max-weber-principales-aportes de la sociologia (2).pptx
mineria victor.pdf
1. ESCUELA MILITAR DE INGENIERÍA
“MARISCAL ANTONIO JOSÉ DE SUCRE”
BOLIVIA
TESIS DE MAESTRÍA
SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS
REDES INFORMÁTICAS CORPORATIVAS EN LOS
CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES
DE BOLIVIA
JUAN FERNANDO HUANCA ALAVI
LA PAZ, 2021
2. - i -
JUAN FERNANDO HUANCA ALAVI
SISTEMA DE SEGURIDAD POR NIVELES, PARA LAS
REDES INFORMÁTICAS CORPORATIVAS EN LOS
CENTROS DE DATOS DEL SISTEMA DE UNIVERSIDADES
DE BOLIVIA
Modalidad: Tesis de Grado, que se
presenta como requisito para optar al
título de Magister Scientiarum en
Seguridad de Tecnologías de la
Información.
TUTOR: MSC. ING. CESAR FERNANDO LOZANO
LA PAZ, 2021
3. - ii -
AUTORIZO LA PRODUCCIÓN Y DIVULGACIÓN TOTAL O PARCIAL
DE ESTE TRABAJO DE INVESTIGACIÓN, POR CUALQUIER MEDIO
CONVENCIONAL O ELECTRÓNICO PARA FINES DE ESTUDIO E
INDAGACIÓN, A PARTIR DE LA APROBACIÓN SE PUEDE
REALIZAR LA RESPECTIVA CITA DE LA FUENTE DE
INFORMACIÓN.
Huanca Alavi, Juan Fernando
Sistema de Seguridad por Niveles, para las redes informáticas corporativas
en los centros de datos del Sistema de Universidades de Bolivia.
-La Paz, 2021.
Tesis de Maestría – Programa de Posgraduación de la Maestría en
Seguridad de Tecnologías de la Información. Escuela Militar de Ingeniería.
Palabras Clave: 1 Seguridad – Niveles de Seguridad – Perímetro de
Seguridad.
CÓDIGO______________
4. -iii-
HOJA DE APROBACIÓN
Aprobado con:
Tribunal Examinador de Tesis
Vocal: ____________________________________________________________
Institución: _____________________________Firma: :______________________
Oponente: _________________________________________________________
Institución: _____________________________Firma: :______________________
Relator: ___________________________________________________________
Institución: _____________________________Firma: :______________________
Tutor: _____________________________________________________________
Institución: _____________________________Firma: :______________________
Secretario: _________________________________________________________
Institución: _____________________________Firma: :______________________
Presidente: Cnl. DAEN________________________________________________
Institución: _____________________________Firma: :______________________
Juan Fernando Huanca Alavi
Sistema de Seguridad por Niveles, para las redes
informáticas corporativas en los centros de datos
del Sistema de Universidades de Bolivia.
Tesis Presentada a la Dirección
Posgrado de la Escuela Militar de
Ingeniería para la Obtención del
título de Magister Scienciarum.
Área de Concentración: Seguridad
en Tecnologías de la Información.
5. -iv-
DEDICATORIA
Dedico este trabajo final a mi creador y a mi familia.
Al Dios Todo poderoso quien me regala la vida y salud, agradecerle por su infinita
misericordia por prestarme al ser que me brindo la vida mi mamá quien me ayudó
con su paciencia y animándome para seguir estudiando, mis hermanas que me
dieron su comprensión y ayuda en los momentos más dolorosos y los felices, a mis
seres queridos que me brindaron comprensión y cariño durante la elaboración del
presente trabajo de investigación.
A mi mamá adorada Elena Alavi que me dio la vida y me brindó su apoyo mediante
sus consejos, brindándome en todo momento su comprensión en las diversas
situaciones.
A mis hermanos que siempre me han mostrado su comprensión y apoyo
incondicional.
A las personas que estando fuera del círculo familiar me ayudaron de forma indirecta
o directa para realizar el presente trabajo, mediante pequeños detalles o
animándome para continuar y terminar el presente trabajo.
6. - v -
AGRADECIMIENTOS
Al creador de los cielos y la tierra que escuchó mi clamor cuando estaba perdido y
me recibió en su regazo: “Jehová, tú eres mi Dios; te exaltaré, alabaré tu nombre,
porque has hecho maravillas; tus consejos antiguos son verdad y firmeza”. (Isaías
25:1).
Al M.Sc. Ing. Cesar Fernando Lozano Mantilla, quien me colaboró con sus
conocimientos, experiencia en el campo practico y laboral con su guía en el
desarrollo del presente documento.
A mis mentores M.Sc. Ing. Cesar Fernando Lozano Mantilla, M. Sc. Ing. Edson
Vallejos, M.Sc. Ing. Cesar Castellon, M.Sc. Ing. Carlos Anibarro, quienes fueron
guía clave del trabajo científico, con sus conocimientos, experiencia en el campo
práctico y laboral con su tutoría en el desarrollo del presente documento, muchas
gracias.
A la Escuela Militar de Ingeniería, por la oportunidad de lograr mi especialización a
través del curso de Maestría en Seguridad de Tecnologías de la Información y
permitirnos ingresar a sus laboratorios e instalaciones para obtener los datos
significativos que fueron base sólida en la presente investigación.
