Seguridad en Redes

FundamentosdeSeguridadenRedes MODULOI Clase Feb-10-09 Programa de Clase MODULO 1 - Fundamentos de seguridad en redes Introduccin Sensibilizacin Conceptual Oficial de seguridad
idad Metodologa tica del hacking Confianza Definicin de un modelo de seguridad Diagnstico y diseo Arquitectura de seguridad Vulnerabilidades y amenazas Ley de Habeas Data Incidentes de seguridad TALLER SNIFER: Herramienta para identificar vulnerabilidades en la red MODULO 2 20 desafos de los hackers Arquitectura de firewall Certificados digitales Firma digital Cifrado de la informacin Algoritmos de hash VPN Conexiones seguras Acceso controlado Implementar arquitecturas de IDS: Detector de intrusos Infraestructura de seguridad
TALLER MODULO 3 Ataques a WINDOWS 2000 Y WINDOWS 2003 Seguridad Plantillas de seguridad Proteger un sistema LINUX
CarlosManuelRenteradelaCruzPgina1de42
FundamentosdeSeguridadenRedes MODULOI Investigar: 1. Que es seguridad 2. Confiabilidad 3. Integridad 4. Disponibilidad 5. Vulnerabilidad 6. Amenaza 7. Riesgo 8. Control 9. Seguridad Fsica 10. Seguridad Computacional 11. Seguridad Comunicacin 12. Incidente 13. Ingeniera Social
FundamentosdeSeguridadenRedes MODULOI Ley de Seguridad 1747 Todas las empresas tienen incidentes de seguridad. Las organizaciones no saben de las prdidas monetarias. El problema de la seguridad no es un problema de cultura sino de tecnologa
Antivirus: Tres tipos de control: preventivo, correctivo y detectivo Control dual: responsabilidad entre dos personas
Herramientas Kiloyer: Software que registra las marcaciones de teclado de una persona Cracker: Utiliza herramientas de los hackers pero con otros fines Pishing: Suplantacin de una persona o empresa. Correo electrnico Ley de Habeas Data Certicmara: Entidad de certificaciones digitales HISPASE: Entidad que regula los incidentes y vulnerabilidades en Espaa Ataques distribuidos desde diferentes sitios.
Objetivos de seguridad Configurar, mantener y operar un ambiente de trabajo de forma que se comporte como se espera cuidando la confidencialidad, integridad y disponibilidad de la informacin. Seguridad = modelo Estado deseado Proteccin Confiabilidad Buscar mecanismos para proteger la informacin Norma ISO 27000 Puntos de ataque externo: Para mitigar el riesgo
FundamentosdeSeguridadenRedes MODULOI Seguridad en profundidad de afuera hacia adentro Donde fall la seguridad?
FundamentosdeSeguridadenRedes MODULOI Anlisis de Diagnostico de seguridad en un casino - Como hacer cumplir las polticas en la empresa donde uno trabaja. - No se pens en la seguridad a travs de las personas. - El ser humano se va mas por la parte de sentimientos. - El tema de cultura sigue siendo un problema de no acabar, a pesar de que existan los mejores controles. - Basado en los riesgos programa controles para mitigar el riesgo. - El tema de seguridad falla por cualquier lado. - Falta capacitacin en la parte humana de la empresa - Seguridad=procesos, personas y tecnologa Clase Sab Feb14-09 Seguridad: Funciones y Responsabilidades Seguridad se basa en 3 criterios fundamentales (CIA): - Confidencialidad - Integridad - Disponibilidad Confidencialidad: Los recursos solo podrn ser utilizados por las personas autorizadas. La informacin solo ser consultada por usuarios autorizados. Cuando se hace una clasificacin de la informacin se dice que niveles de seguridad va a tener la informacin. Integridad: Solo las personas autorizadas podrn modificar los recursos del sistema. Nadie puede modificar la informacin. Algoritmos de Hash: es un mecanismo decifrado que lo que hace es validar la informacin. Garantiza que la informacin sea integra. Disponibilidad: Los recursos deben estar disponibles en cualquier momento, para utilizarse por las entidades autorizadas. Plan de continuidad, de recuperacin de desastres. Autenticidad: Consiste en verificar que el remitente es quien dice ser. Identidad= ID+Pass - Sistema - Autenticidad No Repudiacin: Consiste en probar con certeza que un mensaje fue enviado por el remitente original. CASO PROPUESTO Confidencialidad: El banco Integridad: Girar un Cheque a nombre de un beneficiario Autenticidad: Megared
FundamentosdeSeguridadenRedes MODULOI No Repudiacin: Beneficiar TALLER Lecturas SEGURIDAD DE LA INFORMACION... QUIEN ES RESPONSABLE DE QUE Ingenieros Sociales, como trabajan y como detenerlos
FundamentosdeSeguridadenRedes MODULOI CLASE FEB17-09 La seguridad un rea independiente que le reporte directamente a la gerencia. El rea de seguridad dependiera de la presidencia o de la gerencia por todo el tema de la toma de decisiones.
Funciones y responsabilidades del rea de seguridad

Los principios, las polticas, los estndares 1. Modelo de seguridad 2. Arquitectura de seguridad a. Herramientas de hardware. b. Herramientas de software. c. Detectores de intrusos. d. Antivirus. 3. Plan estratgico a. Debe tener un objetivo claro dentro de la organizacin. b. Definido en el plan de seguridad: para ayudar a proteger la informacin. c. Debe estar alineada a la estrategia del negocio. d. Para que se construya un plan de seguridad hay que identificar las vulnerabilidades y mitigar los riesgos. e. Plan de trabajo a corto, mediano y largo plazo: evaluacin de riesgos altos, medios y bajos. 4. Participacin de proyectos a. Un nuevo servicio que cumpla con los niveles de seguridad. 5. Gestin y administracin de Usuarios a. En las diferentes plataformas funcionales de la empresa. b. Debe estar presente cuando un usuario no est. c. Los usuarios que estn son los que son. 6. Monitoreo integral a. Hay que focalizar el negocio: entradas y salidas. b. Cul es el producto y los niveles de seguridad. c. En el momento del monitoreo hay que saber si hay o no un ataque y como lo contrarresto. d. Administracin de incidentes de inseguridad. e. Computacin forense. 7. Anlisis de Vulnerabilidades a. Buscar las debilidades. b. L a parte tcnica e identificar vulnerabilidades en los procesos. 8. Concientizacin y Divulgacin de la cultura de seguridad a. Sensibilizar a los usuarios en el manejo de los recursos. 9. Participar en el control de cambios a. Planes de contingencia. b. Evaluar antes de implementar.
FundamentosdeSeguridadenRedes MODULOI c. Actualizaciones de sistemas operativos. 10. Anlisis de riesgos a. Determinar cules son los riesgos altos, medios y bajos. b. En un banco hay un rea de riesgos, en las organizaciones normales el rea de seguridad lo realiza. c. Metodologas en anlisis de riesgos. 11. Proceso de la clasificacin de la informacin a. Define los niveles de clasificacin de la informacin. b. Que tan crtica es la informacin. 12. Comit de Seguridad a. Esta el rea de recursos humanos. b. Definir acuerdos de confidencialidad. c. Incidentes de seguridad 13. Participar en los planes de continuidad en la empresa a. Son los planes que se realizan en el sitio. b. Plan de recuperacin de desastres (p.e. desastres naturales). 14. Participar en los requerimientos y pruebas Google Groups - SEGREDES CHECK POINT
FundamentosdeSeguridadenRedes MODULOI
Seguridad Fsica: Es la seguridad fsica: Son los mecanismos utilizados para proteger cada uno de esos permetros. en el permetro centro de computo rea financiera Mecanismos que le permitan controlar el acceso. Monitorear. Circuitos cerrados de tv: CCTV Sistemas biomtricos: Identificacin de personas o Sistemas de identificacin dactilar o Sistemas de identificacin con el iris o Sistemas de identificacin con tarjetas Perros entrenados Todo tipo de Alarmas Controles de incendios Control de la parte elctrica Controles de temperatura Sensores de movimiento Seguridad en las comunicaciones
Mecanismos utilizados para proteger los medios de comunicaciones. El medio de un origen a un destino es un medio seguro. VPN: Cifrar el medio por donde va la informacin. Canales dedicados con proveedores de comunicaciones que le permitan que la informacin es privada.
Seguridad Informtica
Mecanismos utilizados para proteger la infraestructura tecnolgica: hardware y software. Define todos los lineamientos de seguridad, quien lo implementa es el rea de tecnologa.
Seguridad de la informacin
Mecanismos utilizados para proteger la informacin
Que es seguridad computacional y los niveles de seguridad D, C1,C2, B1, B2,B3, A o A1 Taller aplicado a eso
FundamentosdeSeguridadenRedes MODULOI Clase Feb-19-09 Recoger en el correo dos archivos del Ing (Habeas Data) Seguridad Computacional Son todos los mecanismos de tipo lgico utilizados para proteger plataforma tecnolgica. toda la
Niveles de seguridad Nivel D: Nivel bsico, sin seguridad o DOS, Windows 3x y Windows 9x Nivel C1: Proteccion discrecional: o Autenticacion de usuarios. o Autenticacion con sistemas biomtricos. o Puede tener un usuario administrador y varios usuarios. o Nivel D Nivel C2: Proteccion de acceso controlado, o Nivel C1 mas definicion de roles, o Ms las auditorias. o Podemos auditar el acceso de los usuarios en todas las plataformas. o En cualquier sistema computacional se puede dar el nivel C2 o Debe contemplar: autenticacion de usuarios, definir roles, se activen las auditorias. Nivel B1: Seguridad etiquetada o Debe cumplir con las auditorias (Nivel C2) o Grupos de usuarios con privilegios o Niveles de clasificacin o Autenticacion o Mas roles o Mas Auditorias Nivel B2: Proteccion estructurada o Nivel B1 CarlosManuelRenteradelaCruzPgina10de42
FundamentosdeSeguridadenRedes MODULOI o o o o Etiquetas: Unidades organizacionales, diferentes objetos Usuarios Grupos Equipos
Nivel B3: Nivel de dominios de seguridad o Nivel B2 o Hardware o Conexiones seguras o Dominios de seguridad Seguridad fisica Planes de continuidad Incidentes de seguridad Normas ISO Nivel A1: Nivel de proteccin y verificacin o Cifrado y decifrado de la informacin
Clase Feb24 de Febrero de 2009
Ciclo de vida de la seguridad
L a organizacin en trminos generales es muy importante. Que tan seguro o inseguro es mi negocio Definir planes y controles para mitigar un riesgo La seguridad depende de 4 ciclos Es un modelo de seguridad que est determinado por unas fases o Diagnstico o Diseo Arquitectura de seguridad o Implementacin de una Arquitectura de seguridad o Monitoreo Las organizaciones lo aplican por procesos o basados en negocios
DIAGNOSTICO
El estado actual de la seguridad de la empresa. Que tan seguros o inseguros estn mis procesos o mi negocio. Para determinar exactamente que se requiere en materia de seguridad. Que tan seguros esta mi tecnologa
LEVANTAMIENTO DE LA INFORMACIN Topologa de la red Tecnologa o Equipos activos Sistema operativo Equipos activos
Modelo Versin S. Operativo Ubicacin Administrador Direccion IP Tipo de Administracin
Nombre Tipo
Router
2505
11.0
Centro Computo
elchacho
10.10.100.1 0
Remota
o Sistemas operativos o Bases de datos o Aplicaciones
o Otros dispositivos *Norma 27000 en la parte de los equipos activos habla de cmo hacer un levantamiento de informacin Procesos: Roles de las personas Seguridad fsica Software que se utiliza Conexiones internas/externas Servicios
Taller: Para el jueves disear las matrices por grupos ANALISIS DE VULNERABILIDADES - Listas de chequeo basado en la norma ISO 27001 - tica al hacking: parte tcnica de evaluacin tecnolgica ANALISIS DE RIESGOS - Hay vulnerabilidades - Hay un riegos o Niveles de riegos: Alto medio bajo - Panorama de riesgos: Que tanto est afectando a la organizacin - Amenazas a la que est expuesta la organizacin - Plan de seguridad o Riesgos altos: controles a corto plazo o Riesgos medios: controles a medio plazo o Riesgos bajos: controles a largo plazo Basado en esto hay que hacer el diseo de la infraestructura de seguridad tenemos: - Polticas - Normas o Niveles de clasificacin de la informacin - Estndares - Procedimientos de seguridad o Sistemas operativos o Bases de datos o Sistema operativo o Aplicaciones Diseo de la infraestructura tecnolgica o Arquitectura de firewall o VPN o IDS o IPS o Detectores de intrusos
o Mecanismos de cifrado
Antivirus Actualizaciones de parches Anti-snifer Filtrados de contenido Planes de continuidad BCP DRP o Programa de concientizacin o Otros mecanismos de seguridad o o o o o IMPLEMENTACIN o Polticas o Normas Niveles de clasificacin de la informacin o Estndares o Diseo de la infraestructura tecnolgica Arquitectura de firewall VPN IDS IPS
Detectores de intrusos Mecanismos de cifrado Implementacin de los planes de continuidad Capacitacin de la infraestructura tecnolgica como de los programas de sensibilizacin o concientizacin MONITOREO - Repositorio de Logs - Administracin de incidentes de inseguridad
Control de cambios: me determina actual y cual es el estado actual y cual es el estado futuro Control de configuraciones Anlisis forense: computacin forenses Manejo de incidentes
Una arquitectura normal tiene aplicativos, sistema operativos, bases de datos Los planes de continuidad: para garantizar que el negocio est seguro Planes de concientizacin para los usuarios: el 70% de los incidentes se dan al interior de la organizacin. El modelo de seguridad tiene que ser mejorado a medida que se van dando los cambios en la organizacin
Para el jueves Control de vulnerabilidades en la Red - pagina 12 puntos 1,2 y 3
Clase Jueves, 26 de febrero de 2009
Tenemos que enfocarlas en: La tecnologa, Los procesos y Las personas
Vulnerabilidad: Debilidad en el sistema que puede ser explotada. Amenaza: La explotacin potencial de una vulnerabilidad. El no tener un privilegio de seguridad: - Suplantacin de identidad - Robo de informacin La debilidad no es como el servicio este activo sino no tener una previsin para el servicio. Fuga de informacin A travs de la norma 27001 puedo establecer una lista de chequeo
tica al Hacking para evaluar toda la parte tecnolgica
Clase Feb28 de 2009
Aplicacin: Identidad Roles Privilegios Bases de datos: Identidad Grupos Servicios Auditoria Roles Perfiles
Proxi : Usuarios internos tengan una salida a internet NAT: trasladar direcciones IP
INTERNET
FIREWALL
LAN PROXI
Anlisis de riesgos, entre cualitativos y cuantitativos
FundamentosdeSeguridadenRedes MODULOI Marzo 3 de 2009 Para el jueves 5 de marzo de 2009 Norma BS-7799: Caractersticas y ventajas Sistema de Gestin de seguridad de la informacin (SGSI): seguridad COMPARACIONES Norma ISO 17799 V1 Norma ISO 17799 V2 Norma ISO 27001 Norma ISO 27002
Dominio
Riesgo: Vulnerabilidad + Amenaza + Impacto Vulnerabilidad Amenaza Impacto Lo que puede Consecuencia ocurrir Anlisis de riesgo: El proceso de: identificar analizar evaluar: existen unos mtodos prever mitigar reducir: controles transferir el riesgo El riesgo nunca se termina. Se minimiza. Mtodos de anlisis de riesgos: 1. 2. 3. 4. Mtodos cualitativos Mtodos cuantitativos Auditoras Las listas de chequeo: basada en la norma ISO 27000
En muchas organizaciones hacen la mezcla de todos. Evaluar una lista de chequeo basado en los controles que tiene implementado una organizacin. Un anlisis detallado de los riesgos que tiene la organizacin. Anlisis: El nivel de riesgos Nivel de riesgo alto Nivel de riesgo medio Nivel de riesgo bajo Basado en esto se construye el panorama de riesgos. Las empresas van a enfocar sus esfuerzos para mitigar los controles. El criterio de evaluacin es las amenazas vs las consecuencias. Cuando las vulnerabilidades estn bien definidas el riesgo esta bien definido.
FundamentosdeSeguridadenRedes MODULOI Estos mtodos son eficaces porque se aplican en corto tiempo. Saber con certeza como est la organizacin. Las organizaciones siempre definen proyectos de seguridad a corto plazo.
controles a corto plazo -> riesgos a largo plazo

Los mtodos se enfocan a bajar los riesgos. 1. Mtodos Cualitativos: El nmero de veces que se puede presentar - Subjetivo - No se evalan monetariamente los activos - No se da la relacin costo vs beneficio - Se implementan a corto plazo - Se valora la posibilidad de que una amenaza sea explotada. Desventajas No hay valoracin de dinero Los controles no necesariamente son efectivos o sea que el riesgo no seria valorado
3. Auditoras - Subjetivo - Est orientado a los procesos - Ellos no definen los controles, - Ellos hacen recomendaciones: o definir polticas de seguridad o evaluacin al proceso - Las auditorias se hacen una vez en el ao - Se revisan los procesos: los mas importantes:-> los de negocio 4. Listas de chequeo Es subjetivo No hay valoracin monetaria No hay relacin costo .vs. beneficio Se puede hacer una valoracin de la empresa Se puede hacer un anlisis de la seguridad Si la empresa quiera certificar los procesos para mitigar los riesgos. Los dominios de seguridad, es toda la empresa dividida en partes pequeas. Tiene unos controles que evalan ese anlisis de seguridad. Establece si hay ese tipo de control o no lo hay. Uno de los controles que existen dentro de la norma es que se debe documentar.
Las polticas pueden existir, estn documentadas pero estn desactualizadas. Lo que permanente est cambiando son los procedimientos de seguridad. En los riesgos se definen unos controles
FundamentosdeSeguridadenRedes MODULOI Clase Marzo 5 de 2009
Vulnerabilidades
Amenazas
Nivel Amenaza
Nivel de Impacto
Nivel de Riesgo
Controles
Riesgos= Vulnerabilidades + Amenazas + Impacto
Cualitativos Probabilidad de amenaza Impacto Riesgo
MATRIZ NIVEL DE RIESGO: Relacin amenazas .vs. Impacto Panorama de riesgo Probabilidad de Amenazas Impacto Alta Medio Bajo
Alto
ALTA
ALTO
MEDIA
Medio
ALTA
MEDIO
MEDIO
Bajo
BAJA
BAJA
BAJA
Riesgos altos: Tiempo prudencial Riesgos medios: tiempo de 3 a 6 meses Riesgos bajos: corto plazo
Las amenazas sean bajas en el tiempo Depende de las amenazas escoger el criterio de evaluacin y los parmetros de escogencia. CarlosManuelRenteradelaCruzPgina25de42
Con la amenaza ms las consecuencias de la amenaza se define el nivel de riesgo.
Controles: Los mecanismos que se requieren para mitigar las amenazas y las vulnerabilidades.
FundamentosdeSeguridadenRedes MODULOI Clase Marzo 07 de 2009
Norma BS 7799 Norma BS 7799 -> 1993
Norma BS 7799 V1 -> 1995: Mejores prcticas de seguridad No es certificable para las empresas
Norma BS 7799 V2 -> 1998: 10 dominios de seguridad
SGSI: Sistema de gestin de seguridad de la informacin - Es certificable Evaluacin de los controles que debe definir y certificar la organizacin para cumplir con la norma.
ISO 17799 V1-> 2000 Se adopta en nuestro pas (Colombia) La organizacin sigue siendo la misma: 10 dominios de seguridad Mejores prcticas de seguridad No requiere de un requisito de certificacin
ISO 17799 V2-> 2002 Certificable Sistema de gestin de seguridad de la informacin Objetivos de control y unos controles o Por cada dominio debe tener sus objetivos de control y unos controles 36 objetivos de control y 127 controles Gestin y administracin de incidentes de seguridad esta implcito dentro de toda la norma Dividieron la organizacin en 10 partes y establecieron los dominios de seguridad.
ISO 27001 V1 -> 2005 Actualizacin de la ISO 17799 V2
FundamentosdeSeguridadenRedes MODULOI Sistema de gestin de seguridad de la informacin Certificable La organizacin no debe estar dividida en 10 dominios sino en 11 dominios Hay un domino exclusivamente para incidentes 39 objetivos de control y 133 controles
ISO 27001 V2 -> 2007 Mejora de la ISO 27001 V1 -> 2005 Los 11 dominios son los mismos 39 objetivos de control y 133 controles La organizacin la puede adoptar a la empresa pero en las mejores practicas de seguridad No tiene un SGSI: Sistema de gestin de seguridad de la informacin
Se puede definir como la Biblia de la seguridad, hay esta todo en lo que se basa una organizacin para hablar de seguridad.
DOMINIOS DE SEGURIDAD
1. Dominio de polticas de seguridad Las organizaciones deben definir, implementar, actualizar y divulgarlas las polticas de seguridad Tiene un objetivo de control y unos controles
2. La organizacin de seguridad de la informacin La estructura del rea de seguridad de la informacin en una empresa o 2 objetivos de control y 11 controles Hay que dividir la organizacin en dos partes Interno Externo 3. La organizacin tiene unos activos: asignar responsables y hay que tener en cuenta que la informacin es una activo. 2 objetivos de control 5 controles 4. Las organizaciones tienen personas: dominio del recurso humano Control en la contratacin: antes, dentro y despus 3 objetivos de control 9 controles 5. La organizacin debe tener una parte fsica: seguridad fsica y el entorno
FundamentosdeSeguridadenRedes MODULOI reas perimetrales definidas y a su vez definir controles para ellas 2 objetivos de control
6. Gestin de comunicaciones y operaciones Los procesos de la empresa y la parte operacional de la misma Red interna y externa, tiene comunicacin con entes internos 10 Objetivos de control 32 controles
7. Controles de acceso: Las organizaciones deben tener un control de acceso que la organizacin debe tener para ingresar a ella y a las zonas perimetrales. (debe tener un usuario y una clave). Gestin y administracin de usuarios 7 objetivos de control 25 controles 8. Sistema de informacin: las empresas que en sus sistemas adquieran, desarrollen o hagan mantenimiento a sistemas de seguridad Adquisicin Desarrollo Mantenimiento 6 objetivos de control 16 controles
9. Gestin de incidentes de seguridad: las organizaciones deben tener un monitoreo integral 2 objetivos de control 5 controles 10. Gestin de la continuidad de negocios La organizacin debe tener Planes de contingencia y los planes de recuperacin de desastres 1 objetivo de control 5 controles
11. Cumplimiento: Actualizar las polticas de seguridad Entidades que regulan a las empresas a nivel externos Controles que se deben adoptar en la organizacin (auditorias internas)
FundamentosdeSeguridadenRedes MODULOI 3 objetivos de control 10 controles
Para el martes 10 de marzo
Hacer un mapa conceptual de la norma ISO 270001
Para el Sabado 14 de marzo En el trabajo de telemtica hay que clasificar los controles dentro del dominio correspondiente
Clase, Marzo 10 de 2009 Panorama de riesgos Dominio Fechas(1) Seguridad Gestin Incidentes Vulnerabilidad Amenaza de Riesgo A A 50% M 25% B 25% A A25% M50% B25% Nivel Controles
P.S.I
* Panorama de riesgos: es el diagnostico de riesgos *11 dominios de seguridad y sus controles Cada dominio representa el 100% del dominio Distrubuir el 100% en altas, medias y bajas Graficas en barras o pastel En la grafica Y= Dominios de seguridad X= alto, medio y bajo Fecha(1):fecha pronostico
FundamentosdeSeguridadenRedes MODULOI Marzo 12 de Marzo de 2009
Identificacin de vulnerabilidades Ethical hakings Tcnica Establecer parmetros, como se aplican Escaneo de puertos, vulnerabilidad de servicios => demanda problemas con la ley
Hackers: Personas que se dedican a buscar vulnerabilidades en la red, con un fin.
Crackers: Son personas que se dedican a identificar vulnerabilidades sino a explotarlas.
Piratas informticos: Personas dedicadas a vender todo lo que copian.
Gurus: Son las personas dedicadas a disear las herramientas para vulnerar las redes. Son los maestros de los hackers.
La SANS entidad de hacer especializaciones de ethical Hackings
Lamers: Son los aficionados que prueban todos los programas. Personas encargadas de propiciar los virus.
Metodologa de Ethical Hacking
Son las fases que se requieren para identificar y explotar vulnerabilidades en las redes.
Alcances Servicios Redes locales
FundamentosdeSeguridadenRedes MODULOI Correo: Protocolos: SMTP: Puerto: 25, POP3: Puerto: 110 En la capa de transporte: TCP -> Orientados a conexin Puertos TCP: de 1 a 65.535 Puertos Standard: Utilizados por muchas aplicaciones. De 1 a 1024 Puertos utilizados para cualquier aplicacin: De 1025 a 65.535 UDP -> Orientados a no conexin Puertos UDP: De 1 a 65.535 De 1 a 024 son Standard De 1025 a 65.535: Puertos utilizados dependiendo la aplicacin. HTTP: TCP: Puerto 80 orientado a conexin FTP: TCP, orientado a conexin TELNET: Conexin remota, administrar, TCP conexin, puerto: 23 DNS: Resolucin de nombres de dominio TCP/UDP, Puerto: 53 DHCP: Asignacin de direcciones IP dinmicamente. HTTPS: Orientado a conexin, Puerto: 443 SSH: Protocolo para conexiones seguras, para quitar el Telnet. Para el FTP seguro. Orientado a conexin. Puerto: 22 TFTP: Transferencia de archivos, UDP. Puerto: 69 Servicios de Windows para recursos compartidos. Recursos de Terminal Services (Impresin) 135, 136, 137 , 445 SNMP: administracin de redes. UDP - No orientado a conexin. Puertos: 161 y 162 MIB Base de datos utilizada por SNMP Software de gestin Comunidad Private: Lectura/Escritura: Puede entrar al dispositivo y cambiarle la configuracin.
FundamentosdeSeguridadenRedes MODULOI Comunidad Public: Lectura. Puede ver el estatus del dispositivo, pero no puede hacer una accin correctiva en caso de falla. - TRAP: Paquetes que enva la gente a SNMP. Pero no le garantiza que llegue. SNMP V 1 Tiene debilidades SNMP V 3 la informacin cifrada ICMP: Apoyo al protocolo Acceso remoto NTP: sincronizar la hora, UDP orientado a conexin. Puerto: 123 Bases de datos orientadas a conexin 1433: SQL Usuario: SA Pass: SA 1521 o 1526: Orientados a conexin. ORACLE SYSLOG: Recopilar los LOG de los equipos de comunicaciones, de sistemas de informacin. UDP. Puerto: 514. Maneja siete (7) niveles. Servicios Internet Correo: SMTP HTTP: Puerto: 80 HTTPS: Puerto: 443 FTP: Puerto: 21 DNS: Servicio de Internet del proveedor de Internet BASES DE DATOS VPN: Redes privadas virtuales. Conexin segura a travs de la red publica. Servicios de aplicaciones Accesos remotos Accesos a travs de Telnet SNMP -
FundamentosdeSeguridadenRedes MODULOI Clase Marzo14-09
Continuacin metodologa Ethical Hacking
Barrido de ping a. b. c. d. A la red Un host Un rango de IP Herramientas para hacer barrido de pines: o Pinger o NMap o Solazwin 2000 o GFI landguard security scanner 1 o Netscantools o Netscan o SNscan
2. Explorando los sistemas a. Dar una idea del direccionamiento, de los protocolos y servicios b. Escaneo de puertos TCP/UDP c. Herramientas de escaneo Netscan NMap Solazwin 2000 Netscantools GFI landguard security scanner 2 d. Puertos abiertos o cerrados e. Lo malo es que este en servicio sino la manera como esta configurado 3. Identificacin de vulnerabilidades a. En una de las direcciones IP activas encontramos el puerto 23 que es el servicio de Telnet o ID Usuario + Clave o Router o Utilizamos el SNIFER para capturar el usuario y la clave 4. Explotar las vulnerabilidades a. Crear puertas alternas para explotar las vulnerabilidades b. Crear un usuario nuevo c. SNMP -> Habilitar el servicio y creo una comunidad Definir niveles de acceso lectura /escritura Entrar como usuario administrador
1 2
El mejor paquete para scaneo de puertos El mejor paquete para scaneo de puertos
FundamentosdeSeguridadenRedes MODULOI Cambiar la IP de una interfase d. Acceder al equipo por HTTP 5. Mantener el acceso a. Logs : WINDOWS\system32\config\ extensin .evt * Seguridad * Aplicacin * Sistema
Herramienta Solazwin 2000 -> Denegacin de servicio. Conexiones Rutas Puertos
Protocolo SYSLOG: generar mensajes, que le permita que cada elemento de su red le reporte log a el.
Como es UDP esta enviando permanentemente estos tipos de LOG Critico Alertas Emergencias Errores Warning Tipo informativo
* No es conveniente virtualizar los elementos de seguridad!!!!
Dentro del scaneo de puertos: HTTP -> INTRANET
Aplicaciones
Pagina WEB:
IIS Apache Xampp Herramienta TELEPORT, copia exacta de la pgina
Sistema
BASE DE DATOS: Puerto TCP: 1433 SQL Server: es orientada a conexin y se puede acceder a travs de ID usuario y Clave. La clave y el usuario es SA3. Explotar la vulnerabilidad: crear un usuario
TALLER2 - Ethical Hacking en las redes locales
1. Topologa de red
2. Direccionamiento a. Subneting b. Tres redes 3. Metodologa Ethical Hacking 4. Informe 5. SYSLOG como cliente no como servidor Entrega de Informe: Sabado 21 de Marzo/09
SA es un login y usuario por defecto para bases de datos en SQL Server
Clase Marzo 26 de 2009 Metodologa de Ethical Hacking Servicios de Internet Servicios Telnet Web/80 HTTP FTP Correo DNS: Ingeniera social, suplantacin de identidad SNMP: gestionar todos los dispositivos de red VPN: solucin de seguridad SSH Bases de datos/1433 Fase de Reconocimiento Seleccionar la victima Recopilar informacin: o Pagina o Telfonos o Direcciones o Direcciones correo electrnico o Servicios que presta Enumeracin de la red o DNS o www.nic.co /www.arin.net Nombre de la empresa Direccin Telfonos Contactos Tcnicos Contactos Administrativos Cuentas de correo o DNS Primario o DNS Secundario Teleport: Copia la estructura de una pgina exacta Registro del dominio: www.dominio.com.co Registro de Correo: mx.correo.dominio.co Contenido de los DNS o www.intodns.com: los registros de DNS o Herramienta Visual Rout: VR o Barrido de ping de un rango de direcciones IP o Escaneo de puertos o www.netwokstols.com o www.netcra.com: el dominio y que sistema operativo tiene Sistemas Operativos con los que ha estado la pgina. o www.brutus.com
o Herramienta dunset: mirar las llaves del registro, enumerar usuarios, polticas del sistema operativo *Consultar los registros del DNS sbado 28/09 Desarrollar el taller
FundamentosdeSeguridadenRedes MODULOII ClaseMarzo31de2009 Mtodosdeataques:20desafosdeloshackers Ataque:Esunmecanismoutilizadoparaexplotarunavulnerabilidad. Alcance:unsistemadeinformacin,unequipoactivo,unabasededatos,unservidorweb. 1. Identificarunoselementospararealizarelataque. 2. Definelainfraestructuradelelemento. 3. Procedimientopasoapasodelataque. 4. Comomitigareseataque:lasolucinparacontrarrestarelataque. Paraeljueves.Presentacindedesafos. Presentacincondiapositivas. Solucin Desafo12Pginas:113121265271
FundamentosdeSeguridadenRedes MODULOII ClaseAbril0209 MtodosdeAtaquesparaelsbado4Abrilde09 IPSofin ARPSpoofing PasivosVaSniffing SynFlood FuerzaBrutasobrelared WebSpoofing Land ArquitecturadeFIREWALL Definir: 1. Queesunfirewall 2. Caractersticas 3. Lostiposdefirewall o Hardware Router o Software Proxi 4. Ventajasydesventajas 5. Prevencin
FundamentosdeSeguridadenRedes MODULOII ClaseAbril0409 ArquitecturadeFirewall Eselmecanismoutilizadoparaaisladosredes. Permitehacerenrutamiento(entradaysalidadepaquetes) Caractersticas Filtradodepaquetes Routing Filtradodevirus NetworkAdressTranslation(NAT) Basadoenreglas Filtradodepuertos(PAT) Deteccindeintrusos Filtradodecontenido Sonadministrables Monitoreodetrfico(log) Estableceredesprivadasvirtuales PuedeserutilizadocomoProxi Segmentalasredes Existeenhardwareysoftware Funcionaconzonas Puedeserutilizadoenunesquemadedisponibilidadactivoactivo,activopasivo Sepuedehacerbalanceodecarga Virtualizacin ROUTING Direccionarpaquetesentrelasredes,atravsdelaslistasdecontroldeacceso.
Definirlistasdeaccesoenunrouter,hayquesaberlohaceronosdaraunanegacinde servicio. FirewallsbasadosenHardware Son dispositivos como cualquier elemento, tienen dos interfaces que cumplen un funcin: interface de LAN: todos los servicios en la red interna, interface definida para ello y una de WAN:Redpblicaequipoactivo:router. Empresaspequeasdondenohaymuchotrficoenlared.
FundamentosdeSeguridadenRedes MODULOII
NAT:RedLANcondireccionesprivadas. NAT1:1:unaIPpublicacontraunaIPPrivada Lareglaseconstruyehacialadireccinpblica. NATdeunaIPPrivadahaciainternetaunaIPPublica NAT1:amuchos TodoslosusuariosdemuchasIPPrivadasderedinternasalenporunasolaIPpblica (ConceptodeProxi) CapadeREDhastaCapaAPLICACIN FirewallporHardwaredetresinterfaces UnazonadeLAN,unaWAN,unazonaDESMILITARIZADA UnazonaintermediaentrelaLANylaWAN,porqueseubicanlosserviciosqueestnenlos servidoresdecarahaciainternet.
Direccionamiento: LAN:Privada WAN:Publica DMZ:Ambos SehaceNATatodoslosserviciosmenosalaBDatos:HTTP,SNMP Otrotipodefirewallporhardwarequetiene4omsinterfaces. Enestetipodefirewallsepuedendefinirlaszonas.
FirewallporSoftware Filtrado de contenido: permite filtrar aquellas pginas que tiene la organizacin actualizadas. Filtrarextensionesdearchivos. Basadoenreglas
IPOrigen
IPDestino Protocolo TCP UDP ICMP Servicio Accin
Ejercicio: CualquierusuariodeinternetpuedaaccederalservidorWEB IPOrigen IPDestino Protocolo 0.0.0.0 200.10.12.4 TCP 192.168.1.3 DBATOS TCP HaciaelCorreointerno 192.168.1.2 192.168.2.2 TCP
Servicio WEB 1433 25
Accin Permitir Permitir Permitir
FundamentosdeSeguridadenRedes MODULOII Salidaainternet EntradadesdeInternet 200.10.12.5 0.0.0.0 TCP 0.0.0.0 200.10.12.5 TCP 192.168.2.2 192.168.1.2 TCP 25 25 25 Permitir Permitir Permitir
Clase Abril 16/09 Firewall 3COM Office Firewall - Definir la direccin publica con la privada. Grupo Seguridad 2
Servicios en la red interna: Servicios Web, FTP, Telnet y otros Virtual Service Reglas a travs del NAT 162.168.1.1 4 Direcciones validas o publicas
Grupo Seguridad 2
FundamentosdeSeguridadenRedes MODULOII Clase Abril-17 de 2009 Investigar que son las VPN, que es una VPN, cuales son las caractersticas de las VPN, que ventajas y que desventajas tenemos. Tipos de VPN Parmetros de configuracin se requiere para las VPN
FundamentosdeSeguridadenRedes MODULOII ClaseAbril20de2009 InvestigarquesonlasVPN, QueesunaVPN, cualessonlascaractersticasdelasVPN, queventajasyquedesventajastenemos. TiposdeVPN ParmetrosdeconfiguracinserequiereparalasVPN
FundamentosdeSeguridadenRedes MODULOII Clase Abril 23 de 2009 VPN: Red Privada Virtual Costo mnimo y garantizar la privacidad de los servicios. Caractersticas Conectar redes a travs de la red pblica de una manera segura: protocolo de conexin estndar para todos. Escalabilidad en la tecnologa: compatible en un protocolo. Protocolo IPSEC
Tnel
Tipos Firewall to Firewall: Bidireccional Dos tipos de condicin, de acceso abierto: se establece una regla con privilegios y de acceso controlado. Acceso Abierto: Tiene acceso a todos los servicios de la otra red. (LAN extendida). Acceso Controlado: Se establece solo un servicio en especial. Firewall to Client: No es Bidireccional
Acceso Controlado: Se establece solo un servicio en especial. Cliente a Firewall PROTOCOLO IPSEC Protocolo de encapsulamiento entre Capa de Red y Capa de Transporte y se definen unas condiciones para una conexin segura. Deben hablar el mismo protocolo. Se requieren las direcciones de origen destino vlidas (pblicas) porque son direcciones que se ven en internet. Red 1 con la Red 2 La condicin es que se conozcan esas direcciones pblicas. Los parmetros de IPSEC son iguales en la Red 1 y Red 2. La Red 1 (origen) debe configurar la Red pblica de la Red2 (destino) y viceversa. Tiene un sistema de autenticacin. Un password que es conocido como el preshare key. Se necesita un algoritmo de inscripcin del tnel. (Mtodo de cifrado). Mtodos de cifrado simtrico: DES: 64 bits, 3DES: 128 bits, AES 128 y 256 bits y asimtrico. Fase de negociacin. Averiguar para el sbado: Que es criptografa Que es un criptograma Que es cifrado y que es descifrado Cuales son los algoritmos de inscripcin de los mtodos asimtrico y simtrico. Que significa cada uno de los DES, 3DES, AES Algoritmos de HASH: es un cheksum MD5 SHA1 Algoritmos de HASH: es un cheksum
FundamentosdeSeguridadenRedes MODULOII IKE EXCHANGE (intercambio dinmico de claves). Utiliza algoritmos de Diffie Helman de 768 bits / 1024 bits / 2048 bits Tiempo de vida o TIME LINE Dominios de inscripcin (redes privadas). o La Red 1 configura la LAN de la Red 2 y viceversa. o Se controlan a travs de reglas Regla de acceso controlado. Garantiza confidencialidad, integridad, disponibilidad.
FundamentosdeSeguridadenRedes MODULOII Clase Mayo 12 de 2009 Criptografa Seguridad Computacional: Niveles de seguridad: A1 > Encripcion de datos La criptografa es una ciencia enfocada a cifrar y descifrar informacin a travs de modelos matemticos, para que garantice la confidencialidad, la integridad, autenticidad y el no repudio. Mtodos de cifrado (Encriptacin) y descifrado (desencriptacin) (por software y hardware: perifricos externos) Mtodos de cifrado simtrico y asimtrico Mtodos de cifrado simtrico: (taller Herramienta PGP) MTODO DE LLAVE PUBLICA: Entre origen y un destino tienen una clave publica, o sea que entre el origen y el destino conocen la informacin. Se utiliza la misma clave para cifrar y descifrar. El origen A + simtrico o clave publica + algoritmo
Mensaje A + Origen A + Cifrado + Clave publica Mensaje B + Destino B + Descifrado + Clave publica = Mensaje Original DES: Mtodo de cifrado simtrico, utiliza 64 bits para cifrar y descifrar, repartido en dos: 56 bits para cifrar y descifrar y 8 bits de control. Ventaja: Rpido, Desventaja: Vulnerado, inseguro 3DES: Mtodo de cifrado simtrico, utiliza 128 bits para cifrar y descifrar, repartido en dos: 116 bits para cifrar y descifrar y 12 bits de control. Ventaja: no ha sido vulnerado AES: Estndar avanzado de encriptacin, 128 bits o 256 bits Ventajas: Son algoritmo de encripcion fuerte Desventaja: Son ms lentos. ALGORITMOS DE HASH Mtodos matemticos que garantiza la integridad. Es un algoritmo que hace un resumen de los datos. Coge todos los datos, le calcula un valor y cuando se transmite el mensaje tiene que ser el mismo. CHECKSUM MD5: Algoritmo de resumen de mensaje, 128 bits Desventaja: Vulnerado SHA1: Algoritmo de Hash seguro, 160 bits, Desventaja: Lento CarlosManuelRenteradelaCruzPgina14de15
FundamentosdeSeguridadenRedes MODULOII Mtodo Cifrado Asimtrico Objetivo: Cifrar y descifrar datos. IKI: Llave publica en los cuales se habla de un par de llaves: pblica y privada Intercambio dinmico de llaves entre el origen y el destino. Origen tiene un mensaje X: Llave publica y una privada Destino tiene un mensaje Y: Llave publica y una privada El ORIGEN tiene 3 llaves: una pblica del ORIGEN, publica del DESTINO, privada del ORIGEN. El DESTINO tiene 3 llaves: una pblica del DESTINO, publica del ORIGEN, privada del DESTINO. Proceso: A: Mensaje X + Llave publica DESTINO + Algoritmo Asimtrico = Mensaje Cifrado. B: Mensaje Y cifrado + Llave privada DESTINO + Algoritmo Asimtrico = Mensaje descifrado de X. Algoritmos de mtodo de cifrado asimtrico: Diffie Hellman: 768 bits, 1024 bits, 2048 bits Algoritmos de RSA: 2048 bits Herramienta PGP: Utilizada para aplicar el mtodo asimtrico. 1. Generar el par de llaves: se genera la pblica y a partir de la pblica se genera la privada. PUBLICA: nombre@dominio.com.co y una cuenta valida de correo interno. ------ PRIVADA: clave de 8 caracteres a 2048. La clave la conoce quien genera la pblica. 2. Intercambiar las llaves pblicas Repositorio de llaves publicas nombre@dominio.com.co + llave privada nombreX@dominio.com.co nombreY@dominio.com.co 3. Cifrado de Datos Archivo + publica DESTINO = Archivo CIFRADO + privado DESTINO= Descifrado= Archivo ORIGINAL PGP Versin 8.1: Firma digital
FundamentosdeSeguridadenRedes
MODELO DE REPORTE DE INCIDENTE DE SEGURIDAD DE LA INFORMACIN

Fecha de notificacin: Hora de notificacin: DATOS DE LA PERSONA QUE NOTIFICA Apellido y Nombres: Sede / C.R. / Delegado: Correo electrnico: Telfono: rea Interno: / Dependencia:
Telfono particular:
INFORMACIN SOBRE EL INCIDENTE Fecha en que observ el incidente: Hora en que observ el incidente: Marque con una cruz todas las opciones que considere aplicables. Uso indebido de informacin crtica. Ingeniera social, fraude o phishing. Uso prohibido de un recurso informtico o de Modificacin no autorizada de un sitio o red de la Universidad. pgina web de la Universidad. Divulgacin no autorizada de informacin personal. Intrusin fsica. Destruccin no autorizada de informacin. Robo o prdida de informacin. Interrupcin prolongada en un sistema o servicio de red. Modificacin, instalacin o eliminacin no autorizada de software. Acceso o intento de acceso no autorizado a un sistema informtico. Eliminacin insegura de informacin. Modificacin o eliminacin no autorizada de datos. Anomala o vulnerabilidad tcnica de software. Amenaza o acoso por medio electrnico. Ataque o infeccin por cdigo malicioso (virus, gusanos, troyanos, etc.) Robo o prdida de un recurso informtico de la Universidad. Otro no contemplado. Describa:
INFORMACIN SOBRE EL INCIDENTE Describa el incidente:
Si el incidente: se trata de una infeccin por cdigo malicioso, detalle en lo posible el nombre del virus detectado por el programa antivirus. se trata de una anomala o vulnerabilidad tcnica, describa la naturaleza y efecto de la anomala en trminos generales, las condiciones en las cuales ocurri la vulnerabilidad, los sntomas del problema y mensajes de error que aparezcan en pantalla. se trata de un caso de fraude mediante correo electrnico (phishing), no elimine el mensaje de correo, contctese en forma telefnica con el Depto. de S.I. y reenve el mensaje como adjunto a la direccin seguridad@empresa.com
CarlosManuelRenteramodelodeREPORTEDEINCIDENTEDESEGURIDADDELAINFORMACIN
Servicio Nacional de Aprendizaje Sena Centro de Gestin de Mercados, Logstica y Tecnologas de la Informacin
ANLISIS DEL ARTICULO IDENTIFICACION DE VULNERABILIDADES EN LA RED
Instructor: Ing. Daro Eduardo Muetn
Carlos Manuel Rentera de la Cruz
Bogot, Febrero de 2009
IDENTIFICACION DE VULNERABILIDADES EN LA RED
ANLISIS DEL ARTICULO IDENTIFICACION DE VULNERABILIDADES EN LA RED

Sontresloselementosquesedenominanactivos:informacin,tecnologaypersonas. 1. ACTIVOS Losactivossonunelementoimportanteenlaempresayquenecesitadelaproteccindetodala organizacin. 2. INTEGRIDAD La informacin no ha sido alterada en su contenido. Si la informacin sufre alteraciones en su versinoriginal,yapierdevalor. 3. CONFIDENCIALIDAD Sololapersonaencargadatieneaccesoalainformacin. 4. DISPONIBILIDAD Lainformacindebeestardisponibleatodomomento Implementarsistemasderespaldodelainformacin. 5. AMENAZAS Fallosdeseguridadqueafectanlosactivosdelaempresa.Laamenazasepuedeconvertirenun riesgo. TiposdeAmenazas Naturales: Imprevistos. Ocurren en cualquier momento. Son fenmenos naturales: sismos, terremotos. Intencionales:Producidasporagentesexternos:ataques,robosdetodotipo. Involuntarias:Erroreshumanos:virusinformticos. 6. VULNERABILIDES Esladebilidaddeunsistema. TiposdeVulnerabilidades Fsicas: Instalaciones inadecuadas, mala sealizacin al interior de la empresa, ausencia de recursos. Naturales:Condicionesdelanaturaleza:polvo,contaminacin,humedad. DeHardware:Defectosdefabricacin.Conservacininadecuadadelosequipos. DeSoftware:Instalacionesindebidasdeprogramas.Libertaddeuso.Aumentoderiesgo. MediosdeAlmacenaje:Soportesfsicosomagnticosparaalmacenarlainformacin. DeComunicacin:Mediosdetransmisin. Humanas:Daoscausadosporlaspersonaspordesconocimientooporfaltadecapacitacin 7. RIESGOS Eslaprobabilidaddequelasamenazasexplotenlospuntosdbilesafectandolaconfidencialidad, laintegracinyladisponibilidaddelainformacin.
CarlosManuelRenteraDeLaCruzPgina2de3
IDENTIFICACION DE VULNERABILIDADES EN LA RED

