Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seminario de Redes
“Estrategias de Gestión y Seguridad de Redes.”
INTRODUCCIÓN
La gestión de red consiste en monitorizar y controlar los recursos de una red con el fin de
evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones. La
capacidad de Gestión de Redes engloba todos aquellos aspectos a considerar a la hora de
implementar la infraestructura de comunicaciones que soporta todas las tecnologías de
información de la empresa, así como los mecanismos de protección de la propia
infraestructura frente a ataques externos o internos contra la seguridad, la privacidad o la
integridad de la información, siempre con el objetivo de mantener en servicio el acceso a
los recursos corporativos y un tráfico de datos fluido.
La gestión de redes es uno de los aspectos más importantes en el diseño de redes lógicas.
La gestión es usualmente pasada por alto durante el diseño de una red, debido a que es
considerada una cuestión operacional más que una cuestión de diseño. Un buen diseño de
gestión de red puede ayudar a una organización a alcanzar disponibilidad, rendimiento y
seguridad. Procesos efectivos de gestión de redes pueden ayudar a una organización a
medir la efectividad de los objetivos de diseño y ajustar parámetros de la red para mejorar
el rendimiento. La gestión de redes también facilita la escalabilidad debido a que puede
ayudar a una organización a analizar el comportamiento actual de una red, aplicar
actualizaciones apropiadamente y resolver cualquier problema que provoquen estas
actualizaciones.
3
DESARROLLO
El primer paso en el diseño de la seguridad de la red es identificar los bienes que tienen que
ser protegidos, el valor de los bienes, y el costo esperado asociado con la pérdida de dichos
bienes si ocurre una brecha de seguridad.
Los bienes de una red incluyen hardware, software, aplicaciones y datos. También incluyen
propiedades intelectuales, transacciones secretas y la reputación de la compañía. Como
diseñador de redes se debe identificar cuales bienes son críticos para la empresa. Analizar
los activos de la red trae consigo consecuencias de los riesgos de seguridad. Los riesgos
pueden extenderse de agentes externos hostiles hacia los usuarios no entrenados.
Otro grupo lo constituyen ataques de negación de servicios, los cuales tienen como objetivo
la disponibilidad de una red, host o aplicación, haciendo imposible garantizar el acceso a
usuarios legítimos. Constituyen un mayor riesgo debido a que pueden interrumpir procesos
de negocios y son relativamente simples de conducir. Incluye la inundación de servicios
públicos con enormes números de peticiones de conexión, trafico aleatorio, etc., en un
intento de consumir tanto ancho de banda como sea posible.
En los dispositivos intervenidos, los datos pueden ser interceptados, alterados o borradas,
las contraseñas de los usuarios pueden ser descubiertas y las configuraciones pueden ser
modificadas.
6
Aunque muchos clientes tienen más metas específicas, en general, los requisitos de
seguridad se resumen a la necesidad de proteger los siguientes activos:
Los balances deben hacerse entre las metas de seguridad y otras metas, entre ellas:
Para que un plan de seguridad sea útil necesita tener el apoyo de todos los empleados
dentro de la organización, especialmente de los directivos.
7
Para la RFC 2196 "El Manual de la Seguridad de un sitio ", una Política de seguridad es:
-"Una declaración formal con las reglas q deben cumplir las personas que tienen acceso a la
tecnología de una organización, y a los bienes de información".
Una política de acceso que define los derechos y privilegios de acceso. Dicha
política debe proveer pautas para las conexiones de redes externas, conexiones de
dispositivos a la red, y la adición de software al sistema. Una política de acceso
también tiene que dejar claro cómo la información es categorizada (por ejemplo:
confidencial, interna o secreta).
Una política de responsabilidad que define las responsabilidades de usuarios, del
personal de operaciones y de la dirección. Esta política tiene que dejar claro que
hacer y a quién contactar si una posible intrusión es detectada.
Una política de autenticación que provee confianza a través del uso de contraseñas y
también garantiza la autenticidad de usuarios remotos.
Una política de privacidad que define expectativas razonables de la misma teniendo
en cuenta el monitoreo de correos electrónicos, registro de contraseñas y el acceso a
los archivos de usuarios.
Una guía de la tecnología de la computadora que especifica los requisitos para
adquirir, configurar y chequear los sistemas de las computadoras y la red para el
cumplimiento con la política.
Seguridad física.
Autenticación.
8
Autorización.
Registro.
Encriptamiento
Filtros de paquetes.
Firewalls.
