1.

2 Segmentacin Trafico, Niveles de Seguridad

Segmentacin
Hay dos motivos fundamentales para dividir una LAN en segmentos. El primer motivo es aislar el trfico entre
fragmentos, y obtener un ancho de banda mayor por usuario. Si la LAN no se divide en segmentos, las LAN
cuyo tamao sea mayor que un grupo de trabajo pequeo se congestionaran rpidamente con trfico y
saturacin y virtualmente no ofreceran ningn ancho de banda. La adicin de dispositivos como, por ejemplo,
puentes, switches y routers divide la LAN en partes ms pequeas, ms eficaces y fciles de administrar.
Al dividir redes de gran tamao en unidades autnomas, los puentes y los switches ofrecen varias ventajas.
Un puente o switch reduce el trfico de los dispositivos en todos los segmentos conectados ya que slo se
enva un determinado porcentaje de trfico. Ambos dispositivos actan como un cortafuego ante algunos de
red potencialmente perjudiciales. Tambin aceptan la comunicacin entre una cantidad de dispositivos mayor
que la que se soportara en cualquier LAN nica conectada al puente. Los puentes y los switches amplan la
longitud efectiva de una LAN, permitiendo la conexin de equipos distantes que anteriormente no estaban
permitidas.
Aunque los puentes y los switches comparten los atributos ms importantes, todava existen varias diferencias
entre ellos. Los switches son significativamente ms veloces porque realizan la conmutacin por hardware,
mientras que los puentes lo hacen por software y pueden interconectar las LAN de distintos anchos de banda.
Una LAN Ethernet de 10 Mbps y una LAN Ethernet de 100 Mbps se pueden conectar mediante un switch. Los
switches pueden soportar densidades de puerto ms altas que los puentes. Por ltimo, los switches reducen
las saturaciones y aumentan el ancho de banda en los segmentos de red ya que suministran un ancho de
banda dedicado para cada segmento de red.
La segmentacin por routers brinda todas estas ventajas e incluso otras adicionales. Cada interfaz (conexin)
del router se conecta a una red distinta, de modo que al insertar el router en una LAN se crean redes mas
pequeas. Esto es as porque los routers no envan los broadcasts a menos que sean programados para
hacerlo. Sin embargo, el router puede ejecutar las funciones de puenteo y transmisin de informacin. El
router puede ejecutar la seleccin de mejor ruta y puede utilizarse para conectar distintos medios de red (una
zona con fibra ptica y otra con UTP) y distintas tecnologas de LAN simultneamente. El router, en la
topologa del ejemplo conecta las tecnologas de LAN Ethernet, Token Ring y FDDI, dividiendo la LAN en
segmentos, pero hace muchas cosas ms. Los routers pueden conectar las LAN que ejecutan distintos
protocolos (IP vs. IPX vs. AppleTalk) y pueden tener conexiones con las WAN.

Trafico
Trafico se puede definir como el proceso de distribuir sobre toda la topologa de la red el trafico circulante,
con el fin de evitar congestiones y enlaces saturados. La mejora de la utilizacin no implica necesariamente
que se obtenga el mejor camino para toda la red, pero si el mejor camino para un determinado tipo de trfico.
Son la diferentes funciones necesarias para planificar, disear, proyectar, dimensionar, desarrollar y
supervisar redes de telecomunicaciones en condiciones ptimas de acuerdo a la demanda de servicios,
margenes de beneficios de la explotacin, calidad de la prestacin y entorno regulatorio y comercial

Niveles de Seguridad
La definicin y el objetivo de la seguridad en redes es mantener la integridad, disponibilidad, privacidad (sus
aspectos fundamentales) control y autenticidad de la informacin manejada por computadora, a travs de
procedimientos basados en una poltica de seguridad tales que permitan el control de lo adecuado
Amenazas que existen en la seguridad en redes.