8. MedidasdeSeguridad Acciones orientadas hacia la eliminacin de vulnerabilidades evitando de que una amenaza se conviertaenunarealidad. TiposdeMedidasdeSeguridad Preventivas:Considerarpuntosdbilesyamenazas. Perceptivas:Actosqueponganenriesgolaorganizacin. Correctivas:Correccindelproblemasdeseguridadconformeasuocurrencia.
Norma BS-7799 Sistema de Gestin de seguridad de la informacin (SGSI) Norma ISO 17799 Norma ISO 27001 Norma ISO 17799 Norma ISO 27002
Instructor: Daro Eduardo Muetn
Carlos Manuel Rentera de la Cruz Luis Majin Cceres Daza
Bogot, Marzo de 2009
FundamentosdeSeguridadenRedes Norma BS-7799: Caractersticas y ventajas Origen de la normativa Grupo de trabajo enero 1993 Emisin de cdigo Septiembre 1993 Publicacin de BS 7799-1 Febrero 1995 Publicacin de BS 7799-2 Febrero 1998 Publicacin BS7799: 1999 1 y 2 Abril 1999 ISO 17799 (BS 7799-1) Diciembre 2000 BS 7799-2 - Publicado en Septiembre 2002. ISO 17799 - Publicado Julio 2005 ISO 27001 Publicado Noviembre 2005.
Introduccin La informacin es un activo que posee cualquier organizacin, presentando distintas formas y valoraciones y como cualquier activo est sujeta a un riesgo. El riesgo es la posibilidad de que una amenaza se materialice y produzca un impacto en dicho activo teniendo consecuencias para la organizacin. La norma BS7799 establece las herramientas necesarias para poder establecer medidas de seguridad eficientes y adems proporciona el vehculo para implantar un sistema que gestione esa seguridad. Tiene dos secciones: BS7799-1:1999(Parte 1). Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin. Es un cdigo tico o de buenas prcticas para garantizar la seguridad de la informacin. Desde el 1 de diciembre de 2000 est presente en el catlogo de normas de ISO/IEC como ISO/IEC 17799:2000 y desde noviembre de 2002 como norma espaola, con la referencia UNE-ISO/IEC 17799. ISO/IEC 17799-2000 Basado en la BS 7799 Parte 1. No hay una certificacin 10 reas de Control 36 Objetivos de Control 127 Controles BS7799-2:2002(Parte 2). Sistemas de Gestin de Seguridad de la Informacin (SGSI). Especificacin con Gua para uso. Es una norma que proporciona un modelo para configurar y gestionar un sistema de gestin de la seguridad efectivo. Se alinea con otras normas como ISO 9001:2000, ISO14001:1996 para que la integracin de los distintos sistemas de gestin se haga posible y tenga consistencia. Esta norma es certificable por entidades de certificacin acreditadas. CarlosManuelRenteraLuisMajinCceresDazaPgina2
FundamentosdeSeguridadenRedes British Standard 7799 Parte 2 Aporta conceptos de implantacin obligatorios para certificar: Requisitos para Sistemas de Gestin de Seguridad de la informacin. Vinculada con la BS 7799-1 (ISO/IEC 17799) Proceso de Evaluacin para Certificacin. Obsoleta. ISO/IEC 27001. Basada en la BS 7799:2 En esta lnea de actuacin podemos definir dos servicios bsicos: Diagnostico de la seguridad de la informacin. Implantacin de un Sistema de Gestin de la Seguridad de la Informacin (SGSI). DIAGNSTICO DE LA SEGURIDAD DE LA INFORMACIN Descripcin del servicio Consta de las siguientes fases: 1. Estudio de las necesidades del cliente. 2. Realizacin de la lista de chequeo completa sobre: a. 10 clusulas de control. b. 36 objetivos de control. c. 127 controles especficos. 3. Emisin de informe de evaluacin. El objeto del servicio es determinar cual es el nivel de seguridad con respecto a la norma BS7799 y de esta forma poder evaluar una posible implantacin + certificacin del SGSI de su organizacin. Alenta y chequea las siguientes clusulas y objetivos de control:
CLAUSULAS 1. Poltica de seguridad 2. Organizacin de la seguridad OBJETIVOS DE CONTROL Documento de poltica de seguridad. Revisin del documento de poltica de seguridad. Infraestructura de organizacin de la seguridad (Foro de gestin de seguridad de la informacin, Coordinacin, Asignacin de responsabilidades, Autorizacin de nuevas instalaciones, Asesoramiento de especialistas, Cooperacin entre organizaciones, Revisin independiente de la seguridad). Seguridad en acceso de terceras partes. Externalizacin (Outsourcing).
3. Clasificacin y control de Inventario de activos. Clasificacin de la informacin. activos 4. Seguridad ligada al personal La seguridad en la definicin de los puestos y en la captacin de personal. Formacin de los usuarios. Respuesta ante incidentes de seguridad. Areas seguras. Seguridad del equipamiento.
5. Seguridad fsica y del entorno
CarlosManuelRenteraLuisMajinCceresDazaPgina3
Controles generales (Proteccin de la informacin en el puesto, entrada y salida de equipamiento, informacin y software). 6. Comunicaciones y gestin de explotacin Procedimientos operativos y responsabilidades. Planificacin y aceptacin de sistemas. Proteccin frente a software malicioso. Procedimientos operativos. Gestin de red. Manipulacin y seguridad de los soportes. Intercambio de informacin y de software. Requisitos y poltica de control de acceso. Gestin del acceso de usuarios. Responsabilidades del usuario. Control de acceso a servicios en red. Control de acceso al sistema operativo. Control de acceso a las aplicaciones. Seguimiento del acceso y uso del sistema. Mviles y teletrabajo. Requisitos de seguridad de los sistemas. Seguridad en las aplicaciones. Uso de Criptografa. Seguridad de los archivos del sistema. Seguridad en desarrollo y mantenimiento. Gestin de la continuidad de los servicios. Conformidad con requisitos de carcter legal. Conformidad en aspectos tcnicos. Auditora del sistema.
7. Control de acceso al sistema
8. Desarrollo y mantenimiento
9. Plan de continuidad 10. Conformidad
Sistema de Gestin de seguridad de la informacin (SGSI): Dominio seguridad SGSI: Aquella parte del sistema general de gestin parte del sistema general de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestin de la seguridad de la informacin. Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de SI. La seguridad de la informacin se caracteriza como la preservacin de: su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la informacin; su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y completos. su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran. MARCO GENERAL DEL SGSI Requisitos generales. Planificacin y diseo del SGSI Seleccin de controles Documentacin y Control de documentacin. Registros Responsabilidades de la Direccin
FundamentosdeSeguridadenRedes IMPLANTACIN DEL SGSI IMPLANTACIN y anlisis de la eficiencia de los controles EXPLOTACIN: Provisin de recursos materiales y humanos REVISIN DEL SGSI: Auditorias internas. Revisin por Direccin PROCESO DE MEJORA: Mejora contina. Accin correctora y preventiva Requisitos de Certificacin del SGSI La norma establece requisitos para Establecer, Implementar y Documentar un SGSI. Definir el alcance del SGSI (fronteras) Definir una poltica de seguridad Identificar activos Realizar el anlisis de riesgos de activos. Identificar las reas dbiles de los activo Tomar decisiones para manejar el riesgo Seleccionar los controles apropiados Implementar y manejar los controles seleccionados Elaborar la declaracin de aplicabilidad Certificacin del SGSI La certificacin no implica que la organizacin a obtenido determinado niveles de seguridad de la informacin para sus productos y/o servicios. Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la informacin, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios. Procesos anlogos a los de las normas ISO 9001 e ISO 14000. Certificado con duracin de 3 aos. En cada Pas Actualmente en proceso de homologacin por las instituciones locales. Opciones: (Ej. Uruguay) UNIT/ISO/IEC 27001:2006 (Ej. Espaa) AENOR UNE 71502 ISO/IEC 27001. Internacionalmente El ms amplio reconocimiento. Ampliamente reconocida a nivel profesional. Estndar de la industria. Requerida por importantes empresas a sus Proveedores.
FundamentosdeSeguridadenRedes RELACIONES Y DIFERENCIAS DE LAS NORMAS 17799 y 27001 Relacin de las normas
Nuevas Versiones ISO/IEC
Norma ISO 17799: 2000 10 reas de Control Poltica de Seguridad Aspectos organizativos para la seguridad Clasificacin y control de los activos Seguridad ligada al personal Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestin de continuidad del negocio Conformidad
FundamentosdeSeguridadenRedes ISO/IEC 17799:2005 11 reas de Control Poltica de Seguridad Organizacin de la Seguridad de la Informacin Gestin de Activos Seguridad en los Recursos Humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Adquisicin, desarrollo y mantenimiento de sistemas de informacin Gestin de incidentes de seguridad Gestin de continuidad del negocio Conformidad
NORMA PNE-ISO/IEC 27001 (ISO/IEC 27001: 2005) OBJETIVOS Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin. Objeto y Campo de Aplicacin Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas. Diferencias entre ISO 27001 e ISO 27002 En muchos casos, tanto entre los profanos como entre los entendidos, es habitual escuchar hablar de ISO 27001 e ISO 27002 (ex-ISO 17799) como de dos normas equivalentes. En el primer caso no me parece grave, y es incluso previsible, pero creo que las personas ms expertas deberan hablar con ms propiedad, sobre todo teniendo en cuenta los problemas que puede ocasionar la confusin de ambas normas. Porque, aunque puede que alguien se escandalice al oirlo, ambas normas son MUY distintas. Cuando hablo de las diferencias entre ellas no me refiero sencillamente al hecho de que una (27002) sea un cdigo de buenas prcticas y la otra (27001) una especificacin, sino a la filosofa y alcance que tienen una y otra. La ISO 27002 es una gua para, en distintos mbitos, conocer qu se puede hacer para mejorar la seguridad de la informacin. Expone, en distintos campos, una serie de apartados a tratar en relacin a la seguridad, Los objetivos de seguridad a perseguir, una serie de consideraciones (controles) a tener en cuanta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningn tipo de priorizacin entre controles, y que las "sugerencias" que realiza no tienen por qu ser ni siquiera convenientes, en funcin del caso en cuestin.
Dominios de Seguridad, Objetivos de Control y Controles
Fundamentos de Seguridad en Redes
DOMINIOS DE SEGURIDAD 1. Dominio de polticas de seguridad Las organizaciones deben definir, implementar, actualizar y divulgarlas las polticas de seguridad Objetivo de control 1.1 Poltica de seguridad de informacin: Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en concordancia con los requerimientos comerciales y leyes y regulaciones relevantes Controles 1.1.1 Documentar poltica de seguridad de informacin: La gerencia debe aprobar un documento de poltica, este se debe publicar y comunicar a todos los empleados y entidades externas relevantes. 1.1.2 Revisin de la poltica de seguridad de la informacin: Control La poltica de seguridad de la informacin debe ser revisada regularmente a intervalos planeados o si ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad. 2 La organizacin de seguridad de la informacin La estructura del rea de seguridad de la informacin en una empresa Objetivo de control 2.1 Organizacin interna Objetivo: Manejar la seguridad de la informacin dentro de la organizacin. 2.1.1 Compromiso de la gerencia con la seguridad de la informacin: La gerencia debe apoyar activamente la seguridad dentro de la organizacin a travs de una direccin clara, compromiso demostrado, asignacin explcita y reconocimiento de las responsabilidades de la seguridad de la informacin. 2.1.2 Coordinacin de la seguridad de informacin: Control Las actividades de seguridad de la informacin deben ser coordinadas por representantes de las diferentes partes de la organizacin con las funciones y roles laborales relevantes. 2.1.3 Asignacin de responsabilidad desde la seguridad de la informacin: Se deben definir claramente las responsabilidades desde la seguridad de la informacin. 2.1.4 Proceso de autorizacin para los medios de procesamiento de informacin: Se debe definir e implementar un proceso de autorizacin gerencial para los nuevos medios de procesamiento de informacin. Pgina 2 de 17
2.1.5
Acuerdos de confidencialidad: Control Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los acuerdos de no-divulgacin reflejando las necesidades de la organizacin para la proteccin de la informacin.
2.1.6 Contacto con autoridades: Se debe mantener los contactos apropiados con las autoridades relevantes. 2.1.7 Contacto con grupos de inters especial: Se deben mantener contactos apropiados con los grupos de inters especial u otros foros de seguridad especializados y asociaciones profesionales.
2.1.8 Revisin independiente de la seguridad de la informacin: El enfoque de la organizacin para manejar la seguridad de la informacin y su implementacin (es decir; objetivos de control, controles, polticas, procesos y procedimientos para la seguridad de la informacin) se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios significativos para la implementacin de la seguridad. 2.2 Entidades externas Objetivo: Mantener la seguridad de la informacin de la organizacin y los medios de procesamiento de informacin a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados por entidades externas.
2.2.1 Identificacin de riesgos relacionados con entidades externas: Se deben identificar los riesgos que corren la informacin y los medios de procesamiento de informacin de la organizacin y se deben implementar los controles apropiados antes de otorgar acceso. 2.2.2 Tratamiento de la cuando seguridad se trabaja con clientes: Se deben tratar todos los requerimientos de seguridad identificados antes de otorgar a los clientes acceso a la informacin o activos de la organizacin. 2.2.3 Tratamiento de la seguridad en contratos con terceras personas: Los acuerdos que involucran acceso, procesamiento, comunicacin o manejo por parte de terceras personas a la informacin o los medios de procesamiento de informacin de la organizacin; agregar productos o servicios a los medios de procesamiento de la informacin deben abarcar los requerimientos de seguridad necesarios relevantes.
3 Gestin de Activos La organizacin tiene unos activos: asignar responsables y hay que tener en cuenta que la informacin es una activo. 3.1 Responsabilidad por los activos Pgina 3 de 17
Objetivo: Lograr y mantener la proteccin apropiada de los activos organizacionales. 3.1.1 Inventarios de activos: Todos los activos deben estar claramente identificados; y se debe elaborar y mantener un inventario de todos los activos importantes. 3.1.2 Propiedad de los activos: Toda la informacin y los activos asociados con os medios de procesamiento de la informacin deben ser propiedad3 de una parte designada de la organizacin. 3.1.3 Uso aceptable de los activos: Se deben identificar, documentar e implementar las reglas para el uso aceptable de la informacin y los activos asociados con los medios de procesamiento de la informacin. 3.2 Clasificacin de la informacin Objetivo: Asegurar que a informacin reciba un nivel de proteccin apropiado.
3.2.1 Lineamientos de clasificacin: La informacin debe ser clasificada en trminos de su valor, requerimientos legales, confidencialidad y grado crtico para la organizacin. 3.2.2 Etiquetado y manejo de la informacin: Se debe desarrollar e implementar un apropiado conjunto de procedimientos para etiquetar y manejar la informacin en concordancia con el esquema de clasificacin adoptado por la organizacin. 4 Seguridad de los recursos humanos 4.1 Antes del empleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean adecuados para los roles para los cuales se les considera; y reducir el riesgo de robo, fraude o mal uso de los medios.
4.1.1 Roles y responsabilidades: Se deben definir y documentar los roles y responsabilidades de seguridad de los empleados, contratistas y terceros en concordancia con la poltica de la seguridad de informacin de la organizacin. 4.1.2 Seleccin: Se deben llevar a cabo chequeos de verificacin de antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las leyes, regulaciones y tica relevante, y deben ser proporcionales a los requerimientos comerciales, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos. 4.1.3 Trminos y condiciones de empleo: Como parte de su obligacin contractual; los empleados, contratistas y terceros deben aceptar y firmar los trminos y condiciones de su contrato de empleo, el cual debe Pgina 4 de 17
establecer sus responsabilidades y las de la organizacin para la seguridad de la informacin. 4.2 Durante el empleo Objetivo: Asegurar que todos los empleados, contratistas y terceros estn al tanto de las amenazas y inquietudes sobre la seguridad de informacin, sus responsabilidades y obligaciones, y que estn equipados para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir los riesgos de error humano.
4.2.1 Gestin de responsabilidades: La gerencia debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las polticas y procedimientos establecidos de la organizacin. 4.2.2 Capacitacin y educacin en seguridad de la informacin: Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitacin y actualizaciones regulares de las polticas y procedimientos organizacionales, conforme sean relevantes para su funcin laboral. 4.2.3 Proceso disciplinario: Debe existir un proceso disciplinario formal para os empleados que han cometido una violacin en la seguridad. 4.3 Terminacin o cambio del empleo Objetivo: Asegurar que los empleados, contratistas y terceros salgan de una organizacin o cambien de empleo de una manera ordenada.
4.3.1 Responsabilidad desde terminacin: Se deben definir y asignar claramente las responsabilidades para realizar la terminacin o cambio del empleo. 4.3.2 Devolucin de activos: Todos los empleados, contratistas y terceros deben devolver todos los activos de la organizacin que estn en su posesin a la terminacin de su empleo, contrato o acuerdo. 4.3.3 Eliminacin de derechos de acceso: Los derechos de acceso de todos los empleados, contratistas y terceros a la informacin y medios e procesamiento de la informacin deben ser eliminados a la terminacin de su empleo, contrato o acuerdo, o se deben ajustar al cambio.
5 Seguridad fsica y ambiental Las organizaciones tienen personas: dominio del recurso humano. Control en la contratacin: antes, dentro y despus 5.1 reas seguras Objetivo: Evitar el acceso fsico no autorizado, dao e interferencia al local y la informacin de la organizacin. Pgina 5 de 17
5.1.1 Permetro de seguridad fsica: Se debe utilizar permetros de seguridad (barreras tales como paredes y puertas de ingreso controlado o recepcionistas) para proteger reas que contienen informacin y medios de procesamiento de informacin. 5.1.2 Controles de entrada fsicos: Se deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al personal autorizado. 5.1.3 Seguridad de oficinas, habitaciones y medios: Se debe disear y aplicar seguridad fsica en las oficinas, habitaciones y medios. 5.1.4 Proteccin contra amenazas externas y ambientales: Se debe disear y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, disturbios civiles y otras formas de desastre natural o creado por el hombre. 5.1.5 Trabajo en reas seguras: Se debe disear y aplicar proteccin fsica y lineamientos para trabajar en reas seguras. 5.1.6 reas de acceso pblico, entrega y carga: Se deben controlar los puntos de acceso como las reas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislare los medios de procesamiento de la informacin para evitar un acceso no autorizado. 5.2 Seguridad del equipo Objetivo: Evitar la prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la
5.2.1 Ubicacin y proteccin del equipo: El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado. 5.2.2 Servicios pblicos: El equipo debe ser protegido de fallas de energa y otras interrupciones causadas por fallas en los servicios pblicos.
5.2.3 Seguridad en el cableado Control El cableado de la energa y las telecomunicaciones que llevan data o sostiene los servicios de informacin deben ser protegidos de la intercepcin o dao. 5.2.4 Mantenimiento de equipo: El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad. 5.2.5 Seguridad del equipo fuera del local: Se debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organizacin. Pgina 6 de 17
5.2.6 Eliminacin seguro o reuso del equipo: Todos los tems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia antes de su eliminacin. 5.2.7 Traslado de Propiedad: Equipos, informacin o software no deben ser sacados fuera de la propiedad sin previa autorizacin. 6 Gestin de las comunicaciones y operaciones Los procesos de la empresa y la parte operacional de la misma Red interna y externa, tiene comunicacin con entes internos. 6.1.1 Procedimientos y responsabilidades operacionales Objetivo: Asegurar la operacin correcta y segura de los medios de procesamiento de la informacin. 6.1.2 Procedimientos de operacin documentados: Se deben documentar y mantener los procedimientos de operacin, y se deben poner a disposicin de todos los usuarios que los necesiten. 6.1.3 Gestin de cambio: Se deben controlar los cambios en los medios y sistemas de procesamiento de la informacin. 6.1.4 Segregacin de deberes: Se deben segregar los deberes y reas de responsabilidad para reducir las oportunidades de una modificacin noautorizada o no-intencionada o un mal uso de los activos de la organizacin. 6.1.5 Separacin de los medios de desarrollo y operacionales: Se deben separar los medios de desarrollo, prueba y operacionales para reducir los riesgos de accesos no-autorizados o cambios en el sistema de operacin.
Pgina 7 de 17
6.2
Gestin de la entrega del servicio de terceros Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y entrega del servicio en lnea con los contratos de entrega del servicio de terceros.
6.2.1 Entrega del servicio: Se debe asegurar que los terceros implementen, operen y mantengan los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el contrato de entrega del servicio de terceros. 6.2.2 Monitoreo y revisin de los servicios de terceros: Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditoras se deben llevar a cabo regularmente. 6.2.3 Manejar los cambios en los servicios de terceros: Se deben manejar los cambios en la provisin de servicios, incluyendo el mantenimiento y mejoramiento de las polticas, procedimientos y controles de seguridad existentes, tomando en cuenta el grado crtico de los sistemas y procesos comerciales involucrados y la reevaluacin de los riesgos. 6.3 Planeacin y aceptacin del sistema Objetivo: Minimizar el riesgo de fallas en los sistemas.
6.3.1 Gestin de capacidad: Se deben monitorear, afinar y realizar proyecciones del uso de los recursos para asegurar el desempeo del sistema requerido. 6.3.2 Aceptacin del sistema: Se deben establecer los criterios de aceptacin para los sistemas de informacin nuevos, actualizaciones y versiones nuevas y se deben llevar a cabo pruebas adecuadas del(los)sistema(s) durante su desarrollo y antes de su aceptacin. 6.4 Proteccin contra software malicioso y cdigo mvil Objetivo: Proteger la integridad del software y la informacin.
6.4.1 Controles contra software malicioso: Se deben implementar controles de deteccin, prevencin y recuperacin para protegerse de cdigos malicioso y se deben implementar procedimientos de conciencia apropiados. 6.4.2 Controles contra cdigos mviles: Cuando se autoriza el uso de un cdigo mvil, a configuracin debe asegurar que el cdigo mvil autorizado opere de acuerdo a una poltica de seguridad claramente definida, y se debe evitar que se ejecute un cdigo mvil no-autorizado.
6.5
Respaldo (back-up) Pgina 8 de 17
Objetivo: Mantener la integridad y disponibilidad de los servicios de procesamiento de informacin y comunicaciones. 6.5.1 Back-up o respaldo de la informacin: Se deben realizar copias de backup o respaldo de la informacin comercial y software esencial y se deben probar regularmente de acuerdo a la poltica. 6.6 Gestin de seguridad de redes Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin dela infraestructura de soporte.
6.6.1 Controles de red: Las redes deben ser adecuadamente manejadas y controladas para poderlas proteger de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la informacin en trnsito. 6.6.2 Seguridad de los servicios de red: Se deben identificar los dispositivos de seguridad, niveles de servicio y los r requerimientos e incluirlos en cualquier contrato de servicio de red, ya sea que estos servicios sean provistos encasa o sean abastecidos externamente. 6.7 Gestin de medios Objetivo: Evitar la divulgacin, modificacin, eliminacin o destruccin no autorizada de los activos; y la interrupcin de las actividades comerciales.
6.7.1 Gestin de los medios removibles: Deben existir procedimientos para la gestin de medios removibles. 6.7.2 Eliminacin de medios: Los medios deben ser eliminados utilizando procedimientos formales y de una manera segura cuando ya no se les requiere. 6.7.3 Procedimientos de manejo de la informacin: Se deben establecer los procedimientos para el manejo y almacenaje de la informacin para proteger dicha informacin de una divulgacin no autorizada o un mal uso. 6.7.4 Seguridad de documentacin del sistema: Se documentacin de un acceso no autorizado. 6.8 debe proteger la
Intercambio de informacin Objetivo: Mantener la seguridad de la informacin y software intercambiados dentro de una organizacin y con cualquier entidad externa.
6.8.1 Procedimientos y polticas de informacin y software: Se deben establecer poltica, procedimientos y controles de intercambio formales para Pgina 9 de 17
proteger el intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin. 6.8.2 Acuerdos de intercambio: Se deben establecer acuerdos para el intercambio e informacin y software entre la organizacin y entidades externas. 6.8.3 Medios fsicos en trnsito: Los medios que contienen informacin deben ser protegidos contra un acceso no-autorizado, mal uso o corrupcin durante el transporte ms all de los lmites fsicos de una organizacin. 6.8.4 Mensajes electrnicos: Se debe proteger adecuadamente los mensajes electrnicos. 6.8.5 Sistemas de informacin comercial: Se deben desarrollar e implementar polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin comercial. 6.9 Servicios de comercio electrnico Objetivo: Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro.
6.9.1 Comercio electrnico: Se debe proteger la informacin involucrada en el comercio electrnico que se trasmite a travs de redes pblicas de cualquier actividad fraudulenta, disputa contractual y divulgacin y modificacin no autorizada. 6.9.2 Transacciones en lnea: Se debe proteger la informacin involucrada en las transacciones en-lnea para evitar la transmisin incompleta, rutas equivocadas, alteracin no-autorizada del mensaje, divulgacin no autorizada, y duplicacin o re-envo no autorizado del mensaje. 6.9.3 Informacin: Disponible pblicamente Se debe proteger la integridad de la informacin disponible pblicamente para evitar la modificacin no autorizada. 6.10 Monitoreo Objetivo: Detectar actividades de procesamiento de informacin no autorizadas.
6.10.1 Registro de auditoria: Se deben producir registros de la actividades de auditoria, excepciones y eventos de seguridad dela informacin y se deben mantener durante un perodo acordado para ayudar en investigaciones futuras y monitorear el control de acceso. 6.10.2 Proteccin de la informacin del registro: acceso no-autorizado. 6.10.3 Registros del administrador y operador: Se deben registrar las actividades del administrador y operador del sistema. Pgina 10 de 17
6.10.4 Registro de fallas: Tomar la accin apropiada. 6.10.5 Sincronizacin de relojes: Informacin relevantes de una organizacin o dominio de seguridad deben estar sincronizados con una fuente de tiempo exacta acordada. 6.11 Uso del sistema de monitoreo: Se deben establecer procedimientos para monitorear el uso de los medios de procesamiento de informacin y el resultado de las actividad desde monitoreo se debe revisar regularmente.
7 Controles de acceso: Las organizaciones deben tener un control de acceso que la organizacin debe tener para ingresar a ella y a las zonas perimetrales. (debe tener un usuario y una clave). Gestin y administracin de usuarios. 7.1 Requerimiento comercial para el control del acceso. Objetivo: Controlar acceso a la informacin
7.1.1 Poltica de control de acceso: Se debe establecer, documentar y la poltica requerimientos de seguridad y comerciales. 7.1.2 Gestin del acceso del usuario: Asegurar el acceso al usuario autorizado a los sistemas de informacin. 7.1.3 Inscripcin del usuario: Procedimiento formal para la inscripcin y desinscripcin para otorgar acceso a todos los sistemas y servicios de informacin. 7.1.4 Gestin de privilegios: Uso de los privilegios. 7.1.5 Gestin de la clave del usuario: La asignacin de claves a travs de un proceso de gestin formal. 7.1.6 Revisin de los derechos de acceso del usuario: La gerencia debe revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal. 7.2 Responsabilidades del usuario Objetivo: Evitar el acceso de usuarios no autorizados y el compromiso o robo de la informacin y los medios de procesamiento de la informacin.
7.2.1 Uso de clave: Se debe requerir que los usuarios sigan buenas prcticas de seguridad en la seleccin y uso de las claves. 7.2.2 Equipo de usuario desatendido: Se debe requerir que los usuarios se aseguren de dar la proteccin apropiada al equipo desatendido. 7.2.3 Poltica de pantalla y escritorio limpio: Se debe adoptar una poltica de escritorio limpio para los documentos y medios de almacenar los medios de procesamiento de la informacin. Pgina 11 de 17
7.3
Control de acceso a redes Objetivo: Evitar el acceso no-autorizado a los servicios en red.
7.3.1 Poltica sobre el uso de servicios en red: Los usuarios slo deben tener acceso a los servicios para los cuales han sido especficamente autorizados a usar. 7.3.2 Autenticacin del usuario para conexiones externas: Controlar el acceso de usuarios remotos. 7.3.3 Identificacin del equipo en red: Se debe considerar la identificacin automtica de conexiones desde equipos y ubicaciones especficas. 7.3.4 Proteccin del puerto de diagnstico remoto Control puertos de diagnstico y configuracin. 7.3.5 Segregacin en redes: Los servicios de informacin, usuarios y sistemas de informacin se deben segregar en las redes. 7.3.6 Control de conexin de redes: Los usuarios en las redes compartidas, especialmente aquellas que se extienden a travs de los lmites organizaciones, en concordancia requerimientos de las aflicciones comerciales. 7.3.7 Control de routing de redes: Para las redes para asegurar que las conexiones de cmputo y poltica de control de acceso de las aplicaciones comerciales. 7.4 Control de acceso al sistema de operacin Objetivo: Evitar acceso no autorizado a los sistemas operativos.
7.4.1 Procedimientos de registro en el terminal: Se debe controlar ellos servicios operativos seguro. 7.4.2 Identificacin y autenticacin del usuario: Todos los usuarios deben tener un identificador personal (ID de usuario) para su uso personal y exclusivo, se debe elegir la tcnica de autenticacin adecuada para verificar la identidad del usuario. 7.4.3 Sistema de gestin de claves: Los sistemas de manejo de claves deben ser claves. 7.4.4 Uso de utilidades del sistema: uso de los programas de utilidad que por superar al sistema y los controles de aplicacin. 7.4.5 Sesin inactiva: Las sesiones inactivas deben cerrarse despus de un perodo de inactividad definido. Pgina 12 de 17
7.4.6 Limitacin de tiempo de conexin: Se debe utilizar restricciones sobre los tiempos de conexin para proporcionar seguridad adicional a las aplicaciones de alto riesgo. 7.5 Control de acceso a la aplicacin e informacin Objetivo: Evitar el acceso no autorizado a la informacin mantenida en los sistemas de aplicacin.
7.5.1 Restriccin al acceso a la informacin: Se debe restringir el acceso de los usuarios y personal de soporte a aplicacin en concordancia con la poltica de control de acceso definida. 7.5.2 7.6 Aislamiento del sistema sensible: Los sistemas sensibles deben tener un ambiente de cmputo dedicado (aislado). Computacin mvil y tele-trabajo Objetivo: Asegurar la seguridad de la informacin cuando se utilice medios computacin mvil y tele-trabajo.
7.6.1 Computacin mvil y comunicaciones: Contra los riesgos de medios de computacin y comunicacin mviles. 7.6.2 Tele-trabajo: Se deben desarrollar e implementar polticas, planes operacionales y procedimientos para actividades de tele-trabajo. 8 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. 8.1 Requerimientos de seguridad de los sistemas informacin. Objetivos: Asegurar que la seguridad sea una parte integral de los sistemas de informacin.
8.1.1 Anlisis y especificacin delos requerimientos de seguridad: Los enunciados de los requerimientos comerciales existentes deben especificar los requerimientos de los controles de seguridad. 8.2 Procesamiento correcto en las aplicaciones informacin en las aplicaciones. Objetivos: Evitar errores, prdida, modificacin no-autorizada o mal uso de la informacin en las aplicaciones.
8.2.1 Validacin de data de Insumo: El Insumo de data en las aplicaciones debe ser validado para asegurar que esta data sea correcta y apropiada. 8.2.2 Control de procesamiento interno: Se deben incorporar chequeos de validacin en las aplicaciones para detectar cualquier corrupcin de la informacin a travs de errores de procesamiento o actos deliberados.
Pgina 13 de 17
8.2.3 Integridad del mensaje: Se deben identificar los requerimientos para asegurar la autenticidad y proteccin de la integridad del mensaje en las aplicaciones y se deben identificar e implementar los controles apropiados. 8.2.4 Validacin de data de output: Se debe validar el output de data de una aplicacin para asegurar que el procesamiento dela informacin almacenada sea correcto y apropiado para las circunstancias. 8.3 Controles criptogrficos Objetivos: Proteger la confidencialidad, autenticidad o integridad de informacin a travs de medios criptogrficos.
8.3.1 Poltica sobre el uso de controles criptogrficos: Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin. 8.3.2 Gestin clave: Se debe utilizar una gestin de clave para dar soporte al uso de las tcnicas de criptografa en la organizacin. 8.4 Seguridad de los archivos del sistema Objetivo: Garantizar la seguridad de los archivos del sistema.
8.4.1 Control de software operacional: Se debe contar con procedimientos para controlarla instalacin de software en los sistemas operacionales. 8.4.2 Proteccin de la data de prueba del sistema: Se debe seleccionar cuidadosamente, proteger y controlar la data de prueba. 8.4.3 Control de acceso al cdigo fuente del programa: Se debe restringir el acceso al cdigo fuente del programa. 8.5 Seguridad en los procesos de desarrollo y soporte Objetivo: Mantener la seguridad del software e informacin del sistema de aplicacin.
8.5.1 Procedimientos de control de cambio: La implementacin de cambios se debe controlar mediante el uso de procedimientos formales decontrol de cambios. 8.5.2 Revisin tcnica de las aplicaciones despus de cambios en el sistema operativo: Cuando se cambian los sistemas operativos, se deben revisar y probar las aplicaciones crticas del negocio para asegurar que no exista un impacto adverso en las operaciones o seguridad organizacional. 8.5.3 Restricciones sobre los cambios en los paquetes de software: No se deben fomentar las modificaciones a los paquetes de software, se deben limitar a los cambios necesarios y todos los cambios deben ser controlados estrictamente. Pgina 14 de 17
8.5.4 Filtracin de informacin: Se deben evitar las oportunidades de filtraciones en la informacin. 8.5.5 Desarrollo de outsourced software: El desarrollo de software que ha sido outsourced debe ser supervisado y monitoreado por la organizacin. 8.6 Gestin de vulnerabilidad tcnica Objetivo: Reducir los riesgos resultantes vulnerabilidades tcnicas publicadas de la explotacin de
8.6.1 Control de vulnerabilidades tcnicas: Se debe obtener informacin oportuna sobre las vulnerabilidades tcnicas de los sistemas de informacin en uso, se debe evaluar la exposicin de la organizacin ante esas vulnerabilidades, y se deben tomar las medidas apropiadas para tratar el riesgo asociado. 9 Gestin de incidentes en la seguridad de la informacin Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestin de las seguridad de la informacin. 9.1 Responsabilidades y procedimientos: Se deben establecer las responsabilidades y procedimientos gerenciales para asegurar una efectiva y ordenada a los incidentes de seguridad de la informacin. Aprendizaje de los incidentes en la seguridad de la informacin: Deben existir mecanismos para permitir cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin. Recoleccin de evidencia: Cuando la accin de seguimiento contra una persona o una organizacin despus de un incidente en la seguridad de la informacin involucra una accin legal (sea civil o criminal), se debe recolectar, mantener y presentar la evidencia para cumplir las reglas de evidencia establecidas en las jurisdicciones relevantes.
9.2
9.3
10 Gestin de la continuidad comercial Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. 10.1 Incluir seguridad de la informacin en el proceso de gestin de continuidad comercial: Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a travs de toda la organizacin para tratar los requerimientos de seguridad de la informacin necesarios para la continuidad comercial de la organizacin. Continuidad comercial y evaluacin del riesgo: Se deben identificar los eventos que causan interrupciones en los procesos comerciales, junto con Pgina 15 de 17
10.2
la probabilidad e impacto de dichas interrupciones y sus consecuencias e para la seguridad de la informacin. 10.3 Desarrollar e implementar planes de continuidad incluyendo seguridad de la informacin: Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar a disponibilidad de la informacin en el nivel requerido y en las escalas de tiempo requeridas despus de la interrupcin o falla en los procesos comerciales. Marco referencial para la planeacin de la continuidad comercial: Se deben proteger los registros importantes de una organizacin de prdida, destruccin y falsificacin, en concordancia con los requerimientos estatutarios, reguladores, contractuales y comerciales. Prueba, mantenimiento y re-evaluacin de planes de continuidad comerciales: Los planes de continuidad comercial se deben probar y actualizar regularmente para asegurar que estn actualizados y sean efectivos.
10.4
10.5
11 Cumplimiento requerimientos legales Actualizar las polticas de seguridad Entidades que regulan a las empresas a nivel externos Controles que se deben adoptar en la organizacin (auditorias internas) Objetivo: Evitar violaciones de cualquier ley, obligacin reguladora o contractual y de cualquier requerimiento de seguridad. 11.1 Identificacin de legislacin aplicable: Se deben definir explcitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales y el enfoque de la organizacin relevante para cada sistema de informacin y la organizacin.
11.1.1 Derechos de propiedad intelectual (IPR): Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de los productos de software patentado. 11.1.2 Proteccin los registros organizacionales: Se deben proteger los registros importantes de una organizacin de prdida, destruccin y falsificacin, en concordancia con los requerimientos estatutarios, reguladores, contractuales y comerciales. 11.1.3 Proteccin de data y privacidad de informacin personal: Se deben asegurar la proteccin y privacidad tal como se requiere en la legislacin relevante, las regulaciones y si fuese aplicable las clusulas contractuales. 11.1.4 Prevencin de mal uso de medios de procesamiento de informacin: Se debe desanimar a los usuarios de utilizar los medios de procesamiento de la informacin para propsitos no-autorizados. Pgina 16 de 17
11.1.5 Regulacin de controles criptogrficos: Se deben utilizar controles en cumplimiento con los acuerdos, leyes y regulaciones relevantes. 11.2 Cumplimiento con las polticas y estndares de seguridad, y el cumplimiento tcnico Objetivo: Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad organizacional.
11.2.1 Cumplimiento con las polticas y estndares de seguridad: Los gerentes deben asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad sean realizados correctamente en cumplimiento con las polticas y estndares de seguridad. 11.2.2 Chequeo de cumplimiento tcnico: Los sistemas de informacin deben chequearse regularmente para el cumplimiento con los estndares de implementacin de la seguridad. 11.3 Consideraciones de auditoria de los sistemas de informacin Objetivo: Maximizar la efectividad de y minimizar la interferencia de/desde el proceso de auditoria de los sistema de informacin.
11.3.1 Controles de auditoria de sistemas de informacin: Se deben planear cuidadosamente los requerimientos y actividades de las auditorias que involucran chequeo de los sistemas operacionales y se debe acordar minimizar el riesgo de interrupciones en los procesos comerciales. 11.3.2 Proteccin de las herramientas de auditoria de los sistemas de informacin: Se debe proteger el acceso a las herramientas de auditora de los sistemas de informacin para evitar cualquier mal uso o compromiso posible.
Pgina 17 de 17
Qu significa DNS
Qu significa DNS Qu significa DNS? DNS significa Domain name Server Para que sirve un servidor DNS? Un servidor DNS sirve para transformar la IP de un servidor web en un dominio. Para que podamos entender que es un servidor DNS, deberemos explicar mediante un grfico, como se compone la estructura de Internet para una pgina web cualquiera:
Como podemos ver en la imagen, existen tres elementos indispensables en Internet para que esta sea posible. Servidor web: Es un servidor que est acondicionado para servir pginas web las 24 horas del da. Dominio: Es el nombre del dominio con que nos buscar la gente en Internet, introducindolo la barra de direcciones del navegador. Servidor DNS: Es el encargado de transformar la IP de un servidor web, en el nombre del dominio. El funcionamiento es el siguiente, cuando ponemos por ejemplo, cdmon.com en la barra del explorador, este realiza la consulta en Internet de cmo est configurado este dominio. El servidor DNS le indica a nuestro explorador que tiene que ir a buscar la informacin de la pgina web a la IP del servidor web.
Pgina 2 de 6
Qu significa DNS
Pgina 3 de 6
Qu significa DNS El explorador enva la peticin de la pgina web al servidor web, indicndole el nombre del dominio que desea. El servidor web sirve la pgina web y el explorador la muestra. Todo esto pasa en cuestin de milsimas de segundo.
El proceso es mucho ms complejo que lo citado ahora ya que intervienen ms elementos tecnolgicos, pero bsicamente se puede resumir de la manera explicada. Qu servicios puedo configurar en los servidores DNS? - Podremos crear subdominios, para cada dominio - Configurar el dominio principal y sus dominios mediante: Registros A
Un registro A es una direccin de su dominio. Si su dominio es ejemplo.org, un registro A sera por ejemplo www (quedando www.ejemplo.org). Se utiliza para llevar a diferentes direcciones IP distintos nombres de un mismo dominio. Por ejemplo www.ejemplo.org lleva a la IP 213.186.55.206 mientras que control.ejemplo.org lleva a la IP 213.186.55.205. Se ppuede configurar tantos registros A como necesite.
Registros MX
Los registros MX son registros de correo. Por ejemplo, un email enviado a usted a la siguiente direccin info@ejemplo.org es entregado a la mquina con IP 213.186.55.206 si esta direccin est en la lista de registros MX del dominio ejemplo.org . No tiene nada que ver con los registros A, que se utilizan para la navegacin, FTP, etc. Los registros MX son utilizados slo para la entrega de correo. La preferencia en los registros MX es un valor numrico (generalmente 10) que sirve para darle un orden de preferencia a cada entrada si usted define ms de una. Es decir, para el dominio ejemplo.org usted ha configurado 3 mquinas como registros MX, por si alguna se satura, o tiene algn tipo de fallo temporal, no perder sus correos electrnicos. Entonces segn los valores de la preferencia de cada mquina, el servidor que enva el correo elegir por orden de preferencia una mquina para entregar ese correo. Si esa mquina no responde lo intentar con la de siguiente preferencia, y as hasta que el correo pueda ser entregado o no haya ms registros MX.
Registros TXT Pgina 4 de 6
Qu significa DNS
Actualmente los registros TXT se utilizan para configuraciones de prevencin del spam, como es evitar el suplantacin de la identidad (SPF) o las firmas de emails mediante claves pblicas/privadas (DomainKeys). Tambin puede ser utilizado por otros sistemas que requieran de almacenamiento y consulta de informacin nica del dominio. Se puede encontrar mucha ms informacin buscando por internet acerca de "TXT records" o bien "SPF records" o bien "DomainKeys records".
CNAMES
El registro 'CNAME' (Canonical Name Record) permite a una misma mquina ser conocida por uno o ms nombres de host. Es decir, si se realiza alguna modificacin en el host principal al que apunta el CNAME, esta modificacin afectar a los registros que usen dicho CNAME. De esta forma se pueden realizar tareas como alojar un servidor FTP y un servidor Web en el mismo equipo y aprovechar las caractersticas con el CNAME para que apunte al mismo sitio. Por ejemplo, si tiene el dominio "dominio.com" apuntando a la direccin IP 192.169.1.1, podra tener dos subdominios del tipo ftp.dominio.com y correo.dominio.com con un CNAME apuntando al dominio.com y estos utilizaran la IP 192.168.1.1. Un registro CNAME solo se puede enlazar con un registro A (redireccin IP) o con otro CNAME. Debe evitar enlazar CNAMES entre s para no crear redundancia cclica.
- Dependiendo del Gestor DNS usado, se nos permitir configurar el dominio y sus subdominios con: Redirecciones URL, ocultas y visible
Si el dominio no est registrado con CDmon puede crear redirecciones de correo "catch-all" que significa que todos los correos posibles de un dominio se entregan a una cuenta de email especificada. Si por el contrario usted tiene el dominio registrado en CDmon, adems del "cath-all" podr realizar redirecciones individuales de correo: un correo del dominio se entrega a una cuenta especificada. Al activar la opcin de Oculto en el redireccionamiento por URL el programa crea dos marcos (frames), y en uno de ellos se redirige a la pgina final. Con este sistema se evita visualizar la URL final, pero puede que los javascripts de la pgina dejen de funcionar. Si este es su caso, modifique el cdigo javascript de su pgina, y use el nombre del frame mainFrame para hacer funcionar de nuevo sus scripts. Por ejemplo, usted necesita que su dominio ejemplo.org lleve a http://www.gratis.com/~yomismo/index.htm, y quiere que esta redireccin sea transparente para sus visitantes, es decir que no se vea la direccin larga, entonces deber marcar la opcin de Oculto. Si por el contrario quiere que se vea la direccin autntica de su dominio, marque la opcin de Visible. Con la opcin de Oculto podr configurar los campos de ttulo, descripcin y keywords de su dominio.
Parking de dominios Pginas en venta Redirecciones de correo individuales o catch all Entonces esto de configurar un dominio debe ser muy complicado? En absoluto, ya que existen interfaces grficas para poder gestionar todos los servicios DNS a travs de un panel de gestin. Por ejemplo, en el caso del Gestor DNS de CDmon, se pueden gestionar todos los servicios de uso ms frecuente en la configuracin de un dominio. Pgina 5 de 6
Qu significa DNS
Registro BANCODECOLOMBIA NOTICE AND TERMS OF USE: You are not authorized to access or query our WHOIS database through the use of high-volume, automated, electronic processes. The Data in Network Solutions' WHOIS database is provided by Network Solutions for information purposes only, and to assist persons in obtaining information about or related to a domain name registration record. Network Solutions does not guarantee its accuracy. By submitting a WHOIS query, you agree to abide by the following terms of use: You agree that you may use this Data only for lawful purposes and that under no circumstances will you use this Data to: (1) allow, enable, or otherwise support the transmission of mass unsolicited, commercial advertising or solicitations via e-mail, telephone, or facsimile; or (2) enable high volume, automated, electronic processes that apply to Network Solutions (or its computer systems). The compilation, repackaging, dissemination or other use of this Data is expressly prohibited without the prior written consent of Network Solutions. You agree not to use high-volume, automated, electronic processes to access or query the WHOIS database. Network Solutions reserves the right to terminate your access to the WHOIS database in its sole discretion, including without limitation, for excessive querying of the WHOIS database or for failure to otherwise abide by this policy. Network Solutions reserves the right to modify these terms at any time. Get a FREE domain name registration, transfer, or renewal with any annual hosting package. http://www.networksolutions.com Visit AboutUs.org for more information about BANCODECOLOMBIA.COM AboutUs: BANCODECOLOMBIA.COM Registrant: Banco de Colombia Cra 52 #50-20 Piso 17 Medellin, Ant NA CO, CO No Valid City, No Valid State Domain Name: BANCODECOLOMBIA.COM -----------------------------------------------------------------------Promote your business to millions of viewers for only $1 a month Learn how you can get an Enhanced Business Listing here for your domain name. Learn more at http://www.NetworkSolutions.com/ -----------------------------------------------------------------------Administrative Contact, Technical Contact: Bancolombia, Grupo Jorge jacosta@bancolombia.com.co BANCOLOMBIA Cra. 48 No. 26 - 85 Torre Norte - Piso 5 Medellin, Antioquia NA CO +57 (4) 4040473 fax: +57 (4) 4040296 Record expires on 26-Nov-2011. Record created on 27-Nov-1997. Database last updated on 27-Mar-2009 09:15:28 EDT. Domain servers in listed order: NS3.BIC.COM.CO NS5.BIC.COM.CO
Pgina 6 de 6
VPN
Una VPN (Virtual Private Network) es una tecnologa de red que permite crear redes virtuales manteniendo la con_dencialidad e integridad de los datos sobre redes fsicas reales. Para conseguir esto, componentes fundamentales que forman una VPN son: Tnel cifrado: Los datos se envan cifrados, lo que los hace ilegibles fuera de la VPN. Autenticacin de usuarios: Slo los usuarios veri_cados pueden acceder a la VPN. Encapsulacin de protocolos: Se deben proporcionar mecanismos para que los protocolo entre los nodos de la red virtual sean transportados por la red fsica.
Ventajas de una VPN

