ESPECIALIZACIÓN EN CIBERSEGURIDAD

CIBERSEGURIDAD EN REDES - VIRTUAL

ACTIVIDAD EVALUATIVA “TRABAJO FINAL” (20%).
LINEAMIENTOS DE SEGURIDAD EN REDES CORPORATIVAS Y LÍNEA BASE.
DOCENTE: JULIÁN ANDRÉS NARANJO LONDOÑO

OBJETIVO

Realizar un proyecto aplicado a partir de la investigación desarrollada por el grupo

de trabajo con el propósito de afianzar la capacidad de síntesis y la apropiación de
los conceptos orientados durante el curso de Ciberseguridad en Redes.

GUÍA DE EJECUCIÓN.

1. Elementos evaluativos.

Debe entregarse un informe escrito el cual contendrá el desarrollo del tema

asignado.

El informe se debe realizar usando normas APA, con excelente redacción y

ortografía, de forma clara y ordenada.

2. Fecha y hora máximas de entrega:

21/04/2024 23:30 horas. A través de la plataforma campusvirtual.itm.edu.co

3. Desarrolle la temática asignada de acuerdo con el enunciado.

4. El informe debe incluir:

• Información de quién lo presenta (Portada).

• Tabla de contenido
• Introducción (5%)
• Justificación (5%)
• Marco teórico (10%)
• Desarrollo y análisis
• Conclusiones (Relevantes). (10%)
• Citas (5%)
• Referencias bibliográficas. (5%)
Nota:

A nivel de Especialización es muy importante realizar construcciones propias como

parte del ejercicio de la síntesis, así como indicar, a través de las debidas citas
bibliográficas, cuando un texto no es de autoría propia. Los extractos sin citar, que
se detecte que han sido copiados de sitios web, otros medios o publicaciones, no
serán tenidos en cuenta en la calificación.

ENUNCIADO
La empresa ABC, no cuenta con lineamientos de ciberseguridad para su
infraestructura de redes y telecomunicaciones, que contribuyan a mitigar los
escenarios de riesgo donde se pueda afectar la integridad, la confidencialidad y la
disponibilidad de los diferentes servicios informáticos que soporta y los datos que
son transmitidos a través de dicha infraestructura.

Disponer de lineamientos de ciberseguridad que incorporen el aseguramiento de

sus dispositivos de red y definición de líneas base, en concordancia con los más
reconocidos estándares referentes en la materia tales como ISO 27001 ANEXO
A.13. Seguridad de las comunicaciones, NIST SP 800-53 Rev 4, NIST Cibersecurity
Framework, tiene como propósito que su infraestructura de redes y
telecomunicaciones sea menos vulnerable a incidentes que puedan ocasionar la
pérdida de datos, amenazar la privacidad de las personas de la organización,
comprometer la integridad de la información corporativa, presentar substracción de
la propiedad intelectual, afectar la reputación de la empresa o la indisponibilidad de
sus diferentes servicios informáticos.

Se requiere plantear lineamientos de ciberseguridad en redes para los diferentes

dispositivos de red de la infraestructura tecnológica de la organización, enfocados
principalmente en establecer desde el punto de vista físico y lógico la propuesta de
arquitectura segura de red, las líneas base, las recomendaciones para la gestión de
la red y las condiciones de aseguramiento de los servicios y protocolos de
conectividad TCP/IP.

DIAGNÓSTICO INICIAL
1. LEVANTAMIENTO DE INFORMACIÓN.

Usted ha visitado las instalaciones de ABC y ha logrado obtener la siguiente

información como insumo para el desarrollo del trabajo.
1.1. INVENTARIO DE LOS DISPOSITIVOS DE RED

Actualmente la infraestructura de red de la organización cuenta con el siguiente

inventario de dispositivos de red:

Dispositivo de red Cantidad

Switch modular de nivel 3 (Capa de Core) 1
Switches de nivel 2 (Capa de acceso) 14
Access Point 14
Wireless LAN Controller 1
Router 1
Switches Red MPLS (Propiedad del Proveedor de Servicios de 2
Internet)
Firewall 1

1.2. TOPOLOGÍA DE RED

Con base en el diagrama de red suministrado por la entidad, mostrado en la figura

1 y las entrevistas realizadas al Jefe de Infraestructura de TI, se destacan los
siguientes aspectos.

