Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Crea políticas y métodos de acceso de usuarios a redes locales y amplias para proteger a las
organizaciones de intrusos y actividades no deseadas, en el ámbito de seguridad de redes y
periféricos.
1 Introducción
En el módulo anterior se analizó el proceso de la comunicación de las personas y como a través de este
nos podemos relacionar, junto con ello, se dijo que puede existir problemas o dificultades en el proceso
de la comunicación cuando se presentan obstáculos, distancias, idiomas, signos, etc. Dentro de las
manifestaciones del proceso de la comunicación, encontramos a las telecomunicaciones, las cuales son
una forma de comunicación a distancia, en la que, mediante la tecnología y la informática podemos
adaptar y modelar el mensaje para ser trasmitido por todos los lugares donde haya necesidad de
comunicar. El desarrollo de las telecomunicaciones y la informática ha permitido muchos avances y
formas de solucionar el problema, ya de los tiempos de la revolución de las maquinas en adelante,
grandes inventores y genios han marcado el camino y el proceso del desarrollo de la comunicación, con
el único fin de transportar la información.
Ahora, con nuestro problema solucionado -la distancia, obstáculos, signos, etc.- se presentan nuevos
desafíos y problemas, por ejemplo, definir como se asegura el proceso de la comunicación. Ya no basta
con declarar un mensaje como confidencial, además debemos de pensar en técnicas y procesos
medibles para que independientemente de donde se ubique el mensaje dentro de un sistema de
telecomunicación este se encuentre seguro.
Este módulo resuelve el problema de la seguridad de la información a nivel de acceso, esto es, la forma
en como accedemos al recurso y como se autentifican usuarios, procesos y servicios ante un
determinado sistema de telecomunicaciones. De esta forma se sigue respondiendo al gran objetivo que
tiene la Triada de la Información, que es mantener la disponibilidad, la integridad y la confidencialidad
de la información. Se debe considerar un gran número de mecanismos de seguridad para cumplir el
objetivo. Recuerde que la seguridad es similar a la calidad de servicios (QoS) esta debe ser aplicada en
todos los niveles del Modelo OSI, si tomamos este modelo como referencia. Entonces, debe pensar en
seguridad física, como lo son los candados y lugares donde estará el sistema; en seguridad local,
segmentación y acceso al medio; seguridad en la red, protocolos de enrutamiento y reconocimiento;
seguridad en el transporte, identificar puertos y formas de control; seguridad en la sesión, establecer
condiciones para los usuarios; seguridad de presentación, formatos encriptados y bien ensamblados;
seguridad en aplicación, protocolos de comunicaciones bien definidos y estandarizados. Todo en su
conjunto y siempre implantando mejoras nos permitirá decir que tenemos un sistema seguro.
Desde el punto de vista del acceso la red debe responder a correctas autentificaciones, es decir que la
persona que se conecta sea quien dice ser y sobre todo que la información este en las personas y
proceso
Pág. 5
correcto. Esto lo podremos cumplir creando métodos y políticas de acceso a usuarios dentro de la
organización (LAN) y fuera de ella (WAN), auditando las actividades realizadas en la red, para asegurar el
correcto cumplimento de las políticas de seguridad empresariales. En este capítulo se analizarán y
diseñarán formas de seguridad a nivel de acceso, relacionado conceptos de usuarios, grupos, permisos,
firewall, sesiones, conexiones, entre otros.
1 Contextualización
Recuerde que seguimos con la propuesta de situarnos en el siguiente escenario. Usted ha sido
contratado por una empresa del área de la publicidad, el diseño y el desarrollo de software. Esta
empresa (de tamaño mediano) está creciendo a pasos agigantados, ya que su trabajo y desarrollo en
arte de la publicidad y diseño destaca por sobre las demás, lo que la ha llevado a tener una importante
cartera de clientes del rubro de retail, salud y educación, que ha permitido que ahora esté negociando
un nuevo contrato con uno de los bancos más prestigiosos de país. Para ello el banco en un plazo de no
más de tres meses le ha pedido que para cerrar el acuerdo comercial la empresa debe mostrar el
máximo de seguridad de la información, ya que el banco confiará información confidencial de sus
clientes, para el desarrollo y la gestión de los servicios sus cuentas corrientes.