Ahorro Nos permite conectar redes fsicamente separadas sin necesidad de usar una red dedicada, si no que a travs de internet. Transparencia: Interconectar distintas sedes es transparente para el usuario final, ya que la configuracin se puede hacer slo a nivel de pasarela. Movilidad Nos permite asegurar la conexin entre usuarios mviles y nuestra red fija. Simplicidad Este tipo de soluciones permite simplificar la administrador de la conexin de servidores y aplicaciones entre diferentes dominios. Desventajas de una VPN Fiabilidad: Internet no es 100% fiable, y fallos en la red pueden dejar incomunicados recurso de nuestra VPN. Confianza: entre sedes Si la seguridad de un nodo o subred involucrada en la VPN se viese comprometida, eso afectara a la seguridad de todas los componente de la VPN. Interoperabilidad: Dado a las distintas soluciones disponibles para implementar un VPN, nos podemos encontrar incompatibilidades entre las usadas en los distintos nodos de la VPN. Seguridad: Se pueden asegurar mltiples servicios a travs de un nico mecanismo. Movilidad: Nos permite asegurar la conexin entre usuarios mviles y nuestra red fija. Simplicidad: Este tipo de soluciones permite simpli_car la administrador de la conexin de servidores y aplicaciones entre diferentes dominios. Otras soluciones alternativas a un VPN son: En entornos donde la fiabilidad y requerimientos de QoS sean muy exigentes, puede resultar mejor solucin una red dedicada. Por otro lado para asegurar slo un servicio, crear una VPN puede resultar demasiado complicado, en estos casos tneles con ssh o con stunnel pueden ser soluciones ms adecuadas. Protocolos VPN Protocolos estndar: PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet, que ofrece autenticacin, cifrado y compresin. L2TP (Layer 2 Tunneling Protocol) fue diseado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F. Este protocolo no ofrece seguridad, para lo que se suele usa en conjuncin con L2Sec o IPSEC. IPsec (la abreviatura de Internet Protocol Security) es una extensin al protocolo IP que aade cifrado fuerte y autenticacin, asegurando de esta manera las comunicaciones a travs de dicho protocolo.
Protocolos no estndar: OpenVPN una solucin de cdigo abierto, robusta y altamente flexible. Soporta mltiples tipos de cifrado, autenticacin y certificacin a travs de la librera OpenSSL, as como compresin mediante la librera LZO. Permite realizar un tnel IP tanto sobre un TCP como UDP. VTun es una solucin de fuente abierta que permite crear de forma sencilla tneles a travs de redes TCP/IP con compresin y cifrado. Soporta, entre otros, tneles IP, PPP, SLIP y Ethernet. cIPe es una solucin similar a IPSec ms ligera por tener un protocolo ms sencillo, pero no estandarizada. tinc es una solucin que permite realizar una VPN con cifrado, autenticacin y compresin (mediante las libreras OpenSSL y LZO), y que se puede ejecutar sobre mltiples sistemas operativos.
OpenVPN
OpenVPN es una aplicacin de tunneling robusta y altamente flexible. Usa para realizar la cifrado, autenticacin y certificacin los algoritmos soportados por la librera OpenSSL. Permite realizar tneles IP tanto sobre TCP como UDP (opcin por defecto). Puede realizar compresin del trfico usando la librera LZO. Ejemplo de uso de OpenVPN entre dos pasarelas Necesitamos cargar un dispositivo de red virtual, que podemos hacer con modprobe tun, o de forma permanente con aadiendolo de a /etc/modules Para incrementar la seguridad, generaremos un clave compartida con openvpn --genkey --secret pasarelas.key que copiaremos en ambas pasarelas. Entonces usaremos el siguiente archivo de configuracin, cambiando las ip, en ambas pasarelas: #Interfaz remota remote 172.18.0.20 #Dispositivo virtual usado dev tun #Definicin de las ips virtuales del tunel IP.VPN.LOCAL IP.VPN.REMOTA ifconfig 10.10.10.10 10.10.10.20 #Clave compartid secret pasarelas.key #Activar compresion comp-lzo #Usuario y grupo en el que se ejecutara la aplicacin user nobody group nogroup #ejecutar como demonio daemon #nivel de detalle de los log verb 5 #Red remota que se alcanzara a travs del tnel route 192.168.1.0 255.255.255.0 Esta configuracin se puede proporcionar al programa openvpn --config, o en debian, situarse en el directorio /etc/openvpn/, con lo cual este tunel se iniciar al arrancar la mquina.
Debemos permitir el trfico desde y hacia el dispositivo creado, si tenemos reglas restrictivas en nuestro _rewall. . Una configuracin sencilla sera: iptables -A FORWARD -i tun+ -j ACCEPT iptables -A FORWARD -o tun+ -j ACCEPT
IPSec
IPSEC (IP Security) es un estndar para asegurar las transmisiones IP, cifrando y autenticando los paquetes IP. Inicialmente fue desarrollado para usarse con el nuevo estndar IPv6, aunque posteriormente se adapt tambin a IPv4. IPsec est formado por un conjunto de protocolos: Authentication Header (AH): Proporciona autenticidad al paquete, aadindole un cheksum de cifrado fuerte, asegurndose as la integridad del paquete. Encapsulating Security Payload (ESP): asegura la confidencialidad de los datos mediante cifrado del payload. IP payload compression (IPcomp): proporciona una solucin para comprimir los paquetes antes del cifrado ESP, lo que suele aumentar la e_cacia de la compresin. Internet Key Exchange (IKE): provee un sistema de negociacin de las claves secretas que sern usadas por AH y ESP.
Modos IPSec Modo Transporte: Se preserva la cabecera IP y slo la partes superiores son modificadas, aadindose las cabeceras IPSec seguido de los tipos de proteccin solicitados. Este modo fue diseado para proteger trfico entre distintos hosts. Modo Tnel: todo el paquete se trata como un bloque de datos, aadindose una nueva cabecera ip, seguida de las cabeceras ipsec y el paquete original protegido. Este es el modo generalmente utilizado para implementar una VPN con IPSec.
Protocolos de manipulacin de paquetes IPSEC AH nos ofrece autenticacin, integridad y proteccin contra la repeticin. Para la autenticacin y proteccin de integridad se basa en algoritmos de cifrado con clave, siendo requeridos en todas las implementaciones HMAC-MD5 y HMAC-SHA1.
En las cabeceras aadidas para AH, se incluyen el SPI, un nmero de secuencia antirrepeticin de 4 bytes y los datos de autenticacin obtenidos mediante el algoritmo de hash de cifrado. AH usa el nmero de protocolo IP 51, no obstante, si adems incluye ESP usara el 50. Puede ser interesante usar slo AH para evitar la modificacin de datos sin aadir sobrecarga por la encriptacin de todo el payload. ESP nos ofrece autenticacin, integridad, proteccin y confidencialidad de la parte de datos. En la cabecera ESP se incluyen el SPI, en nmero de secuencia antirrepeticin y los datos de autenticacin si se incluyen. Al menos se debe proporcionar cifrados DES-CBC de 56 bits. Ntese que ESP no cifra la cabecera del paquete IP, slo el payload. El nmero de protocolo usado por ESP es el 50.
IPCOMP realiza la compresin antes de llevar a cabo la autenticacin o cifrado antes de la autenticacin o cifrado. No se debe comprimir en capas inferiores de nuevo los datos, ya que generalmente no reportar bene_cios de tamao, y s degradacin de rendimiento. Security Associations (SA): Las Security Assocaitions (SA) especi_can los algoritmos criptogrficos, claves que vamos a utilizar entre los extremos de nuestras conexiones IPSec. Las SA se almacenan en un almacn llamado SAD (Security Associations Database). Cada SA pude contener varios parmetros, algunos que actan como selectores (como las direcciones IP y puertos de origen y destino). En una SA se pueden definir entre otros parmetros: _ Security Parameter Index (SPI), un identi_cador de 32 bits de la SA. _ Direcciones IP de origen y destino _ Nmeros de puerto de origen y destino. _ Protocolo: AH, ESP o IPCOMP. _ Algoritmo y claves usados por los protocolos. _ Modo: transporte o tnel. _ Vida de la SA Las SA se basan en direccin de origen y de destino, por lo que para proteger ambas direcciones es necesario usar dos SAs unidireccionales.
Security Policies Las Security Policies almacenan informacin que determina que trfico proteger y cuando; permitiendo tomar decisiones (descartar, pasar o aplicar IPSec) a paquetes especficos. Los SP se almacenan en la SP Database (SPD). La SPD almacena la poltica de proteccin, mientras que la SAD suministra los parmetros necesarios para establecerla. Procesado del Trfico entrante y saliente En el trfico saliente, se utilizar primero la SPD para determinar que hacer con el paquete. Luego si es necesario se consultar la SAD. En el trfico entrante, IPSec consultar primero la SAD para verificar al identidad del remitente. Luego se acceder al SPD una vez verificada la identidad. Intercambio de Claves Podemos utilizar configuraciones estticas, pero en implementaciones escalables, se suele usar el protocolo IKE para realizar un negociado dinmico de las claves. El protocolo IKE consta de dos fases: Una primera fase donde se autentican los extremos a travs de ISAKMP (Internet Security Association Key Management Protocol), para poder realizar las segunda fase en un entorno seguro. Se pueden utilizar claves precompartidas (PSK), algoritmos de clave pblica o mediante armas digitales. Una segunda fase, donde se negocian las SA de IPSec utilizadas para proteger el trfico IP. Mientras que la primera fase se negocia con menos frecuencia (usualmente una vez a la hora o al da), la segunda fase se negocia frecuentemente (del orden de un minuto o cada 1024K datos cifrados).
Generalmente el negociado de IKE se realiza generalmente mediante protocolo UDP y el puerto 500, por lo que debemos permitir este trfico en nuestro cortafuegos. Otras caractersticas de IPSec IPSec soporta roadwarriors, donde no se especifican la ip de ciertos nodos con los que nos conectaremos, ya que stos usan IPs dinmicas. Para ello las polticas se deben establecer para permitir direcciones desconocidas y usar un sistema de autenticacin preacordado. Tambin se puede usar cifrado oportunista, donde aunque la autenticacin no ha sido preacordada, esta puede ser obtenida del servidor DNS. No obstante hasta la implantacin de DNSSEC, esta solucin no puede asegurar niveles de seguridad altos, debido a que se basa en confiar en los datos obtenidos del servidor DNS. IPsec-Tools IPsec-Tools es un port a Linux 2.6 de la las utilidades KAME de BSD. En debian deberemos instalar ipsec-tools y racoon (que nos permitir negociar las claves automticamente). ipsec-tools incluye el comando setkey, que nos permite modificar tanto la bases SAD y SPD para realizar una configuracin manual. Utilizando racoon se puede utilizar el protocolo IKE para realizar el negociado de SAs, lo que nos permite configuraciones ms escalables. No obstante, se deben establecer de igual modo las polticas SP mediante setkey. En el caso de racoon la autenticacin entre distintos nodos se realiza mediante certificados X.509, kerberos o claves precompartidas. Configuracin manual: modo transporte Configuraremos la conexin en modo transporte entre 172.18.0.10 y 172.18.0.20. #!/usr/sbin/setkey -f #Configuracin para 172.18.0.10 #Vaciar SAD y SPD
flush; spdflush; #Definicin de los SA add 172.18.0.10 172.18.0.20 ah 0x201 -A hmac-md5 \ 0x2a9233eeeef7d0621ad1e7762c33a579; add 172.18.0.10 172.18.0.20 esp 0x202 -E 3des-cbc \ 0x65dcaa077bcdeae39312bcc61db652e9d89d9d30b27d8679; add 172.18.0.20 172.18.0.10 ah 0x301 -A hmac-md5 \ 0x830ecb71a220adc2f28220e65003571d; add 172.18.0.20 172.18.0.10 esp 0x302 -E 3des-cbc \ 0xb141fef4d6d9a24e4f172dc1b4571fb1a6e5e3b08b99f9ef; #Definicin de los SP spdadd 172.18.0.20 172.18.0.10 any -P in ipsec \ esp/transport//require ah/transport//require; spdadd 172.18.0.10 172.18.0.20 any -P out ipsec \ esp/transport//require ah/transport//require; Una forma de generar claves precompartidas es: # 128 bits dd if=/dev/random count=16 bs=1| xxd -ps 2a9233eeeef7d0621ad1e7762c33a579 # 192 bits dd if=/dev/random count=24 bs=1| xxd -ps 65dcaa077bcdeae39312bcc61db652e9d89d9d30b27d8679 Cuando se aaden en el SA, se debe aadir antes 0x para indicar que son hexadecimales. En la configuracin para la otra mquina, slo debemos intercambiar los parmetros in y out. Se puede comprobar la configuracin del SAD mediante setkey -D y setkey -DP. Podemos tambin usar slo autenticacin y compresin, sin aadir encriptacin: #!/usr/sbin/setkey -f #Configuracin para 172.18.0.10 #Vaciar SAD y SPD flush; spdflush; add 172.18.0.10 172.18.0.20 ipcomp 0x204 -C deflate; add 172.18.0.10 172.18.0.20 ah 0x201 -A hmac-md5 \ 0x2a9233eeeef7d0621ad1e7762c33a579; add 172.18.0.20 172.18.0.10 ipcomp 0x304 -C deflate; add 172.18.0.20 172.18.0.10 ah 0x301 -A hmac-md5 \ 0x830ecb71a220adc2f28220e65003571d; spdadd 172.18.0.20 172.18.0.10 any -P in ipsec \ ipcomp/transport//use ah/transport//require; spdadd 172.18.0.10 172.18.0.20 any -P out ipsec \ ipcomp/transport//use ah/transport//require; 3.4.8.2. Configuracin manual: modo tnel Con_guraremos la conexi n en modo tnel entre 172.18.0.10 y 172.18.0.20, para interconectar dos subredes internas 192.168.1.0/24 y 192.168.2.0/24. Recordemos que debemos activar el ip_forwarding para poder retransmitir el trfico. #!/usr/sbin/setkey -f #Configuracion para 172.18.0.10-192.168.0.0/24 #Vaciar SAD y SPD flush; spdflush; #Definicion SA (es necesario declarar el tunneling con -m tunnel add 172.18.0.10 172.18.0.20 esp 0x202 -m tunnel -E 3des-cbc \ 0x65dcaa077bcdeae39312bcc61db652e9d89d9d30b27d8679; add 172.18.0.20 172.18.0.10 esp 0x302 -m tunnel -E 3des-cbc \
0xb141fef4d6d9a24e4f172dc1b4571fb1a6e5e3b08b99f9ef; #Definimos las redes a interconectar y las IPs del tunel spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec \ esp/tunnel/172.18.0.20-172.18.0.10/require; spdadd 192.168.0.0/24 192.168.1.0/24 -P out ipsec \ esp/tunnel/172.18.0.10-172.18.0.20/require; Configuracin automtica: claves precompartidas Las claves precompartidas se establecen en un archivo con pares IP clave (/etc/racoon/psk.txt). 172.18.0.10 0x9ef0c24dc293c8f1671cc2b24ad8d1a2edbff83f287f4c7d158fc9bde8a6 172.18.0.20 0x395a81e3a9c83b3f7abde1ad9daa4eb326f66bd02934cf4e7d6f8e3afd2d Este _chero no debe ser accesible por usuarios no privilegiados. Se debe con_gurar el /etc/racoon/racoon.conf, o mediante otro archivo mediante racoon -F -f archivo (la opcin -F nos permite ejecutarlo en foreground). path pre_shared_key "/etc/racoon/psk.txt"; remote 172.18.0.20 { exchange_mode main; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; dh_group modp1024; } } sainfo anonymous { pfs_group modp768; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; } En la otra mquina cambiaramos el remote y la asociacin de las claves. En la sainfo tambin se podra restringir entre que IPs aplicar la negociacin. Aunque las claves son negociadas por racoon, debemos especificar las polticas. Una configuracin con ESP, AH y IPCOMP sera: #!/usr/sbin/setkey -f #Configuracion para 172.18.0.10 #Flush the SAD and SPD flush; spdflush; spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec \ ipcomp/tunnel/172.18.0.10-172.18.0.20/use \ esp/tunnel/172.18.0.10-172.18.0.20/require \ ah/tunnel/172.18.0.10-172.18.0.20/require; spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec \ ipcomp/tunnel/172.18.0.20-172.18.0.10/use \ esp/tunnel/172.18.0.20-172.18.0.10/require \ ah/tunnel/172.18.0.20-172.18.0.10/require; Configuracin automtica: certificados X.509 Slo la parte de autenticacin mediante racoon sufre cambios: path certificate "/etc/racoon/certs"; remote 172.18.0.20 { exchange_mode main; certificate_type x509 "pasarelaCer.pem" "pasarelaKey.pem";
# ca_type x509 "cacert.pem"; verify_cert on; my_identifier asn1dn; peers_identifier asn1dn; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method rsasig; dh_group modp1024; } } sainfo anonymous { pfs_group modp768; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; } en el otro nodo slo se debera cambiar de IPs y certificados. En ambos casos se encontrar el certificado de la CA. Generacin de certificados Para generar la CA y los certificados usaremos el paquete openssl. El script /usr/lib/ssl/misc/CA.sh -newca permite simplificar la generacin de una CA. Tambin este script nos permite generar un peticin de certificado (ne-wreq.pem) con /usr/lib/ssl/misc/CA.sh -newreq. Cada peticin de certificado debe ser enviada a la CA y firmada con /usr/lib/ssl/misc/CA.sh -sign, devolviendo el certificado armado newcert.pem, as como el certificado de la CA (cacert.pem). Adems para racoon, necesitamos una versin no cifrada con los permisos adecuados de la clave privada: openssl rsa -in newkey.pem -out /etc/racoon/certs/pasarelaKey.pem chmod 600 /etc/racoon/certs/pasarelaKey.pem El certificado debe situarse en ese mismo directorio: cp newcert.pem /etc/racoon/certs/pasarelaPub.pem El certificado de la autoridad certificadora se puede especificar en el archivo de configuracin de racoon, o lo puede tomar automticamente si su nombre es su hash.0, es decir: cp cacert.pem /etc/racoon/certs/$(openssl x509 noout -hash <cacert.pem).0 Opciones del cortafuegos Para aumentar la seguridad en el cortafuegos, podemos restringir el trfico entrante, permitiendo slo trfico que use IPSec. Mostramos slo las reglas de INPUT, pero tambin se debera aadir las de output, intercambiando las IP y la opcin dport por sport: #Trafico de raccon (si procede) iptables -A INPUT -p udp -s 172.18.0.20 -d 172.18.0.10 --dport 500 -j ACCEPT #Aceptar paquetes ESP (si el paquete externo es ESP) iptables -A INPUT -p esp -s 172.18.0.20 -d 172.18.0.10 -j ACCEPT #Aceptar paquetes AH (si el paquete ms externo es AH) iptables -A INPUT -p ah -s 172.18.0.20 -d 172
CONCEPTOS DE CRIPTOGRAFIA
Andrea Barrera Edgar Molina Carlos M. Rentera Luis Cceres
Bogot, Abril de 2009
Fundamentos de Seguridad en Redes MODULO II - VPN Conexiones seguras CONCEPTOS DE CRIPTOGRAFIA
Indice HISTORIA DE LA CRIPTOGRAFA QUE ES CRIPTOGRAFA QUE ES UN CRIPTOGRAMA CUALES SON LOS ALGORITMOS DE INSCRIPCIN DE LOS MTODOS ASIMTRICO Y SIMTRICO QUE SIGNIFICA CADA UNO DE LOS DES, 3DES, AES RSA (Rivest-Shamir-Adleman) AES (Advanced Encryption DES (Data Encryption Standard) (3DES) IDEA (International Data Encryption Algorithm) Blowfish CAST-128 TEA (Tiny Encryption Algorithm) ALGORITMOS DE HASH MD5 (Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5 SHA-1 (Secure Hash Algorithm 1 o Algorimo de Hash Seguro 1) IKE EXCHANGE (intercambio dinmico de claves) Configurar las polticas de seguridad VPN Configurar una poltica IKE Configurar una poltica de datos Algoritmos de Diffie Helman Bibliografa
3 3 3 4 4 4 5 5 5 5 5 6 6 7 8 8 8 9
Pgina 2
1. HISTORIA DE LA CRIPTOGRAFA La Criptografa moderna nace al mismo tiempo que las computadoras. Durante la Segunda Guerra Mundial, en un lugar llamado Bletchley Park, un grupo de cientficos entre los que se encontraba Alan Turing, trabajaba en el proyecto ULTRA tratando de descifrar los mensajes enviados por el ejrcito alemn con el ms sofisticado ingenio de codificacin ideado hasta entonces: la mquina ENIGMA. Este grupo de cientficos empleaba el que hoy se considera el primer computador |aunque esta informacin permaneci en secreto hasta mediados de los 70. Su uso y la llegada del polaco Marian Rejewski tras la invasin de su pas natal cambiarn para siempre el curso de la Historia. 2. QUE ES CRIPTOGRAFA Arte de escribir con clave secreta o de un modo enigmtico". Obviamente la Criptografa hace aos que dej de ser un arte para convertirse en una tcnica o ms bien un conglomerado de tcnicas, que tratan sobre la proteccin ocultamiento frente a observadores no autorizados de la informacin. Entre las disciplinas que engloba cabe destacar la Teora de la Informacin, la Teora de Nmeros o matemtica Discreta, que estudia las propiedades de los nmeros enteros y la Complejidad Algortmica. 3. QUE ES UN CRIPTOGRAMA Es el conjunto de todos los posibles mensajes cifrados. Conceptos Mensaje Cifrado: transformacin del texto en claro (mensaje original) en un criptograma (mensaje cifrado) Mensaje Descrifrado: paso del criptograma al mensaje original. Criptoanlisis: conjunto de tcnicas que intentan encontrar la clave usada entre los 2 comunicantes. Finalidad desvelar el secreto de la comunicacion. Critologa: criptografia + criptoanlisis 4. CUALES SON LOS ALGORITMOS DE INSCRIPCIN DE LOS MTODOS ASIMTRICO Y SIMTRICO Criptosistema simtricos o de clave privada: Son aquellos que emplean la misma clave k tanto para cifrar como para descifrar. Presentan el inconveniente de que para ser empleados en comunicaciones la clave k debe estar tanto en el emisor como en el receptor, lo cual nos lleva preguntarnos como transmitir la clave de forma segura. Criptosistemas asimtricos o de llave pblica: que emplean una doble clave (kp; kP ). kp se conoce como clave privada y kP se conoce como clave pblica. Una de ellas sirve para la transformacion E de cifrado y la otra para la transformacion D de descifrado. En muchos casos son intercambiables, esto es, si empleamos una para cifrar la otra sirve para descifrar y viceversa. Estos criptosistemas deben cumplir adem as que el conocimiento de la clave pblica kP no permita calcular la clave privada kp. Ofrecen un abanico superior de posibilidades, pudiendo emplearse para establecer comunicaciones seguras por canales inseguros puesto que nicamente viaja por el canal la clave pblica, que solo sirve para cifrar, o para llevar a cabo autenticaciones.
Pgina 3
5. QUE SIGNIFICA CADA UNO DE LOS DES, 3DES, AES Conceptos El cifrado de bloques (block cipher) es un mtodo de encriptacin de datos en que una llave criptogrfica y un algoritmo son aplicados a un bloque de datos (por ejemplo, 64 bits contiguos) de una vez sobre todo el grupo, en lugar de aplicarlo a un bit cada vez. El cifrado de flujos (stream cipher) es, por contraposicin al cifrado de bloques, un mtodo de encriptacin en el que se aplica la clave y el algoritmo de cifrado a cada dgito binario del flujo de datos, un bit de cada vez. No se usa habitualmente en criptografa moderna. a. RSA (Rivest-Shamir-Adleman) es el algoritmo de encriptacin y autentificacin ms comnmente usado. Fu desarrollado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman, y se incluye como parte de los navegadores de Netscape y Microsoft, as como aplicaciones como Lotus Notes y muchos otros productos. El funcionamiento de este algoritmo se basa en multiplicar dos nmeros primos extremadamente grandes y a travs de operaciones adicionales obtener un par de nmeros que constituyen la clave pblica y otro nmero que constituye la clave privada. Una vez que se han obtenido las claves, los nmeros primos originales ya no son necesarios para nada, y se descartan. Se necesitan tanto las claves pblicas como las privadas para encriptar y desencriptar, pero solamente el dueo de la clave privada lo necesitar. b. AES (Advanced Encryption Standard) es un algoritmo de encriptacin para proteger informacin delicada, aunque no clasificada, por las agencias gubernamentales de USA y, como consecuencia, puede transformarse en el estndar de facto para las transacciones comerciales en el sector privado. AES es un algoritmo que se basa en aplicar un nmero determinado de rondas a un valor intermedio que se denomina estado. Dicho estado puede representarse mediante una matriz rectangular de bytes, que posee cuatro filas, y Nb columnas. As, por ejemplo, si nuestro bloque tiene 160 bits, Nb ser igual a 5.
La llave tiene una estructura anloga a la del estado, y se representar mediante una tabla con cuatro filas y Nk columnas. Si nuestra clave tiene, por ejemplo, 128 bits, Nk ser igual a 4.
c. DES (Data Encryption Standard) es un mtodo de encriptacin de clave privada muy usado. El gobierno de USA restringi su exportacin a otros paises debido a su estimacin de la dificultad para reventarlo por hackers. Hay 72 cuadrillones (72,000,000,000,000,000) o ms de posibles claves. Para cada mensaje, se elige una clave al azar entre todas esas
Pgina 4
posibilidades. Es un mtodo de encriptacin simtrico, lo que obliga a que tanto el emisor como el receptor han de conocer la clave privada. DES aplica una clave de 56 bits a cada bloque de 64 bits de datos. El proceso se puede ejecutar en diferentes modos e implica 16 turnos de operaciones. Aunque est considerado como un algoritmo de encriptacin fuerte, muchas organizaciones usan "triple DES", o sea aplicar 3 claves de forma sucesiva. Esto no quiere decir que un mensaje encriptado por DES no pueda ser reventado. El algoritmo DES codifica bloques de 64 bits empleando claves de 56 bits. Es una Red de Feistel de 16 rondas, ms dos permutaciones, una que se aplica al principio (Pi) y otra que se aplica al final (Pf ), tales que Pi = P-1f.
d. (3DES) usa tres claves de 56 bits, un total de 168 bits. DES es un tipo de cifrado de los conocidos como Red Feistel Tradicional. e. IDEA (International Data Encryption Algorithm) es un algoritmo de encriptacin desarrollado en el ETH de Zurich (Suiza) por James Massey y Xuejia Lai. Usa criptografa de bloque con una clave de 128 bits, y se suele considerar como muy seguro. f. Blowfish es un algoritmo de encriptacin que puede usarse como sustituto de DES y de IDEA. Es simtrico y encripta bloques, con una clave de longitud variable, desde 32 bits hasta 448 bits. Fu diseado en 1993 por Bruce Schneier como una alternativa a los algoritmos existentes entonces, y con procesadores de 32 bits en mente, lo que lo hace significativamente ms rpido que DES.
g. CAST-128 es un algoritmo de encriptacin del mismo tipo que DES. Es un criptosistema SPN (Substitution-Permutation Network) que parece tener buena resistencia contra ataques diferenciales, lineales y related-key. Pertenece a la clase de algoritmos denominada como cifrados Feistel, y su mecanismo, de 4 pasos, es similar al DES. h. TEA (Tiny Encryption Algorithm) es uno de los algoritmos de encriptacin ms rpidos y eficientes que existen. Fu desarrollado por David Wheeler y Roger Needham en el Computer Laboratory de Cambridge University. Consiste en un cifrado Feistel que usa operaciones de grupos algebraicos mixtos (ortogonales), XORs y sumas en este caso. Encripta bloques de 64 bits usando una clave de 128 bits. Parece altamente resistente al criptoanlisis diferencial y consigue difusin total (una diferencia de un bit en el mensaje original causa aproximadamente 32 bits de diferencia en el mensaje cifrado) en solamente
Pgina 5
6 pasos. Hasta ahora no se ha conseguido reventar este algoritmo de encriptacin, y se estima (James Massey) que TEA es tan seguro como IDEA. 6. ALGORITMOS DE HASH HASH: Un valor hash, tambin conocido como message digest, es un nmero generado a partir de una cadena de texto. El hash es sustancialmente ms pequeo que el texto en s, y es generado por una frmula de tal forma que sea poco probable que algn otro texto produzca el mismo valor. Los hashes juegan un papel crucial en la seguridad donde se emplean para asegurar que los mensajes transmitidos no han sido manipulados. El emisor genera un hash del mensaje, lo encripta y lo enva con el propio mensaje. El receptor luego decodifica ambos, produce otro hash del mensaje recibido y compara los dos hashes, si coinciden, existe una probabilidad muy elevada de que el mensaje recibido no haya sufrido cambios desde su origen. MD5 (Message-Digest Algorithm 5 o Algoritmo de Firma de Mensajes 5): Algoritmo de encriptacin de 128-bits del tipo EAP creado en 1991 por el profesor Ronald Rivest para RSA Data Security, Inc. empleado para crear firmas digitales. Emplea funciones hash unidireccionales, es decir, que toma un mensaje y lo convierte en una cadena fija de dgitos. Cuando se utiliza una funcin hash de una direccin, se puede comparar un valor hash frente a otro que est decodificado con una llave pblica para verificar la integridad del mensaje. Basado en Nombre de Usuario y Contrasea, EL PRIMERO SE ENVA sin proteccin. Slo autentica el cliente frente al servidor, no el servidor frente al cliente. SHA-1 (Secure Hash Algorithm 1 o Algorimo de Hash Seguro 1): El SHA-1 toma como entrada un mensaje de longitud mxima 264 bits (ms de dos mil millones de Gigabytes) y produce como salida un resumen de 160 bits. Este nmero es mayor que el que se utilizaba en el algoritmo SHA original, 128 bits. Ya existen nuevas versiones de SHA que trabajan con resmenes de 224,256,384 e incluso 512 bits. Intentemos dar una descripcin algo ms matemtica de lo que es una funcin HASH. Supongamos que tenemos un mensaje a, al que aplicamos una funcin resumen a la que llamaremos h. Decimos entonces que el resultado de esta operacin, al que llamaremos b es el HASH de a. Es decir: h(a)=b Esta funcin debe ser sencilla de realizar para un computador, pero debe ser computacionalmente imposible realizar la operacin inversa, al menos para usuarios normales. Adems, esta funcin tiene otra caracterstica: el tamao de la entrada no es de longitud fija, puede ser de longitud variable. Esto tiene la siguiente consecuencia, que no demostraremos matemticamente, pero que asumiremos por estar razonado en otros artculos publicados en Internet (al final se indican): es posible que dos mensajes de entrada a produzcan el mismo mensaje de salida b. Es decir, es posible encontrar un mensaje c, tal que: h(c)=b Sin embargo, encontrar ese mensaje debe ser, al igual que la particularidad antes mencionada, muy complejo desde el punto de vista computacional. Para los algoritmos de HASH esto es lo que se conoce como colisin: que dos mensajes de entrada produzcan el mismo mensaje de salida. As, a priori, podemos establecer dos posibles vulnerabilidades de las funciones HASH: Que sea posible realizar la operacin: h-1(b)=a
Pgina 6
Habitualmente, a la operacin de invertir la funcin HASH comprobando todas las posibilidades para los bits de salida se le llama ataque de fuerza bruta. Esto es lo que debe ser computacionalmente impracticable. Supondra aplicar la funcin HASH 2n veces hasta encontrar la coincidencia (n es el nmero de bits de salida de la funcin). Que se hallen colisiones: h(a)=b y h(c)=b, a distinto de c Lo que antes hemos denominado colisin. Estas dos posibles debilidades dan lugar a cuatro tipos de ataques: Ataque Tipo 1: El atacante es capaz de encontrar dos mensajes al azar que colisionan pero es incapaz de hacerlo de forma sistemtica. Si es capaz de dar slo con dos mensajes que provocan colisin, esta no es razn suficiente para tildar el algoritmo de ineficiente. ndice de peligrosidad: 1 Ataque Tipo 2: El atacante es capaz de generar dos mensajes distintos de forma que sus HASH colisionen, pero sin saber a priori qu hash resultar. Es decir, el atacante no podra generar queriendo el HASH que necesite para fines maliciosos. ndice de peligrosidad: 2 Ataque Tipo 3: El atacante es capaz de construir un mensaje sin sentido de forma que su HASH colisione con el de un mensaje con sentido. Si ste es el caso, el agente malicioso puede atacar algoritmos de encriptacin asimtricos con firma digital, haciendo que se firmen mensajes sin sentido, y que el destinatario los acepte como fidedignos. ndice de peligrosidad: 3 Ataque Tipo 4: El atacante es capaz de crear un segundo mensaje falso que tiene sentido y cuyo hash colisiona con el del mensaje verdadero. En este caso, el atacante puede actuar con total impunidad, puede falsificar certificados, firmar mensajesEl resultado sera desastroso. ndice de peligrosidad: 4.
El problema entonces es el siguiente: cmo de difcil es encontrar una solucin? Qu ataques reales son practicables? Qu se gana incrementando el nmero de bits de salida del algoritmo? En primer lugar, responderemos a la ltima pregunta. Si aumentamos el nmero de bits de salida del algoritmo, el ataque de fuerza bruta ser ms impracticable y tambin lo ser encontrar los mensajes que colisionen, pues tericamente se cumple que para confiar en que podemos encontrar dos mensajes que colisionen no hay que realizar 2n operaciones, si no slo 2n/2. IKE EXCHANGE (intercambio dinmico de claves). (Internet Key Exchange) es un servicio de negociacin automtico y de gestin de claves, usado en los protocolos IPsec. IKE permite generar y negociar claves dinmicas para la conexin. Puede necesitar aadir otras reglas anteriores a IPSec en funcin de su entorno de red particular y de su poltica de seguridad. Configurar las polticas de seguridad VPN La poltica IKE y la poltica de datos estipulan cmo IKE protege las negociaciones de fase 1 y fase 2.
Pgina 7
Configurar una poltica IKE La poltica IKE define qu nivel de autenticacin y de proteccin de cifrado utilizar IKE durante las negociaciones de fase 1. La fase 1 de IKE establece las claves que protegen los mensajes que fluyen en las negociaciones subsiguientes de la fase 2. No es necesario definir una poltica IKE cuando crea una conexin manual. Adems, si crea la VPN con el asistente Conexin, ste puede crear la poltica IKE por usted. Configurar una poltica de datos Una poltica de datos define el nivel de autenticacin o cifrado con que se protegen los datos que fluyen a travs de la VPN. Los sistemas que establecen la comunicacin se ponen de acuerdo sobre estos atributos durante las negociaciones de la fase 2 del protocolo IKE (intercambio de claves de Internet). No es necesario definir una poltica de datos cuando se crea una conexin manual. Adems, si crea la VPN con el asistente Conexin, ste puede crear una poltica de datos. Despus de configurar las polticas de seguridad VPN, debe configurar las conexiones seguras. Algoritmos de Diffie Helman Es conocido como el Protocolo de intercambio de claves diffie-hellman. Este fue el primer algoritmo de clave pblica y es universalmente utilizado para el intercambio seguro de claves. De 768 bits / 1024 bits / 2048 bits Sea p un primo grande y a un entero (2 a p- 2, generador del grupo cclico Z*p), ambos se dan a conocer a los usuarios 1 y 2. Los usuarios 1 y 2 eligen arbitrariamente exponentes enteros x e y que mantienen SECRETOS y proceden a calcular y enviarse recprocamente lo siguiente: El usuario 1 calcula El usuario 2 calcula Ahora el usuario 2 calcula Ahora el usuario 1 calcula De esta manera ambos llegan a la misma clave secreta.
Pgina 8
Bibliografa Redes Privadas Virtuales VPNs. Autor: Annimo Redes Privadas Virtuales Autor: Jos Luis Ruiz Gonzlez GLOSARIO DE TRMINOS DE SEGURIDAD Autor: Galo Rodrigo Lalangui Eras. http://www.infosec.sdu.edu.cn/paper/md5-attack.pdf http://www.eumed.net/cursecon/ecoinet/seguridad/resumenes.htm Criptografa Asimtrica Autor: Scolnik-Hecht
Pgina 9
ANLISIS DEL ARTICULO INGENIEROS SOCIALES, COMO TRABAJAN Y COMO DETENERLOS
INGENIEROS SOCIALES, COMO TRABAJAN Y COMO DETENERLOS ANLISIS DEL ARTICULO INGENIEROS SOCIALES, COMO TRABAJAN Y COMO DETENERLOS
Conclusiones: 1. Laempresanotenaunasolucinglobaldelaseguridad. 2. La implementacin de la tecnologa para satisfacer las necesidades de seguridad dej al descubiertounproblemalatente:Nosepensoenlaseguridadatravesdelaspersonas. 3. El ser humano se va mas por la parte de sentimientos: El factor humano nunca se tuvo en cuenta. 4. WhurleyelIngenieroSocialnoalcanzaimplementarsuestrategia:Eltemadeculturasigue siendounproblemadenoacabar,apesardequeexistanlosmejorescontroles. Laspersonashablandetemasdelaempresaporfaltadeculturaempresarialydesentidode pertenenciadelosactivosdelaempresa. 5. Laspersonasentodalaorganizacinnodanunvalorrealalainformacin:Faltacapacitacion enlapartehumanadelaempresa 6. El tema de seguridad falla por cualquier lado no importa si la tecnologa se encarga de la seguridadenlasempresas. 7. Whurley gener confianza desde el guarda de seguridad hasta el Director de Informacin, nadielepreguntoelporqueseencontrabaallyhaciendoque. En las empresas hay que hacer un diagnstico de seguridad a todo nivel desde la puerta de entrada hasta la puerta de la Presidencia, con el fin de que todos en la organizacin estn comprometidosconeltemadeseguridad.
El taller se hizo con 5 muestras del estado de la red TCP connect() scanning1. Es la forma ms bsica de anlisis de puertos. Se intenta establecer una conexin normal al puerto mediante la llamada connect() del sistema.
+--(RST|ACK puerto cerrado)-> Origen Origen --(SYN)-> Destino --+ +--(SYN|ACK puerto abierto)-> Origen -(ACK)-> Destino
Ventajas: (1) no se necesita privilegios especiales para realizar el anlisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) muy fcil de detectar y filtrar, ya que en los registros del sistema para cada puerto analizado aparece que se ha intentado establecer conexin y a continuacin se ha cerrado sin enviar la informacin. TCP SYN scanning. No establece una conexin TCP completa, sino que cuando recibe la respuesta SYN|ACK indicando que el puerto est a la escucha, inmediatamente enva un paquete RST para romper la conexin. Existe otra variante que no enva el paquete RST y, por lo tanto, deja el proceso de establecimiento de la conexin a medias.
+--(RST|ACK puerto cerrado)-> Origen Origen --(SYN)-> Destino --+ +--(SYN|ACK puerto abierto)-> Origen -(RST)-> Destino
Ventajas: (1) pocos sitios registran este intento de conexin anlisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) hacen falta privilegios de administrador para construir el paquete SYN inicial. 1 Anlisis Activo y Pasivo de Redes. Alejandro Castn Salinas. Revisin 2.8
TCP SYN|ACK scanning. Salta el primer paso en el establecimiento de conexin TCP, enviando directamente un paquete SYN|ACK al ordenador destino. Si el puerto est abierto no se recibe respuesta, pero si est cerrado se recibe RST. En este caso podemos determinar que puertos estn cerrados y, por exclusin, cuales estn abiertos (mapeo inverso). En las tcnicas de mapeo inverso, se pueden producir lentos falsos positivos debido a paquetes destruidos, ya sea por la accin de cortafuegos, filtros de paquetes o lmites de tiempo.
Origen --(SYN|ACK)-> Destino -+--(RST puerto cerrado)-> Origen + +--(puerto abierto)
Ventajas: (1) los paquetes SYN|ACK son capaces de pasar a travs de cortafuegos y sistemas de deteccin de intrusos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Se pueden producir falsos positivos lentos y (2) la familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los paquetes SYN|ACK sea cual sea el estado del puerto. TCP ACK scanning. Consiste en enviar un paquete ACK al ordenador destino, que siempre responder con un paquete RST. No obstante, si el puerto est abierto, el valor del campo TTL ser menor que 64 y el valor del campo win ser diferente de 0.
+--(RST puerto cerrado)-> Origen Origen --(ACK)-> Destino --+ +--(RST win0 ttl<64 puerto abierto)-> Origen
Ventajas: (1) los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos cortafuegos que no devuelven respuesta para los puertos filtrados. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser de tipo Unix. TCP FIN scanning. Ante un paquete FIN, los puertos cerrados deberan replicar con el debido RST y los puertos abiertos deberan ignoran el paquete FIN (mapeo inverso).
Origen --(FIN)-> Destino -+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)
Ventajas: (1) los paquetes FIN son capaces de pasar a travs de cortafuegos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Algunos sistemas (por ej. Microsoft) responden paquetes RST sea cual sea el estado del puerto y (2) se pueden producir falsos positivos lentos. TCP Null scanning. Consiste en enviar un paquete con todas las seales de cdigo (URG, ACK, PSH, RST, SYN y FIN) de la cabecera TCP desactivadas. Si el puerto est abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado se recibe RST|ACK.
Origen --()-> Destino --
+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)
Ventajas: (1) los paquetes NULL son capaces de evitar algunos sistemas de deteccin de intrusos. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fcil de detectar y registrar, y (3) se pueden producir falsos positivos lentos. TCP Xmas scanning. Consiste en enviar un paquete con todas las seales de cdigo (URG,ACK, PSH, RST, SYN y FIN) de la cabecera TCP activadas. Si el puerto est abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado se recibe RST|ACK.
+--(RST|ACK puerto cerrado)-> Origen Origen --(URG|ACK|PSH|RST|SYN|FYN)-> Destino --+ +--(puerto abierto)
Ventajas: (1) los paquetes XMAS son capaces de evitar algunos sistemas de deteccin de intrusos. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fcil de detectar y registrar, y (3) se pueden producir falsos positivos lentos.
Campo de tipo Tipo de mensaje ICMP 0 Respuesta de eco 3 Destino inalcanzable 4 Origen acallado 5 Redireccionar (cambiar una ruta) 8 Solicitud de eco 11 Tiempo excedido para un datagrama 12 Problema de parmetros en un datagrama 13 Solicitud de marca de tiempo 14 Respuesta de marca de tiempo 15 Solicitud de informacin (obsoleto) 16 Respuesta de informacin (obsoleto) 17 Solicitud de mscara de direccin 18 Respuesta de mscara de direccin
SEGURIDAD LOGICA NIVELES DE SEGURIDAD
SEGURIDAD LOGICA - NIVELES DE SEGURIDAD
Seguridad Lgica
Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputos no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad Lgica. Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica. Los objetivos que se plantean sern: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. 5. Que la informacin recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario. Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema: Identificacin y Autentificacin Roles Transacciones Limitaciones a los Servicios Modalidad de Acceso Ubicacin y Horario Control de Acceso Interno
Control de Acceso Externo Administracin
Niveles de Seguridad Informtica

De acuerdo con los estndares de seguridad en computadoras desarrollado en el libro naranja del Departamento de Defensa de Estados Unidos, se usan varios niveles de seguridad para proteger de un ataque al hardware, al software y a la informacin guardada. Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el subnivel B2 abarca los subniveles B1, C2, C1 y el D. NIVEL D1 Es la forma ms elemental de seguridad disponible, o sea, que el sistema no es confiable. Este nivel de seguridad se refiere por lo general a los sistemas operativos como MS-DOS, MS-Windows y System 7.x de Apple Macintosh. Estos sistemas operativos no distinguen entre usuarios y tampoco tienen control sobre la informacin que puede introducirse en los discos duros. NIVEL C1 El nivel C tiene dos subniveles de seguridad: C1 y C2. El nivel C1, o sistema de proteccin de seguridad discrecional, describe la seguridad disponible en un sistema tpico Unix. Los usuarios debern identificarse a s mismos con el sistema por medio de un nombre de registro del usuario y una contrasea para determinar qu derechos de acceso a los programas e informacin tiene cada usuario. NIVEL C2 Junto con las caractersticas de C1, el nivel C2 tiene la capacidad de reforzar las restricciones a los usuarios en su ejecucin de algunos comandos o el acceso de algunos archivos basados no slo en permisos, sino en niveles de autorizacin. Adems requiere auditorias del sistema. La auditora se utiliza para mantener los registros de todos los eventos relacionados con la seguridad, como aquellas actividades practicadas por el administrador del sistema. La auditora requiere autenticacin y procesador adicional como tambin recursos de disco del subsistema. NIVEL B1 El nivel B de seguridad tiene tres niveles. El nivel B1, o proteccin de seguridad etiquetada, es el primer nivel que soporta seguridad de multinivel, como la secreta y la ultrasecreta. Parte del principio de que un objeto bajo control de acceso obligatorio no puede aceptar cambios en los permisos hechos por el dueo del archivo.

