Documente Academic
Documente Profesional
Documente Cultură
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
4.
Ernesto Pérez Estévez
Introducción
MODULO 1.
La seguridad lógica no es más que el conjunto de medidas
MODULO 2. que se toman en los sistemas, en el software, con miras
a proteger la información que se guarda en ellos, permi-
MODULO 3. tiendo que solamente las personas que demuestren estar
autorizadas puedan acceder a los datos de estos siste-
MODULO 4. mas. Quien no esté autorizado no podrá acceder a esta in-
Seguridad lógica
formación. También son las medidas lógicas que se toman
con la finalidad de minimizar el riesgo de que los sistemas
MODULO 5.
sufran abusos ya sea por fallas que puedan ser explotadas
MODULO 6. en ellos o por su exposición indebida a Internet.
MODULO 2.
Zonas de un firewall
MODULO 11. Ahora, al tener dos zonas —los equipos que están en la
LAN, la red local y los que están en Internet, la WAN— po-
MODULO 12.
demos comenzar a poner restricciones para el acceso de
Curso los equipos que estén en la WAN a equipos que estén en la
Introductorio LAN o viceversa.
de Seguridad
Autor:
Ernesto Pérez Estévez
MODULO 1.
MODULO 2.
MODULO 3.
PC 1
MODULO 4.
Seguridad lógica
MODULO 5.
PC 2
MODULO 6.
Firewall
MODULO 7.
MODULO 8. PC X
MODULO 9.
MODULO 10. Por defecto, un cortafuegos debe ser restrictivo. Esto es:
al iniciar el firewall por primera vez, debe bloquear todo
MODULO 11. tipo de acceso, principalmente de la WAN a la LAN, pero
igual debería bloquear también accesos desde la LAN
MODULO 12.
hacia la WAN.
Curso
Introductorio
de Seguridad Bloquear intentos de ingreso a LAN
Autor:
Ernesto Pérez Estévez PC 1
MODULO 1.
MODULO 2.
PC 2
MODULO 3.
Firewall
MODULO 4.
Seguridad lógica
PC X
MODULO 5.
MODULO 3.
MODULO 5.
PC 1
MODULO 6.
MODULO 7.
PC 2
MODULO 8.
Firewall
MODULO 9.
MODULO 10. PC X
MODULO 11.
Servidor Servidor
Maill Web
MODULO 12.
Curso ¿Por qué? Porque si fueran atacados y comprometidos, el
Introductorio atacante solamente podría acceder a los recursos que es-
de Seguridad tán en la zona, en la DMZ y no podría atacar a otros equi-
pos en las otras zonas.
Autor:
Ernesto Pérez Estévez
A continación se presenta un breve resumen de lo expuesto:
MODULO 1.
MODULO 2.
PC 2
MODULO 3.
Firewall
MODULO 4.
Seguridad lógica
PC X
MODULO 5.
MODULO 6.
MODULO 5.
MODULO 6.
MODULO 7.
PC 1
MODULO 8.
MODULO 9.
MODULO 10. PC 2
Firewall Firewall
Interno Externo
MODULO 11.
Servidor Servidor
Web Mail
MODULO 12. PC X
Curso Firewall con DMZ, estructura actual
Introductorio
de Seguridad Actualmente se opta por tener un solo equipo cortafuegos
que cumple la misma función del firewall simple que se
Autor:
Ernesto Pérez Estévez mencionó con anterioridad: permite navegar desde la LAN
hacia la WAN, pero nada puede entrar a la LAN.
MODULO 1.
MODULO 2.
Bloquear intentos de ingreso a LAN
MODULO 3.
MODULO 4.
PC 1
Seguridad lógica
MODULO 5.
MODULO 6.
PC 2
MODULO 7.
Firewall
MODULO 8.
MODULO 9.
PC X
MODULO 10.
MODULO 11.
Servidor Servidor
MODULO 12. Mail Web
Curso A esto se añade una nueva interfaz, llamada la zona DMZ. Y
el único firewall se configura para que desde la LAN se pue-
Introductorio da acceder a la WAN (navegar en Internet, por ejemplo) y a
de Seguridad equipos de la DMZ, a la vez que se impide que desde la DMZ
Autor: y la WAN se acceda a la LAN y se configuran pocas conexio-
Ernesto Pérez Estévez nes desde la WAN hacia la DMZ según nos necesario.
