Computing">
Tema4 - Calidad Unir
Tema4 - Calidad Unir
Tema4 - Calidad Unir
4 TEMA
Protección de activos
de información
Esquema
TEMA 4 – Esquema
Seguridad de las Seguridad de los
comunicaciones sistemas operativos
OSI (7 capas) Contraseñas
Protocolos: robustas Control de
modelos de capas. acceso/autorización
TCP/IP (4 capas) Listas de
control de
acceso (ACLs)
Dominios de
2
colisión hubs, switches,
routers, gateways
Dispositivos. Ficheros Auditabilidad
log
Arquitecturas de Cortafuegos
colisión
Backups
Proliferación de
Desafíos. dispositivos móviles Política instalación
software
Tecnologías Control de
cloud Antivirus, parches de software
seguridad
Ideas clave
Para estudiar este tema lee las Ideas clave que te presentamos a continuación.
Además tendrás que leer las páginas 167-178, 229-234 y 244-262 de los capítulos
4 y 5 del siguiente libro disponible en la Biblioteca Virtual de UNIR.
Así, el tema aborda cuáles son los medios que permiten establecer comunicaciones
seguras y cuáles son los pasos, asociados a cada sistema operativo, que permiten
garantizar, de forma intrínseca, la circulación segura de la información.
En el tema anterior nuestro objetivo fue establecer los principales procedimientos para
preservar la tríada CID en el almacenamiento de la información. Además de
tales procedimientos, un proceso de constatación de la calidad de un SGSI debe validar
la protección de la información en tránsito.
Tanto los protocolos como los dispositivos de red y las arquitecturas son críticas a la hora
de conseguir la confidencialidad, integridad y disponibilidad de nuestros activos.
En la tabla 1 puede encontrar una breve definición de los objetivos cubiertos en cada capa
OSI, así como ejemplos de protocolos de comunicación de acuerdo con tales objetivos:
Autenticación.
Control de acceso.
Confidencialidad.
Integridad.
No repudio.
Logging y monitorización.
Cifrado.
Firma digital.
Control de acceso.
Autenticación.
Padding (en datos).
Control de encaminamiento.
Auditoría.
En este caso en lugar de siete capas tenemos cuatro, como se muestra en la gráfica de
arriba. El estándar TCP/IP fue propuesto para su uso en ARPANET y el primer diseño
corresponde a la versión IPv4.
o Un puente o bridge. Trabaja a nivel 2 de OSI y permite ampliar una red que ha
llegado a su máximo, ya sea por distancia o por el número de equipos.
o Aunque puede que el tráfico en las redes involucradas no sea excesivamente alto,
interesa aislar las colisiones que se producen en los segmentos interconectados
entre sí. Los bridges, debido al abaratamiento de los conmutadores prácticamente
no se usan.
o El uso más común de NAT es para asignar a un conjunto de dispositivos una única
dirección de salida a Internet. Este tipo de aplicación permite definir direcciones
IP internas que no son conocidas fuera de nuestra LAN.
Filtrado de paquetes. Los filtros en este caso se aplican a nivel de red con lo que
no hay ningún control en términos de protocolos de nivel de aplicación (control de
acuse de recibo ACK, de número de secuencia SEQ, etc.). Los routers básicos
satisfacen esta funcionalidad. El nivel de protección conseguido es de bajo nivel.
Filtrado de
estado
Flexibilidad Filtrado de
paquetes
Proxy de
aplicación
Seguridad
La selección del modelo adecuado de cortafuegos es muy dependiente del modo en el que
vamos a incorporarlo en nuestra red de comunicaciones.
diversos proxies que se emplean y está ubicado en la red privada, siendo el único
equipo alcanzable desde el exterior. El router de selección permite que solo los
servicios que tienen instalado un proxy en el host bastión se comuniquen con él.
Host de base dual. Cortafuegos que se implementa situando un host (bastión) entre
las redes interna y externa de modo que bloquea el tráfico directo entre las dos redes.