NIVEL B2 Conocido como proteccin estructurada, requiere que se etiquete cada objeto como discos duros, terminales. Este es el primer nivel que empieza a referirse al problema de comunicacin de objetos de diferentes niveles de seguridad. NIVEL B3 O nivel de dominios de seguridad, refuerza a los dominios con la instalacin de hardware. Requiere que la terminal del usuario se conecte al sistema por medio de una ruta de acceso segura. NIVEL A Nivel de diseo verificado, es el nivel ms elevado de seguridad. Todos los componentes de los niveles inferiores se incluyen. Es de distribucin confiable, o sea que el hardware y el software han sido protegidos durante su expedicin para evitar violaciones a los sistemas de seguridad.
Conceptos sobre: Ley Ley 1266 de 2008 - Habeas Data Ley 1273 2009 de la proteccin de la informacin y de los datos
Conceptos sobre la Ley Ley 1266 de 2008 - Habeas Data Ley 1273 2009 de la proteccin de la informacin y de los datos
Ley Ley 1266 de 2008 - Habeas Data Millones de colombianos que figuran en los listados financieros de morosos an se demora, las llamadas listas negras de las centrales de riesgo crediticio tienen en sus bases de datos personas que en algn momento registraron mora en el pago de sus obligaciones. Antes de que el gobierno reglamentara esta Ley, el colombiano del comn y corriente permaneca indefinidamente en las bases de datos de las centrales de riesgos debido a que la central de riesgo demoraba mucho tiempo en la actualizacin de las bases de datos. Estas conductas, en ltimas, se realizan en la prctica para capturar datos de las personas y utilizarlos con fines ilcitos como cuando a alguien se le hace ingresar a la supuesta pgina web de su entidad financiera para solicitarle actualizar sus datos o cambiar sus claves. El delincuente, luego de lo anterior, utilizar esa informacin obtenida ilegalmente para, entre otras, saquear las cuentas de ahorro de la persona o cargar a su tarjeta de crdito la adquisicin de bienes o la prestacin de servicios nunca requeridos por el verdadero titular. Ley 1273 2009 de la proteccin de la informacin y de los datos Acceso abusivo a un sistema informtico: El que sin autorizacin o por fuera de lo acordado, acceda en todo o en aparte a un sistema informtico protegido o no con una medida de seguridad. Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin: El que sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informtico, a los datos all contenidos, o a una red de telecomunicaciones. Interceptacin de datos informticos: El que sin orden judicial previa intercepte datos informticos en su origen, destino o en el interior de un sistema informtico, o las emisiones electromagnticas provenientes de un sistema informtico que los transporte. Dao informtico: El que sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento de informacin o sus partes o componentes lgicos. Uso de software malicioso: El que sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos.
CarlosManuelRenteraPgina2
Fundamentos de Seguridad en Redes La Arquitectura de Red - Telemtica Ltda. de Colombia

INDICE
Caractersticas de la red Telemtica Ltda. de Colombia IP vlidas para 6 host Matriz de Hardware Matriz de aplicaciones en produccin Matriz de otros dispositivos Topologa de red Vulnerabilidades, amenazas y riesgos Conclusiones y recomendaciones Bibliografa
3 4 5 6 7 8 9 11 12
IP:200.10.1.0 Binario:11001000.00001010.00000001.00000000 Mascara:255.255.255.252 Host:200.10.1.1200.10.1.62 BitsSubnet:2 MascaraSubnet:26 MaxSubnet:2 MaxHost:2 Supernet:192.0.0.0 MascaraBits:3 MaxSupernets:128 MaxAdress:254 Route:200.10.1.0 SubnetID:200.10.1.0 Broadcast:200.10.1.63 #IDRANGOBROADCAST 1200.10.1.4200.10.1.5200.10.1.6200.10.1.7 2200.10.1.8200.10.1.9200.10.1.10200.10.1.11 3200.10.1.12200.10.1.13200.10.1.14200.10.1.15 4200.10.1.16200.10.1.17200.10.1.18200.10.1.19 5200.10.1.20200.10.1.21200.10.1.22200.10.1.23 6200.10.1.24200.10.1.25200.10.1.26200.10.1.27 7200.10.1.28200.10.1.29200.10.1.30200.10.1.31 8200.10.1.32200.10.1.33200.10.1.34200.10.1.35 9200.10.1.36200.10.1.37200.10.1.38200.10.1.39 10200.10.1.40200.10.1.41200.10.1.42200.10.1.43 11200.10.1.44200.10.1.45200.10.1.46200.10.1.47 12200.10.1.48200.10.1.49200.10.1.50200.10.1.51 13200.10.1.52200.10.1.53200.10.1.54200.10.1.55 14200.10.1.56200.10.1.57200.10.1.58200.10.1.59 15200.10.1.60200.10.1.61200.10.1.62200.10.1.63 16200.10.1.64200.10.1.65200.10.1.66200.10.1.67 17200.10.1.68200.10.1.69200.10.1.70200.10.1.71 18200.10.1.72200.10.1.73200.10.1.74200.10.1.75 19200.10.1.76200.10.1.77200.10.1.78200.10.1.79 20200.10.1.80200.10.1.81200.10.1.82200.10.1.83 21200.10.1.84200.10.1.85200.10.1.86200.10.1.87 22200.10.1.88200.10.1.89200.10.1.90200.10.1.91 23200.10.1.92200.10.1.93200.10.1.94200.10.1.95 24200.10.1.96200.10.1.97200.10.1.98200.10.1.99 25200.10.1.100200.10.1.101200.10.1.102200.10.1.103 26200.10.1.104200.10.1.105200.10.1.106200.10.1.107 27200.10.1.108200.10.1.109200.10.1.110200.10.1.111 28200.10.1.112200.10.1.113200.10.1.114200.10.1.115 29200.10.1.116200.10.1.117200.10.1.118200.10.1.119 30200.10.1.120200.10.1.121200.10.1.122200.10.1.123 31200.10.1.124200.10.1.125200.10.1.126200.10.1.127 32200.10.1.128200.10.1.129200.10.1.130200.10.1.131 33200.10.1.132200.10.1.133200.10.1.134200.10.1.135 34200.10.1.136200.10.1.137200.10.1.138200.10.1.139
35200.10.1.140200.10.1.141200.10.1.142200.10.1.143 36200.10.1.144200.10.1.145200.10.1.146200.10.1.147 37200.10.1.148200.10.1.149200.10.1.150200.10.1.151 38200.10.1.152200.10.1.153200.10.1.154200.10.1.155 39200.10.1.156200.10.1.157200.10.1.158200.10.1.159 40200.10.1.160200.10.1.161200.10.1.162200.10.1.163 41200.10.1.164200.10.1.165200.10.1.166200.10.1.167 42200.10.1.168200.10.1.169200.10.1.170200.10.1.171 43200.10.1.172200.10.1.173200.10.1.174200.10.1.175 44200.10.1.176200.10.1.177200.10.1.178200.10.1.179 45200.10.1.180200.10.1.181200.10.1.182200.10.1.183 46200.10.1.184200.10.1.185200.10.1.186200.10.1.187 47200.10.1.188200.10.1.189200.10.1.190200.10.1.191 48200.10.1.192200.10.1.193200.10.1.194200.10.1.195 49200.10.1.196200.10.1.197200.10.1.198200.10.1.199 50200.10.1.200200.10.1.201200.10.1.202200.10.1.203 51200.10.1.204200.10.1.205200.10.1.206200.10.1.207 52200.10.1.208200.10.1.209200.10.1.210200.10.1.211 53200.10.1.212200.10.1.213200.10.1.214200.10.1.215 54200.10.1.216200.10.1.217200.10.1.218200.10.1.219 55200.10.1.220200.10.1.221200.10.1.222200.10.1.223 56200.10.1.224200.10.1.225200.10.1.226200.10.1.227 57200.10.1.228200.10.1.229200.10.1.230200.10.1.231 58200.10.1.232200.10.1.233200.10.1.234200.10.1.235 59200.10.1.236200.10.1.237200.10.1.238200.10.1.239 60200.10.1.240200.10.1.241200.10.1.242200.10.1.243 61200.10.1.244200.10.1.245200.10.1.246200.10.1.247 62200.10.1.248200.10.1.249200.10.1.250200.10.1.251
La Arquitectura de Red Telemtica Ltda. de Colombia

INDICE
Caractersticas de la red Telemtica Ltda. de Colombia IP vlidas para 6 host Topologa de red Matriz de Hardware Matriz de aplicaciones en produccin Matriz de otros dispositivos Vulnerabilidades, amenazas y riesgos Tabla de Incidentes y Grfico Conclusiones y recomendaciones Bibliografa
3 4 5 6 7 8 9 10 11 12
Pgina2
Caractersticas de la red Telemtica Ltda. de Colombia La empresa cuenta con un Router Cisco de Frontera para conectividad con internet para comunicacin de los clientes internos y externos. A este router van conectados los siguientes servidores utilizando la topologa de estrella: Servidor Windows 2000 Server que se utiliza como Servidor de autenticacin Servidor Web para conectividad de clientes externos Servidor Base de Datos ORACLE para la conectividad de los clientes, el sistema de facturacin y el software de cartera de la empresa El Proxi Server para conectividad de clientes externos Cortafuego Firewall para conexiones internas y externas con Regla ANY ANY 30 Estaciones de trabajo Bogota 40 Estaciones de trabajo Cali Servidor de Correo Electrnico que es utilizado por el Departamento de Recursos Humanos
Las caractersticas actuales de la red son las siguientes: IP: 200.10.1.0 Binario: 11001000.00001010.00000001.00000000 Mascara: 255.255.255.252 Host: 200.10.1.1 - 200.10.1.62 Bits Subnet: 2 Mascara Subnet: 26 Max Subnet: 2 Max Host: 2 Supernet: 192.0.0.0 Mascara Bits: 3 Max Supernets: 128 Max Adress: 254 Route: 200.10.1.0 Subnet ID: 200.10.1.0 Broadcast: 200.10.1.63
Pgina3
IP VALIDAS para 6 HOST Mascara: 255.255.255.252

Servidor Servidor de Aplicaciones Servidor Web Servidor de Base de Datos ORACLE Servidor Windows 2000 Server - Autenticacin Servidor de Correo Electrnico Servidor de Aplicaciones Proxi Server Router Estaciones Bogota Estaciones Cali ID DE RED HOST VALIDOS BROADCAST
200.10.1.4 200.10.1.8 200.10.1.12 200.10.1.16 200.10.1.20 200.10.1.24 200.10.1.28 200.10.1.29 200.10.1.50 200.10.1.101
200.10.1.5 - 200.10.1.6 200.10.1.9 - 200.10.1.10 200.10.1.13 - 200.10.1.14 200.10.1.17 - 200.10.1.18 200.10.1.21 - 200.10.1.22 200.10.1.25 - 200.10.1.26 200.10.1.29 - 200.10.1.30 200.10.1.30 - 200.10.1.31 200.10.1.51 - 200.10.1.109 200.10.1.102 - 200.10.1.149
200.10.1.7 200.10.1.11 200.10.1.15 200.10.1.19 200.10.1.23 200.10.1.27 200.10.1.31 200.10.1.32 200.10.1.100 200.10.1.150
Pgina4
Matriz de Hardware
Pgina5
Matriz de aplicaciones en produccin
Pgina6
Matriz de otros dispositivos
Pgina7
Topologa de red
Pgina8
Vulnerabilidades, amenazas y riesgos
Pgina9
Tabla de Incidentes y Grfico
Pgina10
Conclusiones y Recomendaciones La seguridad hoy en da se ha convertido en la carta de navegacin para el tema de la inversin en tecnologa, debemos considerar aspectos relacionados con la gestin de la seguridad, con el fin de que esta inversin este alineada plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad, por esta y muchas ms razones la empresa Telemtica Ltda. de Colombia debera implementar un programa de riesgos de alto impacto para mitigar las amenazas a todo nivel y poder subsanar todas las falencias con las que cuenta en este momento. Las polticas que debe considerar a futuro deben ir de la mano de la capacitacin del personal tanto en la sede de Bogot como en la sede de Cali, con el fin de tomar decisiones de choque que causen impresin y sean relevantes en el corto plazo. Para esto es necesario considerar las siguientes recomendaciones con el propsito de mejorar la calidad del servicio dentro y fuera de la empresa y la eficiencia en la informacin. La organizacin como ente empresarial Roles y Responsabilidades de Seguridad de la Informacin Polticas para la conexin con terceros. Clasificacin de la informacin Importancia de la informacin segn la organizacin. Seguridad en el recurso humano Responsabilidades de seguridad de la informacin para los diferentes cargos. Capacitacin en seguridad de la informacin como parte de su proceso de induccin y mejoramiento continuo. Administracin de las operaciones de cmputo y comunicaciones. Polticas sobre el uso del correo electrnico Polticas sobre el uso de Internet. Polticas sobre el uso de recursos.
Pgina11
Bibliografa METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP SISTESEG Bogot, Colombia SERVICIOS EN SEGURIDAD DE LA SERVICIOS EN SEGURIDAD DE LA INFORMACIN. Autor: Ing: Rodrigo Ferrer V. CISSP CISA BS ( British Standard) lead Auditor 27001 POLTICAS Y PROCEDIMIENTOS EN LA SEGURIDAD DE LA INFORMACIN Vctor Cappuccio Versin 1 ESTNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion Objetivos de control y controles 2005 - 10 - 15
Pgina12
TALLER DE CONOCIMIENTO Y DESEMPEO
Se deben configurar los equipos y servidores de acuerdo al diagrama. Los servicios son: SNMP (Comunidades por defecto public y private con permisos de lectura y escritura Web en los equipos activos y en los servidores WEB FTP (con cuenta annima habilitada) TFTP Telnet Para el trabajo del grupo se recogieron cinco muestras. La muestra que nos pareci ms completa es la muestra UNO y con esa vamos a hacer el anlisis: A. Reconocimiento: 1. Estados de las banderas de TCP, explicar el estado de las banderas trama por trama en una sesin
Para ver el estado de las bandera escogemos las tramas: 977 a 1580 tal como lo muestra en la figura.
Los paquetes 1112 a 1258 son el establecimiento de la conexin TCP entre nuestro cliente y nuestro equipo, pero realmente 1258 y 1259 el que comienza a tener ya informacin interesante. Es decir, que ya la comunicacin de banderas se hace uno a uno. Analicemos pues: Servidor Source: 192.168.7.60 Cliente Destination: 192.168.7.48 Duracion: 214 Bytes Los siguientes graficos analizan flujos TCP. Permiten representar la secuencia de tiempos. Todas estas graficas muestran el estado de la conexin en funcin del tiempo. Grafico general de la muestra
Grafico con el filtro TCP
Grfico con el filtro UDP
En el frame 1259 se tiene en cuenta lo siguiente: Tamao del paquete: 62 bytes Captura: 62 bytes Banderas: SYN de sincronizacin de la comunicacin ACK de confirmacin Lenght=163.058 Elapsed time: 408.967 sec Cantidad de paquetes: 2009 Bytes trafic: 810787 Con la opcin Folow TCP Stream se nos abrir una ventana donde podremos analizar de forma muy cmoda toda la comunicacin que ha habido entre cliente y servidor (separada cmodamente en dos colores):
2. Protocolos y servicios: Listado de protocolos observados en las capturas Del frame 1 al 2009 UDP TCP SSDP SMB NBNS NBDS MDNS IGMP
HTTP DNS BOOTP ARP 3. Direcciones IP: Verificacin origen y destino, listado de IP Protocolo BOOTP NBNS MDNS TCP BOOTCP ARP NBNS ARP NBNS NBNS UDP NBNS NBNS IP Origen 0.0.0.0 10.82.140.15 169.254.3.160 172.16.14.2 192.168.7.1 192.168.7.1 192.168.7.103 192.168.7.176 192.168.7.186 192.168.7.193 192.168.7.193 192.168.7.216 192.168.7.221 IP Destino 255.255.255.255 192.168.7.60 224.0.0.251 192.168.7.60 255.255.255.255 BROADCAST 192.168.7.255 BROADCAST 192.168.7.255 192.168.7.255 224.0.0.252 192.168.7.255 192.168.7.255
4. Que modelo de referencia es mostrada en la informacin de las capturas. TCPDump, ethereal
5. Saludo de tres vas: a que parte de la interfaz del ethereal me debo remitir para encontrar dicha informacin. Justifique respuesta. Para mayor comodidad en el anlisis es conveniente colocar el cursor del mouse en el paquete 1258, luego con el botn derecho del mouse vamos al men Show packet en new window. Se nos abre una nueva ventana en donde analizaremos la muestra.
B. Explorando sistemas 1. Realizar barrido de ping y un escaneo de puertos e identifique las direcciones IP en uso y los puertos abiertos. 2. Usando herramienta GFI, Netscan, Solarzwin2000, Netscan y nmap encuentre: Sistemas operativos Vulnerabilidades Niveles de riesgo sobre cada IP activa
Direcciones IP de routers, Swiches y Servidores Describa 3 vulnerabilidades encontradas 3. Mediantes Solarzwin2000 identifique los nombres de las comunidades SNMP que se estn utilizando. C. Explotando vulnerabilidades 1. Con el barrido de ping que vulnerabilidades se podran explorar 2. Con la informacin obtenida de los sistemas operativos de los servidores y de los PCs de la red que vulnerabilidades se podran explotar. Expliquelas 3. Que vulnerabilidades se podran explotar a travs del conocimiento de las comunidades SNMP que encontraron en uso. 4. Haga la negacin de servicio de un dispositivo, explique como lo realizo. Explique las tcnicas de negacin de servicio y explquelas. D. Manteniendo el acceso 1. Con las vulnerabilidades que se encontraron cree dos puertas traseras y responda las siguientes preguntas. a. Como se puede mantener el acceso en el servidor FTP b. Como se puede mantener el acceso en los servidores WEB c. Como se puede mantener el acceso en los routers y swiches d. Como se puede mantener el acceso a una base de datos E. Cubriendo el rastro 1. De acuerdo a la arquitectura de red implementada, investigue: a. Que tipos de logs existen en los sistemas operativos Windows / Linux y como se pueden acceder. b. Que tipos de logs existen en los router, como se pueden acceder y como se activan.
ANEXO BANDERAS TCP connect() scanning1. Es la forma ms bsica de anlisis de puertos. Se intenta establecer una conexin normal al puerto mediante la llamada connect() del sistema.
Origen --(SYN)-> Destino --+ +--(RST|ACK puerto cerrado)-> Origen +--(SYN|ACK puerto abierto)-> Origen -(ACK)-> Destino
Ventajas: (1) no se necesita privilegios especiales para realizar el anlisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) muy fcil de detectar y filtrar, ya que en los registros del sistema para cada puerto analizado aparece que se ha intentado establecer conexin y a continuacin se ha cerrado sin enviar la informacin. TCP SYN scanning. No establece una conexin TCP completa, sino que cuando recibe la respuesta SYN|ACK indicando que el puerto est a la escucha, inmediatamente enva un paquete RST para romper la conexin. Existe otra variante que no enva el paquete RST y, por lo tanto, deja el proceso de establecimiento de la conexin a medias.
+--(RST|ACK puerto cerrado)-> Origen Origen --(SYN)-> Destino --+ +--(SYN|ACK puerto abierto)-> Origen -(RST)-> Destino
Ventajas: (1) pocos sitios registran este intento de conexin anlisis y (2) se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: (1) hacen falta privilegios de administrador para construir el paquete SYN inicial. TCP SYN|ACK scanning. Salta el primer paso en el establecimiento de conexin TCP, enviando directamente un paquete SYN|ACK al ordenador destino. Si el puerto est abierto no se recibe respuesta, pero si est cerrado se recibe RST. En este caso podemos determinar que puertos estn cerrados y, por exclusin, cuales estn abiertos (mapeo inverso). En las tcnicas de mapeo inverso, se pueden producir lentos falsos positivos debido a paquetes destruidos, ya sea por la accin de cortafuegos, filtros de paquetes o lmites de tiempo.
Origen --(SYN|ACK)-> Destino -+--(RST puerto cerrado)-> Origen + +--(puerto abierto)
Ventajas: (1) los paquetes SYN|ACK son capaces de pasar a travs de cortafuegos y sistemas de deteccin de intrusos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Se pueden producir falsos positivos lentos y (2) la familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los paquetes SYN|ACK sea cual sea el estado del puerto. 1 Anlisis Activo y Pasivo de Redes. Alejandro Castn Salinas. Revisin 2.8
TCP ACK scanning. Consiste en enviar un paquete ACK al ordenador destino, que siempre responder con un paquete RST. No obstante, si el puerto est abierto, el valor del campo TTL ser menor que 64 y el valor del campo win ser diferente de 0.
+--(RST puerto cerrado)-> Origen Origen --(ACK)-> Destino --+ +--(RST win0 ttl<64 puerto abierto)-> Origen
Ventajas: (1) los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos cortafuegos que no devuelven respuesta para los puertos filtrados. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser de tipo Unix. TCP FIN scanning. Ante un paquete FIN, los puertos cerrados deberan replicar con el debido RST y los puertos abiertos deberan ignoran el paquete FIN (mapeo inverso).
Origen --(FIN)-> Destino -+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)
Ventajas: (1) los paquetes FIN son capaces de pasar a travs de cortafuegos que filtran paquetes SYN a puertos restringidos. Desventajas: (1) Algunos sistemas (por ej. Microsoft) responden paquetes RST sea cual sea el estado del puerto y (2) se pueden producir falsos positivos lentos. TCP Null scanning. Consiste en enviar un paquete con todas las seales de cdigo (URG, ACK, PSH, RST, SYN y FIN) de la cabecera TCP desactivadas. Si el puerto est abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado se recibe RST|ACK.
+--(RST|ACK puerto cerrado)-> Origen + +--(puerto abierto)
Origen --()-> Destino --
Ventajas: (1) los paquetes NULL son capaces de evitar algunos sistemas de deteccin de intrusos. Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fcil de detectar y registrar, y (3) se pueden producir falsos positivos lentos. TCP Xmas scanning. Consiste en enviar un paquete con todas las seales de cdigo (URG,ACK, PSH, RST, SYN y FIN) de la cabecera TCP activadas. Si el puerto est abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado se recibe RST|ACK.
+--(RST|ACK puerto cerrado)-> Origen Origen --(URG|ACK|PSH|RST|SYN|FYN)-> Destino --+ +--(puerto abierto)
Ventajas: (1) los paquetes XMAS son capaces de evitar algunos sistemas de deteccin de intrusos.
Desventajas: (1) Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser una variante de Unix, (2) es fcil de detectar y registrar, y (3) se pueden producir falsos positivos lentos.
ANEXO Campo de tipo Tipo de mensaje ICMP 0 Respuesta de eco 3 Destino inalcanzable 4 Origen acallado 5 Redireccionar (cambiar una ruta) 8 Solicitud de eco 11 Tiempo excedido para un datagrama 12 Problema de parmetros en un datagrama 13 Solicitud de marca de tiempo 14 Respuesta de marca de tiempo 15 Solicitud de informacin (obsoleto) 16 Respuesta de informacin (obsoleto) 17 Solicitud de mscara de direccin 18 Respuesta de mscara de direccin
Fundamentos de Seguridad en Redes Taller de Ethical Hacking II
Item Primer Paso: Reconocimiento Objeto Social, Misin, Visin, Poltica de Calidad, Telfonos, Direcciones Contactos, Informacin a otros servidores, WHOIS, Direccin IP Cual es el dominio de la entidad encargada en Colombia de manejar los registros de Dominios. Que informacin es necesaria para registrar un dominio. Formato de Carta de responsabilidad Esa informacin suministrada es de carcter pblico o privado. Segundo Paso: Enumeracin de la red Direcciones IP, Rangos de direcciones, Sistemas operativos de los servidores, aplicaciones y versiones de la actualizacin ms reciente. Tiempos de respuesta de los servidores Tercer Paso: Reconocimiento de la red Ubicacin geogrfica de los diferentes nodos por donde pasan los paquetes. Identifique las direcciones IP de cada nodo Cuarto Paso: Explorando los sistemas Haga un barrido de ping. Identifique cuales son las direcciones IP que estn activas Que pasa con las direcciones que no correspondieron al ping. Realice un escaneo de puertos a las diferentes direcciones IP. Que puertos estn abiertos. Porque estos puertos estn abiertos Quinto Paso: Explotando las vulnerabilidades Que debilidades podra explotar de la informacin que encontr en el primer paso Con el ping, que vulnerabilidades se pueden explotar Con la duplicacin de las pginas web que tipo de vulnerabilidades se pueden dar. Con los puertos abiertos y segn su conocimiento, que vulnerabilidades se pueden explotar. Consulte en internet e investigue tres vulnerabilidades que se pueden servicios encontrados. Determine dos vulnerabilidades de los sistemas operativos identificados en el paso dos. Como se podra explotar estas vulnerabilidades. Sexto Paso: Manteniendo el acceso Si se encontraron vulnerabilidades, como podra usted tener acceso permanente a los diferentes servicios. Sptimo Paso: Cubriendo el rastro Investigue como se pueden lograr los logs de los servicios encontrados. Bibliografa
Pg 2 3 4 5 6 7
7 8 8 9 9 9 10 10 10 11 11 11 12 12 12 12 13
13 13 14
Titulo: Taller de Ethical Hacking II
Carlos Manuel Rentera de la Cruz Luis Caceres
Ethical Hacking Empresa: PLASTIHOGAR
Primer Paso: Reconocimiento Objeto Social, Misin, Visin Plastihogar es una empresa que fue fundada en 1987 y cuyo objetivo es la fabricacin y comercializacin de productos plsticos de consumo masivo. Lo que inicialmente fue un sueo para su fundador y actual gerente, es hoy una realidad: ms de 83 productos se mercadean y venden en el mercado Colombiano y 10 mercados internacionales en todo el Grupo Andino, Centroamrica y El Caribe. En todos ellos, tiene nuestra lnea una extensa y merecida reputacin. En su inicio la compaa participaba nicamente en el mercado de envases para lquidos; hoy lo hace activamente en mltiples categoras: envases para Lquidos con 20 referencias, recipientes para Slidos (cocina, nevera y despensa) con 14 referencias, Loncheras con 4 referencias, Aseo con 15 referencias, Infantil con 12 referencias, Accesorios de Cocina con 3 referencias, Jardinera con 5 referencias y Thermos para bebidas liquidas (calientes y fras) con 5 referencias,, los nuevos Thermos sopa & Seco y el nuevo Portalimentos Duplo. Plastihogar es reconocida en el Mercado Colombiano por su capacidad de innovacin, es una compaa que a travs de sus lanzamientos ha cambiado hbitos de consumo gracias a la versatilidad de sus productos. Poltica de Calidad PLASTIHOGAR S.A. tiene como poltica de calidad, entregar al mercado productos innovadores que satisfacen las necesidades y expectativas de nuestros clientes, esto se har efectivo mediante un mejoramiento continuo de nuestro proceso productivo, que nos permita generar confianza hacia nuestros productos y de esta manera asegurar el crecimiento sostenido de la empresa. Telfonos PBX 422 45 55 Direcciones Plastihogar S.A Av. Calle 17 No. 132- 60 Bogot - Colombia. Plastihogar s.a. Calle 22 no 133-84 Bogot, D.C. N/D
EthicalHackingPlastihogarPgina2
Contactos Ayala, Mauricio mayala@mareaweb.net marea agencia web Carrera 16 no 58a-13 Bogot, D.C. N/D Colombia +571.2100253 fax plastihogar@plastihogar.com Informacin a otros servidores Herramientas: www.intodns.com www.netcraft.com www.network-tools.com Registro Web www.openrbl.com www.dnsstuff.com www.nic.co
Herramienta: www.register.com. Se utiliza para registrar los dominios de las pginas web.
WHOIS Registrant: PLASTIHOGAR S.A. CALLE 22 No 133-84 BOGOTA, D.C. N/D Colombia Registered through: GoDaddy.com, Inc. (http://www.godaddy.com) Domain Name: PLASTIHOGAR.COM Created on: 06-Apr-00 Expires on: 06-Apr-09 Last Updated on: 06-Apr-08 Administrative Contact: AYALA, MAURICIO mayala@mareaweb.net MAREA AGENCIA WEB CARRERA 16 No 58A-13 BOGOTA, D.C. N/D Colombia +57.12100253 Fax -Technical Contact: AYALA, MAURICIO mayala@mareaweb.net MAREA AGENCIA WEB CARRERA 16 No 58A-13 BOGOTA, D.C. N/D Colombia +571.2100253 Fax --
Domain servers in listed order: NS1.CO.GEARHOST.NET NS2.CO.GEARHOST.NET Domain Name: PLASTIHOGAR.COM Registrar: GODADDY.COM, INC. Whois Server: whois.godaddy.com Referral URL: http://registrar.godaddy.com Status: clientDeleteProhibited Status: clientRenewProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 06-apr-2008 Creation Date: 06-apr-2000 Expiration Date: 06-apr-2009 Direccin IP PLASTIHOGAR.COM.CO 69.24.71.158 Investigar: Cual es el dominio de la entidad encargada en Colombia de manejar los registros de Dominios. En Colombia, la Universidad de los Andes es la organizacin prestadora del servicio de registro de Dominios de Internet para Colombia. En el lenguaje internacional es el NIC (Network Information Center) oficial delegado por InterNIC. Por ello, toda organizacin que desee registrar un dominio .CO debe hacerlo por intermedio nuestro. Por esta razn, si desea registrar un nombre de dominio.co es necesario que lo haga por intermedio de: https://www.nic.co/dominio/index.htm En Colombia, un nombre de dominio est compuesto por tres campos, con el carcter "." (punto) como separador. Por ej: uniandes.edu.co donde: Primer campo (uniandes): nombre, sigla o abreviatura del nombre de la Organizacin o Empresa solicitante del dominio, Segundo campo (edu): carcter de la Organizacin o Empresa. Tercer campo (co): abreviatura de Colombia. Que informacin es necesaria para registrar un dominio.
Descripcin Para entidades comerciales Terminacin Requisitos* .com.co Locales Enviar: 1. Fotocopia de la tarjeta NIT 2. Certificado de la Cmara de Comercio 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Solicitud empresas fuera de Colombia Los documentos solicitados son: 1. Fotocopia de la tarjeta NIT y del Certificado de la Cmara de Comercio del apoderado. 2. Poder debidamente apostillado para la firma de abogados o entidad representante, directamente emitida por la empresa solicitante, en persona del representante legal de la empresa extranjera. 3. Equivalente del Certificado de la Cmara de Comercio y del
nmero de identificacin tributaria en el pas de origen. 4. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Ms informacin empresas fuera de Colombia Instituciones de educacin o investigacin .edu.co Instituciones pblicas Enviar:3 1. Fotocopia del certificado del RUT 2. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Instituciones privadas Enviar: 1. Fotocopia de la tarjeta NIT 2. Certificacin expedida por el ICFES, la Secretara de Educacin, o Certificado de la Cmara de Comercio. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Organizaciones .org.co no gubernamentales Enviar: 1. Fotocopia de la tarjeta NIT 2. Personera Jurdica o Certificado de la Cmara de Comercio. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Enviar: 1. Fotocopia de la tarjeta NIT 2. Carta del embajador en papel membreteado. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Enviar: 1. Fotocopia de la tarjeta NIT. 2. Certificacin de que la entidad es gubernamental adjuntando los siguientes documentos: decreto de creacin, acta de posesin del funcionario o carta oficial del representante legal en papel membreteado. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Enviar: 1. Fotocopia de la tarjeta NIT. 2. Certificacin de que la entidad es militar adjuntando los siguientes documentos: decreto de creacin, acta de posesin del funcionario o carta oficial del representante legal en papel membreteado. 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Enviar: 1. Fotocopia de la tarjeta NIT 2. Certificado de la Cmara de Comercio 3. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad) Enviar: 1. Fotocopia de la cdula 2. CARTA DE RESPONSABILIDAD DEBIDAMENTE DILIGENCIADA (Carta de responsabilidad)
Embajadas
.org.co
Agencias .gov.co gubernamentales
Agencias militares
.mil.co
Proveedores de Servicios de Internet
.net.co
Personas naturales
.nom.co
Los documentos deben enviarse por UNA de estas tres vas: Escaneados: e-mail: adminco@uniandes.edu.co Correo certificado: Cra. 1 No. 18 A 12 Edificio RGB Bogot, DC Fax: (1) 3324491
Formato de Carta de responsabilidad
Ciudad y fecha Seores DOMINIO.CO Direccin Tecnologas de Informacin UNIVERSIDAD DE LOS ANDES Carrera 1. No. 18A 10 Bogot, D.C. Por la presente, Yo ....................................................... como representante de la Organizacin ..................................... identificada con NIT ........................................ me hago responsable como solicitante del registro del nombre de dominio ............................. com.co El dominio solicitado ser utilizado con el propsito de.............................................................. .............................................................................................................................................. .................................................................................................................................................. Declaro bajo juramento que, segn mi conocimiento, el registro y uso del nombre de dominio solicitado no interfiere ni afecta derechos de terceros. Asimismo declaro bajo juramento que el registro del nombre de dominio solicitado no se realiza con ningn propsito ilegal ni viola legislacin alguna, y que todos los datos suministrados son verdaderos, no habiendo ocultado u omitido informacin alguna. Declaro que conozco las polticas de Dominio.CO y, de manera particular lo referente a la violacin de una marca cuando dice: el registrar un nombre de dominio no significa registrar una marca. Es requisito indispensable del solicitante asegurarse que no est violando marca alguna. Y contina: En el caso de una disputa o conflicto o controversia entre los solicitantes por los derechos de un nombre en particular, el NIC Colombia no adquiere responsabilidad al registrarlo. Solamente proveer informacin a ambas partes. En este caso, me comprometo a someterme al procedimiento administrativo obligatorio establecido en la Poltica Uniforme de Resolucin de Controversias de nombre de dominio (UDRP) y en su reglamento, aprobados por la Internet Corporation for Assigned Names and Numbers (ICANN). Conozco que la Universidad de los Andes, al actuar como Registrador del Dominio .CO, lo hace dentro del marco de las normas vigentes y bajo los postulados de la buena fe. Por esta razn, autorizo a Dominio .CO para cancelar el registro del nombre de dominio en caso de comprobar que existe alguna falta o incumplimiento de las polticas. Atentamente, FIRMA NOMBRE: DIRECCIN: CIUDAD: TELEFONO: E-MAIL:
Esa informacin suministrada es de carcter pblico o privado. La informacin del registro tanto del dominio.com como del dominio.com.co es pblica. Segundo Paso: Enumeracin de la red. Identifique la siguiente informacin: Direcciones IP Herramienta: www.DNSstuff.com IP Information - 69.24.71.158 When the server was last reloaded, we had 5754 IP addresses banned. Remember, you are not allowed to use automated programs to access our tools, unless you have a purchased a DNSstuff automated usage plan. Please email sales@dnsstuff.com to learn more. IP address: 69.24.71.158 Reverse DNS: [Timeout] Reverse DNS authenticity: [Unknown] ASN: 40728
ASN Name: IP range connectivity: Registrar (per ASN): Country (per IP registrar): Country Currency: Country fraud profile: City (per outside source): Country (per outside source): Private (internal) IP? IP address registrar: Known Proxy? Link for WHOIS: Rangos de direcciones Herramienta: http://www.intodns.com/ Country IP Range 69.24.64.0 to 69.24.127.255 NS records from your nameservers NS records got from your nameservers listed at the parent NS are: ns1.co.gearhost.net ['69.24.64.10'] [TTL=3600] ns2.co.gearhost.net ['69.24.64.15'] [TTL=3600] ns2.gearhost.com ['69.24.64.12'] [TTL=3600] ns1.gearhost.com ['69.24.64.11'] [TTL=3600] Sistemas operativos de los servidores, aplicaciones y versiones de la actualizacin ms reciente. Herramienta: http://www.netcraft.com/ GEARHOST 2 ARIN US [United States] USD [United States Dollars] Normal Englewood, Colorado US [United States] No whois.arin.net No 69.24.71.158
Tiempos de respuesta de los servidores
Tercer Paso: Reconocimiento de la red. Usando la pgina www.intodns.com encuentre la siguiente informacin: Ubicacin geogrfica de los diferentes nodos por donde pasan los paquetes. VectorTrace: 69.24.71.158 Generated by www.DNSstuff.com at 15:06:43 GMT on 28 Mar 2009.
MANCHESTER,UK Details [Internal IP] [85.113.83.1] [212.187.136.37] ae-1111.car2.manchesteruk1.level3.net. ae-4-4.ebr1.london2.level3.net. ae-47-107.ebr2.london2.level3.net. ae-2-2.ebr1.london1.level3.net. ae-1-100.ebr2.london1.level3.net. ae-43-43.ebr1.newyork1.level3.net. ae-3-3.ebr4.washington1.level3.net. ae-9494.csw4.washington1.level3.net. ae-9292.ebr2.washington1.level3.net. ae-2-2.ebr2.chicago2.level3.net. ae-1-100.ebr1.chicago2.level3.net. ae-3.ebr2.denver1.level3.net. ae-21-56.car1.denver1.level3.net. data393hol.car1.denver1.level3.net. 208-42-224-141.static.data393.net. 208-42-239-161.static.data393.net. [216.239.226.186] [69.24.71.158] DALLAS,TX Details SEATTLE,WA Details
[75.125.239.209] et2-11.ibr01.hstntx1.theplanet.com. te-7-2.car2.houston1.level3.net. ae-2-5.bar2.houston1.level3.net. ae-0-11.bar1.houston1.level3.net. ae-13-13.ebr1.dallas1.level3.net. ae-81-81.csw3.dallas1.level3.net. ae-82-82.ebr2.dallas1.level3.net. ae-2.ebr1.denver1.level3.net. ae-1-110.ebr2.denver1.level3.net. ae-21-52.car1.denver1.level3.net. data393hol.car1.denver1.level3.net. 208-42-224-137.static.data393.net. 208-42-239-165.static.data393.net. [216.239.226.186] [69.24.71.158]
vl101d1.acc.sea2.hopone.net. ge51.core1.sea2.hopone.net. ge71.core1.sea1.hopone.net. gi0-4-5.ar4.sea1.gblx.net. [64.212.107.46] 207.88.12.189.ptr.us.xo.net. te-3-0-0.rar3.la-ca.us.xo.net. 207.88.12.45.ptr.us.xo.net. 207.88.14.34.ptr.us.xo.net. 207.88.185.114.ptr.us.xo.net. 208-42-224141.static.data393.net. 208-42-239161.static.data393.net. [216.239.226.186] [69.24.71.158]
MANCHESTER,UK Details 69.24.71.158 best=131ms ASN-C2INTERNET to Level3 to DATA393-ASN1 to GEARHOST DALLAS,TX Details 69.24.71.158 best=22ms THEPLANET-AS to Level3 to DATA393-ASN1 to GEARHOST SEATTLE,WA Details 69.24.71.158 best=54ms HOPONE-GLOBAL to GBLX to XO-AS15 to DATA393ASN1 to GEARHOST
Identifique las direcciones IP de cada nodo NS records got from your nameservers listed at the parent NS are: ns1.co.gearhost.net ['69.24.64.10'] [TTL=3600] ns2.co.gearhost.net ['69.24.64.15'] [TTL=3600] ns2.gearhost.com ['69.24.64.12'] [TTL=3600] ns1.gearhost.com ['69.24.64.11'] [TTL=3600] Cuarto Paso: Explorando los sistemas Haga un barrido de ping. Identifique cuales son las direcciones IP que estn activas PINGing PLASTIHOGAR.COM.CO Resolving PLASTIHOGAR.COM.CO ... 69.24.71.158 9:35:44 108 milliseconds, 108 ms average, 0% loss 9:35:45 107 milliseconds, 108 ms average, 0% loss 9:35:46 107 milliseconds, 107 ms average, 0% loss . 9:36:06 106 milliseconds, 107 ms average, 0% loss . Pinging plastihogar.com [69.24.71.158] with 32 bytes of data: Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Reply from 69.24.71.158: bytes=32 time=40ms TTL=117 Que pasa con las direcciones que no correspondieron al ping. Argumente su respuesta. Las direcciones que no estn en el rango del ping son direcciones que navegan por internet. Hay otros usuarios que preguntan constantemente por ejemplo al servicio al cliente en lnea, para correo, transferencia de archivos, etc. Tracing route to plastihogar.com [69.24.71.158] over a maximum of 30 hops: 1 x0.gw1.chi1.rninc.net 2 Loopback0.GW6.CHI2.ALTER.NET 3 0.so-2-0-2.XT1.CHI2.ALTER.NET 4 0.so-7-1-0.XL3.CHI13.ALTER.NET 5 204.255.169.158 6 ber2-ge-8-1.chicagoequinix.savvis.net 7 cr2-tengig-0-0-5-0.chicago.savvis.net 8 cr1-tengig-0-0-2-0.denver.savvis.net [63.101.50.1] [137.39.4.214] [152.63.67.218] [152.63.64.109] [204.70.194.242] [204.70.195.117] [204.70.196.225]
9 10 11 12 13 208.172.163.130 208-42-224-141.static.data393.net 208-42-239-161.static.data393.net 216.239.226.186 69.24.71.158 [208.42.224.141] [208.42.239.161]
Trace complete. Realice un escaneo de puertos a las diferentes direcciones IP.
Que puertos estn abiertos.

