Modelamiento de seguridad en diferentes tipos de redes

Fundamentos de redes y seguridad

Instituto IACC

25 de junio 2016
INSTRUCCIONES: Lea atentamente y conteste las preguntas.

Un sistema de red aplicado dentro de un ambiente corporativo, debe tener

como principales características el de ser seguro y escalable. Dentro de este
contexto, es necesario tener en cuenta las herramientas tanto de software
como de hardware necesarios para mantener dicha red en óptimas condiciones.
Bajo el supuesto de una red para una pequeña empresa, que cuenta con dos
sucursales ubicadas dentro de una misma ciudad y cuya actividad es la venta
de productos orgánicos.

1. Suponiendo que usted está a cargo de la seguridad de la información

corporativa, su principal preocupación es que toda la información de la empresa
está almacenada en un servidor central, por lo cual para la organización es de
vital importancia evitar los accesos de usuarios que no pertenecen a la empresa.
¿Qué herramientas de hardware y software les recomendaría utilizar para
securitizar “la red”? Fundamente su respuesta.

2. ¿De qué forma utilizaría dichas herramientas de software y hardware a ser

implementadas en la red, para asegurar un ambiente de funcionamiento seguro?
Fundamente su respuesta.
 Desarrollo

Sin duda que un sistema de red aplicado dentro de un ambiente corporativo

debe tener medidas de seguridad máximas para el buen resguardo de la
información y más aun considerando que en esta empresa toda la información
se encuentra en un solo servidor central.
Como encargado de la seguridad de la información corporativa se deben
emplear herramientas de software y hardware para en este caso particular
restringir el acceso a usuarios que no pertenecen a la empresa o en estricto
rigor restringir el acceso a usuarios no autorizados.
El control de acceso consta de tres pasos, la identificación, autentificación y
autorización, con estos tres principios el administrador del sistema podrá
controlar los recursos disponibles para los usuarios de esta organización.
Los objetivos del control de acceso:
 Impedir el acceso no autorizado a los sistemas de información.
 Implementar seguridad en los accesos de usuarios por medio de técnicas
de autenticación y autorización.
 Controlar la seguridad en la conexión entre la red de la organización y
otras redes públicas o privadas.
 Registrar y revisar eventos y actividades realizadas por los usuarios.
 Concientizar a los usuarios respecto de su responsabilidad frente a la
utilización de contraseñas y equipos.
 Garantizar la seguridad de la información cuando se utilizan instalaciones
de trabajo remoto.
Lo anterior mencionado se lleva a cabo con distintas herramientas de hardware
y software disponible. En cuanto al hardware podemos utilizar un buen router
como primera pared de acceso de usuarios, este nos permite filtrar el controlar
el acceso entre las redes, por ende, con este dispositivo se pueden aplicar
medidas como el bloqueo de acceso por telnet, con esto evitamos en cierta
medida los intentos de entrar a la red por esta vía, bloqueo del acceso por el
protocolo SNMP, se pueden desactivar los servicio no disponibles para evitar
accesos, también permite la autenticación de las actualizaciones de
enrutamiento.

También se pude emplear un Switch, al implementar este tipo de dispositivo es

importante considerar las siguientes precauciones para evitar el acceso no
autorizado.
 Desactivar l configuración en automático.
 Desactivar puertos que no necesiten enlaces troncales.
 Los puertos troncales deben ser numero de VLAN que no es
utilizado en ninguna otra parte del SWITCH.
 Desactivar todos os puertos no utilizados o bien asignarlos a una
VLAN que no tenga conectividad de capa de red.

También a través del Firewall se evitará que usuarios no autorizados tengan

acceso a las redes privadas conectadas a través de reglas de control y bloqueo
de acceso.
En cuanto a los pasos antes nombrados para un control de acceso tenemos:
1. La identificación: se refieren a los nombres de usuarios o tarjetas de
identificación que debe tener cada empleado de esta empresa, con esto
se identifica quienes son, este paso se realiza al iniciar su sesión en el
sistema.

2. La autenticación: criptográfica, esto a través de la creación de

contraseñas que tengan un mínimo de 8 caracteres, ente mayúsculas
minúsculas, números y caracteres especiales o a través de escáneres
biométricos, el objetivo de la autentificación es verificar la identidad del
usuario que intenta ingresar al sistema. Con esto evitamos en gran
medida lo ataques a los servidores de nuestra empresa que puedan tener
acceso a los recursos compartidos de la organización.

3. Autorización: se produce después que un usuario del sistema se autentica

y luego es autorizado a utilizar el sistema. El usuario esta generalmente
solo autorizado a usar parte de los recursos del sistema en función a su
papel dentro de la empresa y de los roles, permisos, privilegios o roles
que le fueron asignados.
Tenemos distintos tipos de control de acceso aplicables al sistema de nuestra
organización en los cuales se ponen en práctica los tres pasos anteriores, que
tiene la finalidad de evitar el ya nombrado acceso no autorizado, tenemos, por
ejemplo:

1. Gestión de acceso de usuario:

 Registro de usuarios.
 Gestión de privilegios.
 Gestión de contraseñas de usuario.
 Revisión de los derechos de acceso de los usuarios.

2. Control de acceso al sistema operativo:

 Procedimientos de conexión de terminales.
 Identificación y autenticación de los usuarios.
 Sistema de gestión de contraseñas.
 Utilización de utilidades del sistema.
 Término de sesiones.
 Limitación del tiempo de conexión.

3. Control de acceso a la información y aplicaciones:

 Restricción de acceso a la información.
 Asilamiento e sistemas sensibles.

4. Control de acceso a la red:

 Políticas de uso de los servicios de red.
 Autenticación para conexiones externas.
 Identificación de equipos de red.
 Protección a puertos de acceso remoto y configuración.
 Control de conexión a las redes.
 Control de enrutamiento en red.
En todos estas etapas para mi es importante resaltar la asignación de
privilegios, ya que su objetico es asegurar el acceso autorizado de usuario y
prevenir el acceso no autorizado a los sistemas de información, es importante
restringir y controlar el uso y asignación de privilegios a los usuarios de la
empresa según la necesidad de uso de cada uno, esto permite mantener un
proceso de autorización y un registro de todos los privilegios asignados y no
otorgar nuevos privilegios hasta que el proceso de autorización haya concluido.
Con esto evitamos que, al ser vulnerada la seguridad de algún usuario de
nuestra empresa, se realicen modificaciones ya que solo contara con los
privilegios que se le asignaron según su función.

Imagen referencial
 Bibliografía

 Contenido de la semana.

 http://www.segu-info.com.ar/logica/seguridadlogica.htm.

 http://ingenieriadelaseguridad.blogspot.cl/p/control-de-accesos.html.

 http://www.ecured.cu/Sistemas_de_control_de_acceso.

 http://www.monografias.com/administracion-del-control-accesos.html.

 Recursos adicionales.