Hay dos posibles opciones de funcionamiento:
Subred de filtrado. Se crea una red perimétrica entre dos filtradores de paquetes.
El filtrador interno proporciona seguridad adicional para el caso en el que el host
bastión se vea comprometido. La red perimétrica (Demilitarized Zone –DMZ)
es un lugar idóneo para situar un servidor de información de forma pública (por
ejemplo, un servidor web).
Además, hace que el contacto con clientes, proveedores y trabajadores sea más fácil. De
especial relevancia en este contexto son las redes privadas virtuales (Virtual Private
Networks –VPN-) (Álvarez y Pérez, 2004, pp. 229-234).
Las redes privadas virtuales pueden ser creadas empleando distintos protocolos
(PPTP, L2F, L2TP, IPSec) y permiten conseguir las siguientes propiedades:
En muchas ocasiones las organizaciones no llegan a instalar y desplegar una VPN para
acceso remoto a la red corporativa. En estos casos se puede hacer uso del protocolo
SSH o gestores de escritorios remotos basados en los estándares VNC (Virtual
Network Computing) y RDP (Remote Desktop Protocol), si bien en este caso un
uso seguro de tales protocolos requiere que se utilicen a través de una VPN.
Las denominadas redes de área local inalámbricas (Wireless Local Area Networks –
WLAN-) están presentes en casi todas las redes corporativas actuales. El estándar por
antonomasia de redes WLAN es el IEEE 802.11 (estándar Wi-Fi –Wireless
Fidelity-). En relación a la seguridad hemos de tener en cuenta el conjunto de
configuraciones que nos brinda el estándar Wi-Fi, así como los procedimientos de
protección de información que incorpora (Bhatnagar y Birla, 2015).
Al respecto del primer punto, wifi permite dos tipos de conexiones: conexiones en modo
infraestructura y conexiones en modo ad-hoc.
En el caso del modo ad-hoc las conexiones entre los terminales wifi se efectúa de
terminal a terminal sin pasar por un nodo central. De esta forma cada dispositivo en la
red debe asumir el AP. En caso de que se desee acceder a Internet uno de los equipos
habrá de actuar de proxy.
El uso generalizado de tales dispositivos tiene efectos evidentes en el día a día de nuestras
actividades y por tanto también tiene consecuencias en el ámbito concreto de una
empresa.
En primer lugar ha de existir una toma de posición a la hora de permitir que los
usuarios utilicen sus propios dispositivos móviles como un elemento más de la red de
comunicaciones de la empresa. El asumir tal disciplina implica aceptar la política
denominada BYOD (Bring Your Own Device) (CSO España, 2014).
Si aceptamos la política BYOD hemos de diseñar nuestra red de forma que la inclusión
de dispositivos móviles propiedad de los trabajadores y usuarios de nuestra red no
implique un riesgo de seguridad para nuestros activos.
Aquí es muy importante el uso de tecnologías como los cortafuegos, redes VLAN
(Virtual Local Area Networks) y redes privadas virtuales.
Con el precedente desglose tenemos una panorámica general de los puntos principales
de incidencia que ha de examinar un auditor de seguridad: protocolos de
comunicaciones, dispositivos que implementan tales protocolos y elementos que
funcionan o hacen uso de dichos protocolos.
En este punto también es muy relevante tener en cuenta los dominios de colisión que
nos definen los distintos tipos de dispositivos involucrados en una red comunicaciones.
Si estamos en una red o subred en la que los terminales están conectados a través de un
hub hemos de tener en cuenta que un sniffer presente en uno de los equipos permite
acceder al tráfico que generan el resto de equipos de la red. En el caso de que el
dispositivo de interconexión sea un switch, el sniffer solo tendría acceso a los equipos
que comparten con él la entrada en el switch. La separación de dominios de colisión a
nivel hardware o software es crucial para evitar ataques activos como la denegación
de servicio (DoS, por Denial of Service).