# Generated by Port Scanner # Version 8.0.3 # 28/03/2009 11:38:59 a.m. # Port Scan from 63.101.50.1 to 69.24.71.158 # Ports: 7, 9, 21, 23, 25, 80, 443, 99, 100, 8080 "IP Address" "DNS Lookup" 21 ftp Open Open Open Open Open Open Open Open Open Open Open Open Open 25 smtp Open Open Open Open Open Open Open Open Open Open Open Open Open Open Open Open
63.101.50.1 a 63.101.50.9 63.101.50.15 63.101.50.52 a 63.101.50.59 63.101.50.65 63.101.50.68 63.101.50.92 63.101.50.93 63.101.50.94 63.101.50.114 a 63.101.50.115 63.101.50.135 63.101.50.141 63.101.50.142 a 63.101.50.144 63.101.50.145 63.101.50.147 63.101.50.158 63.101.50.168 a 63.101.50.172
Porque estos puertos estn abiertos Los puertos que se encuentran abiertos son los de ftp para transmisin de datos y el puerto smtp para correo.
Quinto Paso: Explotando las vulnerabilidades Que debilidades podra explotar de la informacin que encontr en el primer paso Suplantacin de identidad, porque se tienen los datos personales tanto del representante legal de la empresa como de los contactos ms importantes de la misma. Con el ping, que vulnerabilidades se pueden explotar Podemos saber a ciencia cierta cuales son las IP validas de la empresa, los puertos abiertos. Los servicios que utiliza para salir a internet (ftp, correo, telnet, etc). Para el ejemplo tenemos las siguientes vulnerabilidades segn puertos: POP3: 69.24.71.160 - 69.24.71.165 - 69.24.71.166 - 69.24.71.170 - 69.24.71.185
Con la duplicacin de las pginas web que tipo de vulnerabilidades se pueden dar.
Se puede hacer pishing con la pgina de la empresa y se puede vulnerar el servicio de correo de la misma. Se tiene acceso al servidor web de la empresa siempre y cuando este servidor sea local, si las bases de datos se acceso desde el mismo servidor se puede tener acceso a ellas. Con los puertos abiertos y segn su conocimiento, que vulnerabilidades se pueden explotar. Una aplicacin acepta conexiones TCP o paquetes UDP en este puerto. El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos. Las personas orientadas a la seguridad saben que cada puerto abierto es un vector de ataque. Los atacantes y las personas que realizan pruebas de intrusin intentan aprovechar puertos abiertos, por lo que los administradores intentan cerrarlos, o protegerlos con cortafuegos, pero sin que los usuarios legtimos pierdan acceso al servicio. Los puertos abiertos tambin son interesantes en sondeos que no estn relacionados con la seguridad porque indican qu servicios estn disponibles para ser utilizados en una red. Consulte en internet e investigue tres vulnerabilidades que se pueden dar en los servicios encontrados. El sondeo SYN es el utilizado por omisin y el ms popular por buenas razones. Puede realizarse rpidamente, sondeando miles de puertos por segundo en una red rpida en la que no existan cortafuegos. El sondeo TCP Connect() es el sondeo TCP por omisin cuando no se puede utilizar el sondeo SYN. Esto sucede, por ejemplo, cuando el usuario no tiene privilegios para enviar paquetes en crudo o cuando se estn sondeando redes IPv6. Aunque la mayora de los servicios ms habituales en Internet utilizan el protocolo TCP, los servicios UDP tambin son muy comunes. Tres de los ms comunes son los servicios DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y 67/68 respectivamente). Dado que el sondeo UDP es generalmente ms lento y ms difcil que TCP, algunos auditores de seguridad ignoran estos puertos.
Determine dos vulnerabilidades de los sistemas operativos identificados en el paso dos. Amenazas del sistema (Seguridad Lgica). Amenazas en la red (Comunicaciones).
Como se podra explotar estas vulnerabilidades. Accediendo al sistema e infiltrndose en la red. En un puerto abierto un usuario externo puede clonar un dispositivo y robar informacin de vital importancia para la empresa. En el caso de Plastihogar pudiera robar nuevas tecnologas para la extrusin de materiales plsticos que solo la tenga la empresa y que sea su estrategia para vencer a la competencia. Sexto Paso: Manteniendo el acceso Si se encontraron vulnerabilidades, como podra usted tener acceso permanente a los diferentes servicios. Argumente su respuesta. Al igual que en el punto anterior esas vulnerabilidades de sistema y de red se pueden explotar siempre y cuando el usuario temporal extraiga de la red y de los sistemas los elementos necesarios para estar presente sin dejar rastros de su estada. Se debera disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos mtodos, herramientas y tcnicas de ataque que se pueden utilizar. Es importante que los Administradores actualicen constantemente sus conocimientos en esta rea, ya que los nuevos mtodos, herramientas y tcnicas para sortear las medidas de seguridad evolucionan de forma continua. Sptimo Paso: Cubriendo el rastro. Investigue como se pueden lograr los logs de los servicios encontrados. Un log es un registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informtica es usado para registrar datos o informacin sobre quin, qu, cundo, dnde y por qu (who, what, when, where y why, W5) un evento ocurre para un dispositivo en particular o aplicacin. La mayora de los logs son almacenados o desplegados en el formato estndar, el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma cada log generado por un dispositivo en particular puede ser ledo y desplegado en otro diferente.
Bibliografa Plastihogar S.A. http://www.plastihogar.com.co/ Especificacin de puertos y orden de sondeo http://nmap.org/man/es/man-port-scanning-techniques.html NIC.COM - Network Information Center, Domain Name Registration https://www.nic.co/dominio/index.htm Register Domain Names at Register.com - Business Web Hosting Services and Domain Name Registration Provider http://www.register.com/titan/index.rcmx? www.openrbl.org IP-Address 200.21.18.189 DNS Network Tools Network Monitoring and DNS Monitoring from DNSstuff http://www.dnsstuff.com/ Netcraft Ltd - Internet Research, Anti-Phishing and PCI Security Services http://www.netcraft.com/ Traceroute, Ping, Domain Name Server (DNS) Lookup, WHOIS http://network-tools.com/ intoDNS checks DNS and mail servers health http://www.intodns.com/ TCP-IP Network Utilities http://www.simplelogic.com/net_utils/allutils.asp
TALLER
1.
Diagrama lgico de la red que deben implementar los dos grupos
Los servicios que deben de quedar configurados son: SNMP (con las comunidades por defecto public y prvate con permisos de lectura y escritura). FTP (con la cuenta annimo habilitada) WEB (en los equipos activos y en los del servidor WEB) Servidor de dominio TELNET 2. 3. 4. 5. 6. 7. 8. 9. El grupo 1 y el grupo 2 debe instalar y configurar el firewall de hardware. Se debe conectar el firewall de acuerdo al diagrama anterior. Identifique las interfaces y las zonas, defina una direccin IP para las dos interfaces. Verifique que sucede con el firewall cuando no se define ninguna regla. Configure NAT uno a uno, para dos servicios, configure virtual server para estos servicios. Defina una regla para permitir todas las conexiones entrantes y salientes. Defina la regla para el acceso solo al servicio de HTTP haciendo NAT con una IP publica. Defina la regla para el acceso solo al servicio de FTP haciendo NAT con una IP publica. Defina una regla para denegar todos los servicios de cada red.
Configuracin del ROUTER
FORMA DE CONECTAR EL FIREWALL
CONFIGURACION DEL FIREWALL ADVANCED NETWORKING NAT
NETWORK SETTINGS CONECTION TO ISP
NETWORK SETTINGS CONNECTION TO ISP
NETWORK SETTINGS LAN SETTINGS
ADVANCED NETWORKING STATIC ROUTING
ADVANCED
NETWORKING
STATIC
ROUTING
ADVANCED NETWORKING DYNAMIC ROUTING
FIREWALL VIRTUAL SERVERS
FIREWALL PC PRIVILEGES
FIREWALL SPECIAL APPLICATIONS
STATUS AND LOGS
STATUS AND LOGS ROUTING TABLE
TALLERDEFIREWALL
SEGURIDADENREDES Modulo2:RedesdeInternet
TALLERDE FIREWALL
SENA
ANDREA BARRERA EDGAR MOLINA CARLOSRENTERIA LUIS CACERES 14/04/2009
SEGURIDAD EN REDES
Mdulo 2: Seguridad en Internet
TALLERDEFIREWALL
TALLERDEFIREWALL
Andrea Barrera Edgar Molina Carlos Rentera Luis Cceres
Ingeniero Daro Mueton Tutor
SERVICIO NACIONAL DE APRENDIZAJE SENA SEGURIDAD EN REDES Mdulo 1: Fundamentos de seguridad en redes Bogot D.C. 2009
TALLERDEFIREWALL
DIAGRAMALGICODELARED
MEDELLIN
LAN
WAN
DMZ
Captulo:DIAGRAMALGICODELARED
TALLERDEFIREWALL
MATRIZDEREGLASPARALARED
1. AccesodeusuariosexternosaServidorWeb
IP ORIGEN 0.0.0.0
IP DESTINO 200.10.5.2
PROTOCOLO HTTP
SERVICIO 80
ACCION PERMITIR
2. AccesodeusuariosexternosaServidorWeb
IP ORIGEN 192.168.12.0
IP DESTINO 192.168.11.0
PROTOCOLO HTTP
SERVICIO 80
ACCION PERMITIR
3. Conexinconelservidordeaplicacionesylabasededatos
IP ORIGEN 192.168.11.0
IP DESTINO 192.168.12.0
PROTOCOLO TCP
SERVICIO 1521
ACCION PERMITIR
4. Restriccionesinternas
IP ORIGEN 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0
IP DESTINO 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
PROTOCOLO FTP TELNET POP3 SMTP
SERVICIO 20 23 110 25
ACCION DENEGAR DENEGAR DENEGAR DENEGAR

Captulo:MATRIZDEREGLASPARALARED
5. Autenticacindetodoslosusuariosinternosyexternos
IP ORIGEN 192.168.13.0 192.168.13.0 192.168.13.0 192.168.13.0 192.168.13.0 192.168.13.0 192.168.11.0 192.168.11.0
IP DESTINO 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0
PROTOCOLO TCP TCP TCP TCP TCP TCP TCP TCP
SERVICIO 135 136 137 138 139 445 135 136
ACCION PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR PERMITIR
TALLERDEFIREWALL
192.168.11.0 192.168.11.0 192.168.11.0 192.168.11.0
192.168.12.0 192.168.12.0 192.168.12.0 192.168.12.0
TCP TCP TCP TCP
137 138 139 445
PERMITIR PERMITIR PERMITIR PERMITIR
6. Recursoshumanospuedeenviarcorreosasusproveedores.
IP ORIGEN 192.168.12.0 192.168.12.0
IP DESTINO 192.168.11.0 192.168.11.0
PROTOCOLO POP3 SMTP
SERVICIO 110 25
ACCION PERMITIR PERMITIR
7. Enviosdecorreosporlosusuariosinternos
IP ORIGEN 200.10.5.3 200.10.5.3
IP DESTINO 0.0.0.0 0.0.0.0
PROTOCOLO POP3 SMTP
SERVICIO 110 25
8. AccesoRemotodelosadministradores
IP ORIGEN 0.0.0.0
9. Intranet
IP DESTINO 200.10.5.4
PROTOCOLO HTTP
SERVICIO 80
ACCION PERMITIR
10. BOGOTAMEDELLIN
IP ORIGEN 192.168.12.0 192.168.12.0 192.168.11.0 192.168.11.0

IP DESTINO 192.168.11.0 192.168.11.0 192.168.13.0 192.168.13.0
PROTOCOLO FTP FTP FTP FTP
SERVICIO 20 21 20 21
ACCION PERMITIR PERMITIR PERMITIR PERMITIR
IP ORIGEN 192.168.11.0 192.168.11.0
IP DESTINO 192.168.12.0 192.168.12.0
PROTOCOLO FTP FTP
SERVICIO 20 21
TALLERDEFIREWALL
SEGURIDADENREDES Modulo2:RedesdeInternet 11. ANYANY
IP ORIGEN ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY
IP DESTINO ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY ANY
PROTOCOLO FTP FTP TCP POP3 SMTP TELNET HTTP DNS SNMP SNMP ICMP MSN DHCP DHCP
SERVICIO 20 21 1521 110 25 23 80 53 161 162 123 1863 546 547
ACCION DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR DENEGAR
NAT DIRECCION 192.168.11.0 - S. WEB 192.168.11.0 S. PASARELA 192.168.11.0 S. REMOTO
NAT 200.10.5.2 200.10.5.3 200.10.5.4
SEGURIDADENREDES
SENA
TALLERFIREWALLSONICWALL
TALLERPORMEDIODELCUALSEREALIZA ELAPRENDIZAJEDEFIREWALLSONICWALL
TALLERDEFIREWALL SeguridadenRedes TALLERDEFIREWALL
Andrea Barrera Edgar Molina Carlos Rentera Luis Cceres Ana Cesar Rafael Castro Viviana Sanchez
SERVICIO NACIONAL DE APRENDIZAJE SENA SEGURIDAD EN REDES


Mdulo 1: Fundamentos de seguridad en redes Bogot D.C. 2009
TALLERDEFIREWALL SeguridadEnredes REDLOGICA(INTERFACES,ZONASYDIRECCIONESIP) REDLOGICA(INTERFACES,ZONASYDIRECCIONESIP)

WAN
RED1 RED2 RED4
WAN WAN LAN

200.31.3.2 RED3
LAN
RED5
TALLERDEFIREWALL SeguridadenRedes
REDLOGICA(INTERFACES,ZONASYDIRECCIONESIP)
TALLERDEFIREWALL SeguridadEnredes CONFIGURACIONDELFIREWALLSONICWALL

CONFIGURACIONDELFIREWALLSONICWALL
1. COLOCANDOELRELOJLAZONA
TALLERDEFIREWALL SeguridadenRedes CONFIGURACIONDELFIREWALLSONICWALL

PANELDECONTROLDELSONICWALL
CONFIGURACIONFIREWALL
CONEXINENLARED
CONFIGURACIONDELFIREWALL
10
11
12
13
Conceptos de Seguridad en Redes
CONFIDENCIALIDAD [H.235] Propiedad que impide la revelacin de informacin a individuos, entidades o procesos no autorizados [J.170] Una manera de asegurar que la informacin slo es revelada a las partes destinadas y a nadie ms. La informacin esta criptada para proporcionar la confidencialidad. Se denomina tambin privacidad. [X.800] Propiedad de una informacin que no est disponible ni es divulgada a personas, entidades o procesos no autorizados. Vase Privacidad y confidencialidad
de datos
Privacidad y confidencialidad de datos Una de las razones principales para buscar la seguridad en las telecomunicaciones es el propio concepto de privacidad, algo que se conoce comnmente como el derecho que tiene cada persona para controlar quin recopila y almacena informacin relacionada con ella, qu tipo de informacin y quin tiene acceso a sta. Adems, este concepto tiene que ver con los medios tcnicos necesarios (por ejemplo, la criptografa) para garantizar que la informacin slo llegue a los destinatarios deseados, de tal manera que solamente aquellas partes explcitamente autorizadas puedan recibirla e interpretarla. En general, los trminos privacidad y confidencialidad se confunden, aunque conviene anotar que la Rec. UIT-T X.805 establece una diferencia explcita entre la privacidad y la confidencialidad de datos, pues la primera tiene que ver con la proteccin de la asociacin de la identidad de los usuarios y sus actividades (por ejemplo, compras en lnea, sitios que visitan en la Internet, etc.), mientras que la segunda se refiere a la proteccin contra accesos no autorizados al contenido de los datos. Para garantizar la confidencialidad de datos se suele utilizar mtodos del tipo criptacin, listas de control de acceso y permisos de acceso a ficheros. INTEGRIDAD [H.235] Propiedad de que los datos no han sido alterados de una manera no autorizada. [J.170] Con ella se garantiza que nadie haya modificado la informacin, excepto por aquellas personas autorizadas. [X.800] Vase integridad de datos Integridad de datos Propiedad que consisten en que los datos no han sido alterados de una manera no autorizada. Adems, la integridad de los datos garantiza que la informacin est protegida contra las siguientes operaciones no autorizadas: modificacin, supresin, creacin, y copia de los datos. Se proporciona tambin un indicador de estas actividades no autorizadas. En las Recomendaciones UIT-T H.235, J.160, J.93, J.95, Q.1290, Q.1531, X.800 y X.815 se hace referencia al trmino Integridad. [X.800] Confirmacin de que los datos no han sido modificados o destruidos por personas no autorizadas. [X.805] La dimensin de seguridad integridad de los datos garantiza la exactitud y la veracidad de los datos. Protege los datos contra acciones no autorizadas de modificacin, supresin, creacin o duplicacin, y seala estas acciones no autorizadas. DISPONIBILIDAD [X.800] Propiedad de ser accesible y utilizable a peticin por una entidad autorizada. [X.805] La dimensin de seguridad de disponibilidad garantiza que las circunstancias de la red no impiden el acceso autorizado a los elementos de red, la informacin almacenada, los flujos
de informacin, los servicios y las aplicaciones. Esta categora incluye soluciones para recuperacin en caso de catstrofe. VULNERABILIDADES Suele ocurrir que ante el imperativo deseo de poner en marcha la solucin IT ms ventajosa o de querer determinar cul de las ltimas aplicaciones, servidores y bases de datos en Internet se acomodan mejor a los objetivos de una organizacin, se deje en un segundo plano la proteccin de la informacin que contienen todos estos elementos. Es probable que en muchas empresas se piense errneamente que al no haber sido an vctimas de algn intento de ataque, no existe ninguna amenaza para ellos. Los organismos de normalizacin poseen capacidades y responsabilidades nicas para tratar el tema de las vulnerabilidades de la seguridad en los protocolos. Hay algunas medidas inmediatas y relativamente simples que stos pueden emprender a fin de mejorar la seguridad de todos los protocolos que se estn normalizando actualmente. Una vulnerabilidad de seguridad es un defecto o debilidad en el diseo, implementacin o funcionamiento de un sistema que podra ser utilizado para violar su seguridad (RFC 2828). Una vulnerabilidad de seguridad no es un riesgo, amenaza o ataque. Hay cuatro tipos de vulnerabilidades: Vulnerabilidad modelo de amenaza, que resulta de la dificultad para prever amenazas futuras (por ejemplo en el sistema de sealizacin N. 7); Vulnerabilidad diseo y especificacin, producida de errores o descuidos en el diseo del protocolo que lo hacen inherentemente vulnerable (por ejemplo la norma WEP 802.11b del IEEE, tambin conocida como WiFi); Vulnerabilidad implementacin, que se produce como resultad o de errores en la implementacin del protocolo; Vulnerabilidad funcionamiento y configuracin, que resulta de la utilizacin errnea de opciones en las implementaciones o de polticas insuficientes de instalacin (por ejemplo, cuando el administrador de red no facilita la utilizacin de la criptacin en una red WiFi, o cuando escoge un cifrado de trenes que no es suficientemente robusto). AMENAZAS Cualquier accin o evento que puede ocasionar consecuencias adversas. Situacin o evento con que puede provocar daos en un sistema. Conforme a la Rec. UIT-T X.800, una amenaza de seguridad es una violacin potencial de la seguridad, que puede ser activa, es decir que existe la posibilidad de un cambio deliberado y no autorizado del estado del sistema, o pasiva, cuando hay amenaza de revelacin no autorizada de la informacin. RIESGOS La explotacin de una vulnerabilidad por parte de una amenaza. Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organizacin. Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podran englobar un mismo concepto, una definicin ms informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad est ligada a una Amenaza y el Riesgo a un Impacto. Anlisis de riesgos: El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre
los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo. Consideraciones de software: Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantas aumenta los riesgos). Controles: Cualquier accin o proceso que se utiliza para mitigar el riesgo. Impacto: Los resultados y consecuencias de que se materialice un riesgo. Riesgo residual: El riesgo que permanece despus de que se han implementado contra medidas y controles CONTROL [H.235] [X.800] Prevencin del uso no autorizado de un recurso, incluida la prevencin del uso de un recurso de una manera no autorizada (X.800). [J.170] Limitacin del flujo de informacin de los recursos de un sistema de una red solamente a personas, programas, procesos u otros recursos de sistema autorizados. [X.805] La dimensin de seguridad control de acceso protege contra la utilizacin de recursos de red sin autorizacin. El control de acceso garantiza que slo las personas y los dispositivos autorizados pueden acceder a los elementos de red, la informacin almacenada, los flujos de informacin, los servicios y las aplicaciones. Adems, el control de acceso basado en las funciones (RBAC, role-based access control) establece varios niveles para restringir el acceso a los elementos de red, la informacin almacenada, los flujos de informacin, los servicios y las aplicaciones, a las personas y los dispositivos autorizados. (Vase Lista de control de acceso). Lista de control de acceso [X.800] Lista de entidades, con sus derechos de acceso, que estn autorizadas a tener acceso a un recurso. SEGURIDAD FISICA Cuando hablamos de seguridad fsica nos referimos a todos aquellos mecanismos -generalmente de prevencin y deteccin-- destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la informacin que hay en el sistema, pasando por la propia CPU de la mquina. Dependiendo del entorno y los sistemas a proteger esta seguridad ser ms o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta. A continuacin mencionaremos algunos de los problemas de seguridad fsica con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto. Proteccin del hardware El hardware es frecuentemente el elemento ms caro de todo sistema informtico y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad fsica de cualquier organizacin. Problemas a los que nos enfrentamos: Acceso fsico Desastres naturales - Terremotos y vibraciones - Tormentas elctricas
- Inundaciones y humedad - Incendios y humos Alteraciones del entorno - Alimentacin elctrica, - El ruido elctrico producido por los equipos - Los cambios bruscos de temperatura. Proteccin de los datos - Eavesdropping - Backups - Otros elementos Copias de seguridad Soportes no electrnicos Radiaciones electromagnticas
SEGURIDAD COMPUTACION Seguridad de la Informacin tiene como fin la proteccin de la informacin y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin no autorizada.[1] El termino Seguridad de Informacin, Seguridad informtica y garanta de la informacin son usados con frecuencia y aun que su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la informacin; Sin embargo entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologas utilizadas, y las zonas de concentracin. La Seguridad de la Informacin se refiere a la Confidencialidad, Integridad y Disponibilidad de la informacin y datos, independientemente de la forma los datos pueden tener: electrnicos, impresos, audio u otras formas. Las principales tecnologas referentes a la seguridad de la informacin son: - Cortafuegos - Administracin de cuentas de usuarios - Deteccin y prevencin de intrusos - Antivirus - Infraestructura de llave publica - Capas de Socket Segura (SSL) - Conexin nica "Single Sign on- SSO" - Biomtria - Cifrado - Cumplimiento de privacidad - Acceso remoto - Firma digital - Intercambio electrnico de Datos "EDI" y Transferencia Electrnica de Fondos "EFT" - Redes Virtuales Privadas "VPNs" - Transferencia Electrnica Segura "SET" - Informtica Forense - Recuperacin de datos - Tecnologas de monitoreo SEGURIDAD COMUNICACIN [X.805] La dimensin de seguridad de la comunicacin garantiza que la informacin slo circula entre los puntos extremo autorizados (no hay desviacin ni interceptacin de la informacin que circula entre estos puntos extremo). Vase Red de Comunicacin de datos
Red de comunicacin de datos [M.3010] Red de comunicacin dentro de una RGT o entre RGT que soportan la funcin comunicacin de datos (DCF). INGENIERIA SOCIAL La ingeniera social consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran. Trmino usado entre crackers y samurais para referirse a las tcnicas de violacin que se sustentan en las debilidades de las personas mas que en el software. El objetivo es engaar a la gente para que revele contraseas u otra informacin que comprometa la seguridad del sistema objetivo. Objetivos Los objetivos bsicos de la Ingeniera Social son los mismos del hacking o cracking (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la informacin para: Cometer Fraude Entrometerse en las Redes Espionaje Industrial Robo de Identidad (de moda) Irrumpir en los Sistemas o Redes Las vctimas tpicas incluyen: Empresas Telefnicas Servicios de Helpdesk y CRM Corporaciones Renombradas Agencias e Instituciones Gubernamentales y Militares Instituciones Financieras Hospitales. El boom del internet tuvo su parte de culpa en la proliferacin de ataques a pequeos startups, pero en general, los ataques se centran en grandes compaas. INCIDENTE Un incidente de seguridad de la informacin se define como un acceso, intento de acceso, uso, divulgacin, modificacin o destruccin no autorizada de informacin; un impedimento en la operacin normal de las redes, sistemas o recursos informticos; o una violacin a la Poltica de Seguridad. El reporte de los incidentes permite responder a los mismos en forma sistemtica, minimizar su ocurrencia, facilitar una recuperacin rpida y eficiente de las actividades minimizando la prdida de informacin y la interrupcin de los servicios, mejorar continuamente el marco de seguridad y el proceso de tratamiento de incidentes, y manejar correctamente los aspectos legales que pudieran surgir durante este proceso. Error de Tipo I: Error producido cuando el sistema diagnostica como ataque una actividad normal. Error de Tipo II: Error producido cuando el sistema diagnostica como actividad normal un ataque.
Error de software Un defecto de software (computer bug en ingls), es el resultado de un fallo o deficiencia durante el proceso de creacin de programas de ordenador o computadora (software). Dicho fallo puede presentarse en cualquiera de las etapas del ciclo de vida del software aunque los ms evidentes se dan en la etapa de desarrollo y programacin. Los errores pueden suceder en cualquier etapa de la creacin de software
MODELO DE REPORTE DE INCIDENTE DE SEGURIDAD DE LA INFORMACIN

Fecha de notificacin: Hora de notificacin: DATOS DE LA PERSONA QUE NOTIFICA Apellido y Nombres: Sede / C.R. / Delegado: Correo electrnico: Telfono: rea Interno: / Dependencia:
Telfono particular:
INFORMACIN SOBRE EL INCIDENTE Fecha en que observ el incidente: Hora en que observ el incidente: Marque con una cruz todas las opciones que considere aplicables. Uso indebido de informacin crtica. Ingeniera social, fraude o phishing. Uso prohibido de un recurso informtico o de Modificacin no autorizada de un sitio o red de la Universidad. pgina web de la Universidad. Divulgacin no autorizada de informacin personal. Intrusin fsica. Destruccin no autorizada de informacin. Robo o prdida de informacin. Interrupcin prolongada en un sistema o servicio de red. Modificacin, instalacin o eliminacin no autorizada de software. Acceso o intento de acceso no autorizado a un sistema informtico. Eliminacin insegura de informacin. Modificacin o eliminacin no autorizada de datos. Anomala o vulnerabilidad tcnica de software. Amenaza o acoso por medio electrnico. Ataque o infeccin por cdigo malicioso (virus, gusanos, troyanos, etc.) Robo o prdida de un recurso informtico de la Universidad. Otro no contemplado. Describa:
INFORMACIN SOBRE EL INCIDENTE Describa el incidente:
Si el incidente: se trata de una infeccin por cdigo malicioso, detalle en lo posible el nombre del virus detectado por el programa antivirus. se trata de una anomala o vulnerabilidad tcnica, describa la naturaleza y efecto de la anomala en trminos generales, las condiciones en las cuales ocurri la vulnerabilidad, los sntomas del problema y mensajes de error que aparezcan en pantalla. se trata de un caso de fraude mediante correo electrnico (phishing), no elimine el mensaje de correo, contctese en forma telefnica con el Depto. de S.I. y reenve el mensaje como adjunto a la direccin seguridad@empresa.com
Bibliografa La Seguridad de las Telecomunicaciones y las Tecnologas de la Informacin. Visin general de asuntos relacionados con la seguridad de las telecomunicaciones y la implementacin de las Recomendaciones UIT-T existentes. Diciembre de 2003 Ingeniera Social para no Creyentes Carlos A. Biscione Technical Account Manager North of Latin America Sun Microsystems Seguridad en redes, Teleinformticas y Telecomunicaciones La seguridad de la informacin y los negocios electrnicos por Quina Monroy Baker Tecnologa Empresarial Ao 2000 Nm. 21 Glosario de trminos relacionados con la seguridad informtica
Anexo - Recomendaciones del UIT-T Las Recomendaciones del UIT-T pueden consultarse en el sitio de la UIT en la red: http://www.itu.int/publications/bookshop/how-tobuy.html (en este sitio figura tambin informacin sobre el acceso gratuito a un nmero limitado de Recomendaciones del UIT-T). Marco de arquitectura de seguridad X.800 Arquitectura de seguridad X.802 Modelo de seguridad de capas ms bajas X.803 Modelo de seguridad de capas superiores X.805 Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo X.810 Marcos de seguridad para sistemas abiertos: Visin general X.811 Marcos de seguridad para sistemas abiertos: Marco de autenticacin X.812 Marcos de seguridad para sistemas abiertos: Marco de control de acceso X.813 Marcos de seguridad en sistemas abiertos: Marco de no rechazo X.814 Marcos de seguridad para sistemas abiertos: Marco de confidencialidad X.815 Marcos de seguridad para sistemas abiertos: Marco de integridad X.816 Marcos de seguridad para sistemas abiertos: Marco de auditora y alarmas de seguridad Protocolos X.273 Protocolo de seguridad de la capa de red X.274 Protocolo de seguridad de la capa de transporte Seguridad en la retransmisin de tramas X.272 Compresin de datos y privacidad en las redes con retransmisin de tramas Tcnicas de seguridad X.841 Objetos de informacin de seguridad X.842 Directrices para el uso y gestin de servicios a tercera parte confiable X.843 Especificacin de servicios de tercera parte confiable para soportar la aplicacin de firmas digitales Servicios de directorio y autenticacin X.500 Visin de conjunto de conceptos, modelos y servicios X.501 Modelos X.509 Marco para los certificados de claves pblicas y de atributos X.519 Especificaciones de protocolo Seguridad de gestin de redes M.3010 Principios para una red de gestin de las telecomunicaciones M.3016 Visin general de la seguridad en la red de gestin de las telecomunicaciones M.3210.1 Servicios de gestin de red de gestin de las telecomunicaciones para la seguridad de las IMT-2000 M.3320 Marco de los requisitos de gestin para la interfaz X de la RGT M.3400 Funciones de gestin de la red de gestin de las telecomunicaciones Gestin de sistemas X.733 Funcin sealadora de alarmas X.735 Funcin control de ficheros registro cronolgico X.736 Funcin sealadora de alarmas de seguridad X.740 Funcin de pista de auditora de seguridad X.741 Objetos y atributos para el control de acceso Facsmil T.30 Anexo G Procedimientos para la transmisin segura de documentos por facsmil grupo 3 mediante la utilizacin de los sistemas HKM y HFX T.30 Anexo H Seguridad en facsmil del grupo 3 basada en el algoritmo RSA T.36 Capacidades de seguridad para su utilizacin con terminales facsmil del grupo 3 T.503 Perfil de aplicacin de documento para el intercambio de documentos facsmil del grupo 4 T.563 Caractersticas de terminal para aparatos facsmil del grupo 4 Sistemas de televisin y cable J.91 Mtodos tcnicos para asegurar la privacidad de las transmisiones internacionales de televisin a larga distancia J.93 Requisitos del acceso condicional en la distribucin secundaria de televisin digital por sistemas de televisin por cable J.170 Especificacin de seguridad de IPCablecom Comunicaciones multimedios H.233 Sistemas de confidencialidad para servicios audiovisuales H.234 Sistema de gestin de claves de criptacin y de autenticacin para servicios audiovisuales H.235 Seguridad y criptado para terminales multimedios de la serie H (basados en las Recomendaciones UIT-T H.323 y H.245) H.323 Anexo J Sistemas de comunicacin multimedios basados en paquetes Seguridad para el anexo F/H.323 (Tipos de punto extremo simples) H.350.2 Arquitectura de servicios de directorio para H.235 H.530 Procedimientos de seguridad simtricos para movilidad de sistemas H.323 segn la Recomendacin H.510
a) Descripcin del escenario - Se instala spyware en el sistema informtico de la compaa, lo cual implica el robo de la base de datos de personal de la misma. - Se instala spyware en el sistema informtico de una compaa dedicada al emrketing, lo cual implica el robo de la base de datos de un cliente. b) Normativa afectada Normativa en materia de proteccin de datos: - Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal: - Artculo 9: obligacin del responsable del fichero de aplicar las medidas de seguridad dispuestas en la normativa de desarrollo a los efectos de garantizar la seguridad de los datos de carcter personal; - Artculo 10: deber de secreto del responsable del fichero y de quienes intervengan en el tratamiento de los datos; - Artculo 44.1.e): infraccin leve el incumplir el deber de secreto cuando no sea una infraccin grave; - Artculo 44.3.h): infraccin grave el no aplicar las medidas de seguridad; - Artculo 44.4.b): infraccin muy grave la comunicacin de datos personales salvo en los supuestos en que est permitido); - Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal: deber del responsable del fichero de comunicar las normas a los empleados (Artculos 1 y 9). - Cdigo Penal, Artculo 278 y 279 apoderamiento de secretos de la empresa y divulgacin de los mismos; y 197, relativo al apoderamiento de datos reservados de carcter personal. - Cdigo Penal, Artculo 30 relativo al rgimen de responsabilidad de los delitos y faltas cometidos. - Ley de Sociedades Annimas, Artculo 133 relativo a la Responsabilidad de los administradores. c) Infracciones y Responsabilidades derivadas de las mismas La compaa es responsable de custodiar los datos de carcter personal albergados en sus sistemas y garantizar su seguridad y recae sobre la misma el deber de secreto. - El Artculo 9 de la LOPD establece que es obligacin del responsable del fichero el aplicar las medidas de seguridad dispuestas en la normativa de desarrollo a los efectos de garantizar la seguridad de los datos de carcter personal habida cuenta del estado de la tecnologa. De ello se deduce que la compaa deber protegerse contra la instalacin de spyware mediante la instalacin de programas informticos que se comercialicen para ello. En el supuesto de producirse el robo de datos de carcter personal titularidad de la compaa y su divulgacin, la compaa podra llegar a ser responsable de una infraccin muy grave de la LOPD, con sanciones de hasta 600.000 Euros. - Cabe destacar que el Artculo 45.5 de la LOPD establece la posibilidad de disminuir la cuanta de una sancin por infraccin de la LOPD, siendo aplicable las sanciones de grado inmediatamente menor, en aqullos casos en los que concurra una cualificada disminucin de la culpabilidad del imputado o de la antijuricidad del hecho. En el caso que nos ocupa, en que la compaa
responsable del fichero podra ser sancionada por no haber evitado la divulgacin datos de carcter personal de su titularidad como consecuencia de un ataque de spyware, la instalacin de un programa que detecte y bloquee la instalacin de spyware por parte de la compaa podra implicar la aplicacin, por parte de la Agencia Espaola de Proteccin de Datos, de la citada reduccin de la cuanta de la sancin. Conforme a lo establecido por el Artculo 133 de la Ley de Sociedades Annimas, los administradores respondern frente a la sociedad, frente a los accionistas y los acreedores sociales del dao causado por actos u omisiones o por los actos realizados incumpliendo los deberes inherentes al desempeo de su cargo. En el escenario que nos ocupa, los administradores de la compaa podran responder por una omisin de la proteccin del deber de proteger la informacin confidencial de la compaa y sus activos inmateriales as como de realizar acciones dirigidas al control de los trabajadores. Por lo que se refiere a la posible responsabilidad penal de la compaa, podra ser de aplicacin el artculo 197.2 del Cdigo Penal que establece una pena de prisin de uno a cuatro aos y multa de doce a veinticuatro meses para aquel que se apodere, en perjuicio de tercero, de datos reservados de carcter personal. Dicha pena aumentar de dos a cinco aos si los datos se revelan o difunden, tal y como sucede en el supuesto de hecho analizado en el presente apartado. El Cdigo Penal establece en su Artculo 30 un rgimen especfico en materia de responsabilidad penal para los delitos y faltas cometidos a "utilizando medios o soportes de difusin mecnicos". De acuerdo con este sistema de responsabilidad escalonada, la empresa responder penalmente de forma subsidiaria al autor por la divulgacin de informacin confidencial as como de datos de carcter personal conforme a lo establecido por el Artculo 30 del Cdigo Penal, en el que se establece: 1. Los que realmente hayan redactado el texto o producido el signo de que se trate, y quienes les hayan inducido a realizarlo. 2. Los directores de la publicacin o programa en que se difunda. 3. Los directores de la empresa editora, emisora o difusora. 4. Los directores de la empresa grabadora, reproductora o impresora. De ello se desprende que conviene a la compaa el incorporar los medios necesarios para evitar que dichas situaciones se produzcan a los efectos de estar en condiciones de demostrar que la custodia de documentacin confidencias y datos de carcter personal ha sido realizada con la con la mxima diligencia posible. Por lo que se refiere a la responsabilidad del Responsable de IT en relacin con la instalacin de spyware en los sistemas de la compaa, ste deber en todo caso advertir a la compaa de dicha posibilidad y recomendar la instalacin de medidas tcnicas dirigidas a la deteccin y bloqueo de spyware. En el supuesto que el Responsable de IT no realice de forma diligente sus funciones, podra considerarse que el mismo ha incurrido en el incumplimiento de las instrucciones de la empresa por la falta de realizacin de las tareas asignadas al mismo ya sea por negligencia o de forma dolosa, lo cual facultar al empresario a emprender acciones disciplinarias contra el mismo conforme a lo establecido en la normativa sectorial.
d) Recomendaciones - Incorporar software destinado a bloquear la instalacin de spyware en los sistemas de la compaa a los efectos de intentar minimizar la cuanta de la sancin en aqullos casos de instalacin del mismo y robo de datos de carcter personal responsabilidad de la compaa. - Incorporar, en los sistemas de Websense, un sistema de control de acceso a Webs (control de reenvo de informacin a direcciones IP).
Ley Nmero 527 de 1999 (agosto 18) Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrnico y de las firmas digitales, y se establecen las entidades de certificacin y se dictan otras disposiciones. El Congreso de Colombia DECRETA : PARTE I PARTE GENERAL CAPTULO I Disposiciones Generales Artculo 1. mbito de aplicacin. La presente ley ser aplicable a todo tipo de informacin en forma de mensaje de datos, salvo en los siguientes casos: a) En las obligaciones contradas por el Estado colombiano en virtud de Convenios o Tratados internacionales. b) En las advertencias escritas que por disposicin legal deban ir necesariamente impresas en cierto tipo de productos en razn al riesgo que implica su comercializacin, uso o consumo. Artculo 2. Definiciones. Para los efectos de la presente ley se entender por: a) Mensaje de Datos. La informacin generada, enviada, recibida, almacenada o comunicada por medios electrnicos, pticos o similares, como pudieran ser, entre otros, el Intercambio Electrnico de Datos (EDI), Internet, el correo electrnico, el telegrama, el tlex o el telefax b) Comercio electrnico. Abarca las cuestiones suscitadas por toda relacin de ndole comercial, sea o no contractual, estructurada a partir de la utilizacin de uno o ms mensajes de datos o de cualquier otro medio similar. Las relaciones de ndole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operacin comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribucin; toda operacin de representacin o mandato comercial; todo tipo de operaciones financieras, burstiles y de seguros; de construccin de obras; de consultora; de ingeniera; de concesin de licencias; todo acuerdo de concesin o explotacin de un servicio pblico; de empresa conjunta y otras formas de cooperacin industrial o comercial; de transporte de mercancas o de pasajeros por va area, martima y frrea, o por carretera; c) Firma Digital. Se entender como un valor numrico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemtico conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado despus de efectuada la transformacin; d) Entidad de Certificacin. Es aquella persona que, autorizada conforme a la presente Ley, est facultada para emitir certificados en relacin con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronolgico de la transmisin y recepcin de mensajes de datos, as como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. e) Intercambio Electrnico de Datos (EDI). La transmisin electrnica de datos de una computadora a otra, que est estructurada bajo normas tcnicas convenidas al efecto; f) Sistema de Informacin. Se entender todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos. Artculo 3. Interpretacin. En la interpretacin de la presente ley habrn de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicacin y la observancia de la buena fe.
Las cuestiones relativas a materias que se rijan por la presente ley y que no estn expresamente resueltas en ella, sern dirimidas de conformidad con los principios generales en que ella se inspira. Artculo 4. Modificacin mediante acuerdo. Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envan, reciben, archivan o procesan de alguna otra forma mensajes de datos, las disposiciones del Captulo III, Parte I, podrn ser modificadas mediante acuerdo. Artculo 5. Reconocimiento jurdico de los mensajes de datos. No se negarn efectos jurdicos, validez o fuerza obligatoria a todo tipo de informacin por la sola razn de que est en forma de mensaje de datos. CAPTULO II Aplicacin de los requisitos jurdicos de los mensajes de datos Artculo 6. Escrito. Cuando cualquier norma requiera que la informacin conste por escrito, ese requisito quedar satisfecho con un mensaje de datos, si la informacin que ste contiene es accesible para su posterior consulta. Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una obligacin, como si las normas prevn consecuencias en el caso de que la informacin no conste por escrito. Artculo 7. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relacin con un mensaje de datos, se entender satisfecho dicho requerimiento si: a) Se ha utilizado un mtodo que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobacin. b) Que el mtodo sea tanto confiable como apropiado para el propsito por el cual el mensaje fue generado o comunicado. Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una obligacin, como si las normas simplemente prevn consecuencias en el caso de que no exista una firma. Artculo 8. Original. Cuando cualquier norma requiera que la informacin sea presentada y conservada en su forma original, ese requisito quedar satisfecho con un mensaje de datos, si: a) Existe alguna garanta confiable de que se ha conservado la integridad de la informacin, a partir del momento en que se gener por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma; b) De requerirse que la informacin sea presentada, si dicha informacin puede ser mostrada a la persona que se deba presentar. Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una obligacin, como si las normas simplemente prevn consecuencias en el caso de que la informacin no sea presentada o conservada en su forma original. Artculo 9. Integridad de un mensaje de datos. Para efectos del artculo anterior, se considerar que la informacin consignada en un mensaje de datos es ntegra, si sta ha permanecido completa e inalterada, salvo la adicin de algn endoso o de algn cambio que sea inherente al proceso de comunicacin, archivo o presentacin. El grado de confiabilidad requerido, ser determinado a la luz de los fines para los que se gener la informacin y de todas las circunstancias relevantes del caso. Artculo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos sern admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Captulo VIII del Ttulo XIII, Seccin Tercera, Libro Segundo del Cdigo de Procedimiento Civil.
En toda actuacin administrativa o judicial, no se negar eficacia, validez o fuerza obligatoria y probatoria a todo tipo de informacin en forma de un mensaje de datos, por el slo hecho que se trate de un mensaje de datos o en razn de no haber sido presentado en su forma original. Artculo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoracin de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems criterios reconocidos legalmente para la apreciacin de las pruebas. Por consiguiente habrn de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la informacin, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente. Artculo 12. Conservacin de los mensajes de datos y documentos. Cuando la Ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedar satisfecho, siempre que se cumplan las siguientes condiciones: 1. Que la informacin que contengan sea accesible para su posterior consulta; 2. Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o recibido o en algn formato que permita demostrar que reproduce con exactitud la informacin generada, enviada o recibida, y 3. Que se conserve, de haber alguna, toda informacin que permita determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento. No estar sujeta a la obligacin de conservacin, la informacin que tenga por nica finalidad facilitar el envo o recepcin de los mensajes de datos. Los libros y papeles del comerciante podrn ser conservados en cualquier medio tcnico que garantice su reproduccin exacta. Artculo 13. Conservacin de mensajes de datos y archivo de documentos a travs de terceros. El cumplimiento de la obligacin de conservar documentos, registros o informaciones en mensajes de datos, se podr realizar directamente o a travs de terceros, siempre y cuando se cumplan las condiciones enunciadas en el artculo anterior. CAPTULO III Comunicacin de los mensajes de datos Artculo 14. Formacin y validez de los contratos. En la formacin del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptacin podrn ser expresadas por medio de un mensaje de datos. No se negar validez o fuerza obligatoria a un contrato por la sola razn de haberse utilizado en su formacin uno o ms mensajes de datos. Artculo 15. Reconocimiento de los mensajes de datos por las partes. En las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negarn efectos jurdicos, validez o fuerza obligatoria a una manifestacin de voluntad u otra declaracin por la sola razn de haberse hecho en forma de mensaje de datos. Artculo 16. Atribucin de un mensaje de datos.- Se entender que un mensaje de datos proviene del iniciador, cuando ste ha sido enviado por: El propio iniciador. Por alguna persona facultada para actuar en nombre del iniciador respecto de ese mensaje, o 3. Por un sistema de informacin programado por el iniciador o en su nombre para que opere automticamente. Artculo 17. Presuncin del origen de un mensaje de datos. Se presume que un mensaje de datos ha sido enviado por el iniciador, cuando:
1. Haya aplicado en forma adecuada el procedimiento acordado previamente con el iniciador, para establecer que el mensaje de datos provena efectivamente de ste, o 2. El mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relacin con el iniciador, o con algn mandatario suyo, le haya dado acceso a algn mtodo utilizado por el iniciador para identificar un mensaje de datos como propio. Artculo 18. Concordancia del mensaje de datos enviado con el mensaje de datos recibido. Siempre que un mensaje de datos provenga del iniciador o que se entienda que proviene de l, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las relaciones entre el iniciador y el destinatario, ste ltimo tendr derecho a considerar que el mensaje de datos recibido corresponde al que quera enviar el iniciador, y podr proceder en consecuencia. El destinatario no gozar de este derecho si saba o hubiera sabido, de haber actuado con la debida diligencia o de haber aplicado algn mtodo convenido, que la transmisin haba dado lugar a un error en el mensaje de datos recibido. Artculo 19. Mensajes de datos duplicados. Se presume que cada mensaje de datos recibido es un mensaje de datos diferente, salvo en la medida en que duplique otro mensaje de datos, y que el destinatario sepa, o debiera saber, de haber actuado con la debida diligencia o de haber aplicado algn mtodo convenido, que el nuevo mensaje de datos era un duplicado. Artculo 20. Acuse de recibo. Si al enviar o antes de enviar un mensaje de datos, el iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos, pero no se ha acordado entre stos una forma o mtodo determinado para efectuarlo, se podr acusar recibo mediante: a) Toda comunicacin del destinatario, automatizada o no, o b) Todo acto del destinatario que baste para indicar al iniciador que se ha recibido el mensaje de datos. Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje de datos, y expresamente aqul ha indicado que los efectos del mensaje de datos estarn condicionados a la recepcin de un acuse de recibo, se considerar que el mensaje de datos no ha sido enviado en tanto que no se haya recepcionado el acuse de recibo. Artculo 21. Presuncin de recepcin de un mensaje de datos. Cuando el iniciador recepcione acuse recibo del destinatario, se presumir que ste ha recibido el mensaje de datos. Esa presuncin no implicar que el mensaje de datos corresponda al mensaje recibido. Cuando en el acuse de recibo se indique que el mensaje de datos recepcionado cumple con los requisitos tcnicos convenidos o enunciados en alguna norma tcnica aplicable, se presumir que ello es as. Artculo 22. Efectos jurdicos. Los artculos 20 y 21 nicamente rigen los efectos relacionados con el acuse de recibo. Las consecuencias jurdicas del mensaje de datos se regirn conforme a las normas aplicables al acto o negocio jurdico contenido en dicho mensaje de datos. Artculo 23. Tiempo del envo de un mensaje de datos. De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendr por expedido cuando ingrese en un sistema de informacin que no est bajo control del iniciador o de la persona que envi el mensaje de datos en nombre de ste. Artculo 24. Tiempo de la recepcin de un mensaje de datos. De no convenir otra cosa el iniciador y el destinatario, el momento de la recepcin de un mensaje de datos se determinar como sigue: a. Si el destinatario ha designado un sistema de informacin para la recepcin de mensaje de datos, la recepcin tendr lugar: 1. En el momento en que ingrese el mensaje de datos en el sistema de informacin designado; o 2. De enviarse el mensaje de datos a un sistema de informacin del destinatario que no sea el sistema de informacin designado, en el momento en que el destinatario recupere el mensaje de datos; b. Si el destinatario no ha designado un sistema de informacin, la recepcin tendr lugar cuando el
mensaje de datos ingrese a un sistema de informacin del destinatario. Lo dispuesto en este artculo ser aplicable aun cuando el sistema de informacin est ubicado en lugar distinto de donde se tenga por recibido el mensaje de datos conforme al artculo siguiente. Artculo 25. Lugar del envo y recepcin del mensaje de datos. De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendr por expedido en el lugar donde el iniciador tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente artculo: Si el iniciador o destinatario tienen ms de un establecimiento, su establecimiento ser el que guarde una relacin ms estrecha con la operacin subyacente o, de no haber una operacin subyacente, su establecimiento principal. Si el iniciador o el destinatario no tienen establecimiento, se tendr en cuenta su lugar de residencia habitual. PARTE II COMERCIO ELECTRNICO EN MATERIA DE TRANSPORTE DE MERCANCAS Artculo 26. Actos relacionados con los contratos de transporte de mercancas. Sin perjuicio de lo dispuesto en la parte I de la presente ley, este captulo ser aplicable a cualquiera de los siguientes actos que guarde relacin con un contrato de transporte de mercancas, o con su cumplimiento, sin que la lista sea taxativa: Indicacin de las marcas, el nmero, la cantidad o el peso de las mercancas. Declaracin de la naturaleza o valor de las mercancas. Emisin de un recibo por las mercancas. Confirmacin de haberse completado el embarque de las mercancas. Notificacin a alguna persona de las clusulas y condiciones del contrato. Comunicacin de instrucciones al transportador. Reclamacin de la entrega de las mercancas. Autorizacin para proceder a la entrega de las mercancas. Notificacin de la prdida de las mercancas o de los daos que hayan sufrido; Cualquier otra notificacin o declaracin relativas al cumplimiento del contrato; Promesa de hacer entrega de las mercancas a la persona designada o a una persona autorizada para reclamar esa entrega; Concesin, adquisicin, renuncia, restitucin, transferencia o negociacin de algn derecho sobre mercancas; Adquisicin o transferencia de derechos y obligaciones con arreglo al contrato. Artculo 27. Documentos de transporte. Con sujecin a lo dispuesto en el inciso tercero (3) del presente artculo, en los casos en que la ley requiera que alguno de los actos enunciados en el artculo 26 se lleve a cabo por escrito o mediante documento emitido en papel, ese requisito quedar satisfecho cuando el acto se lleve a cabo por medio de uno o ms mensajes de datos. El inciso anterior ser aplicable, tanto si el requisito en l previsto est expresado en forma de obligacin o si la ley simplemente prev consecuencias en el caso de que no se lleve a cabo el acto por escrito o
mediante un documento emitido en papel. Cuando se conceda algn derecho a una persona determinada y a ninguna otra, o sta adquiera alguna obligacin, y la ley requiera que, para que ese acto surta efecto, el derecho o la obligacin hayan de transferirse a esa persona mediante el envo o utilizacin de un documento emitido en papel, ese requisito quedar satisfecho si el derecho o la obligacin se transfiere mediante la utilizacin de uno o ms mensajes de datos, siempre que se emplee un mtodo confiable para garantizar la singularidad de ese mensaje o esos mensajes de datos. Para los fines del inciso tercero, el nivel de confiabilidad requerido ser determinado a la luz de los fines para los que se transfiri el derecho o la obligacin y de todas las circunstancias del caso, incluido cualquier acuerdo pertinente. Cuando se utilicen uno o ms mensajes de datos para llevar a cabo alguno de los actos enunciados en los incisos f) y g) del artculo 26, no ser vlido ningn documento emitido en papel para llevar a cabo cualquiera de esos actos, a menos que se haya puesto fin al uso de mensajes de datos para sustituirlo por el de documentos emitidos en papel. Todo documento con soporte en papel que se emita en esas circunstancias deber contener una declaracin en tal sentido. La sustitucin de mensajes de datos por documentos emitidos en papel no afectar los derechos ni las obligaciones de las partes. Cuando se aplique obligatoriamente una norma jurdica a un contrato de transporte de mercancas que est consignado, o del que se haya dejado constancia en un documento emitido en papel, esa norma no dejar de aplicarse a dicho contrato de transporte de mercancas del que se haya dejado constancia en uno o ms mensajes de datos por razn de que el contrato conste en ese mensaje o esos mensajes de datos en lugar de constar en documentos emitidos en papel.
PARTE III FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIN CAPTULO I Firmas digitales Artculo 28. Atributos jurdicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tena la intencin de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo. Pargrafo. El uso de una firma digital tendr la misma fuerza y efectos que el uso de una firma manuscrita, si aqulla incorpora los siguientes atributos: Es nica a la persona que la usa. Es susceptible de ser verificada. Est bajo el control exclusivo de la persona que la usa. Est ligada a la informacin o mensaje, de tal manera que si stos son cambiados, la firma digital es invalidada. Est conforme a las reglamentaciones adoptadas por el Gobierno Nacional. CAPTULO II Entidades de certificacin Artculo 29. Caractersticas y requerimientos de las entidades de certificacin. Podrn ser entidades de certificacin, las personas jurdicas, tanto pblicas como privadas, de origen nacional o extranjero y las cmaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las
siguientes condiciones: a) Contar con la capacidad econmica y financiera suficiente para prestar los servicios autorizados como entidad de certificacin. b) Contar con la capacidad y elementos tcnicos necesarios para la generacin de firmas digitales, la emisin de certificados sobre la autenticidad de las mismas y la conservacin de mensajes de datos en los trminos establecidos en esta ley. c) Los representantes legales y administradores no podrn ser personas que hayan sido condenadas a pena privativa de la libertad, excepto por delitos polticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesin por falta grave contra la tica o hayan sido excluidas de aqulla. Esta inhabilidad estar vigente por el mismo perodo que la ley penal o administrativa seale para el efecto. Artculo 30. Actividades de las entidades de certificacin. Las entidades de certificacin autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el pas, podrn realizar, entre otras, las siguientes actividades: 1. Emitir certificados en relacin con las firmas digitales de personas naturales o jurdicas. 2. Emitir certificados sobre la verificacin respecto de la alteracin entre el envo y recepcin del mensaje de datos. 3. Emitir certificados en relacin con la persona que posea un derecho u obligacin con respecto a los documentos enunciados en los literales f) y g) del artculo 26 de la presente Ley. 4. Ofrecer o facilitar los servicios de creacin de firmas digitales certificadas. 5. Ofrecer o facilitar los servicios de registro y estampado cronolgico en la generacin, transmisin y recepcin de mensajes de datos. 6. Ofrecer los servicios de archivo y conservacin de mensajes de datos. Artculo 31. Remuneracin por la prestacin de servicios. La remuneracin por los servicios de las entidades de certificacin sern establecidos libremente por stas. Artculo 32. Deberes de las entidades de certificacin. Las entidades de certificacin tendrn, entre otros, los siguientes deberes: a) Emitir certificados conforme a lo solicitado o acordado con el suscriptor; b) Implementar los sistemas de seguridad para garantizar la emisin y creacin de firmas digitales, la conservacin y archivo de certificados y documentos en soporte de mensaje de datos; c) Garantizar la proteccin, confidencialidad y debido uso de la informacin suministrada por el suscriptor; d) Garantizar la prestacin permanente del servicio de entidad de certificacin; e) Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores; f) Efectuar los avisos y publicaciones conforme a lo dispuesto en la ley; g) Suministrar la informacin que le requieran las entidades administrativas competentes o judiciales en relacin con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administracin; h) Permitir y facilitar la realizacin de las auditoras por parte de la Superintendencia de Industria y Comercio; i) Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de prestacin del servicio; j) Llevar un registro de los certificados. Artculo 33. Terminacin unilateral. Salvo acuerdo entre las partes, la entidad de certificacin podr dar por terminado el acuerdo de vinculacin con el suscriptor dando un preaviso no menor de noventa (90) das. Vencido este trmino, la entidad de certificacin revocar los certificados que se encuentren pendientes de expiracin. Igualmente, el suscriptor podr dar por terminado el acuerdo de vinculacin con la entidad de certificacin dando un preaviso no inferior a treinta (30) das. Artculo 34. Cesacin de actividades por parte de las entidades de certificacin. Las entidades de
certificacin autorizadas pueden cesar en el ejercicio de actividades, siempre y cuando hayan recibido autorizacin por parte de la Superintendencia de Industria y Comercio. CAPTULO III Certificados Artculo 35. Contenido de los certificados. Un certificado emitido por una entidad de certificacin autorizada, adems de estar firmado digitalmente por sta, debe contener por lo menos lo siguiente: 1. Nombre, direccin y domicilio del suscriptor. 2. Identificacin del suscriptor nombrado en el certificado. 3. El nombre, la direccin y el lugar donde realiza actividades la entidad de certificacin. 4. La clave pblica del usuario. 5. La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje de datos. 6. El nmero de serie del certificado. 7. Fecha de emisin y expiracin del certificado. Artculo 36. Aceptacin de un certificado. Salvo acuerdo entre las partes, se entiende que un suscriptor ha aceptado un certificado cuando la entidad de certificacin, a solicitud de ste o de una persona en nombre de ste, lo ha guardado en un repositorio. Artculo 37. Revocacin de certificados. El suscriptor de una firma digital certificada, podr solicitar a la entidad de certificacin que expidi un certificado, la revocacin del mismo. En todo caso, estar obligado a solicitar la revocacin en los siguientes eventos: 1. Por prdida de la clave privada. 2. La clave privada ha sido expuesta o corre peligro de que se le d un uso indebido. Si el suscriptor no solicita la revocacin del certificado en el evento de presentarse las anteriores situaciones, ser responsable por las prdidas o perjuicios en los cuales incurran terceros de buena fe exenta de culpa que confiaron en el contenido del certificado. Una entidad de certificacin revocar un certificado emitido por las siguientes razones: 1. A peticin del suscriptor o un tercero en su nombre y representacin. 2. Por muerte del suscriptor. 3. Por liquidacin del suscriptor en el caso de las personas jurdicas. 4. Por la confirmacin de que alguna informacin o hecho contenido en el certificado es falso. 5. La clave privada de la entidad de certificacin o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado. 6. Por el cese de actividades de la entidad de certificacin, y 7. Por orden judicial o de entidad administrativa competente. Artculo 38. Trmino de conservacin de los registros. Los registros de certificados expedidos por una entidad de certificacin deben ser conservados por el trmino exigido en la ley que regule el acto o negocio jurdico en particular. CAPTULO IV Suscriptores de firmas digitales Artculo 39. Deberes de los suscriptores. Son deberes de los suscriptores: 1. Recibir la firma digital por parte de la entidad de certificacin o generarla, utilizando un mtodo autorizado por sta. 2. Suministrar la informacin que requiera la entidad de certificacin. 3. Mantener el control de la firma digital. 4. Solicitar oportunamente la revocacin de los certificados. Artculo 40. Responsabilidad de los suscriptores. Los suscriptores sern responsables por la falsedad,
error u omisin en la informacin suministrada a la entidad de certificacin y por el incumplimiento de sus deberes como suscriptor. CAPTULO V Superintendencia de Industria y Comercio Artculo 41. Funciones de la Superintendencia. La Superintendencia de Industria y Comercio ejercer las facultades que legalmente le han sido asignadas respecto de las entidades de certificacin, y adicionalmente tendr las siguientes funciones: 1. Autorizar la actividad de las entidades de certificacin en el territorio nacional. 2. Velar por el funcionamiento y la eficiente prestacin del servicio por parte de las entidades de certificacin. 3. Realizar visitas de auditora a las entidades de certificacin. 4. Revocar o suspender la autorizacin para operar como entidad de certificacin. 5. Solicitar la informacin pertinente para el ejercicio de sus funciones. 6. Imponer sanciones a las entidades de certificacin en caso de incumplimiento de las obligaciones derivadas de la prestacin del servicio. 7. Ordenar la revocacin de certificados cuando la entidad de certificacin los emita sin el cumplimiento de las formalidades legales. 8. Designar los repositorios y entidades de certificacin en los eventos previstos en la ley. 9. Emitir certificados en relacin con las firmas digitales de las entidades de certificacin. 10. Velar por la observancia de las disposiciones constitucionales y legales sobre la promocin de la competencia y prcticas comerciales restrictivas, competencia desleal y proteccin del consumidor, en los mercados atendidos por las entidades de certificacin. 11. Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificacin. Artculo 42. Sanciones. La Superintendencia de Industria y Comercio de acuerdo con el debido proceso y el derecho de defensa, podr imponer segn la naturaleza y la gravedad de la falta, las siguientes sanciones a las entidades de certificacin: 1) Amonestacin. 2) Multas institucionales hasta por el equivalente a dos mil (2.000) salarios mnimos legales mensuales vigentes, y personales a los administradores y representantes legales de las entidades de certificacin, hasta por trescientos (300) salarios mnimos legales mensuales vigentes, cuando se les compruebe que han autorizado, ejecutado o tolerado conductas violatorias de la ley. 3) Suspender de inmediato todas o algunas de las actividades de la entidad infractora. 4) Prohibir a la entidad de certificacin infractora prestar directa o indirectamente los servicios de entidad de certificacin hasta por el trmino de cinco (5) aos. 5) Revocar definitivamente la autorizacin para operar como entidad de certificacin. CAPTULO VI Disposiciones varias Artculo 43. Certificaciones recprocas. Los certificados de firmas digitales emitidos por entidades de certificacin extranjeras, podrn ser reconocidos en los mismos trminos y condiciones exigidos en la ley para la emisin de certificados por parte de las entidades de certificacin nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de certificacin autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, as como su validez y vigencia. Artculo 44. Incorporacin por remisin. Salvo acuerdo en contrario entre las partes, cuando en un mensaje de datos se haga remisin total o parcial a directrices, normas, estndares, acuerdos, clusulas, condiciones o trminos fcilmente accesibles con la intencin de incorporarlos como parte del contenido o hacerlos vinculantes jurdicamente, se presume que esos trminos estn incorporados por remisin a ese mensaje de datos. Entre las partes y conforme a la ley, esos trminos sern jurdicamente vlidos como si hubieran sido incorporados en su totalidad en el mensaje de datos.
PARTE IV REGLAMENTACIN Y VIGENCIA Artculo 45. La Superintendencia de Industria y Comercio contar con un trmino adicional de doce (12) meses, contados a partir de la publicacin de la presente ley, para organizar y asignar a una de sus dependencias la funcin de inspeccin, control y vigilancia de las actividades realizadas por las entidades de certificacin, sin perjuicio de que el Gobierno Nacional cree una unidad especializada dentro de ella para tal efecto. Artculo 46. Prevalencia de las leyes de proteccin al consumidor. La presente Ley se aplicar sin perjuicio de las normas vigentes en materia de proteccin al consumidor. Artculo 47. Vigencia y Derogatorias. La presente ley rige desde la fecha de su publicacin y deroga las disposiciones que le sean contrarias.
DOMINIOS DE SEGURIDAD 1. Dominio de polticas de seguridad 1.1 Poltica de seguridad de informacin 1.1.1 Documentar poltica de seguridad de informacin 1.1.2 Revisin de la poltica de seguridad de la informacin 2 La organizacin de seguridad de la informacin 2.1 Organizacin interna 2.1.1 Compromiso de la gerencia con la seguridad de la informacin 2.1.2 Coordinacin de la seguridad de informacin 2.1.3 Asignacin de responsabilidad desde la seguridad de la informacin 2.1.4 Proceso de autorizacin para los medios de procesamiento informacin 2.1.5 Acuerdos de confidencialidad 2.1.6 Contacto con autoridades 2.1.7 Contacto con grupos de inters especial 2.1.8 Revisin independiente de la seguridad de la informacin 2.2 Entidades externas 2.2.1 Identificacin de riesgos relacionados con entidades externas 2.2.2 Tratamiento de la cuando seguridad se trabaja con clientes 2.2.3 Tratamiento de la seguridad en contratos con terceras personas 3 Gestin de Activos 3.1 Responsabilidad por los activos 3.1.1 Inventarios de activos 3.1.2 Propiedad de los activos 3.1.3 Uso aceptable de los activos 3.2 Clasificacin de la informacin 3.2.1 Lineamientos de clasificacin 3.2.2 Etiquetado y manejo de la informacin 4 Seguridad de los recursos humanos 4.1 Antes del empleo 4.1.1 Roles y responsabilidades 4.1.2 Seleccin 4.1.3 Trminos y condiciones de empleo 4.2 Durante el empleo 4.2.1 Gestin de responsabilidades 4.2.2 Capacitacin y educacin en seguridad de la informacin 4.2.3 Proceso disciplinario 4.3 Terminacin o cambio del empleo 4.3.1 Responsabilidad desde terminacin 4.3.2 Devolucin de activos 4.3.3 Eliminacin de derechos de acceso 5 Seguridad fsica y ambiental 5.1 reas seguras 5.1.1 Permetro de seguridad fsica
de
5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7
Controles de entrada fsicos Seguridad de oficinas, habitaciones y medios Proteccin contra amenazas externas y ambientales Trabajo en reas seguras reas de acceso pblico, entrega y carga Seguridad del equipo Ubicacin y proteccin del equipo Servicios pblicos Seguridad en el cableado Mantenimiento de equipo Seguridad del equipo fuera del local Eliminacin seguro o reuso del equipo Traslado de Propiedad
6 Gestin de las comunicaciones y operaciones Los procesos de la empresa y la parte operacional de la misma Red interna y externa, tiene comunicacin con entes internos. 6.1.1 Procedimientos y responsabilidades operacionales 6.1.2 Procedimientos de operacin documentados 6.1.3 Gestin de cambio 6.1.4 Segregacin de deberes 6.1.5 Separacin de los medios de desarrollo y operacionales 6.2 Gestin de la entrega del servicio de terceros 6.2.1 Entrega del servicio 6.2.2 Monitoreo y revisin de los servicios de terceros 6.2.3 Manejar los cambios en los servicios de terceros 6.3 Planeacin y aceptacin del sistema 6.3.1 Gestin de capacidad 6.3.2 Aceptacin del sistema 6.4 Proteccin contra software malicioso y cdigo mvil 6.4.1 Controles contra software malicioso 6.4.2 Controles contra cdigos mviles Respaldo (back-up) 6.5 6.5.1 Back-up o respaldo de la informacin 6.6 Gestin de seguridad de redes 6.6.1 Controles de red 6.6.2 Seguridad de los servicios de red 6.7 Gestin de medios 6.7.1 Gestin de los medios removibles 6.7.2 Eliminacin de medios 6.7.3 Procedimientos de manejo de la informacin 6.7.4 Seguridad de documentacin del sistema 6.8 Intercambio de informacin 6.8.1 Procedimientos y polticas de informacin y software 6.8.2 Acuerdos de intercambio 6.8.3 Medios fsicos en trnsito 6.8.4 Mensajes electrnicos 6.8.5 Sistemas de informacin comercial 6.9 Servicios de comercio electrnico Pgina 2 de 5
6.9.1 Comercio electrnico 6.9.2 Transacciones en lnea 6.9.3 Informacin 6.10 Monitoreo 6.10.1 Registro de auditoria 6.10.2 Proteccin de la informacin del registro 6.10.3 Registros del administrador y operador 6.10.4 Registro de fallas 6.10.5 Sincronizacin de relojes 6.11 Uso del sistema de monitoreo 7 Controles de acceso 7.1 Requerimiento comercial para el control del acceso. 7.1.1 Poltica de control de acceso 7.1.2 Gestin del acceso del usuario 7.1.3 Inscripcin del usuario 7.1.4 Gestin de privilegios 7.1.5 Gestin de la clave del usuario 7.1.6 Revisin de los derechos de acceso del usuario 7.2 Responsabilidades del usuario 7.2.1 Uso de clave 7.2.2 Equipo de usuario desatendido 7.2.3 Poltica de pantalla y escritorio limpio 7.3 Control de acceso a redes 7.3.1 Poltica sobre el uso de servicios en red 7.3.2 Autenticacin del usuario para conexiones externas 7.3.3 Identificacin del equipo en red 7.3.4 Proteccin del puerto de diagnstico remoto 7.3.5 Segregacin en redes 7.3.6 Control de conexin de redes 7.3.7 Control de routing de redes Control de acceso al sistema de operacin 7.4 7.4.1 Procedimientos de registro en el terminal 7.4.2 Identificacin y autenticacin del usuario 7.4.3 Sistema de gestin de claves 7.4.4 Uso de utilidades del sistema 7.4.5 Sesin inactiva 7.4.6 Limitacin de tiempo de conexin 7.5 Control de acceso a la aplicacin e informacin 7.5.1 Restriccin al acceso a la informacin 7.5.2 Aislamiento del sistema sensible 7.6 Computacin mvil y tele-trabajo 7.6.1 Computacin mvil y comunicaciones 7.6.2 Tele-trabajo 8 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. 8.1 Requerimientos de seguridad de los sistemas informacin. 8.1.1 Anlisis y especificacin delos requerimientos de seguridad Pgina 3 de 5
8.2 8.2.1 8.2.2 8.2.3 8.2.4 8.3 8.3.1 8.3.2 8.4 8.4.1 8.4.2 8.4.3 8.5 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.6 8.6.1
Procesamiento aplicaciones.
correcto
en
las
aplicaciones
informacin
en
las
Validacin de data de Insumo Control de procesamiento interno Integridad del mensaje Validacin de data de output Controles criptogrficos Poltica sobre el uso de controles criptogrficos Gestin clave Seguridad de los archivos del sistema Control de software operacional Proteccin de la data de prueba del sistema Control de acceso al cdigo fuente del programa Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambio Revisin tcnica de las aplicaciones despus de cambios en el sistema operativo Restricciones sobre los cambios en los paquetes de software Filtracin de informacin Desarrollo de outsourced software Gestin de vulnerabilidad tcnica Control de vulnerabilidades tcnicas
9 Gestin de incidentes en la seguridad de la informacin 9.1 Responsabilidades y procedimientos 9.2 Aprendizaje de los incidentes en la seguridad de la informacin 9.3 Recoleccin de evidencia 10 Gestin de la continuidad comercial 10.1 Incluir seguridad de la informacin en el proceso de gestin de continuidad comercial 10.2 Continuidad comercial y evaluacin del riesgo 10.3 Desarrollar e implementar planes de continuidad incluyendo seguridad de la informacin 10.4 Marco referencial para la planeacin de la continuidad comercial 10.5 Prueba, mantenimiento y re-evaluacin de planes de continuidad comerciales 11 Cumplimiento requerimientos legales 11.1 Identificacin de legislacin aplicable 11.1.1 Derechos de propiedad intelectual (IPR 11.1.2 Proteccin los registros organizacionales 11.1.3 Proteccin de data y privacidad de informacin personal 11.1.4 Prevencin de mal uso de medios de procesamiento de informacin 11.1.5 Regulacin de controles criptogrficos 11.2 Cumplimiento con las polticas y estndares de seguridad, y el cumplimiento tcnico Pgina 4 de 5
11.2.1 Cumplimiento con las polticas y estndares de seguridad 11.2.2 Chequeo de cumplimiento tcnico 11.3 Consideraciones de auditoria de los sistemas de informacin 11.3.1 Controles de auditoria de sistemas de informacin 11.3.2 Proteccin de las herramientas de auditoria de los sistemas de informacin
Pgina 5 de 5
SEGURIDADENREDES
SENA
TALLERFIREWALLSONICWALL
TALLERPORMEDIODELCUALSEREALIZA ELAPRENDIZAJEDEFIREWALLSONICWALL
Andrea Barrera Edgar Molina Carlos Rentera Luis Cceres Ana Cesar Rafael Castro Viviana Sanchez
SERVICIO NACIONAL DE APRENDIZAJE SENA SEGURIDAD EN REDES