7. - vi -
ÍNDICE
CONTENIDO Paginas
CUBIERTA ………………………………………………………………………………….…….. i
CONTRACUBIERTA………………………………………………………………..………….... ii
HOJA DE APROBACIÓN………………………………………………………….…………..... iii
DEDICATORIA…………………………………………………………………….……………... iv
AGRADECIMIENTOS…………………………………………………………......……………. .v
ÍNDICE………………………………………………………………………..........………………vi
LISTA DE TABLAS………………...………………………………………...........……………. ix
LISTA DE FIGURAS…………………………………………………………..........………….. x
LISTA DE FORMULAS……...……………………………….....……………. ……………… xii
RESUMEN/ABSTRACT…….…..…………………………………………….........…………...xiii
CAPÍTULO PRIMERO ...................................................................................................... - 1 -
GENERALIDADES ........................................................................................................... - 1 -
1.1 INTRODUCCIÓN .................................................................................................. - 1 -
1.2 . ANTECEDENTES DEL PROBLEMA................................................................... - 3 -
1.3 PLANTEAMIENTO DEL PROBLEMA ................................................................. - 8 -
1.4 IDENTIFICACIÓN DEL PROBLEMA................................................................... - 9 -
1.4.1. Formulación del Problema .................................................................................. - 15 -
1.5 . OBJETIVOS DE LA INVESTIGACIÓN .............................................................. - 15 -
1.5.1. Objetivo General ................................................................................................. - 15 -
1.5.2. Objetivos Específicos.......................................................................................... - 16 -
1.6 . JUSTIFICACIÓN ................................................................................................. - 16 -
1.6.1. Justificación Teórica............................................................................................ - 16 -
1.6.2. Justificación Legal............................................................................................... - 17 -
1.6.3. Justificación Social.............................................................................................. - 18 -
1.6.4. Justificación Técnica ........................................................................................... - 18 -
1.6.5. Justificación Subjetiva......................................................................................... - 19 -
1.7 . ALCANCES......................................................................................................... - 19 -
1.7.1. Área de Investigación.......................................................................................... - 21 -
1.7.2. Seguridad ............................................................................................................ - 21 -
1.7.2.1 Seguridad de la Información ............................................................................... - 21 -
1.8 . TEMA ESPECÍFICO............................................................................................ - 22 -
1.9 . NIVEL DE INVESTIGACIÓN .............................................................................. - 22 -
1.9.1. Alcance Espacial ................................................................................................. - 23 -
1.9.2. Alcance Temporal ............................................................................................... - 23 -
CAPÍTULO SEGUNDO................................................................................................... - 24 -
ESTADO DEL ARTE....................................................................................................... - 24 -
2.1 . FUNDAMENTOS TEÓRICOS GENERALES .................................................... - 24 -
2.2 . FUNDAMENTOS TEÓRICOS ESPECÍFICOS................................................... - 27 -
2.2.1. Seguridad Informática ......................................................................................... - 27 -
2.3 . SEGURIDAD DE REDES INFORMÁTICAS ...................................................... - 28 -
2.3.1. Seguridad por Niveles......................................................................................... - 29 -
2.3.2. Nivel 1 (Físico)..................................................................................................... - 30 -
2.3.3. Nivel 2 (Enlace)................................................................................................... - 31 -
2.3.4. Nivel (Red)........................................................................................................... - 34 -
2.3.5. Nivel (Transporte)................................................................................................ - 34 -
2.3.6. Nivel (Aplicación)................................................................................................. - 35 -
2.3.7. Niveles de Seguridad .......................................................................................... - 36 -
2.3.8. Nivel D (el sistema entero no es confiable) ........................................................ - 36 -
2.3.9. Nivel C (Protección Discreta).............................................................................. - 37 -
8. - vii -
a) Nivel C1: Protección Discrecional.............................................................................. - 37 -
b) Clase (C2): Protección de Acceso Controlado.......................................................... - 37 -
2.3.10. Nivel B ............................................................................................................... - 38 -
a) Nivel B1: Seguridad Etiquetada................................................................................. - 38 -
b) Nivel B2: Protección Estructurada ............................................................................. - 38 -
c) Nivel B3: Dominios de Seguridad .............................................................................. - 39 -
2.3.11. Nivel A: Protección Verificada............................................................................ - 39 -
a) Clase (A1): Diseño Verificado.................................................................................... - 39 -
2.3.12. Centros de Datos .............................................................................................. - 42 -
2.3.12.1. Tier.................................................................................................................... - 42 -
2.3.12.2. Tier I - Centro de Datos Básico........................................................................ - 43 -
2.3.12.3. Tier II - Centro de Datos Redundante.............................................................. - 43 -
2.3.12.4. Tier III - Centro de Datos Concurrentemente Manantenibles ......................... - 43 -
2.3.12.5. Tier IV - Centro de Datos Tolerante a Fallos.................................................. - 43 -
2.3.13. Zero Trust (Cero Confianza) ............................................................................ - 44 -
2.3.14. Los Datos ......................................................................................................... - 45 -
2.3.15. Pilar #1 - Usuarios............................................................................................ - 45 -
2.3.16. Pilar #2 - Seguridad de Dispositivos................................................................ - 46 -
2.3.17. Pilar #3 - Red de Seguridad............................................................................. - 46 -
2.3.18. Pilar #4 - Aplicación y Seguridad de la Carga de Trabajo .............................. - 47 -
2.3.19. Pilar #5 - Orquestación de Seguridad de Automatización .............................. - 47 -
2.3.20. Pilar #6 - Visibilidad y Análisis de Seguridad Analítica ................................... - 48 -
2.3.21. Software-Defined Perimeter (SDP).................................................................. - 48 -
2.4 . MÉTODO O ESTRUCTURA DE ANÁLISIS, CRITERIOS DE VALIDEZ Y
CONFIABILIDAD ............................................................................................................ - 50 -
2.4.1. Método de Análisis........................................................................................... - 50 -
2.5 . DISEÑO TEÓRICO DE LA INVESTIGACIÓN ................................................ - 52 -
CAPÍTULO TERCERO.................................................................................................... - 54 -
