B. IB. LI. O. T. E. desechado.. Si bien esto provee un nivel extra de protección, también agrega más complejidad ya que el equipo debe ahora mantener una tabla de estados dinámica y recordar las conexiones..  Proxy Firewalls El concepto de proxy es el de re-direccionar un requerimiento a una entidad separada. Un proxy se coloca entre redes confiables y no confiables, y realiza la conexión en ambos sentidos, en nombre de la fuente. De esta manera, si un usuario en Internet requiere enviar información a una computadora dentro de la red protegida, el proxy. 11 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(26) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. tomará este requerimiento y lo analizará en búsqueda de información sospechosa. El requerimiento no va directamente al equipo destino.  Proxies de Aplicaciones Los proxies de aplicación inspeccionan el paquete entero y toman la decisión de dejarlo pasar o no basándose en el contenido del. S. paquete. Son capaces de entender diferentes servicios y protocolos y. A. los comandos utilizados en los mismos. Un proxy de aplicaciones. IC. puede distinguir entre un comando FTP GET y un FTP PUT, por. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. granularidad establecido en las políticas.. S. ejemplo, y puede tomar una decisión dependiendo del nivel de.  Filtro de paquetes dinámico. Cuando un sistema necesita comunicarse con un equipo fuera de la red de confianza, éste tiene que escoger un puerto fuente de manera que el sistema sabe a donde responder. El puerto que puede escoger debe estar por encima del puerto 1024, ya que puertos con numeración inferior a este valor corresponden a servicios específicos o ya definidos, o son puertos reservados. Una vez definido el puerto de comunicación, el firewall crea una ACL que permita al equipo que esta fuera de su red a comunicarse con el equipo interno vía este puerto. Cuando la conexión termina o es cortada por algún motivo, la. B. IB. LI. O. T. E. ACL es limpiada.. El beneficio del firewall con filtro de paquetes dinámico, también conocido como firewall de cuarta generación es que tiene la opción de permitir cualquier tipo de tráfico de salida y sólo el tráfico de entrada como respuesta..  Proxy Kernel. Los Kernel Proxy son considerados firewalls de quinta generación. Se diferencian de todos los demás firewalls en que puede crear su propia pila TCP/IP personalizada cuando los paquetes tienen que ser evaluados.. 12 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(27) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. Cuando un paquete llega al firewall, una nueva pila de protocolos es creada y con solo los protocolos o proxies que son necesarios para analizar estos paquetes. Si es un paquete FTP, solo el proxy FTP es llevado a esta pila. El paquete es analizado en cada nivel de la pila, es decir, el data link header va a ser evaluado, tanto como el network. S. header, transport header, entre otros.. A. Los Proxy de Kernel son más rápidos que los firewall de aplicaciones. IC. debido a que el análisis y el procesamiento son hechos en el kernel y. S. no necesita pasar por un software de nivel más alto que el del. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. sistema operativo..  Zona Desmilitariza (DMZ). Construcción de muros dobles, esta es la misma con la cual son desarrollados algunos firewall el cual consta de dos sistemas separados físicamente (Muro interior y exterior) enlazados con una red semiprivada es decir si alguien vulnera el muro exterior el muro interior protege la red impidiendo el acceso a la red semi-privada y aislando la red interior..  Otras características. Adicionalmente a las ya mencionadas tecnologías, existen otras características que algunos fabricantes ofrecen en sus productos y. B. IB. LI. O. T. E. que pueden causar que un cliente opte por uno u otro producto. Entre estas características están: Web cache, Administración centralizada, filtro anti-spam, alta disponibilidad, manejo de VPNs, filtro de páginas Web.. B.- Sistema de Seguridad de Intrusos (IDS) Los Sistemas Detectores de intrusos (IDS) son utilizados para monitorear una red o un grupo específico de computadoras. Los IDS pueden ser configurados para buscar ataques, analizar logs de auditoría, alertar al administrador cuando los ataques suceden, proteger sistemas de archivos, exponer técnicas de hackeo, mostrar que vulnerabilidades necesitan ser trabajadas, entre otros. 13. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(28) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR.  Detección de Intrusos basada en firmas Las firmas son modelos de cómo los ataques son realizados y como pueden ser identificados o detenidos. Cada ataque identificado tiene una firma, la cual es utilizada para detectar un ataque en progreso o determinar si ha ocurrido alguno en la red. Cualquier acción que no es reconocida como un ataque es considerado aceptable. La. A. S. efectividad del tipo de protección depende de la periodicidad con que. IC. el software es actualizado con nuevas firmas o ataques conocidos. Este tipo de IDS es débil contra posibles nuevos ataques ya que solo. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. puede reconocer los ataques que tiene previamente identificados..  Detección de Intrusos basado en comportamiento Este. tipo. de. software. observa. y. detecta. variaciones. del. comportamiento esperado de los usuarios y los sistemas. Una referencia del comportamiento habitual de los usuarios es compilado y todos las futuras actividades son comparadas con estas.. A este tipo de IDS también se les conoce como estadísticos y pueden detectar nuevos y desconocidas vulnerabilidades, pero también pueden causar muchas falsas alarmas.. Cuando un ataque es detectado, pueden suceder muchas cosas, y. E. esto depende de la capacidad del IDS y de las políticas que le han. O. T. sido asignadas.. B. IB. LI. C.- Otras soluciones Existen otras soluciones como gateways de correo electrónico y proxies reversos, que no se consideran elementos de seguridad perimetral ya que su función es proteger un servicio específico.. 1.7.3 Síntesis del Asunto de Estudio Cada día, las empresas se vuelven más dependientes de sus redes informáticas, al punto aplicaciones como el Intranet, el Extranet y el correo electrónico se han convertido en aplicaciones críticas para el negocio y que. 14 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(29) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. cualquier problema que las afecte, por más mínimo que sea, puede llegar a comprometer la continuidad de las operaciones. Por otro lado, cada vez es mayor el número de atacantes y cada vez están más organizados. Van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Es en este punto en que las. S. tecnologías de seguridad adquieren una importancia vital. Previniendo la. IC. eliminar las vulnerabilidades de los sistemas.. A. corrupción de datos, robo de información, el acceso no autorizado y para. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. Para otorgarle un alto nivel de seguridad a las comunicaciones, cada institución. debe. revisar. sus. procesos,. conocimientos. y. estructura. organizacional, así como sus dispositivos hardware y herramientas software de seguridad. Es importante aclarar en este punto lo siguiente: La seguridad se define a nivel de proceso, no a nivel de producto. Las tecnologías por sí mismas sirven de poco. Es lo que la gente hace con ellas lo que marca la diferencia.. Siempre hay que tener en cuenta que la seguridad comienza y termina con. B. IB. LI. O. T. E. personas.. 15 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(30) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. MEJORAR. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. IC. A. S. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. 2.. CAPITULO II. B. IB. LI. O. T. E. MARCO TEORICO. 16 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(31) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. 2.1 Marco Referencial 2.1.1 Marco Teórico 2.1.1.1. Administración de Red En el tema de administración de Red y los contenidos relacionados (Ernesto Ariganello, Enrique Barrientos Sevilla, 2010). S. a este tema que se presentan a continuación, se hizo uso de:. S. Factores ambientales.. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. . IC. A. La administración de la red incluye muchas áreas; así tenemos:. . Rendimiento de la red.. . Administración del servidor.. . Diagnóstico de fallas de la red.. . Seguridad de la red.. . Mantenimiento del servidor.. . Mantenimiento de la red.. a). Factores Ambientales. B. IB. LI. O. T. E. Electricidad estática, polvo, suciedad y calor: Otro de los aspectos de una buena administración de red es manejar los factores ambientales que pueden afectar a una red. Si se controlan estos factores, se puede obtener una red más estable y confiable. Acondicionamiento de la alimentación: Se debe proteger el equipo contra las irregularidades del cableado eléctrico del edificio. La forma más sencilla de proteger el equipo de red y computadores es colocarlos en circuitos individuales en el edificio. Dispositivos que se pueden utilizar para controlar las irregularidades del suministro eléctrico:. 17 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(32) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. . Transformador separador: Controla los picos de voltaje y el ruido. . MEJORAR. de alta frecuencia.. Reguladores: Mantienen un voltaje de salida constante a pesar de los cambios en el voltaje de la línea de alimentación durante un período de tiempo prolongado. Maneja problemas tales como apagones parciales y sobre voltaje.. S. Acondicionador de línea: Este es un regulador con un. A.  . IC. transformador separador incorporado.. Sistema de alimentación ininterrumpida: Básicamente, este. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. es un cargador de batería que carga una batería que a su vez alimenta el computador. Este dispositivo permite que el computador funcione incluso si hay una falla de alimentación. Interferencia. electromagnética. e. interferencia. de. la. radiofrecuencia: Los componentes informáticos, tales como los suministros de alimentación y los monitores, así como también las luces fluorescentes, los motores eléctricos de gran tamaño y el cableado eléctrico pueden provocar interferencia electromagnética (EMI) e interferencia de radiofrecuencia (RFI) que pueden ser captadas por otros equipos y por cables que estén blindados de forma. B. IB. LI. O. T. E. inadecuada. Es posible que los componentes de un dispositivo fallen, pero esos componentes pueden hacer parecer que sea otra de las piezas la que provoca el problema.. b) Rendimiento de la Red El rendimiento de la red es una medición de la rapidez y la confiabilidad de la red. Se puede comparar una red con un automóvil. Es necesario que el automóvil se pueda cerrar (seguridad) y que tenga una rueda de repuesto (redundancia), pero esto constituye solamente una parte del automóvil. La otra parte es cuán rápido puede acelerar desde 0 a 100 (rapidez) y cuando aprieta los frenos, que estos cumplan con su trabajo (confiabilidad). 18. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