Sistemas de Detección de Intrusos (IDS)
Seguridad física:
A merced del nivel de protección, la seguridad física puede proteger una red de
acontecimientos del terrorista, incluyendo explosivos, los derramamientos radiactivos,
etcétera. La seguridad física también puede proteger recursos de desastres naturales como
inundaciones, fuegos, tormentas, y terremotos.
A merced de su cliente particular del diseño de la red, la seguridad física debería ser
instalada para proteger core routers, puntos de demarcación, cableado, los módems, los
servidores, los anfitriones, el almacenamiento de respaldo. El trabajo con clientes durante
las anteriores etapas del proyecto del diseño de la red para hacer el equipo seguro será
colocado en cuartos de computadoras que tienen tarjeta de acceso y / o guardas de
seguridad. Los cuartos de la computadora también deberían estar acondicionados con
suministros de fuerza interrumpibles, alarmas de incendios, mecanismos de disminución de
fuego, y deberían suavizar sistemas de extracción. Para proteger equipo de terremotos y los
vientos de alto durante tormentas, el equipo debería ser instalado en perchas que traban un
embargo para el piso o pared.
Autenticación:
9
La mayoría de normas de estado sobre seguridad declaran que para ganar acceso a una red
y sus servicios, un usuario debe entrar su identificación en el sistema dado y contraseña que
se autenticó por un servidor seguro. La autenticación se basa tradicionalmente en una de
tres pruebas:
Algo que el usuario sabe. Esto usualmente implica conocimiento de un secreto único que se
compartió. Para un usuario, este secreto aparece como una contraseña clásica, un número
de identificación personal, o una llave criptográfica privada.
Algo que el usuario tiene. Esto usualmente implica posesión efectiva de un artículo esto es
único para el usuario. Los ejemplos incluyen contraseñas de tarjetas de señal, tarjetas de
seguridad, y llaves del hardware.
Algo que el usuario es. Esto implica verificación de una característica física única del
usuario, algo semejante como una huella digital, patrón de la retina, voz, o la cara.
Autorización:
Mientras que la autenticación controla quién puede ganar el acceso a recursos de red, la
autorización dice lo que pueden hacer después de que hayan ganado acceso a los recursos.
La autorización concede privilegios para los procesos y los usuarios. La autorización deja a
un administrador controlar partes de una red (por ejemplo, los directorios y los archivos en
servidores).
Registro:
Para redes con normas de actuación sobre seguridad estrictas, los datos de auditoría
deberían incluir todos los intentos a lograr autenticación y autorización por cualquier
ciudadano. Es especialmente importante a poner en bitácora el acceso "anónimo" o del
"invitado" para servidores públicos. Los datos también deberían poner en bitácora todos los
intentos por usuarios para cambiar sus derechos de acceso.
Los datos cobrados deberían incluir al usuario y los nombres bases para los intentos de
entrada en el sistema y de salida del sistema, y los derechos de acceso previos y nuevos
para un cambio de derechos de acceso.
Firewalls:
Un firewall tiene un conjunto de reglas a especificar cuál tráfico debería estar permitido o
negado. Un firewall estático del filtro de paquete mira paquetes individuales y es
optimizado para la simplicidad de velocidad y de configuración. Un firewall puede rastrear
sesiones de comunicación y más inteligentemente puede dejar o puede negar tráfico. Por
ejemplo, firewall puede recordar que un cliente protegido inició una petición a hacer una
descarga de datos de un servidor de la Internet y permitir datos de esa conexión. Un
firewall también puede trabajar con protocolos, algo semejante como el FTP en ejecución
(el modo portuario), eso requiere el servidor para también abrir una conexión para el
cliente.
Otro tipo de firewall es el firewall de proxy. Los firewalls de proxy son más avanzados que
el firewall y también los menos comunes. Un firewall de proxy actúa como un agente
comercial entre anfitriones, interceptando una cierta cantidad o todo tráfico aplicativo entre
11
clientes locales y fuera de servidores. Los firewalls de proxy examinan paquetes. Estos
tipos de firewalls pueden bloquear contenido, así como también tráfico malicioso que es
estimado inaceptable.
7. Mantener la Seguridad:
Mecanismos de seguridad.
Gestión de fallas.
Gestión de configuración.
Gestión de contabilidad.
Gestión del rendimiento.
Gestión de seguridad.
- rendimiento end-to-end: Mide el rendimiento a través de una red de internet, puede medir
disponibilidad, capacidad, utilización, delay, variación del delay, throughput, tiempo de
respuesta, errores, y robustez de tráfico.