MODULO 12.
Curso Filtrado de paquetes por puerto
Introductorio
de Seguridad El firewall debe tener la capacidad de detectar cuando un
paquete está llegando a un puerto en específico y blo-
Autor:
Ernesto Pérez Estévez quear, o permitir, la entrada a este puerto para evitar que
se acceda al servicio que está escuchando en este puerto.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez
MODULO 1.
PC 1
MODULO 2.
MODULO 3.
MODULO 4.
Seguridad lógica PC 2
MODULO 5. Firewall
MODULO 6.
MODULO 7. PC X
MODULO 8. 80/TCP
MODULO 9.
Servidor Servidor
MODULO 10. Mail Web
MODULO 11.
MODULO 12.
Curso • Filtrado de paquetes por IP
Introductorio
de Seguridad La idea aquí es similar al caso anterior: el cortafuegos
debe tener la capacidad de detectar cuando un paquete
Autor:
Ernesto Pérez Estévez está llegando a un equipo nuestro desde una IP específica
(IP de origen del paquete) y bloquear, o permitir, el acceso
a este equipo desde esa IP específica.
MODULO 1.
MODULO 2.
También puede darse el caso contrario: el firewall debe
poder determinar cuando un paquete va dirigido (destina-
MODULO 3. do) a una IP específica en nuestra red y bloquear, o permi-
tir, el acceso a esta IP.
MODULO 4.
Seguridad lógica Por ejemplo: tenemos un servidor web y queremos que
puedan acceder a él los equipos de nuestra red LAN ade-
MODULO 5. más de los de la IP de nuestra sucursal en México. La IP de
MODULO 6. nuestra sucursal en México es la 1.2.3.4, para lo que debe-
mos indicarle al cortafuegos que:
MODULO 7.
1. PERMITA toda conexión desde la LAN hacia el puerto
MODULO 8. 80/TCP de este equipo
2. PERMITA toda conexión desde la IP 1.2.3.4 hacia el
MODULO 9.
puerto 80/TCP de este equipo
MODULO 10. 3. PROHIBA todo otro intento de conexión hacia este
equipo.
MODULO 11.
Como se puede ver, respecto al caso anterior, solamente
MODULO 12.
se agregó una regla después de la primera, que permitiera
Curso conexiones desde la IP 1.2.3.4. Para mayor seguridad, se
Introductorio permitieron conexiones desde la 1.2.3.4 exclusivamente al
de Seguridad puerto 80/TCP del equipo y a ningún otro puerto.
Autor:
Ernesto Pérez Estévez El resto de intentos de conexión se captura en la última
regla, la 3, que prohíbe toda conexión desde la WAN hacia
este equipo.
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
Seguridad lógica PC 1 IP. 1.2.3.4
MODULO 5.
MODULO 6.
PC 2
MODULO 7.
Firewall
MODULO 8.
MODULO 9. PC X
MODULO 10.
80/TCP
MODULO 11.
Servidor Servidor
Mail Web
MODULO 12.
Curso
Introductorio • Filtrado de paquetes por cantidad
de Seguridad
Es preferible llamarlo throttling, ya que es similar a un
Autor:
Ernesto Pérez Estévez cuello de botella. No implica más que la capacidad de de-
finir cuántos paquetes que cumplan una condición pue-
den llegar a un servidor y definir un límite de conexiones
MODULO 1. en un período de tiempo (segundos o minutos son los
MODULO 2.
valores típicos).
MODULO 2.
2. PROHIBA cualquier paquete SYN con destino al puerto
25/TCP que esté por encima de los cinco nuevos paque-
MODULO 3. tes por segundo.
MODULO 2.
Lógicamente, imponer restricciones tiene sus costos. Por
ejemplo, en medio de un ataque un servidor legítimo que
MODULO 3. quiere enviar un correo envía su paquete SYN para abrir
su conexión con el servidor, y lo más probable es que el
MODULO 4. servidor rechace el intento, porque lo hemos configurado
Seguridad lógica para que acepte solamente cinco conexiones SYN por se-
gundo y le están llegando 101 (cien del atacante más una
MODULO 5. del servidor que legítimamente quiere enviar un correo).