Mdulo 1: Fundamentos de seguridad en redes Bogot D.C. 2009
TALLERDEFIREWALL SeguridadEnredes REDLOGICA(INTERFACES,ZONASYDIRECCIONESIP) REDLOGICA(INTERFACES,ZONASYDIRECCIONESIP)

WAN
RED1 RED2 RED4
WAN WAN LAN

200.31.3.2 RED3
LAN
RED5
TALLERDEFIREWALL SeguridadenRedes
REDLOGICA(INTERFACES,ZONASYDIRECCIONESIP)
TALLERDEFIREWALL SeguridadEnredes CONFIGURACIONDELFIREWALLSONICWALL

CONFIGURACIONDELFIREWALLSONICWALL
1. COLOCANDOELRELOJLAZONA

PANELDECONTROLDELSONICWALL
CONFIGURACIONFIREWALL
CONEXINENLARED
CONFIGURACIONDELFIREWALL
10
11
12
13
INDICE
Caractersticas de la red Multiandina de Colombia Ltda. de Colombia IP vlidas para 6 host Topologa de red Matriz de Hardware Matriz de aplicaciones en produccin Matriz de otros dispositivos Vulnerabilidades, amenazas y riesgos Tabla de Incidentes y Grfico Conclusiones y recomendaciones Bibliografa
Caractersticas de la red Multiandina de Colombia Ltda. de Colombia La empresa cuenta con un Router Cisco de Frontera para conectividad con internet para comunicacin de los clientes internos y externos. A este router van conectados los siguientes servidores utilizando la topologa de estrella:
Servidor Windows 2000 Server que se utiliza como Servidor de autenticacin Servidor Web para conectividad de clientes externos Servidor Base de Datos ORACLE para la conectividad de los clientes, el sistema de facturacin y el software de cartera de la empresa El Proxi Server para conectividad de clientes externos Cortafuego Firewall para conexiones internas y externas con Regla ANY ANY 30 Estaciones de trabajo Bogota 40 Estaciones de trabajo Cali Servidor de Correo Electrnico que es utilizado por el Departamento de Recursos Humanos
IP vlidas para 6 host

Servidor Servidor de Aplicaciones Servidor Web Servidor de Base de Datos ORACLE Servidor Windows 2000 Server - Autenticacin Servidor de Correo Electrnico Servidor de Aplicaciones Proxi Server Router Estaciones Bogota Estaciones Cali ID DE RED HOST VALIDOS BROADCAST
La Tabla detalla el tipo de atacante, las herramientas utilizadas, en que fase se realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajara enormemente. Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por s mismos las deficiencias detectadas. A esto hay que aadir las nuevas herramientas de seguridad disponibles en el mercado.
Cmo defenderse de estos Ataques? La mayora de los ataques mencionados se basan en fallos de diseo inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solucin inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes: 1. Mantener las mquinas actualizadas y seguras fsicamente 2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). 3. Aunque una mquina no contenga informacin valiosa, hay que tener en cuenta que puede resultar til para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera direccin. 4. No permitir el trfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf. 5. Filtrar el trfico IP Spoof. 6. Auditorias de seguridad y sistemas de deteccin. 7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de informacin. 8. Por ltimo, pero quizs lo ms importante, la capacitacin contina del usuario.
Riesgos Una falta de control adecuado de dichas amenazas, puede tener consecuencias enormemente negativas para las empresas y sus rganos directivos: Riesgos para la empresa Perjuicios derivados de los daos o inutilizacin de los sistemas de informacin Prdida de reputacin y efectos negativos para la imagen de la empresa Riesgo de insolvencia
Riesgos para los administradores Responsabilidad civil frente a la empresa, sus accionistas o frente a terceros en caso de falta de diligencia en la proteccin de los sistemas informticos como activo de la empresa. Posible responsabilidad penal directa en algunos casos Riesgo para el Director de Sistemas de Informacin Posible despido en caso de falta de ejercicio diligente de sus funciones Posibles responsabilidades civiles y penales en algunos casos Conclusiones Constituyendo los sistemas de informacin un elemento clave para el xito empresarial, se hace necesario disponer de sistemas de proteccin adecuados frente a sus amenazas internas y externas, con el fin de asegurar su adecuado uso, as como para reducir y evitar posibles responsabilidades laborales, civiles y penales.
Conclusiones y Recomendaciones La seguridad hoy en da se ha convertido en la carta de navegacin para el tema de la inversin en tecnologa, debemos considerar aspectos relacionados con la gestin de la seguridad, con el fin de que esta inversin este alineada plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad, por esta y muchas ms razones la empresa Multiandina de Colombia Ltda. de Colombia debera implementar un programa de riesgos de alto impacto para mitigar las amenazas a todo nivel y poder subsanar todas las falencias con las que cuenta en este momento. Las polticas que debe considerar a futuro deben ir de la mano de la capacitacin del personal tanto en la sede de Bogot como en la sede de Cali, con el fin de tomar decisiones de choque que causen impresin y sean relevantes en el corto plazo. Para esto es necesario considerar las siguientes recomendaciones con el propsito de mejorar la calidad del servicio dentro y fuera de la empresa y la eficiencia en la informacin. La organizacin como ente empresarial Roles y Responsabilidades de Seguridad de la Informacin Polticas para la conexin con terceros. Clasificacin de la informacin Importancia de la informacin segn la organizacin. Seguridad en el recurso humano Responsabilidades de seguridad de la informacin para los diferentes cargos. Capacitacin en seguridad de la informacin como parte de su proceso de induccin y mejoramiento continuo. Administracin de las operaciones de cmputo y comunicaciones. Polticas sobre el uso del correo electrnico Polticas sobre el uso de Internet. Polticas sobre el uso de recursos.
Bibliografa METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP SISTESEG Bogot, Colombia SERVICIOS EN SEGURIDAD DE LA SERVICIOS EN SEGURIDAD DE LA INFORMACIN. Autor: Ing: Rodrigo Ferrer V. CISSP CISA BS ( British Standard) lead Auditor 27001 POLTICAS Y PROCEDIMIENTOS EN LA SEGURIDAD DE LA INFORMACIN Vctor Cappuccio Versin 1 ESTNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion Objetivos de control y controles 2005 - 10 - 15
CONFIGURACIONROUTERCISCO BORRARLACONFIGURACIONACTUAL Router#enable Router#erasestart Router#conformOK ENTRARALMODOPRIVILEGIADOPARAMODIFICARCONFIGURACION Router#enable Router#configter CONFIGURARELNOMBREDELHOST Router#hostnameRouter CONFIGURARELPASSWORD Router#lineconsole0 Router#passwordCISCO Router#login Router#exitoctrl+z Router#enablesecretclass Router#exitoctrl+z CONFIGURARMENSAJEDEBIENVENIDA Router#configter Router(config)#bannermotd"BienvenidoalrouterRouter# CONFIGURARELPASSWORDPARATELNET Router(config)#linevty04 Router(configline)#passwordCISCO Router(configline)#login Router(configline)#exitoctrl+z CONFIGURACIONDEINTERFACESERIAL Router(config)#INTERFACESERIAL0/0/1 Router(configif)#IPADDRESS200.31.2.2255.255.255.252 Router(configif)#NOSHUTDOWN Router(configif)#^Z CONFIGURARINTERFACEETHERNETHACIAELCOMPUTADOR Router(config)#INTERFACEFASTETHERNET0/1 Router(configif)#IPADDRESS200.31.2.2255.255.255.252 Router(configif)#NOSHUTDOWN Router(configif)#^Z CONFIGURARENRUTAMIENTORIP Router#CONFIGTER Router(config)#IPROUTING Router(config)#ROUTERRIP Router(configrouter)#VERSION2 Router(configrouter)#NETWORK200.31.1.0 Router(configrouter)#NETWORK200.31.2.0 Router(configrouter)#NETWORK200.31.3.0 Router(configrouter)#NETWORK200.31.4.0 Router(configrouter)#NETWORK192.168.1.0 Router(configrouter)#^Z VERCONFIGURACION Router#showrun
CONFIGURACIONROUTERCISCO SUBIRRED Router#configter Router(config)#interfaceethernet0 Router(configif)#ipaddressIPMASCARA Router(configif)#noshutdown Router(configif)#exitoctrl+z MOSTRARELESTADODELAINTERFAZSERIALQUEVAHACIAELROUTER Router#showinterfaces0 CONSULTARELESTADODELOSPROTOCOLOS Router#showprotocol MOSTRARELESTADODELCONTROLADORPARALAINTERFAZSERIAL Router#shcontrolls0 Router#interfaceserial0 MOSTRARLATABLADEHOST Router#showhost MOSTRARINFORMACIONDECONFIGURACIONDELROUTER Router#showversion MOSTRARINFORMACIONENELFLASH Router#showflash Router#showstart CONFIGURARRELOJ Router#clockset hh:mm:ss Router#clocksethh:mm:ss20march2009 LISTARELESTADODELASINTERFACES Router#showinterface MOSTRARELESTADODELROUTER Router#showipintbrief Interface IPAddress OK?Method Status FastEthernet0/0 unassigned YESunset administrativelydown FastEthernet0/1 200.31.4.1 YES manualup Serial0/0/0 unassigned YESunset administratively Serial0/0/1 200.31.2.2 YESmanual up LISTARROUTER Router#traceroute<hostname> TESTDECONECTIVIDAD Router#ping<ipaddress> HISTORIALDECOMANDOS Router#showhistory
Protocol down up down down
TALLER
1.
Diagrama lgico de la red que deben implementar los dos grupos
Los servicios que deben de quedar configurados son: SNMP (con las comunidades por defecto public y prvate con permisos de lectura y escritura). FTP (con la cuenta annimo habilitada) WEB (en los equipos activos y en los del servidor WEB) Servidor de dominio TELNET 2. 3. 4. 5. 6. 7. 8. 9. El grupo 1 y el grupo 2 debe instalar y configurar el firewall de hardware. Se debe conectar el firewall de acuerdo al diagrama anterior. Identifique las interfaces y las zonas, defina una direccin IP para las dos interfaces. Verifique que sucede con el firewall cuando no se define ninguna regla. Configure NAT uno a uno, para dos servicios, configure virtual server para estos servicios. Defina una regla para permitir todas las conexiones entrantes y salientes. Defina la regla para el acceso solo al servicio de HTTP haciendo NAT con una IP publica. Defina la regla para el acceso solo al servicio de FTP haciendo NAT con una IP publica. Defina una regla para denegar todos los servicios de cada red.
Configuracin del ROUTER
FORMA DE CONECTAR EL FIREWALL
CONFIGURACION DEL FIREWALL ADVANCED NETWORKING NAT
NETWORK SETTINGS CONECTION TO ISP
NETWORK SETTINGS CONNECTION TO ISP
NETWORK SETTINGS LAN SETTINGS
ADVANCED NETWORKING STATIC ROUTING
ADVANCED
NETWORKING
STATIC
ROUTING
ADVANCED NETWORKING DYNAMIC ROUTING
FIREWALL VIRTUAL SERVERS
FIREWALL PC PRIVILEGES
FIREWALL SPECIAL APPLICATIONS
STATUS AND LOGS
STATUS AND LOGS ROUTING TABLE

Usermode Commands Command disconnect enable ping <host-name> ping <ip-address> traceroute <hostname> traceroute <ip-address>
Sl. No. 1 2 3 4 5 6
Comments, if any. Terminates the suspended telnet session and then logout it.
Used to tests the connectivity.It uses ICMP to initiate the connection.
Lists all routers along path to destination and finds the routing problems if any.

Privileged Mode Commands Command clear arp-cache configure terminal copy running-config startup-config copy startup-config running-config debug ip packet disable disconnect <TELNET_ID> erase startup-config logout ping <host-name> ping <ip-address> reload resume <TELNET_ID> show access-list show banner show cdp
Sl. No. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Comments, if any.
Allows to execute commands that change the router's configuration. It saves the active configuration of the router.
Returns to the UserEXEC mode from Privilege mode.
Deletes all the configuration files present on a router. It exits router from the user or privilege mode. Used to tests the connectivity.It uses ICMP to initiate the connection.
Displays all accesslists from all protocols present in a specified router.
Shows the status of CDP such as holdtime value,no.of packets for every 60sec.
17 18 19 20 21
show cdp interface show cdp neighbor show cdp traffic show clock show flash
It tells the CDP configuration on an interface-by-interface basis.
Used to view all IOS images and file stored in flash(Default location of IOS images is in flash). Shows the detailed statistics regarding LMI.
22 23 24
show frame-relay lmi show frame-relay map show frame-relay pvc <dlci_num>
Shows all the frame relay PVC's terminated and their statistics at a specified router. Shows the previously executed commands.IOS device stores the last ten commands that are executed.
25 26
show history show hosts
To view interfaces,status,and statistics for an interface.If u don't lists a specific interface,all of the interfaces on the router are listed.
27
show interfaces
28.a 28.b 29 30.a 30.b 31 32 33 34 35 36 37 38 39
show interfaces ethernet <Port_number> show interfaces ethernet <Slot_number>/<Port_number> show interfaces loopback <Loopback_num> show interfaces serial <Port_number>
Loopback interface number,0 to 9 are supported displays the lmi type that is being used and also sme LMI statisstics.
show interfaces serial <Slot_number>/<Port_number> show ip arp show ip eigrp neighbors show ip eigrp neighbors detail show ip eigrp topology show ip eigrp traffic show ip interface show ip interface brief show ip nat statistics show ip nat translations -
Shows the list of eigrp neighbors that a specified router has.
Displays the list of successor and feasible successors,as well as other types of routes. It shows the information about trafiic statistics for eigrp
Verifies the IP configuration.
40 41 42 43 44 45 46
show ip ospf show ip ospf database show ip ospf interface show ip ospf neighbor show ip ospf neighbor detail show ip ospf virtual-links show ip route
Verifies the configurationof static and default routes on a router. Displays the routing protocols that have been configured and running on a specified router.
47 48 49 50 51 52 53 54 55 56 57 58
show protocols show running-config show sessions show startup-config show version telnet <host-name> telnet <IP-address> traceroute <hostname> traceroute <ip-address> write erase write memory write terminal
shows the telnet sessions that are currently suspended.
Display version information for the hardware and firmware.
Lists all routers along path to destination and finds the routing problems if any.
Back
Sl. No. 1 2 3 4 5 6 7 8 9 10
Global configuration mode Commands Command Comments, if any. access-list <list-num> {permit | deny} <source-ipOnly standard access list of the address> format given is supported. access-list <list-num> {permit | deny} <any> access-list <list-num> {permit | deny} <ip-address> <ip-address> access-list <list-num> {permit | deny} <host-name> <ip-address> banner motd <banner> cdp advertise-v2 cdp holdtime <seconds> cdp run cdp timer <seconds> config-register <value>
It creates the login banner on a specified router.
Hexadecimal or decimal value that represents the 16-bit configuration register value. It
is used at the router start-up. The value range is from 0x0 to 0xFFFF (0 to 65535 in decimal). Normally, the default value is 0x2102 11 12 13 14 15 16 17 18 dialer-list<list-num>protocol ip permit enable password <password> enable secret <password> end hostname <host-name> interface bri <port-number> interface bri <Slot-number>/<port-number> interface ethernet <port-number> interface ethernet <Slot-number>/<port-number>
Sets the paasword.The level number is either 1 or 15. Encrypts the password when it is saved.
Used to access ethernet interface and enter Interface subconfiguration mode.
Used to create loopback interface.Port numbers can specify between 0 to 2147483647. However, in the simulator, Loop back interface numbers 0 to 9 are supported
19
interface loopback <port-number>
20.a 20.b 21.a 21.b 22 23 24
interface serial <port-number> interface serial <port-number>.<Subint-num> interface serial <Slot-number>/<port-number> interface serial <Slot-number>/ <portnumber>.<Subint-num> ip default-network <ip-address> ip domain-lookup ip host <name> <ip-address>
Complete syntax for this command: ip host name [tcpport-number] address1 [address2...address8]
25 26 27 28 29 30 31 32 33 34
By using this Router access the DNS server to resolve the names to ip addresses. ip nat inside source list <ANUM> pool <WORD> ip nat inside source static <ip-address> <ip-address> ip nat outside source static <ip-address> <ip-address> ip nat pool <WORD> <ip-address> <ip-address> netmask <ip-address> ip route <prefix> <mask> {next-hop-ip-addr | Not supported at this time. interface-type} ip name-server<ip-address> ip route 0.0.0.0 0.0.0.0 <ip-address> ip route<ip-address> <ip-address> <ip-address> [<Dist_Metric>] ip route <ip-address> <ip-address> serial 0 ip routing
Not supported at this time
35 36 37 38
ipx routing isdn switch-type <switch_type> line aux line console 0
To enter into console interface.Here 0 specifies the console part. It supports 16 simultaneous telnet connections and each connection is internally tracked by a number:0-15.
39 40 41 42 43 44 45 46 47 48 49
line vty no banner motd no cdp run no ip domain-lookup no ip routing no ip route no router eigrp no router ospf no router rip router eigrp <aut_sys> router ospf <proc_id>
It can globally enable or disable the cdp on a router. It disables all the DNS lookups on the router.
Process_id is locally significant and is used to differentiate different ospf processes running on a router. Enters into the RIP routing protocol configuration mode.
50 51
router rip username <name> password <password>
Back
Sl. No. 1 2 3 4 5 6 7 8 9
Interface subconfiguration mode Commands Command Comments, if any. Required bandwidth, in kilobits bandwidth <kilobits> per second. cdp enable clock rate <bps> compress stac <num> in description <string> dialer-group<dialer_list_#> dialer map ip <ip-address> <des-phone> dialer map ip <ip-address> name <hostname> <desphone> dial string< phone_#>
Desired clock rate in bits per second: 1200, 2400, 4800, 9600, 19200, 38400, 56000, 64000 etc.
Character string from 1 to 80 characters.
10 11 12 13
dialer map ip <ip-address> <BROADCAST> <desphone> dialer map ip <ip-address> name <hostname> <desphone > <BROADCAST> < des-phone > encapsulation <encapsulation-type> encapsulation framerelay [cisco][ietf]
Only PPP/HDLC are supported at this time by the simulator. ex: encapsulation hdlc
Specifies the LMI type that is used to communicate between a router and carrier's switch.LMI type is specific to the entire interface,not to a VC. It configures the manual resolution of PVC's. -
14
frame-relay lmi-type <lmi_type>
15 16 17 18 19 20 21 22 23 24 25
frame-relay map<protocol-name> <dlci_num> frame-relay map<protocol-name> <dlci_num> broadcast frame-relay map<protocol-name> <dlci_num> broadcast cisco frame-relay map<protocol-name> <dlci_num> broadcast ietf frame-relay map<protocol-name> <dlci_num> cisco frame-relay map<protocol-name> <dlci_num> ietf ip access-group <num> in ip access-group <num> out
<ip-address> <ip-address> <ip-address> <ip-address> <ip-address> <ip-address>
ip address <ip-address> <sub-net mask> ip nat inside ip nat outside
Defines the spid's that are used to authenticate call requests.Used only on local connection between router and isdn switch.
26
isdn spid1<spid_num>
27 28 29 30 31 32 33 34 35 36 37
isdn spid2<spid_num> keepalive <seconds> login no bandwidth no cdp enable no clock rate no frame map <protocol name> <ip-address> <dlci_num> no frame map<protocol-name> <ip-address> <dlci_num> broadcast no frame map<protocol-name> <ip-address> <dlci_num> cisco no frame map<protocol-name> <ip-address> <dlci_num> ietf no ip address
38 39 40
no shutdown shutdown speed
It disable the interfaces.Interfaces are enabled by default.
Back
Sl. No. 1 2 3
Line subconfiguration mode Commands Command Comments, if any. exec-timeout <minutes> [seconds] seconds is optional. logging synchronous password <password>
Back
Sl. No. 1
Subinterface Subconfiguration mode Commands Command Comments, if any. It specifies the DLCI discription<string> number.Uses a dynamic resolution with inverse ARP. encapsulation <encapsulation-type> encapsulation framerelay [cisco][ ietf] frame-relay interface-dlci<dlci_num> frame-relay map<protocol-name> <ip-address> <dlci_num> frame-relay map<protocol-name> <ip-address> <dlci_num> broadcast frame-relay map<protocol-name> <ip-address> <dlci_num> broadcast cisco frame-relay map<protocol-name> <ip-address> <dlci_num> broadcast ietf frame-relay map<protocol-name> <ip-address> <dlci_num> cisco frame-relay map<protocol-name> <ip-address> <dlci_num> ietf ip address<ip-address> <subnet-mask> no ip address no shutdown
2 3
4 5 6 7 8 9 10 11 12 13
It specifies the DLCI number.Uses a dynamic resolution with inverse ARP. It specifies the DLCI number.Uses a dynamic resolution with inverse ARP. It specifies the DLCI number.Uses a dynamic resolution with inverse ARP.
14
shutdown
Back
IP Routing Protocol Subconfiguration mode Commands
Sl. No. Command 1 network <ip-address> 2 network <ip-address> < ip-address > area <Area-id> 3 area <Area-id> stub [no-summary] 4 area <Area-id> virtual-link < ip-address >
Comments, if any. Used with routing rip, igrp etc. (for ospf routing) -
Back
Supported Switch Commands

User mode Commands Sl.No. 1 commands enable Comments, if any.
Back
Privilegemode Commands Sl.No. commands 1 clock set hh:mm:ss <1-31> Month <2004-2035> 2 3 4 5 6 7 8 9 10 11 12 configure terminal copy running-config startup-config copy startup-config running-config disable erase startup-config logout reload show banner show flash show history show interfaces
Comments, if any.
Allows to execute commands that change the switch's configuration. It saves the active configuration of the switch.
Returns to the UserEXEC mode from Privilege mode.
It exits switch from the user or privilege mode.
Used to view all IOS images and file stored in flash(Default location of IOS images is in flash).
To view interfaces,status,and statistics for an interface.If u don't lists a specific interface,all of the interfaces on the switch are listed. Verifies the IP configuration. It examine the active configuration on a switch.
13 14 15 16
show ip interface brief show running-config show startup-config show version
Display version information for the hardware and firmware
Back
Global Configuration mode Commands Sl.No. commands Comments, if any. 1 banner motd <phrase> It creates the login banner on a specified router. 2 3 cdp advertise-v2 cdp holdtime <seconds>
Sl.No. 4 cdp run 5 6 7 8 9 10 cdp timer <seconds>
Global Configuration mode Commands commands Comments, if any.
It sets the paasword.The level number is either 1 or 15. Encrypts the password when it is saved.
enable password <password> enable secret <secret> end hostname <name> ip default-gateway <ip-address>
Tells the switch which router or switch have to use when the switch needs to reach the destination thats not in its configured subnet.
11 12 13 14 15 16 17
ip host<hostname> <ip-address> interface fastethernet <0-0>/<0-24> interface fastethernet <pnum> interface vlan <vlan_num> line console 0
Depends on the switch type. For module 0, port 1 the command is interface fastethernet 0/1
You can enter interface config mode. example: interface vlan 1 (config-if)#ip address 192.168.10.1 255.255.255.0
line vty 0 15 mac-address-table static <mac-address> vlan <valn_num> interface fastethernet <pnum> no vlan <vlan_num> snmp-server enable traps vtp speed <speed>
18
19 20
Enter switch port speed 10,100, auto.
Back
Interface Subconfiguration mode Commands Sl.No. commands Comments, if any. 1 description <phrase> 2 3 4 5 6 7 8 9 10 11 12 duplex <duplex-type> ip address <ip-address> <subnet mask> ip name-server <ip-address> login no ip address no shutdown no switchport <port_security> shutdown switchport access vlan <vlan_num> switchport port-security mac-address sticky<mac_addr> switchport port-security maximum <max_macadd>
A switch can have one IP address. The IP address of the switch can be accessed only through ports that belong to the management VLAN.
It reenables the interface when the interface is disabled.By default interfaces are enabled.
Disables a port and shuts-down management vlan. no shutdown command enables a port.
Sl.No. 13
Interface Subconfiguration mode Commands commands Comments, if any. switchport port-security violation <violat_mode>
Back
Sl.No. 1
Line Subconfiguration mode Commands commands Comments, if any. password <password> -
Back
Vlan mode Commands commands vlan<vlan_num> vtp client vlan database vtp domain vtp password vtp pruning vtp server vtp transparent
Sl.No. 1 2 3 4 5 6 7 8
Comments, if any.
VLAN numbers can range 1-1000,However only 64VLANs can be active ata time. Specifies the VTP mode of the switch.
Used to access all VLAN and VTP configuration.