Con la supervisión dentro de banda, los datos de gestión de red viajan a través de una
interconexión de redes utilizando los mismos caminos como el tráfico de usuarios. Es
beneficioso utilizar herramientas de gestión, incluso cuando se congestiona la red interna,
en su defecto, o en virtud de un ataque de seguridad. El monitoreo fuera d banda hace que el
diseño de la red más compleja y costosa. Al mantener los costos bajos, las líneas dialup
analógicas se utilizan a menudo para la copia de seguridad, en lugar de RDSI o circuitos Frame
Relay. Otra desventaja con la supervisión fuera de banda es que hay los riesgos de seguridad
asociados con la adición de enlaces entre NMS y agentes. Para reducir los riesgos, los enlaces
deben ser cuidadosamente controlados y añadido sólo si es absolutamente necesario. Para los
enlaces de módem analógico, el agente debe utilizar un mecanismo de devolución de llamada
después de las llamadas de NMS el agente.
La monitorización distribuida significa que los SMN y los agentes se extienden a través de
la interconexión de redes. Una disposición distribuida jerárquica puede ser utilizado por el
cual distribuido SMN enviaremos los datos de sofisticada SMN centralizada utilizando un
(MoM) de la arquitectura gerente de gerentes. Un sistema centralizado que gestiona
distribuye SMN a veces se llama un paraguas NMS.
En una arquitectura MoM, distribuido el SMN puede filtrar datos antes de enviarlos a las
estaciones centralizadas, reduciendo así la cantidad de datos de gestión de red que fluye en
16
Para garantizar una alta disponibilidad de la red, las herramientas de gestión deben apoyar
numerosas características que pueden ser utilizados para el funcionamiento, fallos,
configuración, seguridad y gestión de contabilidad. Como mínimo, una solución de gestión
de red debe incluir herramientas para aislar, diagnosticar y notificar los problemas para
facilitar la reparación y recuperación rápida. Idealmente, el sistema también debe
incorporar inteligencia para identificar las tendencias que pueden predecir una posible falla
para que un administrador de red puede tomar medidas antes de que ocurra una condición
de falla.
entrada del usuario. En muchos casos, que tiene tanto una interfaz del navegador y la
interfaz de línea de comandos (CLI) es beneficioso.
SNMPv3 debe sustituir gradualmente las versiones 1 y 2, ya que ofrece una mayor
seguridad, incluyendo la autenticación para proteger contra la modificación de la
información, y el conjunto de seguro operaciones para la configuración remota de los
dispositivos administrados en SNMP.
SNMPv2 se introdujo en 1993 y actualizado en 1996. SNMPv2 añadió una operación para
la recuperación eficiente de un bloque de parámetros al recoger datos de una tabla de
parámetros; Sin embargo, ni SNMPv1 ni SNMPv2 proporcionan características de
seguridad. Sin autenticación, es posible que los usuarios no autorizados para el ejercicio de
red SNMP funciones de gestión. También es posible que los usuarios no autorizados espíen
en la gestión de información a medida que pasa de los sistemas gestionados a un SMN.
18
SNMPv3 ofrece características de seguridad para ayudar a aliviar estos problemas. Por su
seguridad, SNMPv3 puede ser utilizado para algo más que el seguimiento de las
estadísticas de la red. También se puede utilizar para el control de aplicaciones. La mayoría
de los proveedores soportan SNMPv3. Cisco comenzó a apoyar SNMPv3 en Cisco IOS
Software Release 12.0 (3) T.
RFC 2579 define los mecanismos para describir y nombrar a los parámetros que se
manejan con SNMP. Los mecanismos son llamados la estructura de la información
gestionada (SMI).
RFC 3416 define las operaciones de protocolo SNMP.
Bases de Información de Administración (MIB) define los parámetros de gestión
que sean accesibles a través de SNMP. Varios RFC definen MIB de diferentes tipos.
El conjunto básico de parámetros para la suite de protocolos de Internet que se
llama MIB II y se define en el RFC 1213. Los vendedores también pueden definir
MIB privadas.
Una MIB almacena la información recogida por el agente de gestión local en un dispositivo
gestionado. Cada objeto en una MIB tiene un identificador único. Las aplicaciones de gestión
de red utilizan el identificador para recuperar un objeto específico. El MIB se estructura como
un árbol. Los objetos similares son agrupados bajo la misma rama del árbol MIB. Por ejemplo,
varios contadores de interfaz se agrupan bajo la rama de Interfaces del árbol MIB II (RFC
1213).