MODULO 6. En este caso, el servidor legítimo tendrá que reintentar
varias veces hasta lograrlo.
MODULO 7.
¿Cómo se puede evitar en parte este problema? Quizás
MODULO 8. elevando el valor en dependencia de cuán poderoso sea el
equipo: si tiene mucha RAM, quizás cinco conexiones SYN
MODULO 9.
por segundo sea poco y amerite subirlo a diez o veinte.
MODULO 10. Son aspectos que deben valorarse en relación con nues-
tra red. Para finalizar este apartado, resta comentar que
MODULO 11. normalmente de tres a cinco conexiones nuevas (SYN) por
segundo son muy apropiadas para una organización de
MODULO 12.
tamaño pequeño a medio.
Curso
Introductorio
de Seguridad
Autor: PC 1
Ernesto Pérez Estévez
MODULO 1.
PC 2
MODULO 2.
MODULO 3.
MODULO 4. Servidor
PC 3
Seguridad lógica Mail
MODULO 5.
PC 4
MODULO 6.
Firewall Límite
SMTP: 5/s
MODULO 7.
MODULO 8. PC 5
MODULO 9.
MODULO 10.
PC 6
MODULO 11.
MODULO 12.
Curso • NAT en origen (Network Address Translation)
1
http://businessresearcher.
sagepub.com/sbr-1863-
Introductorio 102197-2772812/20170306/
de Seguridad Significa ‘traducción de direcciones de red’ y es una forma more-than-28-billion-devices-
connect-via-internet-of-things
de que un equipo, el cortafuegos, reciba paquetes de una
Autor:
Ernesto Pérez Estévez red privada y los envíe en su nombre hacia una red pública.
MODULO 11. ¿Qué hace el NAT? Se puede entender al NAT como un tipo
de proxy. Cuando un equipo de una red LAN que tiene una
MODULO 12.
Curso IP privada quiere enviar un paquete a un sitio de Internet
Introductorio que tiene una IP pública, envía este paquete al firewall,
de Seguridad pero hay un problema: el paquete proviene (tiene su ori-
gen) de una IP privada. Las IP privadas no deben circular
Autor:
Ernesto Pérez Estévez por Internet, por lo que nuestro cortafuegos cambia el
encabezado del paquete y pone como origen la IP pública
del firewall: lo «traduce» de la IP privada a su IP pública.
MODULO 1. Entonces lo envía a su destino en Internet.
MODULO 2.
MODULO 3.
MODULO 7.
MODULO 8.
Tabla NAT:
MODULO 9. IP Origen: IP Destino: IP Pública Origen:
Puerto Origen Puerto Destino Puerto Público Origen
192.168.1.3:3456 20.30.40.50.80 1.2.3.4:8897
MODULO 10.
MODULO 11.
MODULO 12.
Curso El servidor de destino piensa que quien le ha enviado el
Introductorio paquete es el cortafuegos, que tiene la IP pública, y le res-
de Seguridad ponde a esta IP pública.
Autor:
Ernesto Pérez Estévez El firewall tiene anotado en una tabla en la RAM (ver Ta-
bla NAT en la imagen anterior) una lista de paquetes que
ha «traducido», así que cuando le llega la respuesta del
MODULO 1. servidor de Internet, el cortafuegos revisa en su tabla y
MODULO 2.
encuentra cuál fue el equipo que originó la petición. En-
tonces, «traduce» el encabezado del paquete, le quita
MODULO 3. al encabezado su IP pública, que era el destino final, y le
pone la IP privada del equipo de la red LAN que originó el
MODULO 4. paquete, para enviar entonces este paquete al equipo de
Seguridad lógica la red LAN.
MODULO 5. A continuación se describe el proceso de la imagen
MODULO 6. anterior:
MODULO 11. El SNAT es una solución bastante popular para evitar que
se agoten las pocas IPv4 públicas del mundo, pues a un
MODULO 12.
cortafuegos se le pone una IPv4 pública en la WAN, y en la
Curso LAN conectada al firewall hay decenas o cientos de equi-
Introductorio pos con IPv4 privadas. Una red contiene decenas o cien-
de Seguridad tos de equipos pero hace uso de una sola IPv4 pública.