Podemos clasificar a la seguridad en redes en 2 tipos, y de ellos se subdividen en la siguiente tabla

SEGURIDAD FSICA.
La seguridad fsica es la aplicacin de barreras fsicas y procedimientos de control, como medidas de
prevencin y contramedidas ante amenazas a los recursos e informacin confidencial
La seguridad fsica se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de
computo as como los medios de acceso remoto del mismo; implementados para proteger el hardware y
medios de almacenamiento de datos. Es muy importante, que por ms que nuestra organizacin sea la ms
segura desde el punto de vista de ataques externos, hackers, virus, etc; la seguridad de la misma ser nula
si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a
la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una
sala de operaciones de la misma. Esto puede derivar en que para un atacante sea mas fcil lograr tomar y
copiar una cinta de la sala, que intentar acceder va lgica a la misma
SEGURIDAD LGICA
Consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y solo se permita
acceder a ellos a las personas autorizadas para hacerlo. Despus de ver como nuestra red puede verse
afectado por la falta de seguridad fsica, es importante recalcar que la mayora de los daos que puede sufrir
un sitio de cmputo, no ser sobre los medios fsicos, sino, contra informacin por l almacenada y procesada.
As, la seguridad fsica, solo es una parte del amplio espectro que se debe cubrir para no vivir con una
sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la
informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas
tcnicas las brinda la seguridad lgica
Los objetivos que se plantean para la seguridad lgica son:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los
programas ni los archivos que no correspondan.

3. Asegurar que se estn utilizando los archivos y programas correctos en y por el procedimiento correcto.
4. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro.
5. Que la informacin recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

NIVELES DE SEGURIDAD INFORMTICA.

El estndar de niveles de seguridad ms utilizado internacionalmente es el TCSEC Orange Book 2 , desarrollo
en 1983 de acuerdo a las normas de seguridad en computadoras del departamento de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del sistema operativo y se enumeran desde el mnimo
grado de seguridad al mximo.
NIVEL D
Este nivel contiene solo una divisin y est reservada para sistemas que han sido evaluados y no cumplen
con ninguna especificacin de seguridad. Sin sistemas no confiables, no hay proteccin para el hardware, el
sistema operativo es inestable y no hay autenticacin con respecto a los usuarios y sus derechos en el acceso
a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de macintosh.
NIVEL C1: PROTECCIN DISCRECIONAL.
Se requiere identificacin de usuarios que permite el acceso a distinta informacin. Cada usuario puede
manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del sistema, quien
tiene control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas por este super
usuario; quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralizacin de los
sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres personas cumpliendo este
rol. Esto es un problema, pues no hay forma distinguir entre los cambios que hizo cada usuario
A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1:
Acceso de control discrecional: distincin entre usuarios y recursos. Se podran definir grupos de usuarios
(con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar
usuarios o grupos de ellos.
Identificacin y autenticacin: se requiere que un usuario se identifique antes de comenzar a ejecutar
acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o
identificacin.

NIVEL C2: PROTECCIN DE ACCESO CONTROLADO.

Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con caractersticas adicionales que
crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso
a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan
acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos,
sino tambin en los niveles de autorizacin Requiere que se audite el sistema. Este auditoria es utilizada para
llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios. La auditora requiere de autenticacin adicional para estar seguros
de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos
Adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la
autorizacin para realizar algunas tareas de administracin del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema, ya que es cada
usuario quien ejecuta el trabajo y no el administrador del sistema
NIVEL B1: SEGURIDAD ETIQUETADA.
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta
y ultra secreta. Se establece que el dueo del archivo no puede modificar los permisos de un objeto que est
bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc). Se lo asigna una etiqueta,
con un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc). Y con unas categoras
(contabilidad, nominas, ventas, etc). Cada usuario que accede a un objeto debe poseer un permiso expreso
para hacerlo y viceversa. Es decir que cada usuario tienes sus objetos asociados. Tambin se establecen

controles para limitar la propagacin de derecho de accesos a los distintos objetos

NIVEL B2: PROTECCIN ESTRUCTURADA.
Requiere que se etiquete cada objeto de nivel superior por ser parte de un objeto inferior. La proteccin
estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de
seguridad en comunicacin con otro objeto a un nivel inferior. As, un disco ser etiquetado por almacenar
archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus
condiciones de accesibilidad y seguridad son modificadas, y el administrador es el encargado de fijar los
canales de almacenamiento y ancho de banda a utilizar por los dems usuarios.
NIVEL B3: DOMINIOS DE SEGURIDAD.
Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de
memoria, se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos
de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de
cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido. Todas las
estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante
posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una
conexin segura. Adems, cada usuario tiene asignado los lugares y objetos a los que pueda acceder.
NIVEL A: PROTECCIN VERIFICADA.
Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante mtodos formales
(matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El
diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales
encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante
traslados o movimientos de equipamiento.

https://sites.google.com/site/rauloko88/redes-1/segmentacion

http://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Seguridad%20en%20redes.pdf