MIB II define los siguientes grupos de objetos gestionados para redes TCP / IP:
Sistema
Interfaces
Traducción de direcciones
IP
ICMP
TCP
UDP
EGP
Transmisión
SNMP
Además del estándar MIB, tales como MIB II para los objetos de TCP / IP, hay definiciones
MIB específicas del proveedor. Los vendedores pueden obtener su propia rama de la definición
privada de un subárbol MIB y, crear objetos gestionados encargo bajo esa rama. Para utilizar
las definiciones privadas de objetos gestionados, un administrador de red debe importar las
20
definiciones en un NMS. Un router Cisco soporta objetos estándares MIB II y objetos privados
administrados introducidas por Cisco en una sección privada del árbol MIB.
El RMON MIB fue desarrollado por el IETF (Grupo de Trabajo de Ingeniería de Internet) a
principios de 1990 para hacer frente a las deficiencias en los estándares MIB, que carecían de la
capacidad de proporcionar estadísticas sobre el enlace de datos y parámetros de capa física. El
IETF desarrolló la RMON MIB para proporcionar las estadísticas del tráfico Ethernet y
diagnóstico de fallas.
Con el comando “show cdp neighbors detalle” se puede mostrar información detallada
acerca de routers y switches, incluyendo los protocolos vecino que están habilitados, las
21
CDP se ejecuta sobre la capa de enlace de datos, permitiendo dos sistemas que soportan
diferentes protocolos de capa de red para comunicarse. Las tramas CDP utilizan una
encapsulación de Protocolo de Acceso de Subred (SNAP) y se envían a la dirección
multidifusión de Cisco 01-00-0C-CC-CC-CC. Los switches y routers Cisco no reenvían
tramas CDP hacia adelante. Las tramas CDP se envían cada 60 segundos de forma
predeterminada, aunque se puede cambiar esto con el comando “cdp timer”.
Las tramas CDP se envían con un tiempo de espera de 180 segundos de forma
predeterminada. Este tiempo de espera específica la cantidad de tiempo que un dispositivo
receptor debe contener la información antes de descartarlo. Cuando una interfaz se apaga,
CDP envía una trama con el tiempo de espera en cero. Se puede configurar este tiempo de
espera con el comando “cdp holdtime”. El envío de un paquete CDP con un tiempo de
espera de cero permite que un dispositivo de red descubra rápidamente un vecino perdido.
principal será SNMP, aunque existen otras opciones, como CDP, ping, traceroute IP y así
sucesivamente.
Después de seleccionar los protocolos de gestión, debe determinar qué red y dispositivo
serán gestionados. El objetivo es determinar qué datos solicitará una NMS desde los
dispositivos gestionados. Estos datos podrían consistir en información de accesibilidad,
tiempo de respuesta, mediciones, información de la dirección de capa de red, y los datos de
la RMON MIB u otros MIB. Después de determinar qué características serán recogidas del
dispositivo gestionado, se debe determinar la frecuencia con la que el NMS solicitará los
datos (esto es llamado el intervalo de muestreo).
En este ejemplo, una red compartida a 10-Mbps Ethernet, los datos de gestión de red
usarían 4% del ancho de banda de red disponible, que es importante, pero probablemente
aceptable. Una buena regla general es que el tráfico de administración debe utilizar menos
del 5% de la capacidad de una red.
23
CONCLUSIONES
La seguridad y gestión de una red es una preocupación principal para la mayoría de los
clientes debido al incremento en la conectividad a internet y a sus aplicaciones, y porque más
usuarios acceden a las redes empresariales desde sitios remotos y dispositivos inalámbricos;
además al mismo tiempo las empresas se han convertido en más dependiente de sus redes y
esto trae consigo un mayor número de ataques.
Mediante este trabajo brindamos información para ayudar a los clientes de una red a
seleccionar los métodos y encontrar las metas para la seguridad de su red, para esto es
importante identificar bienes y riesgos así como el desarrollo de los requisitos de seguridad,
tener en cuenta el diseño lógico para seguridad (topologías seguras), además del plan de
seguridad, política y procedimientos que cubren también mecanismos de seguridad.
No llevar a cabo una correcta gestión en el diseño lógico de una red puede causar problemas de
escalabilidad y afectar el rendimiento de la red ya que mediante esta se administran los
usuarios y el software de cada uno y se les brinda soporte y seguridad, además de la
garantía de una resolución inmediata e irrepetible de los errores.
Con la implementación de la gestión de red se tiene una mayor certeza a la hora de escoger
un dispositivo o una tecnología que cumpla con las exigencias de los usuarios.