Autor:
Ernesto Pérez Estévez Esto contribuyó mucho a disminuir el ritmo al que se con-
sumían las IPv4 en el planeta. De todas formas, el cre-
cimiento explosivo de Internet ha ido agotando las IPv4
MODULO 1. disponibles y es por ello que desde hace varios años se ha
MODULO 2.
comenzado a implementar con mucha fuerza una nueva
versión de IP: IPv6 con la finalidad de salir de estos pro-
MODULO 3. blemas que provoca el agotamiento de las IPv4.
MODULO 7. Por ejemplo: en una DMZ hay dos servidores. Uno de ellos
es un servidor de correos que recibe los mails por el puer-
MODULO 8. to 25/TCP y el otro es un servidor web que atiende en el
puerto 80/TCP. Pero hay una sola IPv4 pública, ya que el
MODULO 9.
proveedor no puede facilitar más que una. ¿A quién se le
MODULO 10. asignaría? ¿Al servidor web? Si fuera así, no se recibirían
correos. ¿Al servidor de correos? Entonces no se vería el
MODULO 11. sitio web.
MODULO 12.
Curso Lo mejor sería asignarle la única IPv4 pública a la interfaz
Introductorio WAN del cortafuegos y crear dos reglas en él que dirían que:
de Seguridad
1. A TODO paquete con destino al puerto 25/TCP de la úni-
Autor:
Ernesto Pérez Estévez ca IP pública le cambie la IP de destino y le ponga de IP de
destino la IP privada del servidor de correos, para enviarlo
entonces hacia el servidor de correos.
MODULO 1.
MODULO 2.
2. A TODO paquete con destino al puerto 80/TCP de la
única IP pública le cambie la IP de destino y le ponga de
MODULO 3. IP de destino la IP privada del servidor web, para enviarlo
entonces hacia el servidor web.
MODULO 4.
Seguridad lógica
MODULO 5.
MODULO 9.
Servidor Mail Server de Correo
MODULO 10. IP Privada: 192.168.1.3.5 DNAT Remoto
Puerto 25/TCP
Tabla DNAT:
MODULO 11. IP Pública Origen: IP Privada:
Puerto Público Puerto Privado
MODULO 12. 1.2.3.4:25 192.168.1.5:25
1.2.3.4:80 192.168.1.3:80
Curso Como se puede observar, se ha logrado reenviar los pa-
Introductorio quetes que van con destino (por eso la D de DNAT) al
de Seguridad puerto 80/TCP de la IP pública hacia el servidor de co-
rreos, y los que van con destino a la 25/TCP de la IP públi-
Autor:
Ernesto Pérez Estévez ca hacia el servidor web. Así, con una sola IP se han podi-
do brindar servicios situados en dos servidores diferentes.
MODULO 1.
• Redireccionamiento
MODULO 2.
es un caso muy similar a los anteriores. Como se puede
MODULO 3. ver, en los otros ejemplos se modificaban las IP de origen
y de destino de los paquetes. Ahora, nada impide que se
MODULO 4. pueda modificar también el puerto de destino de los pa-
Seguridad lógica quetes si fuera necesario.
MODULO 5.
Por ejemplo: hay dos servidores web (WEB1 y WEB2), cada
MODULO 6. uno con su IP privada y se quiere hacerlos accesibles des-
de Internet. No se puede aplicar un simple DNAT como en
MODULO 7. el caso anterior, pues el puerto 80/TCP es solo uno y hay
dos servidores web. No es posible que el único puerto 80/
MODULO 8. TCP de una IP pública haga DNAT hacia dos destinos dife-
MODULO 9. rentes: solamente puede hacerlo hacia uno.
MODULO 10. Por lo tanto, lo que se puede hacer es usar otros puertos,
de modo que:
MODULO 11.
1. A TODO paquete con destino al puerto 8001/TCP de una
MODULO 12.
única IP pública, se le cambie la IP de destino y se le ponga
Curso de IP de destino la IP privada del servidor WEB1 y también
Introductorio se le cambie el puerto de destino, del 8001/TCP al 80/TCP,
de Seguridad y entonces se lo envíe hacia el servidor WEB1.