Por lo anterior es que su trabajo es mejorar al máximo los estándares de seguridad de la empresa, que
no son malos, pero se pueden llevar a un nivel superior. Pare ello, usted tiene dos meses para planificar,
levantar información, mejorar los tipos de accesos tanto del personal como de los clientes, separar y
replanificar la red inalámbrica al servicio de colaboradores de la empresa como así también mejorar la
arquitectura de datos con la adquisición y programación de nuevos hardware y software de red.
Ya se diseñó la red y se analizó la infraestructura que esta tenia, ahora debe crear políticas y métodos de
acceso de usuarios de la red local y fuera de ella para asegurar el proceso productivo de la organización.
2 Identificación de Acceso
Ya es sabido que la información o el saber marca mucho valor, esto se nota mucho más a nivel de
organizaciones, de tal forma que la información se transforma en un activo. En la información debe estar
la mirada al momento de pensar en la protección, puesto que estos datos se pueden ver amenazados
debido al valor dado. Estas amenazas pueden ser externas y otras tantas por ataques internos en la
misma organización. Las amenazas pueden ser intencionadas, casi siempre con el fin de lograr un
beneficio y otras tantas solo por hacer daño. También, hay un gran número de amenazas o daños no
intencionados, esto ocurre principalmente por la falta de conocimiento del personal de la propia
organización o peor aún por el poco interés de la organización en mejorar la conducta de seguridad de
su personal.
Con la llegada de internet a todas partes y en especial a las personas de forma masiva, se ha impuesto
que el tema de la seguridad cada vez tome más relevancia. Parecía ser que términos como hacker y
experto de seguridad se aplicaban solo en un contexto de películas o para un número reducido de
personas, había empresas que jamás pensaron que algún día su activo más importante seria la
información. Sin duda es un tema que llego para instalarse en la agenda de las organizaciones y en
casos particulares es el pilar fundamental de la productividad y las ganancias.
Hoy la tecnología de la información se ha extendido a todos los ámbitos de las organizaciones, como,
por ejemplo: la búsqueda de la información, el almacenamiento de la información, las aplicaciones de
ventas, las transacciones bancarias o comerciales, los sistemas de reclutación de personal, la forma de
vender, etc. Claramente esto ha sido un gran salto en la forma de hacer las cosas y de aprovechar mejor
el tiempo de las empresas y las personas, pero junto con ello se han creado grandes brechas de
seguridad, sobre todo por resolver rápidamente un problema, un proceso y una tarea, se olvida la forma
de asegurar la solución entregada, el cómo se accede y como levantar una sesión del todo segura.
Por lo anterior, es que se vuelve importante la forma de como se identifica el acceso de una persona o
sistema dentro de un proceso de información o más simple aun, de como se accede a un lugar. La
identificación de acceso es una de las primeras medidas que se deben establecer o mejorar en una
organización. Cada individuo debe tener algo que lo identifique un nombre, un ID, un número de
registro, un alias, etc. Esto permitirá saber quién realizo una determinada acción dentro de un sistema.
Hay varias formas de identificar a las personas o sistemas: usuarios, grupos, claves, registros
biométricos, dispositivos de acceso.
1
Según la revista digital Estrategia Magazine ¿qué son los controles lógicos?
Son herramientas y sistemas que permitirán tener un mayor control sobre los usuarios entregado
datos e información de las actividades realizadas por ellos dentro de la organización. Esto permite:
• Identificar los usuarios de ciertos datos y/o recursos
• Hacer una clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.
• Restringir el acceso a datos y recursos de los sistemas
• Establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario común de
un sistema no tendrá acceso a los datos financieros de la organización.
• Entregar información relevante en las auditorias
Todos los movimientos hechos por los usuarios deben ser registrados y guardados a modo de historia
de lo que ha ocurrido. Generalmente archivos llamados “logs” (Bitácoras), son los que mantienen este
2
tipo de información. (Magazine, 2018)
Podemos definir los controles lógicos en dos grandes partes: Identificación de usuarios y programas de
control de acceso.
