Esquema de Seguridad

8-6-2015

Asignatura: Administracin De Redes

Unidad: IV

Carrera: Sistemas Computacionales

Equipo: Los Tomates Asesinos

Alumnos:

Martin Emmanuel Herrera Zavala

Juan Alfredo Maldonado Alamilla

Sergio Ivn Yam Dzul

Joel De Dios Pool

Semestre: 8 Grupo A

Docente: Jess Antonio Santos Tejero

1

Contenido ESQUEMA DE SEGURIDAD.........................................................................................................2

RIESGOS .........................................................................................................................................3

ELEMENTOS A PROTEGER ........................................................................................................4

ELEMENTOS FSICOS Y LGICOS ...........................................................................................5

ELEMENTOS FSICOS ..............................................................................................................5

ELEMENTOS LGICOS ..........................................................................................................10

MECANISMOS DE SEGURIDAD ...............................................................................................15

AUTENTICACIN .....................................................................................................................15

AUTORIZACIN........................................................................................................................16

ADMINISTRACIN ...................................................................................................................17

AUDITORA Y REGISTRO.......................................................................................................18

MANTENIMIENTO DE LA INTEGRIDAD...............................................................................19

2

ESQUEMA DE SEGURIDAD

3

RIESGOS

Integridad.

Modificacin de datos de usuario, modificacin de memoria, modificacin del trfico

de mensaje en trnsito, prdida de informacin, vulnerabilidad al resto de las

amenazas.

Confidencialidad.

Escuchas ocultas en la red, robo de informacin del servidor, robo de datos del

cliente, informacin sobre la configuracin de la red, informacin sobre qu cliente

se comunica con el servidor, prdida de informacin, prdida de privacidad.

Denegacin de servicio.

Interrupcin de procesos del usuario, llenar el espacio del disco, memoria o

procesador, aislar la mquina mediante ataques DNS, destructivo, molesto, impide

que los usuarios finalicen su trabajo.

Autenticacin.

Suplantacin de usuarios legtimos, falsificacin de datos, suplantacin de

identidad, reer que la informacin falsa es vlida.

4

ELEMENTOS A PROTEGER

Los tres elementos principales a proteger en cualquier sistema informtico son el

software, el hardware y los datos.

Por hardware entendemos el conjunto formado por todos los elementos

fsicos de un sistema informtico, como CPUs, terminales, cableado, medios

de almacenamiento secundario (cintas, CD-ROMs, diskettes...) o tarjetas de

red.

Por software entendemos el conjunto de programas lgicos que hacen

funcional al hardware, tanto sistemas operativos como aplicaciones.

Por datos el conjunto de informacin lgica que manejan el software y el

hardware, como por ejemplo paquetes que circulan por un cable de red o

entradas de una base de datos.

5

ELEMENTOS FSICOS Y LGICOS

ELEMENTOS FSICOS

Estaciones de Trabajo.

En una red de computadoras, una estacin de trabajo (en ingls workstation) es una

computadora que facilita a los usuarios el acceso a los servidores y perifricos de

la red. A diferencia de una computadora aislada, tiene una tarjeta de red y est

fsicamente conectada por medio de cables u otros medios no guiados con los

servidores. Los componentes para servidores y estaciones de trabajo alcanzan

nuevos niveles de rendimiento informtico, al tiempo que ofrecen fiabilidad,

compatibilidad, escalabilidad y arquitectura avanzada ideales para entornos

multiproceso.

Repetidores.

Tal como se mencion en la pgina correspondiente a los medios de red, hay varios

tipos de medios y cada uno de estos medios tiene sus ventajas y desventajas. Una

de las desventajas del tipo de cable que utilizamos principalmente (UTP CAT5) es

la longitud del cable. La longitud mxima para el cableado UTP de una red es de

100 metros. Si es necesario extender la red ms all de este lmite, se debe agregar

un dispositivo a la red. Este dispositivo se denomina repetidor.

6

Concentradores (Hub, Mau).