Autor:
Ernesto Pérez Estévez 2. A TODO paquete con destino al puerto 8002/TCP de
una única IP pública, se le cambie la IP de destino y se le
ponga de IP de destino la IP privada del servidor WEB2 y
MODULO 1. también se le cambie el puerto de destino, del 8002/TCP
MODULO 2.
al 80/TCP, entonces se lo envíe hacia el servidor WEB2.
MODULO 3.
MODULO 4.
Seguridad lógica
IP Pública: Puerto
MODULO 5. Servidor Web
1.2.3.4:8002
IP Privada: 192.168.1.3 PC 1
Puerto 80/TCP
MODULO 6.
MODULO 9.
Servidor Web DNAT
PC 2
IP Privada: 192.168.1.5
MODULO 10. Puerto 80/TCP
Tabla DNAT:
MODULO 11. IP Pública: Puerto Público IP Privada: Puerto Privado
1.2.3.4:8001 192.168.1.5:80
MODULO 12. 1.2.3.4:8002 192.168.1.3:80
Curso Es decir, si alguien accede a la IP pública por el puerto
Introductorio 8001/TCP se lo enviará al puerto 80/TCP de la IP privada
de Seguridad del servidor WEB1. Y si alguien accede a la IP pública por el
puerto 8002/TCP se lo enviará al puerto 80/TCP de la IP
Autor:
Ernesto Pérez Estévez privada del servidor WEB2.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor: Usuario normal
Ernesto Pérez Estévez
MODULO 1.
MODULO 3.
MODULO 4.
Seguridad lógica Intruso
BD de Amenazas
MODULO 5.
MODULO 6.
MODULO 11.
MODULO 12.
Curso Redes privadas virtuales
Introductorio
de Seguridad Se las conoce en inglés como Virtual Private Networks (VPN).
Son al momento una excelente forma de garantizar la con-
Autor:
Ernesto Pérez Estévez fidencialidad de la información que viaja a través de un am-
biente que no se controla y que puede no ser confiable.
MODULO 6.
MODULO 7.
MODULO 8.
A B
MODULO 9. 20.30.40.50 50.60.70.80
MODULO 10.
MODULO 11.
MODULO 12.
Curso Cualquier comunicación que envíe A desde su IP
Introductorio 20.30.40.50 hacia la IP 50.60.70.80 de B viajará por Inter-
de Seguridad net como cualquier paquete IP: en texto, claro. La IP no
encripta la información. Las comunicaciones encriptadas
Autor:
Ernesto Pérez Estévez pueden ocurrir encima del protocolo IP, en las capas su-
periores del modelo OSI. Por ejemplo si usan HTTPS, es el
servidor web en la capa de presentación o aplicación del
MODULO 1. modelo OSI que encriptarán, pero eso es porque se usó
MODULO 2.
HTTPS. Si no se usa HTTPS sino cualquier otro protocolo,
la información puede haber viajado sin ser encriptada.
MODULO 3.
Si hubiera, por ejemplo, un intruso en medio de la comu-
MODULO 4. nicación, interfiriendo en la conversación, como en la si-
Seguridad lógica guiente imagen, este intruso podrá observar, o escuchar,
todo lo que circula a través de la red y podrá obtener infor-
MODULO 5. mación que seguramente no es deseable que sea pública.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
A B
MODULO 10. 20.30.40.50 50.60.70.80
MODULO 11.
MODULO 12.
Intruso
Curso En este caso, una VPN establece una especie de canal vir-
Introductorio tual (la línea roja discontinua de la siguiente imagen). Este
canal no es real, sino que es virtual (por ello la V de VPN).
de Seguridad No hay que pagar por un enlace adicional, sino que este
Autor: canal implica que antes de enviar la información a través
Ernesto Pérez Estévez del canal de Internet, la información se encripta y se envía
por el mismo canal:
MODULO 1.
10.8.0.1 10.8.0.2
MODULO 2.
MODULO 3.
MODULO 4.
A B
Seguridad lógica 20.30.40.50 50.60.70.80
MODULO 5.
MODULO 6.
Intruso
MODULO 7.