1
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-
interconecciones- identificacion-autenticacion-usuarios-control-de-acceso/
2
Estr@tegia magazine (s/f) Estrategia Magazine. Recuperado de https://www.estrategiamagazine.com/tecnologia/la-
seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
2.2 Identificación y autentificación de usuarios
Identificar y autentificar son dos conceptos que a menudo salen en temas de seguridad y que se usan
constantemente, seguramente usted usa en más de algún sitio o sistema este tipo de métodos, pero no
se logra distinguir con claridad las diferencias en ellos. Al momento de diferenciar a un individuo de otro
estamos usando la identificación, que no es mas que la individualización de las personas, lo que los
hace ser ellos y no otros. Por otro lado, la autentificación es validar la individualización de las personas,
en otras palabras, corroborar por algún método o mecanismo que tal individuo es quien dice ser. Las
técnicas o métodos para estos casos (identificación y autentificación) son varios, pero cada uno tiene
sus cualidades, unos son más fáciles de vulnerar, otras muy complejas de implementar, muy costosas,
métodos repetidos y conocidos, etc. Por ejemplo, en el acceso de un edificio el conserje solicita su
nombre para ver si está en la lista de registro de la comunidad y luego valida su identidad con un
documento que acredite la condiciones declarada por usted.
Para identificar un usuario hay tres métodos utilizados, el ideal es la combinación de los tres: el primero
tiene relación con lo que la persona sabe, el segundo con lo que la persona tiene y el tercero con lo que
la persona es.
Para hacer más seguras las claves se sugiere que estén declaradas en la política de seguridad de
la empresa normas como la siguiente:
• Forzar un tamaño de la clave a un determinado número de caracteres
• Hacer claves alfanuméricas y también con signos o puntuaciones
• Prohibir el uso de datos personales que pueden ser conocidos o fácilmente identificados
(Cumpleaños, direcciones, aniversarios, etc)
• Poner fecha de caducidad a las claves
• No dejar usar claves rotativas o anteriores
2.2.2 Lo que la persona tiene
Esto tiene relación con objetos que un usuario posea para validar su acceso, como por ejemplo
una tarjeta de acceso, un botón digital, una aplicación de llave, etc. La mayoría de las empresas
entregan a sus colaboradores tarjeta de identificación, la cual busca individualizar a la persona,
se puede agregar una foto para que personal de seguridad pueda hacer la comparación al
momento de necesitar un control, hoy también se agregan códigos como los QR que permiten
agregar más información al usuario, como cargos, numero de oficina, etc. Estos métodos pueden
ser vulnerados o falsificados, para ello se deben agregar cosas como:
• Chip de validación
• Sellos o marcas
• Relieves
• Lectura de sensores
Nota
Además, los usuarios pueden tener asociado a sus nombres una clave. La cual permitirá no solo
presentarse con el nombre, también deberá aportar algo más consistente, que lo valide. Se sugiere que
estas claves sean fuertes y no estén ten texto plano.
Este es uno de los niveles de seguridad de acceso mas básicos y simples usados, pero que realmente
aportan a entregar un nivel de seguridad, como ya se mencionó se debe aclarar por medio de una
política de seguridad como deben ser las claves y que nivel deben tener.
2.5 Token
Al hablar de token, es necesario identificar
que hay dos tipos de definición para este
concepto y ambas apuntan a la seguridad
de la información.
El segundo método de token consiste en sustituir datos importantes por un símbolo o número que lo
identifica. De esta forma para poder utilizar o enviar datos es necesario identificar el verdadero
contenido de ellos. Es una especie de algoritmo que modifica el dato real para una seguridad mucho
mayor. Al hacer una transacción por medio de tarjetas de crédito en algún sistema en línea, el banco
asigna un valor (token) al número de tarjeta, agregar otros valores como fecha, hora o número de
compra. Haciendo el dato como único. Generalmente estos datos expiran en tiempos muy limitados.