ESTRATEGIAS METODOLÓGICAS ............................................................................. - 54 -
3.1 ESTRATEGIAS METODOLÓGICAS .............................................................. - 54 -
3.2 . DEFINICIÓN DE LA HIPÓTESIS .................................................................... - 57 -
3.3 . VARIABLES..................................................................................................... - 57 -
3.3.1. Identificación y Análisis de Variables............................................................... - 58 -
3.4 . CONCEPTUALIZACIÓN DE LAS VARIABLES............................................. - 58 -
3.5 . INDICADOR ..................................................................................................... - 59 -
3.5.1. Tasa de Variación de Estudiantes ................................................................... - 59 -
3.5.2. Índice de riesgo................................................................................................ - 60 -
3.5.3. Superficie de ataque ........................................................................................ - 60 -
3.6 . OPERACIONALIZACIÓN DE VARIABLES.................................................... - 62 -
3.7 . MATRIZ DE CONSISTENCIA ......................................................................... - 65 -
3.8 . UNIVERSO Y MUESTRA ................................................................................ - 66 -
3.8.1. Universo ........................................................................................................... - 66 -
3.8.2. Muestra............................................................................................................. - 66 -
CAPÍTULO CUARTO...................................................................................................... - 68 -
DESARROLLO PRACTICO ........................................................................................... - 68 -
4 . ESTADO INICIAL - ACTUAL DEL CENTRO DE DATOS DE LA UNIVERSIDAD
PÚBLICA DE EL ALTO .................................................................................................. - 68 -
4.1 ESTADO INICIAL – ACTUAL DEL CENTRO DE DATOS DE LA UPEA ..... - 68 -
4.2 . RIESGOS DEL CENTRO DE DATOS DE LA UNIVERSIDAD PÚBLICA DE EL
ALTO ............................................................................................................................... - 75 -
4.2.1. Superficie de ataque del Centro de Datos de la UPEA................................... - 79 -
4.3 PRESENTACIÓN DEL DISEÑO PARA LA SEGURIDAD CORPORATIVA. - 80 -
4.3.1. Nivel de Acceso................................................................................................ - 82 -
4.3.2. Nivel de Distribución ........................................................................................ - 85 -
9. - viii -
4.3.3. Nivel Principal de Conexión A Internet (CORE O BACKBONE).................... - 87 -
4.3.4. Universidad de la CEUB (UPEA).................................................................... - 93 -
4.3.4.1. Centro de Datos .............................................................................................. - 93 -
4.3.4.2. Firewall´s ......................................................................................................... - 93 -
4.3.4.3. Núcleo de la entidad ....................................................................................... - 94 -
4.3.4.4. Distribución de edificio .................................................................................... - 94 -
4.3.5. Borde de la universidad .................................................................................. - 94 -
4.3.5.1. SDP CONTROLLER ....................................................................................... - 94 -
4.3.5.2. SDP Gateway (borde de controlador)............................................................. - 95 -
4.3.5.3. SDP cliente...................................................................................................... - 95 -
4.3.5.4. CLOUD............................................................................................................ - 95 -
4.3.6. Centro de Datos Sucursal............................................................................... - 95 -
4.3.6.1. Tele Operador ................................................................................................. - 96 -
4.4 . DEMOSTRACIÓN DE LA HIPÓTESIS ......................................................... - 96 -
CAPÍTULO QUINTO ..................................................................................................... - 101 -
PRESENTACIÓN DE RESULTADOS.......................................................................... - 101 -
5.1 ANÁLISIS Y PRESENTACIÓN DEL DISEÑO............................................ - 101 -
5.2 . PRESENTACIÓN DEL MODELO PRÁCTICO ........................................... - 101 -
5.2.1. Servicios instalados en el servidor (debían-DNS1)..................................... - 103 -
5.2.1.1. Bind9 (DNS) ................................................................................................. - 105 -
5.2.1.2. Ssh................................................................................................................ - 106 -
5.2.1.3. Snmp ............................................................................................................ - 109 -
5.2.1.4. Squid ............................................................................................................ - 110 -
5.2.1.5. Kerberos....................................................................................................... - 112 -
5.2.1.6. Gpg............................................................................................................... - 112 -
5.2.1.7. IPtables......................................................................................................... - 114 -
5.2.1.8. Snort ............................................................................................................. - 116 -
5.2.1.9. Mod securiy .................................................................................................. - 117 -
5.2.2. Servicios instalados en el servidor (SRV-WEB-MAIL)................................ - 118 -
5.2.2.1. Servidor WEB apache.................................................................................. - 119 -
5.2.3. Postgresql..................................................................................................... - 120 -
5.2.4. Postfix........................................................................................................... - 120 -
CAPITULO SEXTO....................................................................................................... - 122 -
CONCLUSIONES Y RECOMENDACIONES ............................................................... - 122 -
6.1 EPILOGO ..................................................................................................... - 122 -
6.2 CONCLUSIONES ........................................................................................ - 122 -
6.3 . RECOMENDACIONES................................................................................ - 127 -
6.4 . SUGERENCIAS PARA FUTURAS INVESTIGACIONES .......................... - 128 -
BIBLIOGRAFIA............................................................................................................. - 130 -
ANEXOS........................................................................................................................ - 130 -
ANEXO A - INSTALACIÓN DE LOS SERVICIOS EN LA APLICACIÓN EN EL
SERVIDOR CON NOMBRE.......................................................................................... - 130 -
ANEXO B: PRESENTACIÓN DE LOS DATOS........................................................... - 130 -
B.1. ESTRUCTURA LEGAL Y JURÍDICA......................................................... - 130 -
B.1.1. Legislación Boliviana en delitos informáticos ............................................. - 120 -
B.1.1.1. Constitución Política del estado Plurinacional de Bolivia .......................... - 120 -
a) Ley de Código Penal Boliviano................................................................... - 120 -
b) Capítulo XI, Delitos Informáticos ................................................................ - 120 -
B.2. Ley N° 164 General de Telecomunicación, Tecnologías de la Información y