Defines the domain name for a specified switch.For switches to share VTP informtion they must be in the same domain.
Back
Workstation Commands
Sl. No. 1 2 3 4 5 6 7 ping <ip-address> ping <hostname> telnet <host-name> telnet <ip-address> traceroute <hostname> traceroute <ip-address> Command ip address <ip-address> <subnet-mask> Comments, if any.
SEGURIDADENREDES
MDULO1:FUNDAMENTOSDESEGURIDADENREDES ETHICALHACKING
TALLERDEETHICALHACKING
Andrea Barrera Edgar Molina Carlos M. Rentera
Ingeniero Daro Muetn Tutor
SERVICIO NACIONAL DE APRENDIZAJE SENA Seguridad en redes Mdulo 1: Fundamentos de seguridad en redes Bogot D.C. 2009
___________________________________________________________________________ ServicioNacionaldeaprendizajeSENA
SEGURIDADENREDES
TALLERETHICALHACKING
Se tienen dos redes con (La primera conectada por un Hub y la segunda conectada por un switch) interconectadas entre si, para cada una de las redes se deben configurar los servicios de SNMP, WEB, FTP, TFTP, TELNET.
0.
FUNDAMENTOS
A. MODELANDO LA RED: SUBNETING Se escogi trabajar con una red: Clase: C IP: 192.168.1.0 CLASE C OCTETO DIR IP RED 1 192 RED 2 168 RED 3 1 HOST 4 0
Cuarto octeto 27 0 26 0 25 0 24 0 23 0 22 0 4 21 0 2 20 0 1
1. RECONOCIMIENTO
A. ESTADO DE LAS BANDERAS TCP
BANDERAS TRAMA DIRECCION DESTINO DIRECCION RECIBO EXPLICACION EN SESION
___________________________________________________________________________ ServicioNacionaldeaprendizajeSENA 1
SEGURIDADENREDES
MDULO1:FUNDAMENTOSDESEGURIDADENREDES ETHICALHACKING B. PROTOCOLOS DE SERVICIOS
PROTOCOLO PUERTO DESCRIPCION DE LA CONEXIN
C. LISTADO DE CONEXIONES IP
DIRECCION IP PROTOCOLOS PUERTOS
D. CONCLUSIONES DEL RECONOCIMIENTO Con respecto a que modelo de referencia es mostrada la informacin de las capturas? Si quiero ver el establecimiento de una conexin TCP (Saludo de tres Vas), a que parte de la interfaz de captura del Ethereal me debo remitir para encontrar dicha informacin?, Justifique su respuesta.
B. EXPLORANDO LOS SISTEMAS

A. HOST
DIRECCION IP SIS. OPERATIVOS VULNERABILIDA DES NIVEL DE RIESGO
SEGURIDADENREDES
B. DISPOSITIVOS DE RED( ROUTER, SWITCH, SERVIDOR)

DISPOSITIVO DIRECCION IP CARACTERISTICAS
C. CONCLUSIONES DE LA EXPLORACIN Nombres de las comunidades SNMP que se estn utilizando tanto pblicas como privadas
C. EXPLOTANDO VULNERABILIDADES
A. Qu vulnerabilidades se pueden explotar con el barrido de ping? B. Con la informacin obtenida acerca de los sistemas operativos de los servidores y de los dems host de la red, que vulnerabilidades se podran explotar?, Explquelas C. Qu vulnerabilidades se pueden explotar a travs del conocimiento de las comunidades de SMNP que se encontraron en uso? D. Haga una negacin de servicio de un dispositivo, explique cmo lo realiz?, investigue dos tcnicas de negacin de servicio y explquelas.
D. MANTENIENDO EL ACCESO
A. B. C. D. Cmo se puede mantener el acceso en el servidor FTP? Cmo se puede mantener el acceso en los servidores WEB? Cmo se puede mantener el acceso en los routers y switches? Cmo se puede mantener el acceso a una base de datos?
E. CUBRIENDO EL RASTRO
SEGURIDADENREDES
MDULO1:FUNDAMENTOSDESEGURIDADENREDES ETHICALHACKING Qu tipos de logs existen en los sistemas operativos Windows y Linux. Cmo se puede acceder a ellos. Qu tipos de logs existen en los routers, cmo se puede acceder a ellos y como se activan.
www.monografias.com
Estudio de Subnetting, Vlsm, CIDR y Comandos de Administracin y Configuracin de Routers

1. 2. 3. 4. 5. Qu es el Subnetting, Vlsm y CIDR? Ejemplo de Subnetting y Vlsm, obtener Subredes y Host x Subred Ejercicios para calcular Mscaras Wildcard Conceptos sobre Redes LAN/VLAN/WAN y Protocolos de Enrutamiento no Propietarios Proyecto de Clculo de Subnetting y Configuracin de Ruteadores
El siguiente trabajo detalla con sumo cuidado el aprendizaje de las tcnicas de obtencin de Subnetting, Vlsm, CIDR(Resumen de Rutas) y l calculo de las Mascaras Wildcard que se aplican en el esquema de direccionamiento IP-VersinIV de 32 Bits y que son tcnicas muy necesarias que todo Administrador de Redes debe dominar para poder disear y administrar con eficacia una red LAN y WAN. Adems se dan notas explicativas de algunos comandos de configuracin de ROUTERS y protocolos de enrutamiento no propietarios. Al final de la teora se encuentra un proyecto de aplicacin que combina las tcnicas de subnetting explicadas con varios comandos de configuracin de routers, las configuraciones y comandos pueden variar dependiendo del tipo de proveedor del hardware. Qu es el Subnetting, Vlsm y CIDR? El subneting es una coleccin de direcciones IP que permiten definir l numero de redes y de host que se desean utilizar en una subred determinada; el Vlsm es una tcnica que permite dividir subredes en redes ms pequeas pero la regla que hay que tener en consideracin siempre que se utilice Vlsm es que solamente se puede aplicar esta tcnica a las direcciones de redes/subredes que no estn siendo utilizadas por ningn host, VLSM permite crear subredes mas pequeas que se ajusten a las necesidades reales de la red (los routers que utilizan protocolos de enrutamiento sin clase como RIPV2 y OSPF pueden trabajar con un esquema de direccionamiento IP que contenga diferentes tamaos de mascara, no as los protocolos de enrutamiento con clase RIPV1 que solo pueden trabajar con un solo esquema de direcciones IP, es decir una misma mascara para todas las subredes dentro de la RED-LAN) y por ultimo tenemos el CIDR(Resumen de Rutas) que es la simplificacin de varias direcciones de redes o subredes en una sola direccin IP Patrn que cubra todo ese esquema de direccionamiento IP. Ejemplo de Subnetting y Vlsm, obtener Subredes y Host x Subred: Antes de entrar de lleno en el estudio de las tcnicas de subnetting quiero indicar que existen 2 tipos de direcciones IP: Publicas y Privadas, las IP pblicas son utilizadas para poder comunicarse a travs del Internet y son alquiladas o vendidas por los ISP(Proveedores de Servicios de Internet) y las IP-Privadas son utilizadas para construir un esquema de direccionamiento interno de la red LAN y no pueden ser utilizadas para enviar trafico hacia el Internet. Valores por defecto para los diferentes tipos de RED(IP Privadas): CLASE A: (10.0.0.0 a 10.255.255.255) Net_ID 8, Host_ID 24, Mask : 255.0.0.0; Ejemplo: 10.0.0.0 CLASE B: (172.16.0.0 a 172.31.255.255) Net_ID 16, Host_ID 16, Mask : 255.255.0.0; Ejemplo: 172.17.0.0 CLASE C: (192.168.0.0 a 192.168.255.255) Net_ID 24, Host_ID 8, Mask : 255.255.255.0; Ejemplo: 192.168.18.0 Valores por defecto para los diferentes tipos de RED(IP Pblicas): CLASE A: (0 127, 127 Direccin de LoopBack) Net_ID 8, Host_ID 24, Mask : 255.0.0.0; Ejemplo: 11.0.0.0 CLASE B: (128 191) Net_ID 16, Host_ID 16, Mask : 255.255.0.0; Ejemplo: 172.15.0.0 CLASE C: (192 223)
Net_ID 24, Host_ID 8, Mask : 255.255.255.0; Ejemplo: 192.25.18.0 Dir_IP: 192.10.20.64/28(Clase C). Bueno en primer lugar debemos tener en consideracin que las redes de clase C tienen 24 bits como Net_ID y 8 bits para el Host_ID pero en este caso se esta creando una subred con 4 bits; el desarrollo es el siguiente: 2(4)-2 = 14 Subredes validas, 2 subrds. 1Dir_IP y 1Broadcast, total 16. 2(4)-2 = 14 Host validos por subred. Identificando el paso de las subredes de esta serie /28. Los avances o saltos para obtener la siguiente direccin de red se basan en los bits restantes del octeto del Host_ID, en este caso seria 11110000, 2(4)=16. Ej: 192.10.20.64/28, IP utilizables : 192.10.20.65 192.10.20.78 192.10.20.80/28, IP utilizables : 192.10.20.81 192.10.20.94 192.10.20.96/28, IP utilizables : 192.10.20.97 192.10.20.110 Identificando la Direccin de Red y la Direccin de Broadcast: 192.10.20.64/28 Direccin de Red : 192.10.20.64 Direcciones Validas : 192.10.20.65 hasta 192.10.20.78 Direccin de BroadCast : 192.10.20.79 La direccin de RED y de BROADCAST no se puede asignar a una direccin de HOST ya que invalida la red. Obteniendo la mascara de la red en formato decimal. 192.10.20.64/28 Para sacar la mascara de esta direccin hay que tener en consideracin que los bits por defecto para este tipo de Red Clase C es de 24 entonces procedemos a restar el prefijo de la red actual que es: /28-24 y obtenemos una diferencia de 4 bits, construimos el nuevo octeto basado en esta informacin y tenemos 11110000 en binario que transformado a formato decimal es 240. La mascara es: 255.255.255.240. Cmo saber si una direccin IP es una Red o una Subred? Para determinar si una direccin IP es una red hay que comparar la direccin IP con la MASCARA de red por defecto de esa clase y observar si la parte del Host_ID esta libre. Ejemplo: Mascara CLASE_C por defecto : 255.255.255.0 a. 192.10.20.64/28 : 255.255.255.240; ES SUBRED. b. 192.10.20.0/24 : 255.255.255.0; ES RED. Identificando la ultima subred de la serie. Para identificar la ultima red perteneciente a esta subred se aplica la siguiente frmula: 256Nro_Host/Red = Ultima Red. Aplicando a nuestro caso : 256-16=240 Seria la ultima red. Ejemplos con Redes Tipo B. Mascara x def. : 255.255.0.0 Direccin IP : 172.20.0.0/16 Subnetting: a. Direccin IP: 172.20.0.0/21 VLSM : 172.20.11111000.00000000 Mascara : 255.255.248.0 Subredes : 2(5bits)-2 = 30 Redes Validas. Host por Subred : 2(11bits)-2 = 2046 Host Validas/Red. Rango de las Redes, el paso para las subredes siguientes es: 2(3)=8; se cogen los bits restantes del octeto que pertenece al Host_ID. 172.20.0.0/21 172.20.8.0/21
172.20.16.0/21...248. b. Direccin IP: 172.20.0.0/23 VLSM : 172.20.11111110.00000000 Mascara : 255.255.254.0 Subredes : 2(7bits)-2 = 126 Redes Validas. Host por Subred : 2(9bits)-2 = 510 Host Validas/Red. Rango de las Redes, el paso para las subredes siguientes es: 2(1)=2; se cogen los bits restantes del octeto que pertenece al Host_ID. 172.20.0.0/21 172.20.2.0/21 172.20.4.0/21...127. c. Direccin IP: 172.20.0.0/25 VLSM : 172.20.11111111.10000000 Mascara : 255.255.255.128 Subredes : 2(9bits)-2 = 510 Redes Validas. Host por Subred : 2(7bits)-2 = 126 Host Validas/Red. Rango de las Redes, el paso para las subredes siguientes es: 2(7)=128; se cogen los bits restantes del octeto que pertenece al Host_ID. 172.20.0.0/21 172.20.0.128/21 172.20.1.0/21 172.20.1.128/21 172.20.2.0/21 172.20.2.128/21
Los routers que aparecen en el diagrama usan las asignaciones de subred que se ilustran. Cul es el resumen de ruta ms eficiente que se puede configurar en Router3 para publicar las redes internas hacia la nube? Posibles Respuestas: 192.1.1.0/26 y 192.1.1.64/27 192.1.1.128/25 192.1.1.0/23 y 192.1.1.64/23 192.1.1.0/24 192.1.1.0/25 *** Resumen de Ruta Optima. 192.1.1.0/24 y 192.1.1.64/24 Para poder sacar la ruta resumida mas optima de una manera rpida debemos ordenar las direcciones de red de forma ascendente de menor a mayor teniendo en consideracin la mascara de la red(Todas las redes son Clase C), Ejemplo: 192.1.1.0/27 192.1.1.32/27 192.1.1.64/28 192.1.1.80/28
192.1.1.96/29 192.1.1.104/29 192.1.1.112/29 192.1.1.120/29 Pasos a seguir para la resolucin del problema: Sacamos el paso de la ultima red que es 192.1.1.120/29: Esta red tiene: 2(5)= 32 Redes, 2(3)=8 Host x Red. Entonces sabemos con certeza que la prxima red es 192.1.1.128/29. Ahora procedemos a darnos cuenta que desde la red: 192.1.1.0/27 hasta la red 192.1.1.120/29 estn incluidas 127 direcciones(Se incluye hasta la direccin 192.1.1.127/29 por que es el Broadcast de esta red). Como necesitamos solo 127 direcciones, cual ser la mascara que cubra esa demanda? Respuesta: Una red clase C cuya red tenga una Mascara de /25 Bits, 2(1)=2 Redes y 2(7)=128 Host x Red. Ahora bien la direccin de la Red es: 192.1.1.0/25 porque las redes contenidas en la ruta resumida estn dentro de las primeras 128 direcciones. La direccin de red 192.1.1.0/24 tambin contiene a todas las direcciones internas pero abarca un rango mucho ms amplio no siendo optimo el proceso. Ejemplo : /24 esto deja 255 direcciones de host desde la direccin Ip : 192.1.1.1 hasta 192.1.1.254 y nosotros solo necesitamos 127 direcciones.
Se requiere una subred adicional para un nuevo enlace Ethernet entre el Router1 y el Router2, como se indica en el diagrama. Cul de las siguientes direcciones de subred se puede utilizar en esta red para suministrar una cantidad mxima de 14 direcciones utilizables para este enlace desperdiciando la menor cantidad de direcciones posible? Posibles Respuestas: 192.1.1.16/26 192.1.1.96/28 192.1.1.160/28 192.1.1.196/27 192.1.1.224/28 *** Respuesta Optima(No se sobrepone con ninguna red). 192.1.1.240/28 Para poder identificar si una red esta sobrepuesta o contenida en otra subred se deben realizar las siguientes observaciones: Se debe escoger la red que tenga el menor tamao de mascara y sacar el paso de la siguiente red y observar si dentro de ese rango esta contenida la red cuya mascara sea superior, Ejemplo: Se desea saber si la siguiente red 192.1.1.64/26 contiene a la subred 192.1.1.96/28. Primeramente procedemos a sacar el paso de la red 192.1.1.64/26 2(2)=4 Redes 2(6)=64 Host x Red y nos damos cuenta que el paso es 64 por lo tanto observamos que la siguiente red seria 192.1.1.128/26 lo que significa que la red 192.1.1.96/28 esta contenida en la red 192.1.1.64/26.
Hay otra manera de determinar si una subred esta contenida dentro de otra red de mayor jerarqua pero no es un mtodo tan eficiente como el anteriormente descrito debido a que requiere mas tiempo para su desarrollo pero es un proceso mas ilustrativo, Ejemplo: Red : 192.1.1.64/26, se desea saber si contiene a la red 192.1.1.96/28. Red: 192.1.1.64/26 la pasamos a 192.1.1.64/28 y sacamos el paso : 2(2)=4 Redes VLSM y 2(4)=16 Host x Red VLSM. Sacamos todas las subredes VLSM de esta red: 192.1.1.64/28, 192.1.1.80/28, 192.1.1.96/28, 192.1.1.112/28 y observamos que la red 192.1.1.96/28 esta contenida en la red principal. Clculo del CIDR RESUMEN DE RUTA: Aplicamos el SUPERNETTING para las redes : 172.16.3.0/26, 172.16.3.64/26, 172.16.3.128/26, 172.16.3.192/26 172.16.3.0/26: 10101100.00010000.00000011.00000000 172.16.3.64/26: 10101100.00010000.00000011.01000000 172.16.3.128/26: 10101100.00010000.00000011.10000000 172.16.3.192/26: 10101100.00010000.00000011.11000000 PATRON: 10101100.00010000.00000011.00000000 MASCARA: 11111111.11111111.11111111.00000000 BITS COMUNES: /24 Conversin a formato decimal: Direccin IP: 172.16.3.0/24, Mascara: 255.255.255.0 Para calcular el resumen de rutas solo se toma en consideracin los Bits comunes de todas las direcciones de red, el resto de bits se ignoran. Notas: Las subredes jamas pueden terminar en nmeros impares ya que son siempre mltiplos de 2(2,4,8,16,32,64,128), las direcciones que terminan en nmeros impares por lo general son Direcciones de Host. Las direcciones de red tienen nmeros pares e impares ya que incrementan su valor con un paso de 1 pero el Net_ID solo ocupan desde el primer octeto hasta el tercer octeto y el cuarto octeto es solamente para el host_ID 00000000 este es el caso para las redes de tipo Clase_C y en las redes de tipo Clase_B el proceso es casi idntico ya que su valor se incrementa con un paso de 1 pero el Net_ID solo ocupa desde el primer octeto hasta el segundo octeto y el tercero y cuarto octeto es utilizado solamente para el host_ID 00000000.00000000 , si existen valores diferentes de 0 en los octetos que pertenecen al Host estamos hablando ya no de una Red sino de una Subred. Ejemplo: Redes Clase C: 192.10.1.0, 192.10.2.0, 192.10.3.0. Redes Clase B: 172.10.0.0, 172.11.0.0, 172.12.0.0. En la parte del Host siempre tienen que quedar 2 Bits 00 para crear como mnimo redes con 4 Host. Solo se puede aplicar VLSM a subredes que no han sido utilizadas. En Vlsm puedo utilizar mnimo 1 Bit, aqu ya no es necesario dejar una IP como Direccin de Red ni otra IP para Direccin de Broadcast solo en la parte de los Host se aplica esta regla. Es muy usual utilizar redes con mascara de /30 en los enlaces seriales porque solo se necesitan 2 host validos para entablar la conexin. Los prefijos validos para el SUPERNETTING van desde el /13 al /27; para obtener la mascara del resumen de rutas se procede a cambiar todo el patron coincidente por bits 1 y el no coincidente por bits 0. Segn la conceptualizacin de VLSM no se puede subdividir una red que se va a utilizar en otro enlace ya que esto crea un conflicto de conectividad por lo tanto antes de aadir redes a un diseo de red hay que tener en consideracin que las redes no se sobrepongan.
Ejercicios para calcular Mscaras Wildcard En el clculo de la Mscara Wildcard el 0 sirve para validar el bit y el 1 para ignorar el bit; por lo general las mascaras wildcard se utilizan en el protocolo de enrutamiento OSPF y en el calculo de las Listas de Acceso(ACL) para especificar que redes/subredes/host intervienen en las ACLs. EJERCICIOS CON REDES TIPO CLASE C. 192.20.17.32/27 192.20.17.00100000 0.0.0 .00011111 VALIDACION DE BITS. 0.0.0.31 MASCARA WILDCARD. SOLO SE VALIDA CON CEROS HASTA EL ULTIMO BIT QUE DE 1 QUE ES EL PATRON. 192.55.20.48/28 192.55.20.00110000 0.0.0 .00001111 0.0.0.15 192.70.80.12/30 192.70.80.00001100 0.0.0 .00000011 0.0.0.3
VALIDACION DE BITS. MASCARA WILDCARD.
VALIDACION DE BITS. MASCARA WILDCARD.
192.168.1.150 hasta 192.168.1.175 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 150 = 10010110 160 = 10100000 175 = 10101111 ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '10' QUE SE TRANSFORMA A: 00111111 QUE EN NOTACION DECIMAL ES 63. DIRECCION: 192.168.1.150 WILDCARD : 0.0.0.63 EJERCICIOS CON CLASES B: FILTRADO DE GRUPOS. 172.17.224.0 HASTA 172.17.239.255 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 224 = 11100000 230 = 11100110 239 = 11101111 ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '1110' QUE SE TRANSFORMA A: 00001111 QUE EN NOTACION DECIMAL ES 15. DIRECCION: 172.17.224.0 WILDCARD : 0.0.15.255 172.20.15.1 HASTA 172.20.15.61 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 1 = 00000001 30 = 00011110 60 = 00111100
ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '00' QUE SE TRANSFORMA A: 00111111 QUE EN NOTACION DECIMAL ES 63. DIRECCION: 172.20.15.1 WILDCARD : 0.0.0.63 172.30.16.0 hasta 172.30.31.0 CUANDO SE TRABAJA CON FILTROS PARA GRUPOS ES NECESARIO CONVERTIR A BINARIOS UNOS NUMEROS QUE ESTEN DENTRO DEL RANGO. EJ: 16 = 00010000 25 = 00011001 31 = 00011111 ENTONCES SE OBTIENE EL PATRON QUE COINCIDE EN TODO EL FILTRO: '0001' QUE SE TRANSFORMA A: 00001111 QUE EN NOTACION DECIMAL ES :15. DIRECCION: 172.30.16.0 WILDCARD : 0.0.15.255
Conceptos sobre Redes LAN/VLAN/WAN y Protocolos de Enrutamiento no Propietarios PROTOCOLO DE ENRUTAMIENTO RIPV1-V2: Enva broadcast : 255.255.255.255(RIPV1) Enva multicast : 224.0.0.9(RIPV2) RIP actualiza sus tablas de enrutamiento cada 30 segundos. Para RIP la distancia administrativa por defecto es de 120. Numero de saltos 15, redes pequeas. Son un protocolo vector-distancia(IGP) Enrutamiento con clase(RIPV1) Enrutamiento sin clase(RIPV2), soporta VLSM y CIDR. Topologa Lgica Plana. Permite el balanceo de cargas, hasta 6 rutas de igual costo. Las redes directamente conectadas al router tienen un valor de distancia administrativa de 0. Las redes creadas con rutas estticas tienen un valor de distancia administrativa de 1. PROTOCOLO DE ENRUTAMIENTO OSPF: Un protocolo de estado de enlace(IGP) Tiene una distancia administrativa de 110. El mtodo de actualizacin es desencadenada por eventos. Tienen una visin completa de la red. Utiliza el algoritmo SPF para calcular la ruta mas corta. Usan un mecanismo HELLO para comunicarse con los vecinos. Es un protocolo de enrutamiento sin clase, VLSM y CIDR. La mtrica se calcula a partir del ancho de banda del enlace. Tiene una topologa lgica de tipo Jerrquica, DR y BDR. Garantiza un enrutamiento sin bucles. No tiene limite de tamao y es para redes grandes. Tienen 3 tipos de redes: a. Multiacceso por Broadcast(Ethernet), b. Redes Punto a Punto y c. Multiacceso sin Broadcast(NMBA- FR). Formula para calcular las adyacencias entre los routers: N*(N-1)/2. Direccin multicast para todos los routers OSPF: 224.0.0.5 Direccin multicast para los routers DR y BDR: 224.0.0.6 Los paquetes HELLO se envan cada 10 segundos en redes Multiacceso con broadcast y 30 segundos para redes Multiacceso sin Broadcast, los paquetes muertos son 4 veces el valor de los paquetes hello. Para el paquete HELLO el campo tipo se establece en 1. Las reas para OSPF pueden ser desde 0 hasta 65.535 Las procesos para OSPF pueden ser desde 1 hasta 65.535 Las interfaces LOOPBACK le dan estabilidad al protocolo OSPF. Las prioridades de los routers se pueden establecer desde 0-255, una prioridad de 0 no permite a un router participar en la eleccin del DR. Formula para calcular la ruta(mtrica) en ospf: 10^8/ancho banda. El ancho de banda por defecto para las interfaces seriales de cisco es de 1,544 Mbps. El intervalo muerto del protocolo HELLO ofrece un mecanismo sencillo para determinar que un vecino adyacente esta desactivado. El rea principal de los routers ospf es el AREA 0. Realiza actualizaciones parciales e incrementales dentro de la misma AREA. El tiempo de vida de los LSA es de 30 minutos y el router ospf que lo envi al DR lo vuelve a reenviar para que sepan que esta activo y funcional. CONCEPTOS GENERALES SOBRE LAS REDES: El Vlsm y el Supernetting/Agregacin de Ruta son caractersticas del CIDR. El VLSM consiste en subdividir subredes que no estn en uso. El SUPERNETTING AGREGACION DE RUTA consiste en resumir rutas contiguas, el prefijo va desde 13 a 27 bits. En los SWITCH de Capa2 no se configuran direcciones IP, salvo nicamente la DIR-IP de configuracin general del SWITCH para poder administrar el dispositivo a travs de la RED.
Un SWITCH crea dominios de colisin, llamados microsegmentos. Los SWITCH y Puentes funcionan en la CAPA2 del modelo OSI, pero en la actualidad existen los SWITCH-Multicapa que funcionan en CAPA2 y en CAPA3 y soportan protocolos de enrutamiento. Los SWITCH crean mltiples dominios de colisin pero pertenecen al mismo dominio de broadcast. Un HUB es un dispositivo de CAPA1, regeneran las seales y amplan el dominio de colisin existente. Los Puentes y SWITCH no restringen el trafico de broadcast. Un router es un dispositivo de CAPA3 que toma decisiones en base a las direcciones de RED y que no envan broadcast y por lo tanto permiten reducir los dominios de broadcast en una red; los routers permiten conectividad entre redes y subredes. Ethernet es una tecnologa de transmisin en broadcast. La latencia o retardo es el tiempo que una trama tarda en hacer el recorrido desde la estacin origen hasta su destino final; Retardo de nic, retardo de propagacin real y retardo de los dispositivos. Tiempo de Bit es la unidad bsica de tiempo en la que se puede transmitir un bit de datos. Las operaciones bsicas de los SWITCH son 2, conmutacin de tramas de datos y mantenimiento de las operaciones del SWITCH. La tabla MAC se almacena en la CAM(Memoria de Contenido Direccionable) y cada entrada MAC tiene una marca de tiempo, la tabla MAC se elimina automticamente a los 300 segundos, esto permite que la tabla siempre contenga direcciones actualizadas. La conmutacin de capa2 se basa en las direcciones MAC y el enrutamiento de capa3 se basa en la direccin de capa de RED o en las direcciones IP. La conmutacin LAN se puede clasificar como asimtrica(ptos de distinto ancho de banda) y simtrica(puertos que tienen el mismo ancho de banda). Los SWITCH asimtricos usan 2 tipos de Buffers: Bufer de memoria basado en puerto y Bfer de memoria compartida. Mtodos de Conmutacin: Almacenamiento-envi y mtodo de Corte(Libre de fragmentos{64 bytes} y Conmutacin Rpida). Dentro de un Puente pasar por alto una trama se denomina filtrar y copiar la trama se denomina enviar. La segmentacin LAN se puede implementar mediante el uso de puentes, SWITCH y routers. Los mtodos de transmisin en una red son 3: Unicast, multicast y broadcast. Broadcast de capa 2 es la siguiente: 11111111.11111111.11111111.11111111. FF:FF:FF:FF:FF:FF, 255.255.255.255 El dominio de broadcast de la capa2 se conoce como dominio Mac de Broadcast. La implementacin de las VLAN combina la conmutacin de capa2 y capa3 para limitar tanto los dominios de colisin como los dominios de broadcast, tambin ofrecen seguridad. Capas del diseo Jerrquico de las Redes, son 3: Capa de acceso(ACLS), capa de distribucin(ACLS, VLAN y SEGURIDAD) y la capa del ncleo. Los SWITCH de capa de acceso son los que permiten a los usuarios finales acceso a la red; la capa de distribucin de la red se encuentran entre las capas de acceso y el ncleo, en esta capa se realiza manipulacin de paquetes y por ultimo la capa del ncleo que es el backbone de una red conmutada, la capa del ncleo es la capa3, aqu no hay manipulacin de paquetes. Documentacin del diseo lan: 1. Mapa lgico de LAN, 2. Mapa Fsico LAN, 3. Mapa lgico de VLAN, 4. Mapa lgico de capa3, Mapas de direccin. Los HUBS solo operan en modo Half-Duplex, los SWITCH funcionan en Full-Duplex. Los SWITCH tienen algunos tipos de indicadores LED: Led de sistema, Led de estado de puerto, Led de modo de puerto, Led de suministro remoto de energa RPS. Cuando se inicia un SWITCH se ejecuta el POST, el led del sistema indica el xito o falla del sistema, el color verde indica el xito de la prueba y el color mbar indica que la prueba fallo. El protocolo spanning-tree esta por defecto activo en los SWITCH cisco. El protocolo spanning-tree se usa en redes conmutadas para crear una topologa lgica sin loops a partir de una topologa fsica con loops.
Una topologa conmutada redundante puede provocar tormentas de broadcast En el encabezado de capa2 no hay TTL, si una trama se enva a una topologa con loops de SWITCH de capa2, circula el loop indefinidamente, en capa3 el TTL decrece hasta 0. El STP utiliza las BPDU que son tramas que contienen informacin especifica, las BPDU son las que eligen el Puente Raz; el Pte. Raz es aquel que tiene el ID MAS BAJO(direccin MAC). El STP tiene los siguientes elementos: a. Un Puente Raz(todos los puertos son designados), b. Un Puerto Raz en los Puentes No-Designados, c. Un Puerto Designado en cada segmento. El STP se encuentra en convergencia cuando todos los puertos han efectuado la transicin al estado de envo o al de bloqueo. Costo de Ruta del STP: 10GBPS 2, 1Gbps 4, 100Mbps 19, 10Mbps 100. El IEEE estableci el ESTNDAR 802.1d para el protocolo STP y el ESTNDAR 802.1w para el RSTP. Las BPDU se envan cada 2 segundos y los INTERVALOS MUERTOS son a los 20 segundos; las BPDU son enviadas con el ID de puente; el BID se compone de una prioridad de puente que asume un valor por defecto de 32768 y la direccin MAC del SWITCH, los BID tienen una longitud de 8 Bytes(2 bytes Id Prioridad y 6 Bytes MAC). Las etapas del STP son 5: bloqueo(20s), escuchar(15s), aprender(15s), enviar, desconectado, total 50 segundos, cantidad mxima de SWITCH 7. El protocolo Rapid Spanning Tree cambia el nombre del estado bloqueado por un estado de descarte, con estos cambios la convergencia de la red no debe tardar mas de 15 segundos; tiene 3 estados: Descarte, aprendizaje y reenvo. La VLAN1 es la VLAN por defecto del SWITCH, sirve para administrar el SWITCH. Cuando se define una VLAN distinta por cada puerto del SWITCH se considera que las VLAN son dominios de colisin diferentes. Una VLAN es un agrupamiento lgico de dispositivos de red y solo se comunican con los mismos dispositivos que estn dentro de la VLAN. Las VLAN segmentan de una forma lgica la red en diferentes dominios de broadcast; los SWITCH no puentean ningn trafico entre las VLAN. El router en capa3 enruta el trafico entre las VLAN. Cada puerto del SWITCH se puede asignar a una VLAN. Hay 2 tipos de VLAN: Estticas(VLAN basadas en puertos y protocolos) y Dinmicas(basadas en direcciones MAC). Mtodos utilizados para el etiquetado de trama: ISL(propietario de cisco) y el 802.1Q(abierto), 802.10(FDDI) y LANE. Cada VLAN debe tener una Direccin IP nica de red/subred de capa3. Todos los puertos son asignados a la VLAN1 por defecto. Un puerto fsico en un Router o SWITCH puede formar parte de mas de un spanning tree si se trata de un enlace troncal. Hay 2 tipos de STP: el STP IEEE y el STP DEC. Enlace Troncal VLAN : Permiten que se definan varias VLAN en toda la organizacin, agregando etiquetas especiales a las tramas que identifican a las VLAN. Un backbone puede contener varios enlaces troncales. Un enlace troncal es una conexin fsica y lgica entre 2 SWITCH a travs de la cual viaja el trafico pero tambin puede darse entre un SWITCH y un Router. Los protocolos de enlace troncal se desarrollaron para administrar las tramas entre las diferentes VLAN. VTP : es un protocolo de mensajera de tramas que funciona en capa2. Los SWITCH VTP operan en cualquiera de los 3 modos: Servidor, Cliente y transparente. Existen 2 tipos de publicaciones VTP: 1. Peticiones de clientes y 2. Respuesta de los Servidores. Existen 3 clases de mensajes VTP: 1. Peticiones de publicacin, 2. Publicaciones de resumen, 3. Publicaciones de subconjunto. VTP tiene 2 versiones y entre ellas son incompatibles. Actualmente existen 2 mecanismos de TRUNKING que son el Filtrado de Tramas y el Etiquetado de Tramas.
Todos los SWITCH dentro del mismo Dominio de Administracin comparten su informacin VLAN entre s, y un SWITCH solo puede participar en un dominio de administracin VTP. Los Servidores VTP guardan la informacin de configuracin VTP en la NVRAM. Por defecto los Dominios de Administracin estn establecidos a un modo no seguro, lo que significa que los SWITCH interactan sin utilizar una contrasea. La misma contrasea debe de configurarse en todos los SWITCH del Dominio de Administracin para utilizar el modo seguro. Por defecto los SWITCH Catalyst Servidor y Cliente emiten publicaciones de resumen cada 5 minutos. El Pruning VTP se utiliza para restringir el trafico INTER-VLAN innecesario dentro del enlace troncal. Siempre la VLAN1 es de pruning inelegible(no se puede restringir). En el enfoque tradicional de las VLAN se utiliza una interfaz fsica para conectar cada VLAN con el Router y obtener comunicacin INTER-VLAN pero esta tcnica a medida que se incrementan las VLAN se vuelve ineficiente y costosa; el nuevo enfoque es la utilizacin de un Enlace Troncal que permite la implementacin de varias interfaces lgicas dentro de la misma. El router puede admitir varias interfaces lgicas en enlaces fsicos individuales; Fastethernet puede admitir 3 interfaces virtuales. Una subinterfaz es una interfaz lgica dentro de una interfaz fsica. Para que el enrutamiento entre VLAN funcione correctamente todos los routers y SWITCH involucrados deben admitir el mismo encapsulamiento(802.1q). Un BACKBONE puede estar formado por varios enlaces troncales. El cableado vertical utilizado para unir los IDF y los MDF siempre tiene que ser fibra ptica porque ofrece mayor ancho de banda y velocidad. En la Redes WAN cuando se utiliza Frame Relay la topologa fsica que mas se utiliza es la PUNTOMULTIPUNTO debido a su bajo costo de implementacin. En las redes LAN LOCALES la Regla 80/20 significa que el 80% del trafico se realiza en el rea local y el 20% restante del trafico son conexiones remotas. En las redes LAN GEOGRAFICAS la Regla 20/80 significa que el 20% del trafico se realiza localmente y el 80% restante del trafico se lleva a cabo en conexiones remotas. La direccin 127.0.0.1 es una direccin LOOPBACK. REDES INALAMBRICAS - WLAN IEEE 802.11, REDES LAN TOKEN RING - IEEE 802.5, REDES LAN ETHERNET IEEE 802.3 Procesador de Ruta Contiene la mayora de los componentes de memoria del sistema y el procesador principal del sistema. Los siguientes comandos que a continuacin utilizo para llevar a cabo las diversas tareas de configuracin del Ruteador han sido implementadas utilizando equipos de marca CISCO plataforma 1900/2950; los comandos de configuracin y las salidas de los mismos estn sometidas a variacin en caso de utilizar otros tipos de marcas. CONFIGURACIN DEL PROTOCOLO RIP: ROUTER#CONFIGURE TERMINAL ROUTER(CONFIG)#ROUTER RIP Para habilitar la versin que se utilizar tanto en el envo como en la recepcin: ROUTER(CONFIG-ROUTER)#VERSION <#RO DE VERSION> Para especificar las redes que intervienen en las publicaciones: ROUTER(CONFIG-ROUTER)#NETWORK <#RO DE RED> Comando para establecer una ruta por defecto en las redes que utilizan protocolos de enrutamiento dinmico: ROUTER(CONFIG)#IP DEFAULT-NETWORK <#RO DE RED> Para inhabilitar el Horizonte Dividido, tcnica para anular loops: ROUTER(CONFIG-IF)#NO IP SPLIT-HORIZONT Para inhabilitar el envo de actualizaciones en una interfaz utilice: ROUTER(CONFIG-ROUTER)#PASSIVE-INTERFACE <NRO_INTERFAZ> Para cambiar el nro mximo de rutas paralelas(balanceo de cargas): ROUTER(CONFIG-ROUTER)#MAXIMUN-PATHS <NUMERO>
Para cambiar el temporizador de espera RIP(120sg): ROUTER(CONFIG-ROUTER)#HOLDOWN-TIMER <SEGUNDOS> Para cambiar el intervalo de actualizacin(Tabla/Enrutamiento 30sg): ROUTER(CONFIG-ROUTER)#UPDATE-TIMER <SEGUNDOS> Para intercambiar informacin de enrutamiento en una red sin difusin como FRAMERELAY. ROUTER(CONFIG-ROUTER)#NEIGHBOR IP ADDRESS Para configurar una interfaz para enviar versiones determinadas de los paquetes RIP: ROUTER(CONFIG-IF)#IP RIP SEND VERSION <NRO_VERSION> Para configurar una interfaz para recibir versiones determinadas de los paquetes RIP: ROUTER(CONFIG-IF)#IP RIP RECEIVE VERSION <NRO_VERSION> Para redistribuir una ruta esttica en RIP: REDISTRIBUTE STATIC Para enviar paquetes a la mejor ruta superred posible utilice(Habilitar/Deshabilitar el uso de las Subredes RIP II): RTA(CONFIG)#IP CLASSLESS; RTA(CONFIG)#NO IP CLASSLESS Para ver el contenido de la base de datos RIP: SHOW IP RIP DATABASE Muestra las actualizaciones de enrutamiento a medida que se envan y se reciben: DEBUG IP RIP Desactivan las operaciones de depuracin: NO DEBUG ALL, UNDEBUG ALL CONFIGURACIN DEL PROTOCOLO OSPF: ROUTER(CONFIG)#ROUTER OSPF <PROCESS-ID> Para publicar las redes IP: ROUTER(CONFIG_ROUTER)#NETWORK ADDRESS <WILCARD-MASK> AREA <#RO_AREA> Para crear interfaces LOOPBACK(No son interfaces fsicas sino virtuales; se puede especificar una Direccin IP de Host con una Mask de 32 Bits): ROUTER(CONFIG)#INTERFACE LOOPBACK <NUMERO> ROUTER(CONFIG_IF)#IP ADDRESS IP_ADDRESS SUBNET_MASK, EJ: ROUTER(CONFIG)#INTERFACE LOOPBACK 1 ROUTER(CONFIG_IF)#IP ADDRESS 192.168.31.11 255.255.255.255 Comando para configurar la prioridad del router ospf: ROUTER(CONFIG-IF)#IP OSPF PRIORITY <NUMERO> Para el funcionamiento correcto de ospf es necesario establecer el ancho de banda correcto de la interfaz: ROUTER(CONFIG)#INTERFACE SERIAL 0/0 ROUTER(CONFIG-IF)#BANDWIDTH 64 Para modificar el costo del enlace: ROUTER(CONFIG-IF)#IP OSPF COST <numero> Comando para configurar la autenticacin OSPF: ROUTER(CONFIG-IF)#IP OSPF AUTHENTICATION-KEY PASSWITCHORD, la clave puede ser hasta 8 caracteres. Despus de configurar la autenticacin la habilitamos: ROUTER(CONFIG-ROUTER)#AREA AREA-NUMBER AUTHENTICATION Comando para configurar la autenticacin OSPF, con MD5: ROUTER(CONFIG-IF)#IP OSPF MESSAGE-DIGEST-KEY KEY-ID ENCRYPTION-TYPE MD5 KEY, el key-id es un identificador y toma un valor de 1 a 255; key es una contrasea alfanumrica. Despus de configurar la autenticacin la habilitamos, MD5: ROUTER(CONFIG-ROUTER)#AREA AREA-NUMBER AUTHENTICATION MESSAGE-DIGEST Para configurar los temporizadores HELLO y DEAD: ROUTER(CONFIG-IF)#IP OSPF HELLO-INTERVAL SECONDS ROUTER(CONFIG-IF)#IP OSPF DEAD-INTERVAL SECONDS Para cambiar el valor del temporizador del algoritmo SPF(se recomienda modificar los temporizadores solo en el puente raz): TIMERS SPF <SEGUNDOS>
Para redistribuir una ruta esttica en OSPF: ROUTER(CONFIG-ROUTER)#DEFAULT-INFORMATION ORIGINATE Para configurar una red topologa malla completa multiacceso que no soporta difusiones, hay que introducir manualmente la direccin de cada vecino OSPF en cada router(NEIGHBOR): ROUTER(CONFIG)#ROUTER OSPF 1 ROUTER(CONFIG-ROUTER)#NETWORK 3.1.1.0 0.0.0.255 AREA 0 ROUTER(CONFIG-ROUTER)#NEIGHBOR 3.1.1.2 ROUTER(CONFIG-ROUTER)#NEIGHBOR 3.1.1.3 Borra la tabla de enrutamiento IP entera: CLEAR IP ROUTE Permite ver informacin sobre el valor de prioridad de la interfaz y adems visualizar cual es el DR y BDR del rea actual: SHOW IP OSPF INTERFACE Para diagnosticar las fallas de la formacin de adyacencias su prioridad y su estado(init, exstart, full): SHOW IP OSPF NEIGHBOR DETAIL Para comprobar las interfaces que se han configurado en las reas pretendidas: SHOW IP OSPF INTERFACE Muestra el contenido de la base de datos topolgica mantenida por el router. El comando tambin muestra el ID del Router y el ID del proceso OSPF. SHOW IP OSPF DATABASE Mostrar informacin sobre cada paquete recibido: DEBUG IP OSPF PACKET Comando para depurar las operaciones OSPF: DEBUG IP OSPF COMANDOS BAJO EL S.O. WINDOWS: Comando para probar conectividad de capa3. PROMPT C:\>PING <DIR-IP DESTINO> Comando para averiguar la Direccin MAC de un dispositivo; si se quiere saber la direccin MAC de un host remoto primeramente hay que realizar un ping. PROMPT C:\>ARP A Para aadir una ruta en la tabla de rutas en el host: PROMPT C:\>ROUTE ADD Para ver la tabla de rutas del host por pantalla: PROMPT C:\>ROUTE PRINT Para obtener ayuda sobre los comandos NET en Windows: NET /?
Proyecto de Clculo de Subnetting y Configuracin de Ruteadores Realizar la asignacin de direcciones IP tanto para las redes locales como para los enlaces seriales y establecer la respectiva configuracin para el Ruteador RT5. La ACLs Extendida que se implementa en RT5 solo permitir el trfico HTTP y DNS de cualquier HOST de la RedF(172.16.3.64) al Servidor HTTP/DNS y el resto del trfico ser DENEGADO automticamente. Direccin Subneteada para la red interna: 172.16.0.0/24 Direccin IP de Server HTTP/DNS: 172.16.1.10/24 (RedB) Este proyecto consta de 13 Subredes, 8 Routers Internos y 1 Routers Externo: - 6 para los enlaces seriales WAN(punto a punto) - 7 para las redes locales LAN. 172.16.0.0/24(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED HOST 2(8) = 256 Subredes. 2(8) = 256 Host/Subred Mask : 255.255.255.0 DIRECCIONES IP PARA REDES LOCALES LAN. RED B: 172.16.1.0/24 Host Requeridos: 200 Host Totales: 256-2 = 254 Host Utilizables. 2(8)=2562 = Host/Subred 172.16.1.0/24(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED HOST RED C: 172.16.2.0/25 Host Requeridos: 80 Host Totales: 128-2 = 126 Host Utilizables. 2(1) = 2 Subredes VLSM 2(7) = 128 Host/VLSM 172.16.2.0/25(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED VLS HOST Las SUBREDES VLSM obtenidas son 2: a. 172.16.2.0/25 b. 172.16.2.128/25 RED D: 172.16.2.128/25 Host Requeridos: 100 Host Totales: 128-2 = 126 Host Utilizables. RED E: 172.16.3.0/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. 2(2) = 4 Subredes VLSM 2(6) = 64 Host/VLSM 172.16.3.0/26(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED VLS HOST Las SUBREDES VLSM obtenidas son 4: a. 172.16.3.0/26 b. 172.16.3.64/26 c. 172.16.3.128/26
d. 172.16.3.192/26 RED F: 172.16.3.64/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. RED G: 172.16.3.128/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. RED H: 172.16.3.192/26 Host Requeridos: 40 Host Totales: 64-2 = 62 Host Utilizables. Aplicamos el SUPERNETTING para la red 172.16.3.0/26: 172.16.3.0/26: 10101100.00010000.00000011.00000000 172.16.3.64/26: 10101100.00010000.00000011.01000000 172.16.3.128/26: 10101100.00010000.00000011.10000000 172.16.3.192/26: 10101100.00010000.00000011.11000000 PATRON: 10101100.00010000.00000011.00000000 MASCARA: 11111111.11111111.11111111.00000000 BITS COMUNES: /24 Conversin a formato decimal: Direccin IP: 172.16.3.0/24, Mascara: 255.255.255.0 DIRECCIONES IP PARA LOS ENLACES SERIALES WAN. Por lo general para los enlaces WAN solo se utilizan 2 IPs. RED E: 172.16.4.0/30 Host Requeridos: 2 Host Totales: 4-2 = 2 Host Utilizables. 2(6) = 64 Subredes VLSM 2(2) = 4 2 = 2 Host/VLSM 172.16.4.0/30(Clase B, 16 Bites NetId y 16 Bits Host) : 10101100.00010000.00000000.00000000 RED SUBRED VLS, HOST Las SUBREDES VLSM obtenidas son 64: a. 172.16.4.0/30 172.16.4.0/30, No Utilizable Direccin de RED. 172.16.4.1/30 172.16.4.2/30 172.16.4.3/30, No Utilizable Direccin de BroadCast. b. 172.16.4.4/30 172.16.4.4/30, No Utilizable Direccin de RED. 172.16.4.5/30 172.16.4.6/30 172.16.4.7/30, No Utilizable Direccin de BroadCast. c. 172.16.4.8/30 172.16.4.8/30, No Utilizable Direccin de RED. 172.16.4.9/30 172.16.4.10/30 172.16.4.11/30, No Utilizable Direccin de BroadCast. d. 172.16.4.12/30 172.16.4.12/30, No utilizable Direccin de RED. 172.16.4.13/30 172.16.4.14/30 172.16.4.15/30, No utilizable Direccin de BroadCast.
e. 172.16.4.16/30 172.16.4.16/30, No utilizable Direccin de RED. 172.16.4.17/30 172.16.4.18/30 172.16.4.19/30, No utilizable Direccin de BroadCast. f. 172.16.4.20/30 172.16.4.20/30, No utilizable Direccin de RED. 172.16.4.21/30 172.16.4.22/30 172.16.4.23/30, No utilizable Direccin de BroadCast. CUADRO DE ASIGNACIN DE LOS ENLACES SERIALES WAN: 1. Rt2-Rt8: 172.16.4.0/30 Mask:255.255.255.252 2. Rt2-Rt3: 172.16.4.4/30 Mask: 255.255.255.252 3. Rt3-Rt7: 172.16.4.8/30 Mask: 255.255.255.252 4. Rt3-Rt6: 172.16.4.12/30 Mask: 255.255.255.252 5. Rt3-Rt5: 172.16.4.16/30 Mask: 255.255.255.252 6. Rt3-Rt4: 172.16.4.20/30 Mask: 255.255.255.252 CUADRO DE ASIGNACIN DE DIRECCIONES IP PARA LAS REDES LOCALES, LAN: Rt1, RedA: 200.24.201.112/28 Mascara: 255.255.255.240 Rt2, RedB: 172.16.1.0/24 Mascara: 255.255.255.0 Rt3, RedC: 172.16.2.0/25 Mascara: 255.255.255.128 Rt4, RedD: 172.16.2.128/25 Mascara: 255.255.255.128 Rt5, RedE: 172.16.3.0/26 Mascara: 255.255.255.192 Rt6, RedF: 172.16.3.64/26 Mascara: 255.255.255.192 Rt7, RedG: 172.16.3.128/26 Mascara: 255.255.255.192 Rt8, RedH: 172.16.3.192/26 Mascara: 255.255.255.192 TABLA DE ENRUTAMIENTO ESTTICA DEL ROUTER RT5: Direccin de Red Gateway Mtrica RedA: 200.24.201.112/28 172.16.4.17/30 3 saltos RedB: 172.16.1.0/24 172.16.4.17/30 2 saltos RedC: 172.16.2.0/25 172.16.4.17/30 3 saltos RedD: 172.16.2.128/25 172.16.4.17/30 1 saltos RedE: 172.16.3.0/26 172.16.4.17/30 2 saltos RedF: 172.16.3.64/26 Red Local --------RedG: 172.16.3.128/26 172.16.4.17/30 2 saltos RedH: 172.16.3.192/26 172.16.4.17/30 2 saltos O a su vez definir una ruta de salida por defecto para cualquier red que no este directamente conectada al router: Red-D Mask Gateway 0.0.0.0 0.0.0.0 172.16.4.17 CONFIGURACIN DEL ROUTER RT5: Configuracin de claves y consolas virtuales: contrasea de consola. Router# configure terminal Router(config)# line console 0 Router(config-line)#login Router(config-line)#pasSwitchord cisco !contrasea de terminal virtual. Router# configure terminal Router(config)# line vty 0 4
Router(config-line)#login Router(config-line)#pasSwitchord cisco !contrasea autorizada. Router(config)#enable pasSwitchord san-fran Router(config)#service pasSwitchord-encryption Cambio del nombre del ruteador: Router# configure terminal Router(config)# Hostname Rt5 Rt5(config)# Configuracin de las interfaces: 1. Interfaz Serial0:(DCE) Rt5(config)#interface serial0 Rt5(config-if)#ip address 172.16.4.18 255.255.255.252 Rt5(config-if)#clock rate 56000 Rt5(config-if)#description interfaz serial via Rt5 Rt3 Rt5(config-if)#no shutdown Rt5(config-if)#exit 2. Interfaz Ethernet0: Rt5(config)#interface ethernet 0 Rt5(config-if)#ip address 172.16.3.65 255.255.255.192 Rt5(config-if)#description Interfaz local RedF Rt5(config-if)#no shutdown Rt5(config-if)#exit Configuracin del protocolo de enrutamiento: Rt5# configure terminal Rt5(config)# router rip Rt5(config-router)# version 2 Rt5(config-router)#network 172.16.3.64 Rt5(config-router)#network 172.16.4.16 Configuracin de la tabla de enrutamiento: Ruta por defecto: Rt5(config)#Ip route 0.0.0.0 0.0.0.0 172.16.4.17 Rt5(config)#exit Configuracin de Listas de acceso ACL. Se permite solo acceso a los servicios http(Pto80) y DNS/UDP(Pto53), el resto de servicios estn denegados, uso de Acls extendidas, se coloca lo mas cerca del origen del trafico. Rt5(config)#access list 110 tcp permit 172.16.3.64 0.0.0.255 172.16.1.10 0.0.0.0 eq http Rt5(config)#access list 110 udp permit 172.16.3.64 0.0.0.255 172.16.1.10 0.0.0.0 eq dns Se aplica la access list en la interfaz serial. Rt5(config-if)#interface serial0 Rt5(config-if)#ip access-group 110 out Rt5(config-if)#exit Grabacin del archivo de configuracin en la NVRAM: Rt5#copy running-config startup-config
Autor: Tclgo. Juan Carlos Romero Jijn. Lankansi@yahoo.com Machala El Oro Ecuador.
Ejemplo de configuracin de tnel VPN
http://www.redline-software.com/eng/support/docs/winroute/ch12s05.php
Este captulo proporciona una descripcin detallada ejemplar sobre cmo crear un tnel cifrado conectar dos redes privadas utilizando el Kerio VPN. Este ejemplo puede ser fcilmente personalizados. Nota: Este ejemplo describe un patrn ms complicado de VPN con las restricciones de acceso para las redes locales y los clientes VPN. Un ejemplo de configuracin de VPN bsica se proporciona en el Kerio WinRoute Firewall de Paso A Paso Configuracin de documento. Especificacin Suponiendo que una empresa tiene su sede en Nueva York y una oficina en Chicago. Tenemos la intencin de interconectar las redes locales de la sede por un tnel VPN utilizando el Kerio VPN. Clientes VPN se les permitir conectarse a la red de la sede. El servidor (puerta de enlace por defecto) de la sede utiliza la direccin IP pblica 63.55.21.12 (newyork.company.com es el nombre DNS), el servidor de la oficina utiliza una direccin IP dinmica asignada por DHCP. La red local de la sede consta de dos subredes, 1 de LAN y LAN 2. La sede company.com utiliza el dominio DNS. La red de la oficina se compone de una nica subred (LAN). La oficina filial.company.com. La siguiente figura proporciona un esquema de todo el sistema, incluyendo las direcciones IP y los tneles VPN que se construir.
Supongamos que ambos ya se han desplegado las redes y establecer de acuerdo a la figura y que la conexin a Internet est disponible. El trfico entre la red de la sede, la red de la sucursal y clientes VPN ser restringido de acuerdo a las siguientes normas: 1. VPN de los clientes pueden conectarse a la LAN 1 y a la red de la sucursal. 2. Conexin a clientes VPN est desactivado para todas las redes. 3. Slo la red LAN 1 est disponible en la sucursal. Adems de esto, slo la WWW, FTP y Microsoft SQL servicios disponibles. 4. No se aplica ninguna restriccin para las conexiones de la sede a la red de sucursales. 5. LAN 2 no est a disposicin de la red de sucursales ni a los clientes VPN. Sede de la configuracin 1. Instalar WinRoute (versin 6.0.0 o posterior) en la sede central de la puerta de enlace por defecto (servidor). 2. Utilice Asistente para reglas de red (vase el captulo Asistente para reglas de red) para configurar la base de polticas de trfico en WinRoute. En el paso 5, seleccione S, quiero utilizar Kerio VPN.
Este paso permitir la creacin de normas para la conexin del servidor VPN, as como para la comunicacin de clientes VPN con la red local (con el servidor de seguridad).
3.
Cuando el tnel VPN se crea, personalizar estas normas de acuerdo con la restriccin de los requisitos (Paso 6). Personalizar la configuracin de DNS de la siguiente manera: o En la configuracin del DNS reenviador en WinRoute, especificar los servidores DNS a los que las consultas DNS que no se ha dirigido a la company.com dominio ser enviado (primaria y secundaria del servidor DNS del proveedor de conexin a Internet por defecto).
filial.company.com de dominio. Para especificar el reenvo de servidor DNS,