3
(2014) Token de seguridad. Guías prácticas. Recuperado de http://www.guiaspracticas.com/controles-de-acceso/token-
de- seguridad
2.6 Método de Dos Pasos
Este método es la simple combinación de formas de identificación y autentificación de usuarios, en
algunos casos puede ser hasta tres pasos. Esto entrega un nivel de robustez a la forma de autenticarnos
en un sistema.
Atención
La información necesaria para determinar los factores puede ser diversa. Sin embargo, los factores
más importantes y ampliamente utilizados son: tarjeta de acceso o token de seguridad, PIN
(Número de identificación personal), códigos de autorización bancaria, contraseñas, características
biométricas (por ejemplo, huellas digitales, voz, iris).
Un ejemplo de la vida cotidiana sería el pago de una tarjeta de Retail, que cuando se hace la trasferencia
de dinero, se necesita usuario y clave, además de una validación por medio de un mensaje enviado al
correo o al teléfono.
El saber, conocer y tener son fundamentales al momento de la autentificación de una persona, las
credenciales ya sean físicas o digitales ayudan en este proceso de identificación validando lo que es
sabido (claves y usuarios). Además, muchas de estas tarjetas tienen chip o códigos incorporados que
entregan más información para aportar a la identificación. Hoy los métodos más actuales incluyen lo
que soy (tener) para este proceso de identificación, esto no es mas que patrones muy propios como
huellas dactilares, iris del ojo, reconocimiento facial, de peso o volumen etc.
3 Categorización de Usuarios
Categorizar usuarios es una manera de
tener control sobre los individuos
pertenecientes a una organización, los
cuales pueden acceder a un determinado
host de red o un servicio dentro o fuera de
la misma. Por lo anterior, se debe tener
como prioridad la identificación y
clasificación de todos los tipos de usuarios
de la organización. Esto permitirá
mantener el mínimo privilegio de los
individuos frente a los recursos y servicios,
además propiciará la creación de lista de
accesos para elevar aún más los niveles de
seguridad.
Nota
Cada sistema informático define la cantidad de información que solicitará según la necesidad de
cada uno de ellos, el aporte de información siempre es una ayuda al momento de las auditorias.
3.2 Grupos de Usuarios
Muchos sistemas operativos (OS) y aplicaciones informáticas usan grupos para asociar usuarios con
característica en común, como lo puede ser funciones, tareas, recursos, etc. Recordemos que las redes
informáticas de hoy están pensadas en el trabajo colaborativo, estas tareas que son en común
necesariamente deben generar mecanismo que simplifiquen la administración, para ello están los
grupos de usuarios.
En materia de permisos sería muy básico pensar en solo dos condiciones: permitir o denegar. El
administrador antes de considerar estas opciones debe analizar las políticas y requerimientos de la
empresa, determinar cuál es la mejor opción para cumplir con los estándares mínimos de seguridad y
maximizar las posibilidades de incrementar esta seguridad. Por esto, Linux ofrece permisos para sus
archivos o directorios en los cuales se puede diferenciar entre usuarios propietario, grupo de usuarios
propietarios y otros usuarios, con esto otorgar o denegar los permisos de lectura (r), escritura (w) y
ejecución (x), más otro conjunto de permisos especiales.
Por otro lado, si se revisa al caso de Windows en especial la versión de Windows Server en un
Controlador de Dominio se puede pensar en el comando “NET GROUP” o en un Windows basado en
clientes como Windows 10, se puede pensar en el comando “NET LOCALGROUP”, ambos muestran los
grupos de usuarios creados en el sistema y agregando un par de argumentos se obtienen más detalles.
En conclusión, los grupos de usuarios son otra mirada y forma de la administración de usuarios
pensando ya no solo de forma detallada, sino de una forma más general para los usuarios con tareas y
características en común dentro de un sistema operativo o informático.
3.3 Listas Blancas
Las listas de usuarios son otro método de administración desde el punto de vista de los usuarios, en
ellas se puede permitir o denegar un determinado listado de integrantes para un evento dentro del
sistema, esto puede ser un acceso, un servicio, un programa, etc.