Los cortafuegos de análisis de estado son una contramedida contra los secuestros de
sesión (session hijacking), uno de los grandes problemas en el contexto de los sistemas
distribuidos y que suele estar apoyada en ataques de suplantación o falsificación
de identidades (spoofing).
Tal y como aparece desarrollado por Villalón (2002) para sistemas Unix y por Álvarez y
Pérez (2004, pp. 237-328) para sistemas Windows, los distintos sistemas operativos
ofrecen soluciones para establecer mecanismos robustos de autenticación, de protección
del sistema de ficheros y de defensa frente a malware.
En clave del auditor de seguridad se ha de comprobar que existe una política de gestión
de usuarios que obligue primero a que las contraseñas sean suficientemente
complejas (en términos de longitud y no de estar incluidas en ningún diccionario que
pudiera emplear un atacante para evitar una estrategia de ataque por fuerza bruta).
Teniendo en cuenta las contramedidas mencionadas al hablar de los ataques a las redes
de comunicaciones, también en los equipos ha de evitarse usar servicios que no
son necesarios.
En el caso de los sistemas UNIX la captura de eventos se lleva a cabo por el demonio de
sistema syslogd (Villalón, 2002). La configuración de la actividad log viene dada por el
fichero /etc/syslog.conf, aunque el nombre del fichero puede variar en las distintas
CSO España. (13 de octubre de 2014). Tres estrategias para el éxito de un programa
BYOD [Blog post] Recuperado de http://cso.computerworld.es/seguridad-movil/tres-
estrategias-para-el-exito-de-un-programa-byod
Zimmerman, H. (1980). OSI Reference model – the ISO model of architecture for open
systems interconnection. IEEE Transactions on communications, 28(4), 425-432.
Recuperado de https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=1094702
Lo + recomendado
No dejes de leer…
Zimmerman, G., Jones, P., Lewis, J., et al. (Enero, 2019). Single Pair Ethernet: a guide.
Presentado en la IEEE P802.3cg 10Mb/s, Long Beach, CA.
El Institute of Electrical and Electronics Engineers (IEEE) nos facilita en el año 2019 una
guía de cómo proceder en la implantación de una red Ethernet actualmente.
Sheikh, T. H. y Gupta, R. (2018). Big data analytics and digital forensic. International
Journal of Scientific and Technical Advancements, 4(2), 207-210.
CERTSI. (2017). Design and Configuration of IPS, IDS and SIEM in Industrial Control
Systems. [León]: INCIBE.
GSMA. (2017). Safety, privacy and security across the mobile ecosystem: key issues and
policy implications. London: GSMA Head Office.
En este documento la asociación GSM, en el año 2017, muestra de forma más exhaustiva,
y en inglés, los aspectos principales en cuanto a seguridad y privacidad del ecosistema
móvil.
No dejes de ver…
Lección del año 2017 del ISO Training Institute donde se muestra como implementar el
perímetro de seguridad en una network, en conformidad con la norma ISO 27001.
Seguridad perimetral
+ Información
Enlaces relacionados
Seguridad en TCP/IP
Bibliografía
Actividades
Los resultados del laboratorio debe entregarlos al finalizar la actividad en los formularios
que puede descargarse durante la realización del mismo desde la carpeta Documentación
del campus virtual.
Test
1. ¿Qué cortafuegos emplea una tabla dinámica de estado para examinar el contenido de
los paquetes?
A. Un cortafuegos de filtrado de paquetes.
B. Un cortafuegos de nivel de aplicación.
C. Un cortafuegos de inspección de estado.
4. ¿En qué capa del modelo OSI operan los cortafuegos de filtrado de paquetes?
A. Capa de aplicación.
B. Capa de sesión.
C. Capa de red.
5. Con el objeto de asegurar la privacidad e integridad de los datos, las conexiones entre
cortafuegos sobre redes públicas deberían usar:
A. VPNs y cifrado.
B. Certificados digitales.
C. Subredes blindadas.