Comunicación................................................................................................................ - 120 -
B.2.3. Decreto Supremo 1793 Reglamentación de la Ley Nº 164 ....................... - 120 -
B.2.4. Decreto Supremo Nº 3251 plan de Implementación de Gobierno Electrónico
…………………………………………………………………………………….- 120 -
GLOSARIO.........................................................................................................................161
10. - ix -
LISTADE TABLAS
Tabla 1.1 - Entidades que tienen Centro de datos por tipo de Entidad 2017 .................. - 11 -
Tabla 2.1 - MODELADO DE TCP/IP .................................................................................... - 30 -
Tabla 2.2 - Modelado de los modelos TCP/IP y OSI.......................................................... - 30 -
Tabla 2.3 - Comparación entre la IEEE y Modelo OSI........................................................ - 31 -
Tabla 3.1 - Operacionalización de Variable independiente ................................................ - 63 -
Tabla 3.2 - Operacionalización de Variable dependiente ................................................... - 64 -
Tabla 3.3 - Matriz de Consistencia......................................................................................... - 65 -
Tabla 4.1 - Tabla de Implementación de gobierno electrónico en la UPEA................... - 74 -
Tabla 4.2 – Riesgos del centro de datos para la Universidad Pública de El Alto........... - 76 -
Tabla 4.3 - Servicios Web alojados en el Centro de datos de la UPEA ........................... - 79 -
Tabla 4.4 - Seguridad en el nivel de acceso......................................................................... - 84 -
Tabla 4.5 - Seguridad de distribución.................................................................................. - 87 -
Tabla 4.6 - Seguridad de nivel de conexión a internet...................................................... - 89 -
Tabla 5.1 - Servicios que se encuentran instalados en el srv-FWR................................ - 104 -
Tabla 5.2 - Servicios Instalados en la maquina (SRV-WEB-MAIL)................................ - 119 -
11. - x -
LISTA DE FIGURAS
Figura 1.1 - Índice Nacional de Seguridad Cibernética (NCSI, 2020) ........................................... - 2 -
Figura 1.2 - Defensa en Profundidad (Bortnik, S., 2010).............................................................. - 7 -
Figura 1.3 – Árbol de problema, Elaboración propia ................................................................... - 10 -
Figura 1.4 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz, (CEUB). - 14 -
Figura 2.1 - Los Pilares de Zero Trust (ACT-IAC,2019) ............................................................. - 45 -
Figura 2.2 – Arquitectura del SDP (Pulse Secure, 2018) ............................................................ - 49 -
Figura 3.1 - Población que accede a la información (AGETIC, 2017)........................................ - 55 -
Figura 3.2- Población que tuvo problemas de virus o hackeo de su cuenta (AGETIC, 2017).... - 56 -
Figura 3.3 - Población universitaria que utiliza páginas web de universidades (AGETIC, 2017 - 57 -
Figura 4.1 - Edificio emblemático Ubicación Av. Juan Pablo Segundo (www.upeaaldia.com) .... - 68 -
Figura 4.2 - Centro de Datos de la UPEA (Elaboración Propia)................................................. - 69 -
Figura 4.3 - Red LAN de la UPEA (Elaboración Propia) ............................................................. - 69 -
Figura 4.4 - Red de Interconexión de la UPEA (Elaboración Propia).......................................... - 70 -
Figura 4.5 - Diagrama lógico de la UPEA (Elaboración Propia) ................................................. - 70 -
Figura 4.6 - Seguridad de la Red Corporativa de la Seguridad Física (Elaboración Propia)...... - 71 -
Figura 4.7 - Seguridad en la Capa de Enlace (Elaboración Propia)........................................... - 71 -
Figura 4.8 - Seguridad de la capa de red (Elaboración Propia) .................................................. - 72 -
Figura 4.9 - Seguridad de la capa de transporte (Elaboración Propia)........................................ - 72 -
Figura 4.10 - Seguridad en la capa de aplicación (Elaboración Propia)..................................... - 73 -
Figura 4.11 - Diagrama de Flujo del diseño de seguridad corporativa (Elaboración propia) ....... - 82 -
Figura 4.12 – Diseño de la Red Corporativa para la UPEA (Elaboración Propia) ...................... - 92 -
Figura 4.13 - Diseño lógico de la red corporativa (Elaboración Propia) ..................................... - 96 -
Figura 5.1 - Diseño Lógico de la Red Corporativa (Elaboración Propia)................................... - 101 -
Figura 5.2 - Modelo práctico de la configuración (Elaboración Propia) ..................................... - 103 -
Figura 5.3 - Llave de rndc.key (Sin seguridad), (Elaboración Propia) ....................................... - 105 -
Figura 5.4 - Llave de rndc.key (Llave cifrada), (Elaboración Propia)......................................... - 106 -
Figura 5.5 - Cambio de dueño del archivo rndc.key (Elaboración Propia) ..................... - 106 -
Figura 5.6 - Configuración de que equipos pueden acceder por SSH, (Elaboración Propia)-
106 -
Figura 5.7 - Acceso de cliente por SSH, (Elaboración Propia) ........................................ - 107 -
Figura 5.8 - Creación de las llaves pública, privadas (Elaboración Propia) ................... - 108 -
Figura 5.9 - Copia de la Llave Pública, (Elaboración Propia)........................................... - 108 -
Figura 5.10 - Configuración de apertura de ventanas por ssh, (Elaboración Propia)... - 109 -
Figura 5.11 - Configuración del SNMP, (Elaboración Propia).......................................... - 109 -
Figura 5.12 - Información de recolección de información del router, (Elaboración Propia) . -
110 -
Figura 5.13 - Advertencia al acceso por SQUID, (Elaboración Propia)......................... - 111 -
Figura 5.14 - Configuración de bloqueo de Dominio (Elaboración Propia) .................... - 111 -
Figura 5.15 - Identificación para Acceder al servicio de Internet (Elaboración Propia) - 111 -
Figura 5.16 - Acceso a la página de prueba en el servidor WEB, (Elaboración Propia) - 112
-
Figura 5.17 - Creación de Tiquete para acceso (Elaboracion Propia)............................ - 112 -
12. - xi -
Figura 5.18 - Archivo cifrado (Elaboración Propia)............................................................ - 113 -
Figura 5.19 - Cifrado y firmado de la un archivo (Elaboración Propia) ........................... - 113 -
Figura 5.20 - Archivo encriptado (Archivo.txt.gpg) (Elaboración Propia)........................ - 113 -
Figura 5.21 - Archivo cifrado y archivo original (Elaboración Propia) ............................. - 114 -
Figura 5.22 - Escaneo de los puertos en el SRV-WEB (Elaboración Propia)............... - 115 -
Figura 5.23 - Escaneo de los puertos debian10-DNS1 (Elaboración Propia)................ - 115 -
Figura 5.24 - Configuración de Iptables (Elaboración Propia) ......................................... - 116 -
Figura 5.25 - Reglas de Configuración para el IDS (Snort) (Elaboración Propia) ......... - 117 -
Figura 5.26 - Alertas del IDS con los paquetes de ICM, FTP (Elaboración Propia)...... - 117 -
Figura 5.27 - Inyección SQL a la página WEB (Elaboración Propia).............................. - 118 -
Figura 5.28 - Respuesta del WAF (Elaboración Propia)................................................... - 118 -
Figura 5.29 - Servidor WEB con protección de SSL, (Elaboración Propia).................... - 119 -
Figura 5.30 - Se cambia el permiso para acceso a la SHELL (Elaboración Propia)..... - 120 -
Figura 5.31 - Modelo de la Configuración Práctica (Elaboración Propia)....................... - 121 -
Figura 5.32 - Maqueta de equipos virtuales (Elaboración Propia)................................... - 121 -
13. - xii -
LISTA DE FÓRMULAS
Ecuación 3.1 - Tasa de variación de estudiantes.............................................................. - 59 -
Ecuación 3.2 - Índice de Riesgo .......................................................................................... - 60 -
Ecuación 3.3 - Superficie Total de Ataque ......................................................................... - 61 -
14. - xiii -
RESUMEN
La presente tesis de investigación aportará de gran manera en el ámbito de la
seguridad de la información, en los centros de datos de las Universidades Públicas
con el uso de la Seguridad por Niveles.