El propsito de un hub es regenerar y retemporizar las seales de red. Esto se

realiza a nivel de los bits para un gran nmero de hosts (por ej., 4, 8 o incluso 24)

utilizando un proceso denominado concentracin. Podr observar que esta

definicin es muy similar a la del repetidor, es por ello que el hub tambin se

denomina repetidor multipuerto. La diferencia es la cantidad de cables que se

conectan al dispositivo. Las razones por las que se usan los hubs son crear un punto

de conexin central para los medios de cableado y aumentar la confiabilidad de la

red. La confiabilidad de la red se ve aumentada al permitir que cualquier cable falle

sin provocar una interrupcin en toda la red.

Tranceptores.

En redes de computadoras, el trmino transceptor se aplica a un dispositivo que

realiza, dentro de una misma caja o chasis, funciones tanto de trasmisin como

de recepcin, utilizando componentes de circuito comunes para ambas funciones.

Dado que determinados elementos se utilizan tanto para la transmisin como

para la recepcin, la comunicacin que provee un transceptor solo puede ser

semiduplex, lo que significa que pueden enviarse seales entre dos terminales en

ambos sentidos, pero no simultneamente.

7

Puentes (Bridges).

Un puente es un dispositivo de la capa 2 diseado para conectar dos segmentos de

LAN.

El propsito de un puente es filtrar el trfico de una LAN, para que el trfico local

siga siendo local, pero permitiendo que el trfico que se ha dirigido hacia all pueda

ser conectado con otras partes (segmentos) de la LAN. Usted se preguntar, cmo

puede detectar el puente cul es el trfico local y cul no lo es? La respuesta es la

misma que podra dar el servicio postal cuando se le pregunta cmo sabe cul es

el correo local. Verifica la direccin local. Cada dispositivo de networking tiene una

direccin MAC exclusiva en la NIC, el puente rastrea cules son las direcciones

MAC que estn ubicadas a cada lado del puente y toma sus decisiones basndose

en esta lista de direcciones MAC.

Conmutadores (Switch).

Un switch, al igual que un puente, es un dispositivo de la capa 2. De hecho, el switch

se denomina puente multipuerto, as como el hub se denomina repetidor

multipuerto. La diferencia entre el hub y el switch es que los switches toman

decisiones basndose en las direcciones MAC y los hubs no toman ninguna

decisin. Como los switches son capaces de tomar decisiones, hacen que la LAN

sea mucho ms eficiente. Los switches hacen esto "conmutando" datos slo desde

el puerto al cual est conectado el host correspondiente. A diferencia de esto, el hub

8

enva datos a travs de todos los puertos de modo que todos los hosts deban ver y

procesar (aceptar o rechazar) todos los datos.

Gateways.

Un Gateway es un equipo que permite interconectar redes con protocolos y

arquitecturas completamente diferentes a todos los niveles de comunicacin. La

traduccin de las unidades de informacin reduce mucho la velocidad de

transmisin a travs de estos equipos. Una puerta de enlace o gateway es

normalmente un equipo informtico configurado para dotar a las mquinas de una

red local (LAN) conectadas a l de un acceso hacia una red exterior, generalmente

realizando para ello operaciones de traduccin de direcciones IP (NAT: Network

Address Translation).

Routers.

El router es el primer dispositivo con el que trabajar que est ubicado en la capa

de red del modelo OSI, o capa 3. Al trabajar en la capa 3, esto permite que el router

tome decisiones basndose en grupos de direcciones de red (clases) a

diferencia de las direcciones MAC individuales, que es lo que se hace en la capa

2. Los routers tambin pueden conectar distintas tecnologas de la capa 2 como,

por ejemplo, Ethernet, Token-ring y FDDI. Sin embargo, dada su aptitud para enrutar

paquetes basndose en la informacin de la Capa 3, los routers se han

transformado en el backbone de Internet, ejecutando el protocolo IP. El propsito

9

de un router es examinar los paquetes entrantes (datos de la capa 3), elegir cul es

la mejor ruta para ellos a travs de la red y luego conmutarlos hacia el puerto de

salida adecuado. Los routers son los dispositivos de regulacin de trfico ms

importantes en las redes de gran envergadura. Permiten que prcticamente

cualquier tipo de computador se pueda comunicar con otro computador en cualquier

parte del mundo. Aunque ejecutan estas funciones bsicas, los routers tambin

pueden ejecutar muchas de las otras tareas que se describen en los captulos

siguientes.