(33) Biblioteca Digital - Dirección de SistemasSISTEMA de Informática y DE Comunicación - UNT SEGURIDAD. PERIMETRAL PARA PERFORMANCE DE UNA RED DE DATOS EMPRESARIAL. MEJORAR. Estos aspectos del rendimiento se deben verificar para saber si se mantiene un. rendimiento. adecuado.. Cada. combinación del. hardware, software y cableado de la red y de los computadores tiene un rendimiento de red distinto. Esto nos lleva a la conclusión de que, para saber si la red funciona de forma defectuosa, se debe. A. rendimiento. Esta medición se denomina nivel básico.. S. contar con una medición con la que se pueda comparar el. IC. Nivel básico, actualizaciones: Se establece después de que se ha instalado y configurado la red de forma adecuada, se puede utilizar. C Y A M D A E T C E IE M N Á C T I IC A A S S FÍ. S. una herramienta o un paquete de control de red, tal como: . Fluke LAN Meter. . Programa de control de red de Windows NT.. A medida que la red crece y cambia, la medición del nivel básico, se debe actualizar periódicamente. Cuando se actualiza un sistema se actualiza el hardware y los controladores de software que controlan el hardware. c). Administración del Servidor. Comunicación de par a par: Hay dos tipos de redes que los. B. IB. LI. O. T. E. administradores de red deben conocer, estas son: Red par a par (red de grupo de trabajo). Está diseñada para una cantidad pequeña de estaciones de trabajo. Microsoft recomienda que no haya más de diez usuarios en una red de par a par. . Ventajas El costo inferior de creación y operación en comparación con las redes cliente-servidor. Permite que los usuarios controlen sus propios recursos.. 19 Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.