MODULO 8.
Para ello se usa un grupo de IP dedicadas solamente a la
MODULO 9. VPN, indicadas en rojo sobre cada equipo en la imagen.
MODULO 10.
Ahora, si A envía un paquete a la IP 10.8.0.2 de B, antes
MODULO 11. de salir de A este paquete es encriptado y luego se envía
a B. Al llegar a B, este lo descifrará y hará un uso normal
MODULO 12. del paquete cifrado.
Si hubiera un intruso escuchando (como en la imagen),
Curso al no tener las claves para cifrar/descifrar la información
Introductorio encriptada, no podrá conocer los contenidos del paquete
de Seguridad y se mantendría así la confidencialidad.
Autor:
Ernesto Pérez Estévez Un detalle que es necesario acotar es que si A envía un
paquete a la IP 50.60.70.80 de B, este paquete no será
cifrado. Solamente se cifran/descifran los paquetes que
MODULO 1.
viajen a través de la red de la VPN (10.8.0.1 y 10.8.0.2 en
MODULO 2. este caso). En las VPN de host a host como en este ejem-
plo se debe tener mucho cuidado sobre a qué IP se envía
MODULO 3. el paquete, pues si es a la IP asignada a la red del equipo,
no se encripta la información.
MODULO 4.
Seguridad lógica
VPN de host a red
MODULO 5.
Conocida también como RoadWarrior (guerrero de la ca-
MODULO 6. rretera), es una de las VPN más usadas y permite conec-
tar a un equipo de forma remota a una red.
MODULO 7.
Imaginemos que necesitamos salir a trabajar fuera de la red
MODULO 8.
organizacional: en otra ciudad, en otro país, o en nuestra
MODULO 9. casa. ¿Hay una forma de que nuestro equipo remoto pueda
conectarse desde otro país a los recursos de la red? ¿Es po-
MODULO 10. sible acceder a la base de datos interna de la empresa, a sus
impresoras o a la red de telefonía interna de la empresa? Con
MODULO 11.
una VPN RoadWarrior se puede, ya que está concebida para
MODULO 12. que un equipo que esté fuera (el guerrero de la carretera)
pueda acceder de forma segura a recursos de una red local.
Nuestra red LAN
Curso 192.168.1.0/24
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez
Impresora
192.168.1.5
MODULO 1. Intranet
192.168.1.3
MODULO 2.
MODULO 3.
RoadWarrior: Servidor de VPN
MODULO 4. Laptop nuestra en nuestra organización
Seguridad lógica en un aeropuerto 50.60.70.80
en otro país
20.30.40.50
MODULO 5.
BD
MODULO 6. 192.168.1.4
MODULO 7.
MODULO 1.
MODULO 2.
MODULO 3. Impresora
192.168.1.5
MODULO 4. 10.8.0.5 10.8.0.4
Intranet
Seguridad lógica 192.168.1.3
MODULO 5.
MODULO 9. BD
192.168.1.4
MODULO 10.
MODULO 2.
Nuestra red LAN
192.168.1.0/24
MODULO 3.
MODULO 4.
Seguridad lógica
MODULO 8.
RoadWarrior: Servidor de VPN
MODULO 9. Laptop nuestra en nuestra organización
en un aeropuerto 50.60.70.80
MODULO 10. en otro país
20.30.40.50
MODULO 11.
BD
MODULO 12. 192.168.1.4
Curso Se le agrega así al equipo RoadWarrior una ruta estática.
La ruta estática le indica al RoadWarrior que, para llegar
Introductorio a la red LAN de la empresa (la 192.168.1.0/24), debe en-
de Seguridad viar los paquetes a la IP de la VPN del servidor: 10.8.0.4.
Autor: Como todos esos paquetes se enviarán a la red de la VPN
Ernesto Pérez Estévez (10.8.0.4), viajarán encriptados hasta el servidor. El servi-
dor los desencriptará y entregará a su destino, que en el
MODULO 1. ejemplo es 192.168.1.3: el servidor de Intranet.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
Nuestra red LAN
de Seguridad 192.168.1.0/24
Autor:
Ernesto Pérez Estévez Nuestra red LAN
192.168.2.0/24
MODULO 1.