Las listas blancas permiten que los integrantes de la lista participen de los privilegios de la membresía
en la cual son parte. Este tipo de listas son las que mayor seguridad ofrecen, ya que en ellas se puede
recoger información de una serie de usuarios o características de estos para ingresar al sistema y
comprobar si cumplen con los requisitos mínimos para ser parte del sistema informático.
Con este método cuando un usuario intenta acreditarse, la lista comprueba si está o no en el conjunto
de usuarios autorizados. En caso de que no esté bloquea su acceso, aunque haya introducido
correctamente la contraseña.
• Ventajas: ofrece una mayor protección ya que limita el acceso al recurso de los usuarios que se
hayan autorizado previamente.
• Desventajas: puede ser molesto si hay muchos participantes y se quiere compartir un
determinado recurso, ya que habrá que autorizar sus dispositivos.
• Ventajas: permite bloquear solo dispositivos concretos, es menos agresivo y más cómodo si
tenemos invitados.
• Desventajas: es menos eficaz que el método de lista blanca, ya que sólo bloquea los dispositivos
listados.
Para términos más prácticos es mejor revisar un ejemplo de aplicación de alguna lista, para esto se
revisará un sistema de FTP (Protocolo de Transferencia de Archivos) montado sobre un sistema Linux.
Un FTP es un servicio que permite a usuarios o grupos de usuarios acceder a recursos (archivos o
carpetas) desde un cliente por medio de la red. Es un ejemplo de la relación cliente servidor vista en el
modelo TCP/IP de cursos anteriores.
Nota
El sistema FTP más característico usado en sistemas Linux es VSFTPD (Very Secure FTP Daemon),
este tiene licencia GPL y su uso es libre.
• La línea 93, indica que se especificara una lista para los usuarios y estos se puedan
mover dentro de los directorios.
• La línea 96, indica se habilitará usuarios locales para ser chroot.
• La línea 97, indica que esos usuarios estarán en una lista.
• La línea 99, indica donde esta esa lista.
Estos son los usuarios que podrán moverse por los directorios del servicio FTP, todos los
demás usuarios del servicio que no esté en esta lista quedarán “enjaulados” en su propio
directorio o el directorio público. Este es un ejemplo de una lista blanca, donde el sistema
comprueba si el usuario cumple con las condiciones para tener los privilegios de moverse
en los directorios, en este caso la condición es el nombre de usuario.
4 Segmentación de Redes
La segmentación es una forma de dividir para organizar y flexibilizar de una mejor forma lo que
queremos administrar. Esto también se puede aplicar en área de las redes, puesto que la red y los
servicios son recursos que se debe administrar para otorgar estabilidad, seguridad y ancho de banda. En
redes podemos segmentar de muchas formas entre ellas por usuarios y grupos como se revisó en el
tema anterior; también por tecnologías y arquitectura; en este tema revisaremos la segmentación por
medio de VLAN (redes virtuales locales) y también por medio de cortafuegos.
4
La segmentación se aplicará en torno a la optimización de la seguridad de la red. Cisco en su blog
declara: “Tradicionalmente, las segmentaciones de la red se llevaron a cabo con listas de control de
acceso (ACL) en un firewall o un router. Sin embargo, las redes de hoy en día son mucho más complejas
que las de hace sólo diez años. Se ha respondido a esta mayor complejidad con más y más requisitos de
seguridad, por lo que es cada vez más difícil para los dispositivos en el perímetro, tales como firewalls y
5
routers, ser los dispositivos dedicados en solitario a la aplicación de la segmentación” .
4.1 VLAN
Las VLANs son una forma de segmentar las lugar de físicas, son flexibles”. (Pérez, 2010)6
redes mediante la división de segmentos de
red debajo de un dominio de broadcast, los
actores principales a nivel de arquitectura de
red son los routers y switchs. Ambos equipos
trabajan de forma coordinada en la capa 2 y
3 del modelo OSI para cumplir con el
objetivo. Una VLAN se define como: “Grupos
de dispositivos de una red que están
configurados (usando software de
administración) de tal modo que se pueden
comunicar como si estuvieran conectados al
mismo cable, cuando, en realidad están
ubicados en una serie de segmentos de LAN
distintos. Debido a que las LAN virtuales
están basadas en conexiones lógicas en Imagen 9: VLANs. Elaboración propia.