Figura 1. Diagrama Topológico de la red.

• La infraestructura de conectividad está concebida para una red convergente,

la cual presta servicios de transporte de tráfico de Datos, Voz IP y
herramientas de colaboración. El sitio web de la Intranet y el servidor de
 archivos se encuentran en tierra (On Premise), los demás servicios tales
como el sitio web corporativo, el correo electrónico, las herramientas de
colaboración se encuentran en la nube.

• La red actualmente presenta un diseño de arquitectura por capas desde el

punto de vista lógico y en una estructura en estrella extendida desde el punto
de vista físico. El núcleo de la red, está implementado a través de un Switch
modular que presta los servicios de conectividad de “Backbone”. A este
switch se conectan los switches de acceso, que son los encargados de
proveer los servicios de red a los usuarios finales.

• En la actualidad la red no cuenta con un esquema contingencia que le

agregue redundancia a la red en la capa de core, lo que puede repercutir en
problemas de disponibilidad en el momento en que se presente una falla en
este dispositivo.

• Existe una conexión a Internet proporcionada por el proveedor de servicios a

través de un Switch CPE que permite la navegación a sitios web y el uso de
los servicios en la nube. Esta conexión es protegida por el Firewall, que
también protege los servicios que se encuentran publicados hacia Internet,
tales como la Intranet y el servidor de archivos. Los servidores que prestan
estos servicios se encuentran ubicados en la red interna. El acceso a estos
servicios, desde la red interna, no está protegido por el Firewall.

• Existe un segundo canal de Internet, que es utilizado para la conexión que

se tiene con una sede remota y recibida directamente en el Router que se
tiene en la sede principal. Las condiciones que tiene este acceso no son
definidas por la entidad, sino por el personal de un tercero encargado de
administrar la sede externa. Una conexión a Internet por este acceso, desde
la red corporativa, no es establecida a través del Firewall.

• Los usuarios pueden conectarse a la red vía inalámbrica, a través de los

Access Point que se encuentran instalados en los diferentes pisos, sin ningún
tipo de autenticación. Los Access Point se gestionan mediante un Switch
Controller (Wireless LAN controller) el cual se conecta directamente al Switch
de nivel 3 de la red.

1.3. ACCESO FÍSICO DE LOS DISPOSITIVOS DE RED

 • El switch Core, el WLAN Controller, los Switches del ISP, el Router y el
Firewall, se encuentran ubicados en el Centro de Datos, en el cual solo tiene
acceso el personal autorizado usando una tarjeta de proximidad.

• Los switches de acceso se encuentran ubicados en cuartos de cableado que

están distribuidos por piso y torre. Estos cuentan con un perímetro de
seguridad física constituido por paredes y protegidos por puerta con llave.

• Los Access Point se encuentran instalados por piso a una altura definida, que
permite que no puedan alcanzarse sin disponer de un elemento extensivo
para este fin.

• Las instalaciones de cableado estructurado y eléctrico se encuentran

protegidas contra daños e interceptaciones, acorde con los estándares para
este tipo de infraestructura.

• Los dispositivos de red que se encuentran ubicados en el Centro de Datos,

están conectados a circuitos eléctricos alimentados desde una UPS para
evitar interrupciones o fallas debidas a la falta de suministro eléctrico.

1.4. ACCESO LÓGICO DE LOS DISPOSITIVOS DE RED

• La red interna no cuenta con diferentes VLAN para la segmentación y la

separación de servicios. Se resalta la existencia de una única VLAN (VLAN
1) para la red de datos Datos, la Voz IP, la red Inalámbrica y los servidores.
No se cuenta con una VLAN para la administración de los dispositivos.

• Se evidencia el uso de la VLAN nativa (VLAN 1) por defecto, como VLAN

administrativa y a su vez todos los puertos del Switch de Core y los switches
de Acceso son miembros de esta.

• La administración remota de los dispositivos de red, se realiza mediante el

uso del protocolo Telnet (puerto 23). Esta operación se puede realizar desde
cualquier computador de la VLAN 1.

• En el Switch de Core emplea el protocolo de enrutamiento jerárquico interior

OSPF, para conocer y registrar las respectivas rutas que operan en la LAN.
Así mismo, el Router también utiliza OSPF como protocolo de enrutamiento
para la conexión con la sede externa y el segundo canal de Internet.
 • El Switch de Core tiene habilitado el servicio de traducción de nombres de
dominio, los demás dispositivos no lo tienen habilitado.