La inseguridad que se encuentra presente en los centros de datos de las
universidades públicas en Bolivia, son datos preocupantes debido a que solo se
cuenta con un solo centro de datos certificado en todas las universidades públicas
del territorio boliviano, de acuerdo al estudio realizado por la AGETIC.
Con la presente investigación, se mejorará la seguridad en los centros de datos
como lo sugiere TIA-942 EDC (Edge data center) al considerar siete áreas para las
consideraciones iniciales para la seguridad de los centro de datos perimetrales que
incluyen riesgo ambiental, riesgo de protección física, riesgo de suministro de
energía, riesgo de cableado de telecomunicaciones, riesgo de acceso, video
vigilancia, métricas de seguridad, esto mediante la implementación y división por
niveles de seguridad física, enlace, red, transporte y aplicación, todo en conformidad
a la Legislación Boliviana del Estado Plurinacional de Bolivia y en su normativa: Ley
N° 164, el Decreto N° 1743 y el Decreto Supremo N° 3251 las cuales regulan el uso
y resguardo de la información de los usuarios haciendo uso de software libre y la
implementación de la firma digital con la finalidad de que se verifique la autoría y
autenticidad de un archivo o información.
La forma de controlar es mediante el monitoreo a la seguridad de la información, en
un centro de datos es con la implementación de la seguridad por niveles que a su
vez se puede conseguir mediante la ayuda de agentes que colaboran en los niveles
de red, transporte, aplicación como son los firewalls (corta fuegos), IDS y firewall de
aplicaciones web.
Palabras Clave: Seguridad por niveles, Niveles de seguridad, Software Libre,
Monitoreo, Perímetro.
15. - xiv -
ABSTRACT
This research thesis will contribute greatly in the field of information security, in the
data centers of Public Universities with the use of Security by Levels.
The insecurity that is present in the data centers of public universities in Bolivia is
worrying data because there is only one certified data center in all public universities
in Bolivian territory, according to the study carried out by the AGETIC.
With the present research, security in data centers will be improved as suggested
by TIA-942 EDC (Edge data center) by considering seven areas for initial
considerations for perimeter data center security including environmental risk, risk
of physical protection, power supply risk, telecommunications cabling risk, access
risk, video surveillance, security metrics, this through the implementation and
division by levels of physical security, link, network, transport and application, all in
accordance with the Bolivian Legislation of the Plurinational State of Bolivia and its
regulations: Law No. 164, Decree No. 1743 and Supreme Decree No. 3251 which
regulate the use and protection of user information using free software and the
implementation of the digital signature in order to verify the authorship and
authenticity of a file or information.
The way to control is by monitoring information security, in a data center it is with the
implementation of security by levels that in turn can be achieved through the help of
agents that collaborate at the network, transport levels , application such as firewalls
(firewalls), IDS and web application firewall.
Keywords: Security by levels, Levels Security, Free Software, Monitoring,
Perimeter.
16. - 1 -
CAPÍTULO PRIMERO
GENERALIDADES
1 . INTRODUCCIÓN
1.1 INTRODUCCIÓN
El incremento de la información contenida en diferentes plataformas en cuanto a
redes sociales, correos electrónicos, páginas web y escenarios de acceso público,
etc. que aglomeran la mayor cantidad de información personal de los diferentes
usuarios. Se ha vuelto un instrumento indispensable para los seres humanos, los
cuales van accediendo mediante los dispositivos móviles y equipos de computación.
Con la información almacenada en diferentes servidores, donde se acopian datos
personales de los usuarios a los cuales se acceden por medio de cuentas de correos
personales, empresariales, institucionales y aplicaciones en dispositivos móviles y
equipos de computación; las cuales pueden llegar a ser las cuentas de banco,
calificaciones del colegio, universidad, historial clínico o una simple fotografía y que
están almacenados en discos duros o dispositivos de TI.
En la actualidad se han incrementado el uso indebido y manipulación de la
información esto gracias a los reportes del Centro de Gestión de Incidentes
Informáticos (CGII), este tipo de incidentes informáticos se los realiza con diferentes
objetivos ya sea para la obtención de algún beneficio ya sea sentimental, político,
socioeconómico, etc. conociendo que el acceso ilegal de datos genera pérdida
económica, prestigio, tanto de los usuarios y las instituciones. Este a su vez es
ocasionado por personas mal intencionadas o los mismos usuarios al no hacer un
uso correcto de sus diferentes cuentas.
Los delitos informáticos a nivel mundial y local se han incrementado de manera
progresiva (BID, 2020). A través del tiempo y con el uso de la información de los
17. - 2 -
diferentes medios, métodos e ingeniería social. El uso ilegal e inapropiado de la
información ha generado pérdidas en las instituciones gubernamentales y privadas.
El estudio proporcionado por NCSI (NCSI, 2020) se encarga de observar y medir la
preparación de los países para prevenir amenazas de ciberseguridad y la gestión
de incidentes. El índice midió a 117 países y Bolivia se ubicó en el puesto 95,
ocupando el último lugar de América Latina, los aspectos con menor puntuación
corresponden a manejo de Ciber-Crisis 0%, protección de datos personales 0%,
protección de servicios digitales 0%, desarrollo de una política de Ciberseguridad
0%, Contribución a la ciberseguridad global 17% y información y análisis de
amenazas cibernéticas 20%.