utilice la direccin IP del anfitrin remoto WinRoute la interfaz conectada a la red local.
Habilitar la opcin de reenvo de uso personalizado y definir normas para la
Establecer la direccin IP de la interfaz (10.1.1.1) como un servidor DNS primario para la interfaz del host WinRoute conectado a la red local.
4.
Establecer la direccin IP 10.1.1.1 como un servidor DNS principal tambin para los otros hosts. Nota: Para una correcta funcionalidad de DNS, DNS de la base de datos debe incluir los registros para las mquinas en una red local. Para lograr esto, guardar los nombres DNS y direcciones IP de los anfitriones locales en el archivo hosts (si usan direcciones IP) o permitir la cooperacin de la reenviador DNS con el servidor DHCP (en el caso de que las direcciones IP se asignan dinmicamente a estos hosts). Para ms informacin, consulte el captulo de DNS reenviador. Habilitar el servidor VPN y configurar su certificado SSL (crear un certificado auto-firmado, si no certificado por una autoridad de certificacin est disponible).
Nota: La libertad de subred que se ha seleccionado ya est especificado automticamente en la red VPN y Mscara entradas.
5.
Para obtener una descripcin detallada sobre la configuracin del servidor VPN, consulte el captulo Configuracin del servidor VPN. Crear un pasivo final del tnel VPN (servidor de la oficina utiliza una direccin IP dinmica). Usar la huella digital del servidor VPN de la oficina como una especificacin de la huella digital del certificado SSL remoto.
6.
Personalizar las reglas de trnsito de acuerdo con la restriccin de los requisitos.
En el estado del trfico local, eliminar todos los artculos excepto los que pertenecen a la red local de la sede de la empresa, es decir, excepto el cortafuegos y LAN 1 y LAN 2. Define (aadir) la regla de clientes VPN que permitir a los clientes VPN para conectarse a la LAN 1 y a la red de la sucursal (a travs del tnel VPN).
Crear la oficina de la Subdivisin de la regla que permite conexiones a los servicios en la LAN 1. o Aadir la Sede de la empresa norma que permite las conexiones desde la sede de subredes la red de sucursales .. Reglas definidas de esta manera cumplir con todos los requisitos de la restriccin. Trfico que no coincide con ninguna de estas normas ser bloqueado por la norma por defecto (vase el captulo Definicin de las reglas de trnsito personalizado). Sucursal de configuracin 1. Instalar WinRoute (versin 6.0.0 o posterior) en la puerta de enlace predeterminada de la oficina (servidor). 2. Utilice Asistente para reglas de red (vase el captulo Asistente para reglas de red) para configurar una poltica bsica de trfico en WinRoute. En el paso 5, seleccione S, quiero utilizar Kerio VPN.
Este paso permitir la creacin de normas para la conexin del servidor VPN, as como para la comunicacin de clientes VPN con la red local (a travs del firewall).
3.
Cuando el tnel VPN se crea, personalizar estas normas de acuerdo con la restriccin de los requisitos (Paso 6). Personalizar la configuracin de DNS de la siguiente manera: o En la configuracin del DNS reenviador en WinRoute, especificar los servidores DNS a los que las consultas DNS que no se ha dirigido a la company.com dominio ser enviado (primaria y secundaria del servidor DNS del proveedor de conexin a Internet por defecto).
Habilitar la opcin de reenvo de uso personalizado y definir normas para el dominio company.com. Para especificar el reenvo de servidor DNS, utilice la direccin IP del anfitrin remoto WinRoute la interfaz conectada a la red local.
Establecer la direccin IP de la interfaz (192.168.1.1) como un servidor DNS primario para la interfaz del host WinRoute conectado a la red local.
4.
Establecer la direccin IP 192.168.1.1 como servidor DNS principal tambin para los otros hosts. Nota: Para una correcta funcionalidad de DNS, DNS de la base de datos debe incluir los registros para las mquinas en una red local. Para lograr esto, guardar los nombres DNS y direcciones IP de los anfitriones locales en el archivo hosts (si usan direcciones IP) o permitir la cooperacin de la reenviador DNS con el servidor DHCP (en el caso de que las direcciones IP se asignan dinmicamente a estos hosts). Para ms informacin, consulte el captulo de DNS reenviador. Habilitar el servidor VPN y configurar su certificado SSL (crear un certificado auto-firmado, si no certificado por una autoridad de certificacin est disponible). Nota: La libertad de subred que se ha seleccionado ya est especificado automticamente en la red VPN y Mscara entradas.
5.
Para una descripcin detallada sobre la configuracin del servidor VPN, consulte el captulo Configuracin del servidor VPN. Crear un punto final de la VPN tnel que se conectar al servidor de la sede (newyork.company.com). Usar la huella digital del servidor VPN de la sede como una especificacin de la huella digital del certificado SSL remoto.
6.
En este punto, debera establecerse la conexin (es decir, el tnel debe crearse). Si se conecta con xito, el estado Conectado se inform en el adaptador de la columna de informacin de los dos extremos del tnel. Si la conexin no puede establecerse, le recomendamos que, para comprobar la configuracin de la prueba las reglas de trnsito y la disponibilidad del servidor remoto en nuestro ejemplo, el comando ping newyork.company.com se puede utilizar en el servidor de la sucursal. Nota: En caso de una colisin de red VPN y la red remota se detecta a la creacin del tnel VPN, seleccione una subred libre y especificar sus parmetros en el servidor VPN (ver paso 4). Para obtener informacin detallada sobre la forma de crear tneles VPN, vase el captulo de interconexin de dos redes privadas a travs de Internet (tnel VPN). Aadir el nuevo tnel VPN en la norma de trfico local. Tambin es posible quitar la interfaz de Dial-In y el grupo de clientes VPN de esta norma (clientes VPN no estn autorizados a conectarse a la sucursal).
Nota: No es necesario para realizar cualquier otra adaptacin de las normas de circulacin. La restriccin debe ser necesaria ya establecidos en la poltica de trfico en el servidor de la sede.
VPN prueba La configuracin de la VPN tnel se ha terminado por ahora. En este punto, se recomienda poner a prueba la disponibilidad de hosts remotos de cada extremo del tnel (de dos redes locales). Por ejemplo, el ping y / o tracert comandos del sistema operativo puede ser utilizado para este ensayo. Se recomienda probar la disponibilidad de hosts remotos tanto a travs de direcciones IP y nombres DNS. Si un host remoto se prueba a travs de direccin IP y no responde, compruebe la configuracin de las reglas de trnsito y / o averiguar si las subredes no colisionan (es decir, si la misma subred no se utilice en ambos extremos del tnel). Si una direccin IP ha sido probado con xito y se inform de un error (Host desconocido) cuando una prueba es el nombre DNS y, a continuacin, comprobar la configuracin de DNS.
http://publib.boulder.ibm.com/html/as400/v5r1/ic2931/index.htm?info/rzaja/rzajacreate vpncon.htm Configuracin de VPN La interfaz de OS/400 VPN le ofrece varias formas distintas de configurar las conexiones VPN. Siga leyendo para decidir qu tipo de conexin va a configurar y cmo va a hacerlo. Qu tipo de conexin debo configurar? Una conexin dinmica genera y negocia dinmicamente las claves que protegen la conexin, mientras est activa, mediante el protocolo IKE. Las conexiones dinmicas proporcionan un nivel suplementario de seguridad para los datos que fluyen a travs de ellas porque las claves cambian automticamente, a intervalos regulares. En consecuencia, es ms difcil que un asaltante capture una clave, tenga tiempo de descifrarla y la utilice para desviar o capturar el trfico protegido por esta. Por otro lado, una conexin manual es aqulla en la que todas las propiedades de la VPN deben configurarse a mano. Adems, ambos extremos de la conexin requieren la configuracin de varios atributos que deben coincidir exactamente. Las conexiones manuales utilizan claves estticas que no se renuevan ni cambian mientras la conexin est activa. Debe detener una conexin manual para cambiar la clave asociada. Si considera que supone un riesgo para la seguridad, puede crear una conexin dinmica en su lugar. Cmo se configura una conexin dinmica VPN? Una VPN es en realidad un grupo de objetos de configuracin que definen las caractersticas de una conexin. Una conexin VPN dinmica necesita que cada uno de los siguientes objetos funcione correctamente. Siga los enlaces que figuran a continuacin para obtener informacin especfica sobre cmo configurarlos: Configuracin de las conexiones con el asistente Conexin Por lo general, utilizar el asistente Conexin para crear todas las conexiones dinmicas. El asistente crea automticamente cada uno de los objetos de configuracin que OS/400 necesita para funcionar correctamente, incluyendo las reglas de paquete. Si especifica que el asistente deber activar las reglas de paquetes VPN, puede saltar al paso 6 que se encuentra a continuacin, Iniciar la conexin. En caso contrario, despus de que el asistente haya terminado de configurar la VPN, debe activar las reglas de paquetes y, a continuacin, puede iniciar la conexin. Configuracin de las conexiones con el asistente Conexin VPN El asistente Conexin VPN permite crear una red privada virtual (VPN) entre cualquier combinacin de sistemas principales y pasarelas. Por ejemplo, de sistema principal a sistema principal, de pasarela a sistema principal, de sistema principal a pasarela o de pasarela a pasarela. El asistente crea automticamente cada uno de los objetos de configuracin que OS/400 necesita para funcionar correctamente, incluyendo las reglas de paquete. Sin embargo, si necesita aadir ms funciones; por ejemplo, registrar por diario o convertir direcciones, deber refinar ms la VPN mediante las hojas de propiedades del grupo de claves dinmicas o de la conexin adecuados. Para ello, primero debe detener la conexin si est activa. A continuacin, pulse con el botn derecho del ratn el grupo de claves dinmicas o la conexin y seleccione Propiedades. Complete el Asesor de planificacin VPN antes de empezar. El asesor le ofrece informacin importante que necesitar para crear la VPN.
Para crear una VPN con el asistente Conexin, siga estos pasos: En Operations Navigator, expanda el servidor --> Red--> Polticas IP. Pulse con el botn derecho del ratn Red privada virtual y seleccione Nueva conexin para iniciar el asistente Conexin. Siga los pasos del asistente para crear una conexin VPN bsica. Pulse el botn Ayuda si la necesita. Si decide no utilizar el asistente para configurar las conexiones dinmicas VPN, siga estos pasos para completar la configuracin: Configurar las polticas de seguridad VPN Debe definir polticas de seguridad VPN para todas las conexiones dinmicas. La poltica IKE y la poltica de datos estipulan cmo IKE protege las negociaciones de fase 1 y fase 2. Configuracin de las polticas de seguridad VPN Despus de determinar cmo va a utilizar la VPN, debe definir sus polticas de seguridad VPN. Concretamente, tendr que: Configurar una poltica IKE (intercambio de claves de Internet) La poltica IKE define qu nivel de autenticacin y de proteccin de cifrado utilizar IKE durante las negociaciones de fase 1. La fase 1 de IKE establece las claves que protegen los mensajes que fluyen en las negociaciones subsiguientes de la fase 2. No es necesario definir una poltica IKE cuando crea una conexin manual. Adems, si crea la VPN con el asistente Conexin, ste puede crear la poltica IKE por usted. Configurar una poltica de datos Una poltica de datos define el nivel de autenticacin o cifrado con que se protegen los datos que fluyen a travs de la VPN. Los sistemas que establecen la comunicacin se ponen de acuerdo sobre estos atributos durante las negociaciones de la fase 2 del protocolo IKE (intercambio de claves de Internet). No es necesario definir una poltica de datos cuando se crea una conexin manual. Adems, si crea la VPN con el asistente Conexin, ste puede crear una poltica de datos. Despus de configurar las polticas de seguridad VPN, debe configurar las conexiones seguras. Configurar conexiones seguras Tras haber definido las polticas de seguridad para la conexin, deber configurar la conexin segura. Para las conexiones dinmicas, el objeto de conexin segura incluye un grupo de claves dinmicas y una conexin de claves dinmicas. El grupo de claves dinmicas define las caractersticas comunes de una o varias conexiones VPN, mientras que la conexin de claves dinmicas define las caractersticas de las conexiones de datos individuales entre pares de puntos finales. La conexin de claves dinmicas existe dentro del grupo de claves dinmicas. Nota: slo necesita completar los siguientes dos pasos, Configurar las reglas de paquete y Definir una interfaz para las reglas, si selecciona la opcin La regla de filtrado de polticas se definir en las reglas de paquete en la pgina Grupo de claves dinmicas Conexiones en la interfaz VPN. De lo contrario, estas reglas se crearn como parte de las configuraciones VPN y se aplicarn a la interfaz que especifique.
Se recomienda que siempre permita a la interfaz OS/400 VPN crear sus reglas de filtrado. Llvelo a cabo seleccionando la opcin Generar el siguiente filtro de polticas para este grupo en la pgina Grupo de claves dinmicas - Conexiones. Configuracin de la conexin VPN segura Tras haber definido las polticas de seguridad para la conexin, deber configurar la conexin segura. Para las conexiones dinmicas, el objeto de conexin segura incluye un grupo de claves dinmicas y una conexin de claves dinmicas. El grupo de claves dinmicas define las caractersticas comunes de una o varias conexiones VPN. La configuracin de un grupo de claves dinmicas permite utilizar las mismas polticas, pero puntos finales de datos distintos, para cada conexin del grupo. Los grupos de claves dinmicas tambin permiten negociar con iniciadores remotos satisfactoriamente cuando los puntos finales de datos propuestos por el sistema remoto no se conocen especficamente de antemano. Lo lleva a cabo asociando la informacin de polticas del grupo de claves dinmicas con una regla de filtro de polticas que tenga un tipo de accin IPSec. Si los puntos finales de datos especficos que ofrece el iniciador remoto caen dentro del rango especificado en la regla de filtro IPSec, pueden estar sujetos a la poltica definida en el grupo de claves dinmicas. La conexin de claves dinmicas define las caractersticas de las conexiones de datos individuales entre los pares de puntos finales. La conexin de claves dinmicas existe dentro del grupo de claves dinmicas. Despus de configurar un grupo de claves dinmicas para describir qu conexiones de polticas del grupo deben utilizarse, necesita crear conexiones de claves dinmicas individuales para las conexiones que inicie localmente. Para configurar el objeto de conexin segura, complete estas tareas: Parte 1: Configurar un grupo de claves dinmicas: En Operations Navigator, expanda el servidor --> Red--> Polticas IP--> Red privada virtual--> Conexiones de seguridad. Pulse con el botn derecho del ratn Por grupo y seleccione Nuevo grupo de claves dinmicas. Pulse Ayuda si tiene preguntas acerca de cmo cumplimentar una pgina o alguno de los campos. Pulse Aceptar para guardar los cambios. Parte 2: configurar una conexin de claves dinmicas: En Operations Navigator, expanda el servidor --> Red --> Polticas IP--> Red privada virtual--> Conexiones de seguridad-> Por grupo. En el panel izquierdo de la ventana de Operations Navigator, pulse con el botn derecho del ratn el grupo de claves dinmicas que ha creado en la parte 1 y seleccione Nueva conexin de claves dinmicas. Pulse Ayuda si tiene preguntas acerca de cmo cumplimentar una pgina o alguno de los campos. Pulse Aceptar para guardar los cambios. Tras completar estos pasos, necesitar activar las reglas de paquetes que la conexin requiere para funcionar correctamente. Nota: en la mayor parte de casos, deber permitir que la interfaz OS/400 VPN genere las reglas de paquetes VPN automticamente seleccionando la opcin Generar el
siguiente filtro de polticas para este grupo en la pgina Grupo de claves dinmicas Conexiones. Sin embargo, si selecciona la opcin La regla de filtro de polticas se definir en las Reglas de paquetes, deber configurar una regla de paquete VPN manualmente y, a continuacin, activarlas. Configurar las reglas de paquete Tras haber completado la configuracin de VPN, deber crear y aplicar las reglas de filtrado que permiten al trfico de datos fluir por la conexin. La regla VPN anterior a IPSec permite todo el trfico IKE en las interfaces especificadas, de forma que IKE pueda negociar las conexiones. La regla de filtro de polticas define qu direcciones, protocolos y puertos puede utilizar el nuevo grupo de claves dinmicas. Por lo general, slo tendr que configurar las reglas de paquetes para la VPN cuando est migrando desde un release anterior y tenga reglas de paquetes que desee seguir utilizando. Si es el caso, debe revisar el tema, Antes de empezar a configurar las reglas de paquetes VPN. Configuracin de las reglas de paquetes VPN Si est creando una conexin por primera vez, debe permitir que OS/400 VPN genere automticamente las reglas de paquetes VPN. Puede llevarlo a cabo utilizando el asistente Conexin o las pginas de propiedades de OS/400 VPN para configurar la conexin. Si decide crear reglas de paquetes manualmente, deber crear tambin cualquier otra regla manualmente. Inversamente, si desea que OS/400 VPN genere las reglas de filtrado de polticas, deber crear todas las reglas de filtrado de polticas adicionales de esta forma. Revise"Antes de empezar a configurar las reglas de paquetes VPN," para obtener ms detalles. Siga los enlaces siguientes para aprender a configurar las reglas de paquetes VPN manualmente: Reglas de paquetes necesarias para las conexiones dinmicas Regla anterior a IPSec Las reglas anteriores a IPSec son todas las reglas de su sistema que preceden a las reglas con un tipo de accin IPSec. Este tema slo trata las reglas anteriores a IPSec que OS/400 VPN necesita para funcionar correctamente. En este caso, las reglas anteriores a IPSec son un par de reglas que permiten el proceso IKE en la conexin. IKE permite generar y negociar claves dinmicas para la conexin. Puede necesitar aadir otras reglas anteriores a IPSec en funcin de su entorno de red particular y de su poltica de seguridad. Regla de filtro de polticas La regla de filtro de polticas define el trfico que puede utilizar la VPN y qu poltica de proteccin de datos debe aplicarse a este trfico. Aspectos a considerar antes de empezar Al aadir reglas de filtrado a una interfaz, el sistema aade automticamente una regla DENY por omisin para esa interfaz. Esto significa que se deniega cualquier trfico no permitido explcitamente. No es posible ver ni cambiar esta regla. Como consecuencia, el trfico que anteriormente funcionaba falla misteriosamente al activar las reglas de filtrado de VPN. Si desea permitir en la interfaz un trfico que no sea VPN, debe aadir explcitamente reglas PERMIT para hacerlo.
Tras configurar las reglas de filtrado apropiadas, debe definir la interfaz a la que se aplicarn y, a continuacin, activarlas. Es esencial que configure las reglas de filtrado de forma apropiada. Si no es as, las reglas de filtrado pueden bloquear todo el trfico IP entrante y saliente de el iSeries 400. Esto incluye la conexin a Operations Navigator, que se utiliza para configurar las reglas de filtrado. Si las reglas de filtrado no permiten el trfico de Operations Navigator, Operations Navigator no podr comunicarse con el iSeries 400. Si se encuentra en esta situacin, necesitar conectarse al iSeries mediante una interfaz que an tenga conectividad, como por ejemplo, la consola de operaciones. Utilice el mandato RMVTCPTBL TBL(*ALL) para eliminar todos los filtros del sistema. Este mandato tambin finaliza los servidores *VPN y, a continuacin, los reinicia. Despus, configure los filtros y reactvelos. Definir una interfaz para las reglas Despus de configurar las reglas de paquetes y cualquier otra regla que necesite para habilitar la conexin VPN, debe definir una interfaz a la que aplicarlas. Definicin de una interfaz para las reglas de filtrado VPN Despus de configurar las reglas de paquetes de VPN y cualquier otra regla que necesite para habilitar la conexin VPN, debe definir una interfaz a la que aplicarlas. Para definir una interfaz a la que pueda aplicar las reglas de filtrado VPN, siga estos pasos: Nota: Si acaba de configurar las reglas de paquetes VPN, la interfaz de reglas de paquetes an estar abierta; vaya al cuarto paso. En Operations Navigator, expanda el servidor --> Red--> Polticas IP. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. De esta forma se visualizar la interfaz de reglas de paquete, que le permitir crear o editar reglas NAT y de filtro para el iSeries 400. Desde el men Archivo, seleccione Nuevo archivo. Pulse con el botn derecho del ratn Interfaces de filtro y seleccione Nueva interfaz de filtro. En la pgina General, seleccione Nombre de lnea y, a continuacin, seleccione la descripcin de lnea a la que se aplicarn las reglas de paquetes VPN en la lista desplegable. (opcional) Especifique una descripcin. En la pgina Conjuntos de filtros, pulse Aadir para aadir el nombre de cada conjunto a los filtros que acaba de configurar. Pulse Aceptar. Guarde el archivo de reglas. El archivo se guarda en el sistema de archivos integrado de iSeries con la extensin i3p. Nota: no guarde el archivo en el siguiente directorio: /QIBM/UserData/OS400/TCPIP/RULEGEN Este directorio es de uso exclusivo del sistema. Si alguna vez necesita utilizar el mandato RMVTCPTBL *ALL para desactivar las reglas de paquete, el mandato suprimir todos los archivos que se encuentren dentro de este directorio.
Despus de definir una interfaz para las reglas de filtrado, debe activarlas para poder iniciar la VPN. Activar las reglas de paquete Despus de definir una interfaz para las reglas de paquete, debe activarlas para poder iniciar la conexin. Activacin de las reglas de paquetes VPN Para poder iniciar una conexin VPN, primero debe activar las reglas de paquetes VPN. No puede activar un conjunto de reglas a menos que tenga el archivo de reglas abierto. Adems, no puede activar (o desactivar) las reglas de filtrado mientras se estn ejecutando las conexiones VPN. Por lo tanto, antes de activar las reglas de filtrado VPN, asegrese de que no hay ninguna conexin activa asociada con stas. La forma de crear reglas de paquetes determina la forma de activarlas: Activar las reglas de paquetes generadas por OS/400 VPN En Operations Navigator, expanda el servidor --> Red--> Polticas IP. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. Se visualizar la interfaz de reglas de paquetes. Desde el men Archivo, seleccione Nuevo archivo. Desde el men Archivo, seleccione Activar. Se abrir un dilogo que le permitir especificar si desea activar las reglas en una interfaz determinada o en todas las interfaces. Se recomienda activar siempre las reglas de paquetes en todas las interfaces. Pulse Aceptar en el dilogo para confirmar que desea verificar y activar las reglas en la interfaz o interfaces que ha especificado. Tras haberse completado el proceso de verificacin, se visualizar un mensaje de anotacin en la parte inferior de la ventana. El sistema activa las reglas si ha podido verificar que no presentan errores. Si hay errores, debe resolverlos antes de intentar reactivar las reglas. Activar las reglas de paquetes configuradas manualmente En Operations Navigator, expanda el servidor --> Red--> Polticas IP. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. Se visualizar la interfaz de reglas de paquetes. Abra el archivo de reglas que desee activar. Desde el men Archivo, seleccione Activar. Se abrir un dilogo que le permitir especificar si desea activar las reglas en una interfaz determinada o en todas las interfaces. Se recomienda activar siempre las reglas de paquetes en todas las interfaces. Pulse Aceptar en el dilogo para confirmar que desea verificar y activar las reglas en la interfaz o interfaces que ha especificado. Tras haberse completado el proceso de verificacin, se visualizar un mensaje de anotacin en la parte inferior de la ventana. El sistema activa las reglas si ha podido verificar que no presentan errores. Si hay errores, debe resolverlos antes de intentar reactivar las reglas. Despus de haber activado las reglas de filtrado, podr iniciar la conexin VPN. Iniciar la conexin Complete esta tarea para iniciar las conexiones. Cmo se configura una conexin VPN manual? Inicio de una conexin VPN
Estas instrucciones presuponen que ha configurado correctamente la conexin VPN. Siga estos pasos para iniciar la conexin VPN: Configurar conexiones manuales Las conexiones manuales definen las caractersticas de una conexin, incluyendo los protocolos de seguridad y los puntos finales de conexin y de datos. Nota: slo necesita completar los siguientes dos pasos, Configurar la regla de filtro de polticas y Definir una interfaz para las reglas, si selecciona la opcin La regla de filtrado de polticas se definir en las reglas de paquete en la pgina Conexin manual Conexin en la interfaz VPN. De lo contrario, estas reglas se crearn como parte de las configuraciones VPN. Se recomienda que siempre permita a la interfaz OS/400 VPN crear sus reglas de filtrado de polticas. Para ello seleccione la opcin Generar un filtro de polticas que coincida con los puntos finales de datos en la pgina Conexin manual - Conexin. Configuracin de una conexin manual Tal como sugiere el nombre, una conexin manual es una conexin en la que deben configurarse a mano todas las propiedades de VPN. Adems, ambos extremos de la conexin requieren la configuracin de varios elementos que deben coincidir exactamente. Por ejemplo, las claves de entrada, deben coincidir con las claves de salida del sistema remoto, de otro modo fallar la conexin. Las conexiones manuales utilizan claves estticas que no se renuevan ni cambian mientras la conexin est activa. Debe detener una conexin manual para cambiar la clave asociada. Si considera que supone un riesgo para la seguridad y ambos extremos de la conexin soportan el protocolo IKE (intercambio de claves de Internet), considere la posibilidad de configurar una conexin dinmica como alternativa. Configurar la regla de filtro de polticas Tras haber completado la configuracin de atributos de la conexin manual, deber crear y aplicar la regla de filtro de polticas que permita al trfico de datos fluir por la conexin. La regla de filtro de polticas define qu direcciones, protocolos y puertos puede utilizar la conexin asociada. Configuracin de una regla de filtro de polticas Atencin: slo deber completar esta tarea si ha especificado que no desea que OS/400 VPN genere su regla de filtro de polticas automticamente. La regla de filtro de polticas de IPSEC define qu direcciones, protocolos y puertos pueden utilizar la VPN. Tambin identifica la poltica que se aplicar al trfico en la conexin VPN. Para configurar una regla de filtro de polticas, siga estos pasos: Nota: si acaba de configurar la regla anterior a IPSec (slo para conexiones dinmicas), la interfaz de reglas de paquetes an estar abierta; vaya al cuarto paso. En Operations Navigator, expanda el servidor --> Red--> Polticas IP. Pulse con el botn derecho del ratn Reglas de paquetes y seleccione Configuracin. De esta forma se visualizar la interfaz de reglas de paquete, que le permitir crear o editar reglas NAT y de filtro para el iSeries 400. Desde el men Archivo, seleccione Nuevo archivo. Pulse con el botn derecho del ratn Filtros y seleccione Filtro nuevo. En la pgina General, especifique un nombre de conjunto para las reglas de filtrado VPN. Le recomendamos que cree al menos tres conjuntos distintos: uno para las reglas
de filtrado anteriores a IPSec, uno para las reglas de filtrado de polticas y otra para las reglas de filtrado DENY y PERMIT miscelneas. Por ejemplo, policyfilters. En el campo Accin, seleccione IPSEC en la lista desplegable. El campo Direccin toma OUTBOUND por omisin y no puede cambiarlo. A pesar de que este campo toma OUTBOUND por omisin, en realidad es bidireccional. El valor OUTBOUND aparece para clarificar la semntica de los valores de entrada. Por ejemplo, los valores origen son valores locales y los valores destino son valores remotos. Para Nombre de la direccin de origen, seleccione = en el primer campo y, a continuacin, especifique la direccin IP del punto final de datos local en el segundo campo. Tambin puede especificar un rango de direcciones IP o una direccin IP ms una mscara de subred tras haberlos definido mediante la funcin Definir direcciones. Para Nombre de direccin de destino, seleccione = en el primer campo y, a continuacin, especifique la direccin IP del punto final de datos remoto en el segundo campo. Tambin puede especificar un rango de direcciones IP o una direccin IP ms una mscara de subred tras haberlos definido mediante la funcin Definir direcciones. En el campo Registro por diario, especifique el nivel de registro por diario que necesita. En el campo Nombre de la conexin, seleccione la definicin de conexin a la que se aplican estas reglas de filtrado. (Opcional) Especifique una descripcin. En la pgina Servicios, seleccione Servicio.De esta forma se habilitan los campos Protocolo, Puerto origen y Puerto destino. En los campos Protocolo, Puerto de origen y Puerto de destino, seleccione el valor apropiado para el trfico. O puede seleccionar el asterisco (*) en la lista desplegable. De esta forma, cualquier protocolo puede utilizar la VPN a travs de cualquier puerto. Pulse Aceptar. El siguiente paso consiste en definir la interfaz a la que se aplican estas reglas de filtrado. Nota: al aadir reglas de filtrado para una interfaz, el sistema aade automticamente una regla DENY por omisin para la interfaz. Esto significa que se deniega cualquier trfico no permitido explcitamente. No es posible ver ni cambiar esta regla. Como consecuencia, ver que algunas conexiones que anteriormente funcionaban, fallan misteriosamente tras activar sus reglas de paquetes VPN. Si desea permitir en la interfaz un trfico que no sea VPN, debe aadir explcitamente reglas PERMIT para hacerlo. Definir una interfaz para las reglas Despus de configurar las reglas de paquetes y cualquier otra regla que necesite para habilitar la conexin VPN, debe definir una interfaz a la que aplicarlas. Activar las reglas de paquete Despus de definir una interfaz para las reglas de paquete, debe activarlas para poder iniciar la conexin. Iniciar la conexin Complete esta tarea para iniciar las conexiones que se inician localmente.
VPN (Redes Privadas Virtuales)

Indice 1. Introduccin 2. Por qu una VPN? 3. Que es una VPN? 4. Tecnologa de tnel 5. Requerimientos bsicos de una VPN 6. Herramientas de una VPN 7. Ventajas de una VPN 8. Conclusin 9. Bibliografa 1. Introduccin Una RED se extiende sobre un rea geogrfica amplia, a veces un pas o un continente; contiene una coleccin de mquinas dedicadas a ejecutar programas de usuario ( aplicaciones ). En los ltimos aos las redes se han convertido en un factor crtico para cualquier organizacin. Cada vez en mayor medida, las redes transmiten informacin vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad, alcance geogrfico y efectividad en costos. Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de las empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentas con oficinas remotas a varios kilmetros de distancia, pero tambien es cierto que estas redes remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y las redes para obtener informacin confidencial. Por tal motivo la seguridad de las redes es de suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN 2. Por qu una VPN? Cuando deseo enlazar mis oficinas centrales con alguna sucursal u oficina remota tengo tres opciones: Modem: Las desventajas es el costo de la llamada, ya que el costo de esta llamada sera por minuto conectado, ademas sera una llamada de larga distancia, a parte no contara con la calidad y velocidad adecuadas. Lnea Privada: Tendra que tender mi cable ya sea de cobre o fibra ptica de un punto a otro, en esta opcin el costo es muy elevado porque si por ejemplo necesito enlazar mi oficina central con una sucursal que se encuentra a 200 Kilmetros de distancia el costo sera por la renta mensual por Kilmetro. Sin importar el uso. VPN: Los costos son bajos porque solo realizo llamadas locales, ademas de tener la posibilidad de que mis datos viajen encriptados y seguros, con una buena calidad y velocidad. 3. Que es una VPN? Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de encriptacin, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras pblicas de transporte. Los paquetes de datos de la red privada viajan por medio de un tnel definido en la red pblica. (ver figura siguiente) Figura 1 Figura 2 En la figura anterior (figura 2) se muestra como viajan los datos a traves de una VPN ya que el servidor dedicado es del cual parten los datos, llegando a firewall que hace la funcin de una pared para engaar a los intrusos a la red, despues los datos llegan a nube de internet donde se genera un tnel dedicado unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambien garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto. Las VPN pueden enlazar mis oficinas corporativas con los socios, con usuarios mviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente. Figura 3 4. Tecnologa de tnel 1
Las redes privadas virtuales crean un tnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulacin adems los paquetes van encriptados de forma que los datos son ilegibles para los extraos. Figura 4 El servidor busca mediante un ruteador la direccin IP del cliente VPN y en la red de transito se envian los datos sin problemas. 5. Requerimientos bsicos de una VPN Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: Identificacin de usuario Administracin de direcciones Codificacin de datos Administracin de claves Soporte a protocolos mltiples Identificacin de usuario La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estn autorizados. As mismo, debe proporcionar registros estadsticos que muestren quien acceso, que informacin y cuando. Administracin de direcciones La VPN debe establecer una direccin del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven as. Codificacin de datos Los datos que se van a transmitir a traves de la red pblica deben ser previamente encriptados para que no puedan ser ledos por clientes no autorizados de la red. Administracin de claves La VPN debe generar y renovar las claves de codificacin para el cliente y el servidor. Soporte a protocolos mltiples La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pblica. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros. 6. Herramientas de una VPN VPN Gateway Software Firewall Router VPN Gateway Dispositivos con un software y hardware especial para proveer de capacidad a la VPN Software Esta sobre una plataforma PC o Workstation, el software desempea todas las funciones de la VPN. 7. Ventajas de una VPN Dentro de las ventajas ms significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. Reduccin de costos. Sencilla de usar. Sencilla instalacin del cliente en cualquier PC Windows. Control de Acceso basado en polticas de la organizacin Herramientas de diagnostico remoto. Los algoritmos de compresin optimizan el trfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PCs remotas. 8. Conclusin Las VPN representan una gran solucin para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y practicamente se ha vuelto un tema importante en las organizaciones, debido a 2
que reduce significativamente el costo de la trasnferencia de datos de un lugar a otro, el unico inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las polticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias. Figura 5 9. Bibliografa Internet http://www.entarasys.com/la http://www.cisco.com/warp/public/44/solutions/network/vpn.shtml

Seguridad en Redes

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en Redes

Cargado por

Copyright:

Formatos disponibles

FundamentosdeSeguridadenRedes MODULOI Clase Feb-10-09 Programa de Clase MODULO 1 - Fundamentos de seguridad en redes Introduccin Sensibilizacin Conceptual Oficial de seguridad

Funciones y responsabilidades del rea de seguridad

Clase Feb24 de Febrero de 2009

Ciclo de vida de la seguridad

o Sistemas operativos o Bases de datos o Aplicaciones

Para el jueves Control de vulnerabilidades en la Red - pagina 12 puntos 1,2 y 3

Clase Jueves, 26 de febrero de 2009

Tenemos que enfocarlas en: La tecnologa, Los procesos y Las personas

tica al Hacking para evaluar toda la parte tecnolgica

Clase Feb28 de 2009

Anlisis de riesgos, entre cualitativos y cuantitativos

controles a corto plazo -> riesgos a largo plazo

FundamentosdeSeguridadenRedes MODULOI Clase Marzo 5 de 2009

Riesgos= Vulnerabilidades + Amenazas + Impacto

Cualitativos Probabilidad de amenaza Impacto Riesgo

Con la amenaza ms las consecuencias de la amenaza se define el nivel de riesgo.

FundamentosdeSeguridadenRedes MODULOI Clase Marzo 07 de 2009

Norma BS 7799 Norma BS 7799 -> 1993

Norma BS 7799 V2 -> 1998: 10 dominios de seguridad

ISO 27001 V1 -> 2005 Actualizacin de la ISO 17799 V2

FundamentosdeSeguridadenRedes MODULOI 3 objetivos de control 10 controles

Para el martes 10 de marzo

Hacer un mapa conceptual de la norma ISO 270001

FundamentosdeSeguridadenRedes MODULOI Marzo 12 de Marzo de 2009

Hackers: Personas que se dedican a buscar vulnerabilidades en la red, con un fin.

Crackers: Son personas que se dedican a identificar vulnerabilidades sino a explotarlas.

Piratas informticos: Personas dedicadas a vender todo lo que copian.

La SANS entidad de hacer especializaciones de ethical Hackings

Metodologa de Ethical Hacking

Alcances Servicios Redes locales

FundamentosdeSeguridadenRedes MODULOI Clase Marzo14-09

Continuacin metodologa Ethical Hacking

Herramienta Solazwin 2000 -> Denegacin de servicio. Conexiones Rutas Puertos

* No es conveniente virtualizar los elementos de seguridad!!!!

Dentro del scaneo de puertos: HTTP -> INTRANET

IIS Apache Xampp Herramienta TELEPORT, copia exacta de la pgina

TALLER2 - Ethical Hacking en las redes locales

SA es un login y usuario por defecto para bases de datos en SQL Server

Direccionamiento: LAN:Privada WAN:Publica DMZ:Ambos SehaceNATatodoslosserviciosmenosalaBDatos:HTTP,SNMP Otrotipodefirewallporhardwarequetiene4omsinterfaces. Enestetipodefirewallsepuedendefinirlaszonas.

IPDestino Protocolo TCP UDP ICMP Servicio Accin

Servicio WEB 1433 25

Accin Permitir Permitir Permitir

FundamentosdeSeguridadenRedes MODULOII ClaseAbril20de2009 InvestigarquesonlasVPN, QueesunaVPN, cualessonlascaractersticasdelasVPN, queventajasyquedesventajastenemos. TiposdeVPN ParmetrosdeconfiguracinserequiereparalasVPN

MODELO DE REPORTE DE INCIDENTE DE SEGURIDAD DE LA INFORMACIN

INFORMACIN SOBRE EL INCIDENTE Describa el incidente:

ANLISIS DEL ARTICULO IDENTIFICACION DE VULNERABILIDADES EN LA RED

Instructor: Ing. Daro Eduardo Muetn

Carlos Manuel Rentera de la Cruz

Bogot, Febrero de 2009

IDENTIFICACION DE VULNERABILIDADES EN LA RED

ANLISIS DEL ARTICULO IDENTIFICACION DE VULNERABILIDADES EN LA RED

IDENTIFICACION DE VULNERABILIDADES EN LA RED

Instructor: Daro Eduardo Muetn

Carlos Manuel Rentera de la Cruz Luis Majin Cceres Daza

Bogot, Marzo de 2009

5. Seguridad fsica y del entorno

7. Control de acceso al sistema

9. Plan de continuidad 10. Conformidad

Nuevas Versiones ISO/IEC

Dominios de Seguridad, Objetivos de Control y Controles

Instructor: Daro Eduardo Muetn

Carlos Manuel Rentera de la Cruz

Bogot, Marzo de 2009