Servidores.

Los servidores son equipos que proporcionan servicios y datos a los equipos

cliente. Los servidores de una red realizan diversas tareas complejas. Los

servidores de redes grandes se han especializado en alojar las crecientes

necesidades de los usuarios. Estos son algunos ejemplos de los distintos tipos de

servidores en redes de gran tamao:

Un servidor no es necesariamente una mquina de ltima generacin grande y

monstruosa, no es necesariamente un superordenador; un servidor puede ser

desde una computadora vieja, hasta una mquina sumamente potente (ej.:

servidores web, bases de datos grandes, etc. Procesadores especiales y hasta

varios gigas de memoria). Todo esto depende del uso que se le d al servidor. Si

usted lo desea, puede convertir al equipo desde el cual usted est leyendo esto en

10

un servidor instalando un programa que trabaje por la red y a la que los usuarios de

su red ingresen a travs de un programa de servidor web como Apache.

ELEMENTOS LGICOS

Modelo de referencia OSI

El modelo en s mismo no puede ser considerado una arquitectura, ya que no

especifica el protocolo que debe ser usado en cada capa, sino que suele hablarse

de modelo de referencia. Este modelo est dividido en siete capas:

Capa Fsica (Capa 1)

La Capa Fsica del modelo de referencia OSI es la que se encarga de las conexiones

fsicas de la computadora hacia la red, tanto en lo que se refiere al medio fsico

(medios guiados: cable coaxial, cable de par trenzado, fibra ptica y otros tipos de

cables; medios no guiados: radio, infrarrojos, microondas, lser y otras redes

inalmbricas); caractersticas del medio (p.e. tipo de cable o calidad del mismo; tipo

de conectores normalizados o en su caso tipo de antena; etc.) y la forma en la que

se transmite la informacin (codificacin de seal, niveles de tensin/intensidad de

corriente elctrica, modulacin, tasa binaria, etc.)

11

Capa de enlace de datos (Capa 2)

Cualquier medio de transmisin debe ser capaz de proporcionar una transmisin sin

errores, es decir, un trnsito de datos fiable a travs de un enlace fsico. Debe crear

y reconocer los lmites de las tramas, as como resolver los problemas derivados

del deterioro, prdida o duplicidad de las tramas. Tambin puede incluir algn

mecanismo de regulacin del trfico que evite la saturacin de un receptor que sea

ms lento que el emisor.La capa de enlace de datos se ocupa del direccionamiento

fsico, de la topologa de la red, del acceso a la red, de la notificacin de errores, de

la distribucin ordenada de tramas y del control del flujo.Se hace un

direccionamiento de los datos en la red ya sea en la distribucin adecuada desde

un emisor a un receptor, la notificacin de errores, de la topologa de la red de

cualquier tipo. La tarjeta NIC (Network Interface Card, Tarjeta de Interfaz de Red en

espaol o Tarjeta de Red) que se encarga que tengamos conexin, posee una

direccin MAC (control de acceso al medio) y la LLC (control de enlace lgico).

Capa de red (Capa 3)

El cometido de la capa de red es hacer que los datos lleguen desde el origen al

destino, aun cuando ambos no estn conectados directamente. Los dispositivos que

facilitan tal tarea se denominan en castellano encaminadores, aunque es ms

frecuente encontrar el nombre ingls routers y, en ocasiones

enrutadores.Adicionalmente la capa de red lleva un control de la congestin de red,

que es el fenmeno que se produce cuando una saturacin de un nodo tira abajo

12

toda la red (similar a un atasco en un cruce importante en una ciudad grande). La

PDU de la capa 3 es el paquete.Los routers trabajan en esta capa, aunque pueden

actuar como switch de nivel 2 en determinados casos, dependiendo de la funcin

que se le asigne. Los firewalls actan sobre esta capa principalmente, para

descartar direcciones de mquinas.En este nivel se determina la ruta de los datos

(Direccionamiento lgico) y su receptor final IP.