Referencias

Descargar ahora ( PDF - 165 página - 3.11 MB )

Outline

DESARROLLO DE LA METODOLOGIA

Documento similar

Formato pdf

Debido al riesgo de producir malformaciones congénitas graves, en la Unión Europea se han establecido una serie de requisitos para su prescripción y dispensación con un Plan

ficha técnica

Como medida de precaución, puesto que talidomida se encuentra en el semen, todos los pacientes varones deben usar preservativos durante el tratamiento, durante la interrupción

Alumnado y grupos de Educación de Personas Adultas por curso, modelo lingüístico y red. Datos de matrícula para el curso 2016-2017.

[r]

UNIVERSIDAD NACIONAL DE TRUJILLO FACULTAD DE CIENCIAS BIOLÓGICAS

Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir bajo la misma

Informes de auditoría de cuentas de Red.es

En nuestra opinión, las cuentas anuales de la Entidad Pública Empresarial Red.es correspondientes al ejercicio 2012 representan en todos los aspectos

Informes de auditoría de cuentas de Red.es

La Intervención General de la Administración del Estado, a través de la Oficina Nacional de Auditoría, en uso de las competencias que le atribuye el artículo 168

Informes de auditoría de cuentas de Red.es

La Intervención General de la Administración del Estado, a través de la Oficina Nacional de Auditoría, en uso de las competencias que le atribuye el artículo

Trujillo-Perú 2021

Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. Esta obra ha sido publicada bajo la