Figura 1.1 - Índice Nacional de Seguridad Cibernética (NCSI, 2020)
Se observa que los delitos informáticos en Bolivia deben ser tomados con mayor
seriedad, ya que existe un arduo y necesario trabajo que se debe realizar en el país
a través de las autoridades gubernamentales.
18. - 3 -
Por lo mismo se plantea resolver posibles riesgos, mediante el desglose de los
niveles de seguridad, además garantizar la confiabilidad, integridad y disponibilidad
de la información.
1.2 . ANTECEDENTES DEL PROBLEMA
Dentro del ámbito académico que tocaron aspectos referentes a la seguridad de la
información contenida en un centro de datos, se puede nombrar los siguientes
trabajos de grado y trabajos de tesis en orden cronológico:
"METODOLOGÍA PARA ESTABLECER POLÍTICAS, NORMAS Y
PROCEDIMIENTOS SOBRE SEGURIDAD INFORMÁTICA EN UNIDADES DE LA
ADMINISTRACIÓN PÚBLICA" presentado por (Dueñas G., 2003). El objetivo
principal es el establecer políticas, normas y procedimientos sobre seguridad
informática en la administración pública, basada en un proceso sistémico.
"DISEÑO DEL PROCESO ADMINISTRATIVO DE LA SEGURIDAD
INFORMÁTICA EN LA "EMPRESA MUNICIPAL DE SERVICIO DE
CEMENTERIOS, SALAS DE VELACIÓN Y EXEQUIAS ", EMUCE - CUENCA"
presentado por (Vicuña P., 2009). El objetivo principal es diseñar el proceso
administrativo de la seguridad informática en la EMCE. Y mostrar los procedimientos
y políticas de seguridad, controles y procedimientos que regulen los riesgos de
seguridad informática en el acceso a la información.
"LA GESTIÓN DEL CAMBIO TECNOLÓGICO DE LA SEGURIDAD
INFORMÁTICA EN EL IPN LA DIRECCIÓN DE CÓMPUTO Y COMUNICACIONES
(DCYC) COMO CASO DE ESTUDIO" presentado por (Arellano L., 2011). El
objetivo principal se basa en establecer las responsabilidades de seguridad de la
información en todas las áreas con la implementación de estándares
internacionales, implementando controles para las diferentes tecnologías,
analizando incidentes de seguridad y evaluando las vulnerabilidades.
19. - 4 -
"SEGURIDAD POR NIVELES" de (Corletti E., 2011). El objetivo principal de este
libro es el mostrar la seguridad de los diferentes niveles: físico, enlace, red,
transporte y aplicación y sus medidas de seguridad con el uso de software libre o
medidas que mitiguen las amenazas presentes, en la red mediante el uso de
agentes o herramientas.
"ANÁLISIS DE ESTRATEGIAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA
CON BASE EN LA METODOLOGÍA OPEN SOURCE SECURITY TESTING
METHODOLOGY MANUAL (OSSTNM) PARA LA INTRANET DE UNA
INSTITUCIÓN DE EDUCACIÓN SUPERIOR" presentado (Gordon R., 2017). Este
trabajo tiene la finalidad de realizar la auditoria de seguridad informática a una
institución de educación superior, mediante la aplicación de la metodología
OSSTMM y pruebas de hacking ético estableciendo métricas para evaluar el nivel
de impacto y criticidad de las vulnerabilidades encontradas, donde se verificó que
existe una seguridad media. Siendo que la institución cuenta con un sistema de
seguridad implementado.
“METODOLOGÍA BASADA EN ESTÁNDARES DE PENTESTING PARA LA
DETECCIÓN DE VULNERABILIDADES PARA LA DIRECCIÓN NACIONAL DE
INFORMÁTICA DE LA EMI” presentado por (Gutierrez Q., 2018), este trabajo que
realizo fue mediante el diseño de una metodología basada en estándares
internacionales para detectar las vulnerabilidades y así cuantificar los impactos para
incrementar los niveles de seguridad informática dentro de la Dirección Nacional de
Informática de la Escuela Militar de Ingeniería.
Desde la creación de las redes de comunicación como en sus principios fueron el
ARPANET y posteriormente el DARPA, que fueron los inicios del Internet. La
organización Internacional de estandarización (ISO) estructuro el modelo conocido
como OSI considerando los protocolos de transmisión del ya anteriormente modelo
de DARPA y dividiéndolo en capa de aplicación, transporte, red, fisica.
20. - 5 -
Con el inicio de las redes de conexión como el internet, que funciona mediante
múltiples protocolos que a su vez nos brindan innumerables ventajas, así también
nos permite el control y monitoreo haciendo uso de diferentes herramientas, que
permiten saber el estado de la red y el tráfico de datos: flujo de protocolos,
estabilidad del enlace, puntos de saturación y consumo externo e interno de la red.
Según (Viveros S., 2015) asevera:
“La defensa en profundidad permite aislar y/o dividir en capas la
infraestructura de red con el fin de proporcionar mayor dificultad de acceso
no autorizado a la información a través de los recursos que la transporta y
almacena” (p.1).
La defensa en profundidad incorpora la necesidad de hacer una división del manejo
de toda la red, disgregar los servicios por los cuales transitan tanto de ingreso hacia
el centro de datos y los de afuera. Así mismo, (Vicuña P., 2009) afirma:
“Es por la existencia de un número de importante de amenazas y riesgos,
que la infraestructura de red y recursos informáticos de una organización
deben estar protegidos bajo un esquema de seguridad que reduzca los
niveles de vulnerabilidad y permita una eficiente administración de riesgos”.
(p.29).
El autor. (Chancusig, 2015), Afirma:
“…los servicios tecnológicos que la institución presta a toda la comunidad
universitaria, no se le tomado con la responsabilidad del caso al crecimiento
de la infraestructura tecnológica tanto física como lógica y esto ha derivado
en la perdida de información, ataques externos e incluso el robo de la
información, todo esto por no contar con un Esquema de seguridad
21. - 6 -
Perimetral y Control de Incidencias pues la red es vulnerable a los diferentes
tipos de ataques informáticos que existen en el exterior de la misma”. (p.2).