Capa de transporte (Capa 4)

Su funcin bsica es aceptar los datos enviados por las capas superiores, dividirlos

en pequeas partes si es necesario, y pasarlos a la capa de red. En el caso del

modelo OSI, tambin se asegura que lleguen correctamente al otro lado de la

comunicacin. Otra caracterstica a destacar es que debe aislar a las capas

superiores de las distintas posibles implementaciones de tecnologas de red en las

capas inferiores, lo que la convierte en el corazn de la comunicacin. En esta capa

se proveen servicios de conexin para la capa de sesin que sern utilizados

finalmente por los usuarios de la red al enviar y recibir paquetes.

Capa de sesin (Capa 5)

Esta capa establece, gestiona y finaliza las conexiones entre usuarios (procesos o

aplicaciones) finales. Ofrece varios servicios que son cruciales para la

comunicacin, como son:Control de la sesin a establecer entre el emisor y el

receptor (quin transmite, quin escucha y seguimiento de sta).Control de la

13

concurrencia (que dos comunicaciones a la misma operacin crtica no se efecten

al mismo tiempo).Mantener puntos de verificacin (checkpoints), que sirven para

que, ante una interrupcin de transmisin por cualquier causa, la misma se pueda

reanudar desde el ltimo punto de verificacin en lugar de repetirla desde el

principio.

Capa de presentacin (Capa 6)

El objetivo de la capa de presentacin es encargarse de la representacin de la

informacin, de manera que aunque distintos equipos puedan tener diferentes

representaciones internas de caracteres (ASCII, Unicode, EBCDIC), nmeros (little-

endian tipo Intel, big-endian tipo Motorola), sonido o imgenes, los datos lleguen de

manera reconocible.Esta capa es la primera en trabajar ms el contenido de la

comunicacin que en cmo se establece la misma. En ella se tratan aspectos tales

como la semntica y la sintaxis de los datos transmitidos, ya que distintas

computadoras pueden tener diferentes formas de manejarlas.

Capa de aplicacin (Capa 7)

Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios

de las dems capas y define los protocolos que utilizan las aplicaciones para

intercambiar datos, como correo electrnico (POP y SMTP), gestores de bases de

datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones

14

distintas y puesto que continuamente se desarrollan nuevas aplicaciones el nmero

de protocolos crece sin parar.

Entre los protocolos (refirindose a protocolos genricos, no a protocolos de la capa

de aplicacin de OSI) ms conocidos destacan:HTTP (HyperText Transfer Protocol)

el protocolo bajo la wwwFTP (File Transfer Protocol) ( FTAM, fuera de TCP/IP)

transferencia de ficherosSMTP (Simple Mail Transfer Protocol) (X.400 fuera de

tcp/ip) envo y distribucin de correo electrnicoPOP (Post Office Protocol)/IMAP:

reparto de correo al usuario finalSSH (Secure SHell) principalmente terminal remoto,

aunque en realidad cifra casi cualquier tipo de transmisin.Telnet otro terminal

remoto, ha cado en desuso por su inseguridad intrnseca, ya que las claves viajan

sin cifrar por la red.Hay otros protocolos de nivel de aplicacin que facilitan el uso y

administracin de la red:SNMP (Simple Network Management Protocol)DNS

(Domain Name System)

15

MECANISMOS DE SEGURIDAD

AUTENTICACIN

Definimos la Autenticacin como la verificacin de la identidad del usuario,

generalmente cuando entra en el sistema o la red, o accede a una base de datos.

Normalmente para entrar en el sistema informtico se utiliza un nombre de usuario

y una contrasea. Pero, cada vez ms se estn utilizando otras tcnicas mas

seguras.

Es posible autenticarse de tres maneras:

Por lo que uno sabe (una contrasea)

Por lo que uno tiene (una tarjeta magntica)

Por lo que uno es (las huellas digitales)

La utilizacin de ms de un mtodo a la vez aumenta las probabilidades de que la

autenticacin sea correcta. Pero la decisin de adoptar mas de un modo de

autenticacin por parte de las empresas debe estar en relacin al valor de la

informacin a proteger.

16

La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando

contraseas. Este mtodo ser mejor o peor dependiendo de las caractersticas de

la contrasea. En la medida que la contrasea sea ms grande y compleja para ser

adivinada, ms difcil ser burlar esta tcnica.