4
https://gblogs.cisco.com/es/2016/06/seguridad-y-la-segmentacion-de-la-red/
5
Blog de Seguridad de Cisco: https://gblogs.cisco.com/es/2016/06/seguridad-y-la-segmentacion-de-la-red/
6
Pérez, D. T. (2010). Redes Convergentes . Mexico D.F.: Alfaomega
Ya se sabe que las VLAN proveen flexibilidad, seguridad y permiten agrupar dispositivos de red bajo un
mismo dominio de broadcast (Router o Switch de capa 3) sin importar su ubicación física. Con esto se
agrupa de manera lógica algunos puertos en los switch para que funcionen entorno a características en
común, también se clasifican a los usuarios ya que los equipos son usados, administrados o
manipulados por ellos, por tanto los usuarios de una red virtual tendrán actividades en común. Un
ejemplo de ello es que en las empresas generalmente hay una VLAN de Datos y una VLAN de Voz,
cuando se tiene telefonía IP (VoIP).
Utilizando la electrónica y los medios existentes es posible asociar usuarios lógicamente con total
independencia de su ubicación física incluso a través de una WAN. Las VLAN pueden existir en un solo
Switch o bien en varios de ellos dentro de la red. Para ellos se han creado protocolos de comunicaciones
que permiten el entroncamiento de las VLAN, hay protocolos de propietarios de ciertas marcas como
Cisco y otros abiertos.
4.1.2 VTP
El Vlan Trunking Protocol, es un protocolo y un servicio dentro de los switches para gestionar la
administración de las VLANs, se debe considerar que las redes Virtuales Locales pueden ser
múltiples y la cantidad de equipos involucrados puede aumentar considerablemente, para ello
existe este protocolo, el cual permite escalabilidad, flexibilidad y sencillez. Es un protocolo de la
capa 2 del Modelo OSI.
“El VLAN Trunk Protocol (VTP) reduce la administración en una red de switch. Al configurar una
VLAN nueva en un servidor VTP, se distribuye la VLAN a través de todos los switches del
dominio. Esto reduce la necesidad de configurar la misma VLAN en todas partes. VTP es un
protocolo de propiedad de Cisco que está disponible en la mayoría de los productos de la serie
7
Cisco Catalyst”
7
Protocolo VTP fuente Cisco. Revisar Documento: https://n9.cl/teak
4.2 Cortafuegos (Firewall)
Los cortafuegos son sistemas por software o hardware que por medio de reglas establecidas permiten o
deniegan el acceso a las diferentes conexiones que este tiene, esto significa que son parte de la red de
trabajo de una determinada empresa. Funciona en base a los criterios establecidos y configurados por el
administrador de red y pueden operar en diferentes capas del Modelo OSI o TCP/IP.
• Filtrado a nivel de paquetes: se hace en la capa 3 del Modelo OSI, este se basa en las IP
de origen y de destino.
• Filtrado a nivel de circuito: se hace en la capa 4 del Modelo OSI, este se basa en el
puerto de origen y de destino. Considera los protocolos de TCP (Segmento) y UDP
(Datagrama).
• Filtrado a nivel de aplicación: se hace en la capa 7 del Modelo Osi, este se basa en los
deferentes servicios de la capa. Este tipo es conocido como Proxies.
Nota
Los firewalls ya sean por software o hardware, mezclan en gran medida las formas de
funcionamiento, esto hace que sean más eficientes. Para efectos de estudio se clasifican de
la siguiente forma.
5 Bitácoras (Logs)
Las bitácoras o logs como son más conocidos en las plataformas informáticas son registros de
actividades realizadas dentro de un sistema, estas pueden ser de servicios, sistemas operativos, usuarios,
actividades, Kernel, etc. Permiten al administrador de red saber en qué momento con fecha y hora se
realizaron las acciones y bajo que login se realizaron. Al momento de hacer auditorias informáticas estas
son muy relevantes pues son la hoja registra y entregan un completo detalle en la información. Debido
a la gran importancia que estas tienen se deben buscar mecanismos y formas de almacenarlas y
respaldarlas. Los logs son archivos variables y como tales van necesitando capacidad de almacén.