En el trabajo de Detección de Botnets del autor (Devincenzi, 2009) muestra al IDS
(Snort) como un sistema para la detección de intrusos, la misma que funciona para
el monitoreo de los eventos que están sucediendo en la red.
Entendiendo la importancia de la información almacenada en los centros de datos
de cada institución como bien a resguardar, se tiene como medida el reducir las
amenazas mediante el uso de niveles de seguridad, esto para que deba atravesar
el atacante informático antes de llegar a su objetivo, la medida prevé el uso
autorización y posterior a eso teniendo que autenticarse antes de entrar a cada nivel
hasta llegar a los datos.
En el caso que se aborda, se considera a la información que se encuentra en el
centro de datos de las universidades del sistema de universidades públicas de
Bolivia, los cuales son vulnerables a las amenazas que llevan a perder la
confiabilidad y credibilidad de cada institución en el posible caso de ser afectado.
La seguridad por niveles adopta los modelos referenciales OSI y TCP los marcos
que delimitan para la interconexión de sistemas de comunicación, es necesario
tener en cuenta que toda implementación del nivel de seguridad es acorde al
análisis de riesgos y su estudio de costo beneficio al implementar contramedidas.
La Seguridad por Niveles es el planteamiento de los conocimientos del
funcionamiento de las capas del modelo de Defensa en profundidad como lo
muestra (Bortnik, S., 2010) en la Figura 1.1.
22. - 7 -
Figura 1.2 - Defensa en Profundidad (Bortnik, S., 2010).
Para la figura 1.2 se aprecia la defensa en profundidad que consta del núcleo donde
se encuentra los datos es la parte a la que se tiene que resguardar debido a que es
vulnerable, la defensa de aplicación es la seguridad en las aplicaciones donde se
procura mantener protección de acceso y ejecución de dicho software, defensa de
equipo es una evaluación constante del entorno y crear directivas que limiten las
tareas a las que se tienen autorizadas, defensa red interna es la examinación del
tráfico permitido en las redes existentes y bloquear el que no es necesario, defensa
del perímetro lógico es el más importante para defender los ataques externos este
se encarga de evaluar todo el tráfico a permitir y auditar con el fin de detectar
intrusos y evitar ataques adicionalmente el acceso remoto a la red interna previo,
requisitos de seguridad, defensa del perímetro físico es la parte que limita el acceso
y manipulación de los equipos donde se almacenan la información, controles
administrativos es la presentación de políticas de seguridad a los usuarios de la
información y los que consultan al sistema.
La seguridad en profundidad como se muestra en la figura 1.1 es la integración de
elementos y sistemas, ya sean electrónicos o mecánicos, que su único propósito es
23. - 8 -
el de ofrecer protección de perímetro y detectar tentativas de intrusiones en las
instalaciones sensibles de ser atacadas por intrusos.
La idea de este modelo es estrechamente sencilla, es el proteger a un activo de la
organización con más de una medida de seguridad, así que se presenta varias
capas donde es posible aplicar diversos controles, con lo que dos capas de
seguridad presentaran más seguridad que una sola capa.
1.3 PLANTEAMIENTO DEL PROBLEMA
En los últimos años se ha visto, que una organización boliviana está siendo atacada
en promedio 1417 veces por semanas en los últimos 6 meses (ODIB, 2020), por lo
anterior mencionado muchas universidades se han visto enfrentados a delitos
informáticos por personas ajenas o trabajadores de la misma institución, los cuales
acceden a la información de forma no autorizada, destruyendo, eliminando,
modificando y distribuyéndola de manera inapropiada a personas externas para
beneficio personal. La carencia de sistemas de seguridad en instituciones se ha
visto vulnerable a pérdidas o manipulación inapropiada, esto debido a que no se
cuenta con los controles necesarios y no se tiene personal capacitado para la
administración y control de los sistemas que restrinjan y monitoreen las actividades
de los usuarios.
La restricción que se le hace al usuario, control de sistemas de monitoreo son
respuestas que plantean las leyes que defienden a la información, el
desconocimiento y la falta de aplicabilidad de normas y estándares internacionales
ayudan a la pérdida o fuga de datos, ya que no toda institución le brinda la
importancia necesaria al aspecto de seguridad, en su gran mayoría los
establecimientos no ponen eficacia a la adquisición de equipos adecuados de
comunicación, insumos, capacitación de personal y así mismos a la infraestructura
para el adecuado almacenamiento de la información.
24. - 9 -
Al referirnos de una infraestructura donde se almacena la información es inevitable
preguntar si tienen medidas que garanticen la integridad, confidencialidad y
disponibilidad de la misma, se podría interpretar que debe existir un muro que aleja
al centro de datos de la parte externa, sin embargo, si usamos la seguridad en
profundidad que es simplemente colocar una capa (muro) y después otra antes de
llegar a la información, se evidencia que aumenta la dificultad para que accedan a
los datos.
1.4 IDENTIFICACIÓN DEL PROBLEMA
En el entendido que los datos almacenados en una entidad es importante y que a
su vez llegan a ser la información con el cual se genera o realiza algún tipo de
trámite o consulta, este mismo llega a ser el activo a resguardar en una institución
ya sea pública o privada, se evidencia según el Observatorio de Delitos Informáticos
(ODIB, 2020), se ve comprometido a posibles ataques o vulnerabilidades presentes
en el centro de almacenamiento de los datos, posteriormente se presenta el árbol
de problema que ayudará a clarificar las ideas y comprender el problema de manera
global como se muestra en la figura 1.2.
25. - 10 -
Figura 1.3 – Árbol de problema, Elaboración propia
Según el árbol de problemas que muestra, como problema principal la inseguridad
de la información que a su vez ocasiona la carencia de políticas de seguridad
necesarias en una institución en (CTIC, 2017) el cual entrega los lineamientos para
la implementación de las políticas de seguridad. Hasta antes de esta publicación no
se tenía un lineamiento que se responda a la seguridad de la información en cada
entidad.