Impresora
MODULO 2. 192.168.1.5
Intranet
MODULO 3. BD 192.168.1.3
192.168.2.9
MODULO 4. Impresora
Seguridad lógica 192.168.2.7
MODULO 5.
MODULO 11.
MODULO 12.
Curso Como se puede ver en la imagen, la red LAN de la matriz
Introductorio es la 192.168.1.0/24 y todos sus equipos comienzan con
de Seguridad esa IP. La red LAN de la sucursal es la 192.168.2.0/24 y to-
dos sus equipos tienen esa red. Es importante notar que la
Autor:
Ernesto Pérez Estévez numeración de ambas redes debe ser diferente: en la ma-
triz 192.168.1.0/24 y en la sucursal 192.168.2.0/24
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Nuestra red LAN Nuestra red LAN
Introductorio 192.168.2.0/24 192.168.1.0/24
de Seguridad
Autor:
Ernesto Pérez Estévez
Impresora
BD 192.168.1.5
MODULO 1. 192.168.2.9
Intranet
MODULO 2. Impresora
10.8.0.5 10.8.0.4
192.168.1.3
192.168.2.7
MODULO 3.
MODULO 4.
Seguridad lógica RoadWarrior: Servidor de VPN
Laptop nuestra en nuestra organización
en un aeropuerto 50.60.70.80
MODULO 5. en otro país
20.30.40.50
MODULO 6. Intranet BD
192.168.2.4 192.168.1.4
MODULO 7.
MODULO 8.
MODULO 2.
Lo mismo ocurre con una tarjeta bancaria: si tenemos una
tarjeta de débito de un banco, no podemos llegar y sim-
MODULO 3. plemente introducir la tarjeta y sacar dinero. De ser así,
nos podrían robar la tarjeta, introducirla en un cajero y
MODULO 4. retirar todo nuestro dinero. Y lo mismo ocurre con las tar-
Seguridad lógica jetas de crédito.
MODULO 5. ¿Cómo puede probar un usuario que es quien dice ser?
MODULO 6. Existen tres métodos de prueba para ello:
MODULO 11. • Facebook, Google (y muchos otros sitios, como los de los
bancos): luego de escribir el nombre de usuario se coloca
MODULO 12.
la contraseña (esto es lo que el usuario conoce). Estos si-
tios pueden solicitar entonces que el usuarion escriba un
Curso código de varias cifras que le haya sido previamente en-
Introductorio viado al celular o al correo electrónico registrado (esto es
de Seguridad lo que el usuarion posee).
Autor:
Ernesto Pérez Estévez • Algunos bancos: luego de escribir el nombre de usuario
se coloca la contraseña (esto es lo que el usuario cono-
ce). Estos sitios piden luego acercar el rostro a la cámara
MODULO 1. del teléfono o de la computadora para determinar que los
MODULO 2.
rasgos del usuario coinciden con los que registró en el
pasado. Para evitar que se utilice una foto y que no sea el
MODULO 3. propio usuario quien se acerca, se solicita también que la
persona pestañee.
MODULO 4.
Seguridad lógica Se sugiere que siempre que sea posible se activen los
métodos de autenticación en dos etapas, pues dificultan
MODULO 5. al atacante acceder a los sistemas, ya que no solamente
MODULO 6. debe conocer o romper contraseñas, sino que además de-
berá validar mediante un segundo método su identidad.
MODULO 7.
Autorización
MODULO 8.
La autenticación por parte de un usuario no significa que
MODULO 9.
tenga acceso a todos los datos de un sistema, ya que nor-
MODULO 10. malmente los sistemas dividen a los usuarios en grupos.
Siempre deben existir al menos dos grupos:
MODULO 11.
· Los usuarios administradores: tienen derecho a crear nue-
MODULO 12.
vos usuarios, a modificar sus datos, a eliminarlos y a cambiar
Curso sus permisos sobre las acciones que pueden desarrollar con
Introductorio el sistema y sobre a qué partes del sistema pueden acceder.
de Seguridad
· El resto de los usuarios: estos no son administradores,
Autor:
Ernesto Pérez Estévez pero pueden realizar un conjunto de acciones predefini-
das por los administradores.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.