Adems, la contrasea debe ser confidencial. No puede ser conocida por nadie ms

que el usuario. Muchas veces sucede que los usuarios se prestan las contraseas

o las anotan en un papel pegado en el escritorio y que puede ser ledo por cualquier

otro usuario, comprometiendo a la empresa y al propio dueo, ya que la accin/es

que se hagan con esa contrasea es/son responsabilidad del dueo.

Para que la contrasea sea difcil de adivinar debe tener un conjunto de caracteres

amplio y variado (con minsculas, maysculas y nmeros). El problema es que los

usuarios difcilmente recuerdan contraseas tan elaboradas y utilizan (utilizamos)

palabras previsibles (el nombre, el apellido, el nombre de usuario, el grupo musical

preferido,...), que facilitan la tarea a quin quiere entrar en el sistema sin

autorizacin.

AUTORIZACIN

Definimos la Autorizacin como el proceso por el cual se determina qu, cmo y

cundo, un usuario autenticado puede utilizar los recursos de la organizacin.

17

El mecanismo o el grado de autorizacin puede variar dependiendo de qu sea lo

que se est protegiendo. No toda la informacin de la organizacin es igual de

crtica. Los recursos en general y los datos en particular, se organizan en niveles y

cada nivel debe tener una autorizacin.

Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un

formulario o mediante una contrasea, pero siempre es necesario que dicha

autorizacin quede registrada para ser controlada posteriormente.

En el caso de los datos, la autorizacin debe asegurar la confidencialidad e

integridad, ya sea dando o denegando el acceso en lectura, modificacin, creacin

o borrado de los datos.

Por otra parte, solo se debe dar autorizacin a acceder a un recurso a aquellos

usuarios que lo necesiten para hacer su trabajo, y si no se le negar. Aunque

tambin es posible dar autorizaciones transitorias o modificarlas a medida que las

necesidades del usuario varen.

ADMINISTRACIN

18

Definimos la Administracin como la que establece, mantiene y elimina las

autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones

usuarios-recursos del sistema.

Los administradores son responsables de transformar las polticas de la

organizacin y las autorizaciones otorgadas a un formato que pueda ser usado por

el sistema.

La administracin de la seguridad informtica dentro de la organizacin es una tarea

en continuo cambio y evolucin ya que las tecnologas utilizadas cambian muy

rpidamente y con ellas los riesgos.

Normalmente todos los sistemas operativos que se precian disponen de mdulos

especficos de administracin de seguridad. Y tambin existe software externo y

especfico que se puede utilizar en cada situacin.

AUDITORA Y REGISTRO

Definimos la Auditora como la continua vigilancia de los servicios en produccin y

para ello se recaba informacin y se analiza.

19

Este proceso permite a los administradores verificar que las tcnicas de

autenticacin y autorizacin utilizadas se realizan segn lo establecido y se cumplen

los objetivos fijados por la organizacin.

Definimos el Registro como el mecanismo por el cual cualquier intento de violar las

reglas de seguridad establecidas queda almacenado en una base de eventos para

luego analizarlo.

Pero auditar y registrar no tiene sentido sino van acompaados de un estudio

posterior en el que se analice la informacin recabada.

Monitorear la informacin registrada o auditar se puede realizar mediante medios

manuales o automticos, y con una periodicidad que depender de lo crtica que

sea la informacin protegida y del nivel de riesgo.

MANTENIMIENTO DE LA INTEGRIDAD

Definimos el Mantenimiento de la integridad de la informacin como el conjunto de

procedimientos establecidos para evitar o controlar que los archivos sufran cambios

no autorizados y que la informacin enviada desde un punto llegue al destino

inalterada.

20

Dentro de las tcnicas ms utilizadas para mantener (o controlar) la integridad de

los datos estn: uso de antivirus, encriptacin y funciones 'hash'.

21

Bibliografa

http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/174/A6.pdf?sequ

ence=6

http://www.econ.uba.ar/www/departamentos/sistemas/plan97/tecn_informac/briano/seoane/tp

/rivoira/seguridad.htm

http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-

introduccion-a-la-seguridad-informatica?showall=1

http://seguridadinformaticasmr.wikispaces.com/TEMA+1-+SEGURIDAD+IFORM%C3%81TICA

Esquema de Seguridad

Documents

Transcript of Esquema de Seguridad