Hoy hay muchas formas de trabajar con los Logs, pasando por la forma de administrarlos (sistemas y
servicios), la forma de interpretarlos y analizarlos, también la forma almacenarlos y respaldarlos.
8
García-Moran, J. P. (2013). Hacking y Seguridad en Internet. Bogotá, Colombia.: Ra-ma.
5.1 Análisis de Logs
Un administrador de red debe saber interpretar y analizar la información otorgada por las bitácoras de
registro, ya que permiten saber en tiempo real lo que está sucediendo en un sistema informático.
Existen numerosas formas de almacenar la información de logs, hay un servicio llamado Rsyslog que
9
ayuda en esta tarea. Para analizar e interpretar existe Cacti que es un software de licencia GPL (libre)
que por medio de gráficos muestra la información que ha ido recibiendo por medio de los Logs.
El área TI de la organización debe velar por la ejecución constante de estas auditorias, la cuales pueden
ser de forma interna o confiárselas a empresas externas con más experiencia en este tipo de trabajos y
sobre todo que garantice la imparcialidad del proceso.
Estas también se pueden ejecutar de forma eventual ante una investigación interna o externa de la
empresa, donde se quiera responsabilizar a alguna persona, proceso o grupo de trabajo por las
diferentes actividades realizadas en un sistema.
Como se está analizado este proceso por medio de Linux, solo por mencionar algunos ejemplos de Logs
del sistema operativo son:
• Logs de mensajes generales del sistema, archivo /var/log/menssages
• Logs del kernel del sistema, archivo /var/log/dmesg
• Logs de boteo y arranque, archivo /var/log/boot.log
11
Fuente: Página oficial de Rsyslog https://www.rsyslog.com
Pág. 25
6 Actividades de Acceso
Entre las actividades de acceso hay mucho que observar, debido que el área TI tiene a cargo múltiples
plataformas, servicios y servidores a los que frecuentemente se está accediendo de forma normal para
los procesos de la organización. Las organizaciones tienen servicios de correo, DNS, DHCP, FTP, algunas
VPN, solo por nombrar algunos y a los que constantemente accede el personal; por todo esto, es que
las políticas de seguridad en el acceso siempre deben ser revisadas y probadas, para constantemente
hacer mejoras y mitigar las vulnerabilidades encontradas.
6.1 Conexiones
En materia de conexiones hay gran tráfico dentro de las redes de una organización que se basa en
conexiones a servidores y servicios, estas deben ser controladas y reguladas por el personal TI de forma
que estén dentro de las políticas de seguridad. A continuación, algunas medidas mínimas que debe
existir:
• Usuarios y Contraseña
• Contraseñas alfanuméricas y con símbolos
• Viaje de la información de forma encriptada
• Limitar el número de sesiones
• Limitar el ancho de banda en las conexiones
• Limite en los tiempos de inactividad (sece de sesión)
• Eliminar cuentas caducadas
• Eliminar usuarios que ya no pertenecen a la organización
• Tiempo de caducidad de las contraseñas
• Crear VPNs para los accesos remotos
Para las conexiones y la sesión se puede utilizar un programa si es que no se tiene el protocolo SSH de
13
forma nativa, esta aplicación es Putty .
Todos los sistemas operativos (OS) tienen administración de archivos y carpetas, si es que no los tienen
no son un sistema operativo, recordando las cuatro funciones de un sistema operativo.
Nota
6.2.1 Windows
El sistema de Microsoft maneja en su interfaz de administración
permisos de control total, lectura y ejecución, modificar, escritura y
permisos especiales. Estos permisos pueden variar según el usuario que
tiene iniciada la sesión en una determinada computadora.
Pág. 27
6.2.2 Linux
En sistema basados en Linux se
manejan los permisos de lectura,
escritura y ejecución, más algunos
permisos especiales y estos
pueden ser configurados para el
usuario propietario, el grupo
propietario y el resto de los
usuarios.