• Para atender la demanda de conexiones de acceso a la Red, se hace uso de

un mecanismo de apilamiento de switches de acceso. Cada módulo de
Switch de Acceso cuanta con 48 puertos Giga Ethernet.

• Los puertos se encuentran habilitados con negociación automática del

establecimiento del enlace tanto para el modo dúplex como para la velocidad.
A su vez está deshabilitado el control de flujo de tráfico en los puertos.

• Todos los puertos de los Switches están configurados por omisión en modo
acceso. Los puertos que se utilizan para conexiones con otro Switch, se
configuran en modo auto por el administrador.

• Los Switch de Acceso implementan Spanning Tree Protocol (STP).

1.5. ACCESO A LOS RECURSOS DE RED

1.5.1. RED CABLEADA

• El usuario puede incorporar un nuevo dispositivo institucional y personal a la

red sin control a nivel de acceso. Incluso podría conectar un Router
inalámbrico que ofrezca un servicio de DHCP en la red.

• Es posible conectar un dispositivo de red no autorizado a través de los

diferentes puertos de red disponibles que se tienen en la organización.

• La información generada por los Pc de la sede principal no viaja cifrada hacia

la sucursal.

1.5.2. RED INALAMBRICA

• Solo se tiene una red inalámbrica, la cual es considerada como “pública” y

por ello no cuenta con un esquema de autenticación para permitir la
asociación de un dispositivo a ésta.

• Desde la red inalámbrica se permite el acceso a la red corporativa (VLAN 1)

• La información a través de este medio viaja en texto claro.

1.6. GESTIÓN DE LA RED
• Se realizan copias de seguridad de los archivos de configuración de los
dispositivos de red cuando se ejecutan cambios en estos.

• Cuando se requiere hacer un cambio en la configuración de los dispositivos

de red, estos no son aprobados por un comité de control de cambios.

• No es posible determinar quién y qué cambios se realizan en los dispositivos

de red.

• No se realizan actualizaciones del sistema operativo o de los Firmware de

los dispositivos de red.

1.7. MONITOREO DE LOS SERVICIOS Y DE INCIDENTES DE CIBERSEGURIDAD

EN LA RED

• Los canales de internet se monitorean a través un sitio web proporcionado

por el ISP. Este monitoreo sólo incluye una vista gráfica del consumo de
ancho de banda de los canales en tiempo real.

PLANTEAMIENTO DE LOS LINEAMIENTOS DE CIBERSEGURIDAD EN

REDES Y ENTREGABLES PARA LA EMPRESA ABC

1. Plantee una arquitectura de red segura, detallando los cambios propuestos.

Incluya un nuevo diagrama topológico que permita visualizar claramente las
nuevas mejoras incorporadas. Considere puntos únicos de falla,
redundancia, aseguramiento de las conexiones a través del Firewall,
debilidades de conexión con la sede remota, servicios en tierra que se
encuentran expuestos a Internet y para uso de los usuarios internos y nuevos
controles o protecciones requeridos. (15%)

2. Proponga los servicios nuevos que deben ser implementados para fortalecer
la ciberseguridad de la red, según la información proporcionada, incluyendo
la descripción del servicio, la justificación de su propuesta y un ejemplo de
configuración. (15%)

Grupos 1, 2 y 3. Ejemplo de configuración de SNMP del lado del cliente y

del lado del servidor.
 Grupos 4, 5 y 6. Ejemplo de configuración de Syslog del lado del cliente y
del lado del servidor.
Grupos 7, 8 y 10. Ejemplo de configuración de NTP del lado del cliente y del
lado del servidor.
Grupo 11 y 12. Ejemplo de configuración de VPN Site to Site IKE V2 del lado
de la sede principal ABC y del lado de la sucursal.

3. Indique los elementos que deben ser mejorados y las condiciones de

fortalecimiento para el acceso físico a los dispositivos de red, el acceso lógico
a los dispositivos de red, el acceso a los recursos de la red, la gestión de la
red, el monitoreo de los servicios de red y el monitoreo de los incidentes de
ciberseguridad en la red. (15%)

4. Establezca la línea base que deben cumplir los puntos de acceso (Access
Point) de la red. (7,5%)

5. Establezca la línea base para los Firewall. (7,5%)