Con la publicación “Lineamientos para la elaboración e implementación de los
Planes Institucionales de Seguridad de la Información de las entidades del sector
público” (CTIC, 2017) se evidenció la carencia de profesionales aptos para el
manejo de incidentes concernientes a la seguridad. Según el estudio realizado por
la AGETIC en el año 2014 se evidencia aún más la poca importancia que se tenía
en cuanto al resguardo de la información.
En la publicación ESTADO TIC (Estado de las Tecnologías de la Información y
Comunicación en el Estado Plurinacional de Bolivia) de la AGETIC (Agencia de
26. - 11 -
Gobierno Electrónico y Tecnologías de la Información y Comunicación), mismo que
muestra en la Tabla N.º 1.1, la cantidad de entidades que tienen centro de datos por
tipo de entidad, se observa que a nivel nacional solo una Universidad Pública cuenta
con un centro de datos, cabe aclarar que para ser reconocido como un data center
debe ser certificado con la ANSI/TIA-942-A1
(c3comunicaciones.es, 2014).
Tabla 1.1 - Entidades que tienen Centro de datos por tipo de Entidad 2017
Fuente. (AGETIC, 2018)
Es evidente que según el estudio realizado por la AGETIC no se tiene una totalidad
de universidades públicas que cuenten con un centro de datos adecuado y normado
o certificado, por lo que la información contenida en el mismo se pondría a un nivel
muy vulnerable a pérdidas o ataques por personas inescrupulosas.
Con la necesidad de resguardar los datos se plantea la presente investigación
muestra la inseguridad que se encuentra presente en los centros de datos de las
1
Data Center: El Estándar TIA 942 Data Center: El Estándar TIA 942 83173 Concebido como una guía para los
diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942 (2005) proporciona una
serie de recomendaciones y directrices (guidelines) para la instalación de sus infraestructuras. El estándar
TIA942 probado en 2005 por ANSI-TIA (American National Standards Institute – Telecomunications Industry
Association), clasifica a este tipo de centros en varios grupos, llamados TIER, indicando así su nivel de fiabilidad
en función del nivel de disponibilidad.
27. - 12 -
universidades públicas en Bolivia, como se observa en los datos presentados, estas
estadísticas son preocupantes debido a que solo se cuenta con un solo centro de
datos certificado en todas las universidades públicas del Estado Plurinacional de
Bolivia, de acuerdo al estudio realizado por la AGETIC.
Dentro de las Universidades Públicas se presentan falencias en cuanto a la
implementación de un centro de datos acorde a la normativa que establece la
legislación boliviana: El inciso d) del Artículo 4 (Principios), parágrafo II, del Decreto
Supremo N° 1793 de 13 de noviembre de 2013, que señala que: “Se debe
implementar los controles técnicos y administrativos que se requieran para
preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y
confiabilidad de la información, brindando seguridad a los registros, evitando su
falsificación, extravío, utilización y acceso no autorizado o fraudulento”, El Artículo
8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de noviembre de
2013, que menciona que: “Las entidades públicas promoverán la seguridad
informática para la protección de datos en sus sistemas informáticos, a través de
planes de contingencia desarrollados e implementados en cada entidad”, esto es
concerniente a Bolivia así también se debe cumplir estándares internacionales,
debido a que la información almacenada en cada universidad es de vital importancia
ya sea para los universitarios, como para la casa superior de estudios.
La falta de importancia por parte de los administradores de las universidades, con
respecto a la seguridad y resguardo de la información es preocupante, debido a que
no se cuenta con políticas de seguridad ni medidas que resguarden la información
de cada entidad, ya que se ven afectados por mala manipulación, fuga de
información delicada por personas inescrupulosas que hacen uso de la misma con
fines personales.
Según la presentación de la tabla 1.1 de centro de datos en universidades públicas
se evidencia que solo una universidad tiene un centro de dato reconocido, con este
dato se realiza dos cuestionarios de seguridad de la información a las universidades
de la ciudad de La Paz y El Alto que son públicas, donde los cuestionarios
presentaron los siguientes resultados para la Universidad Mayor de San Andrés
28. - 13 -
cuenta con 21 respuestas que contemplan medidas apelativas en cuanto a la
seguridad de la información, en la Universidad Pública de El Alto contempla 8
respuestas que favorecen a la seguridad de la información.
Tabla 1.2 – Relevamiento de cuestionario a Universidades de La Paz
CUESTIONARIO UMSA – ITIC UPEA – SIE
27 Preguntas 21 repuestas favorables 8 respuestas favorables
Fuente. Elaboración propia
Se tiene como universo a las 11 universidades públicas que se encuentran dentro
la CEUB (Comité Ejecutivo de la Universidad Boliviana), según la publicación de la
(AGETIC, 2018) donde presenta a una sola universidad con un centro de datos
reconocido.
Tabla 1.3 - Universidades y cantidad de estudiantes por Gestión
GESTION UMSFXCH UMSA UMSS UATF UTO UAGRM UAJMS UABJB UNSXX UAP UPEA UCB EMI UNIPOL
2001 22979 59924 35801 10966 14745 31933 11307 5273 4077 902 4541 13436 1288 0
2002 24257 62854 45531 12135 16234 33248 11786 7207 4396 1040 6581 13031 1526 0
2003 25846 65426 49486 12919 16998 37498 12829 7660 4590 943 7673 12403 1585 0
2004 26480 68311 50943 13761 17125 39853 13503 7845 4742 933 8829 11969 1362 0
2005 27089 69481 52801 14594 17806 44116 14291 10538 4754 1012 10533 12857 1564 0
2006 28505 71490 52959 15054 18964 47708 14761 10693 5044 1288 11392 12706 1716 0
2007 31029 71642 55098 14286 19635 54310 15383 11987 6211 1779 12248 12538 2025 0
2008 33695 73109 57166 14971 20016 62334 16782 12226 6015 2077 13800 13104 2241 0
2009 36058 74044 56046 15684 20401 69322 17181 12877 4745 2226 16197 12928 2377 0
2010 39227 74838 56643 16742 21129 70176 17769 13672 4004 2283 18431 13751 2805 0
2011 42102 75503 62270 17294 22048 70755 18193 13658 3657 2374 21875 12697 2805 0
2012 43863 76745 64676 18748 22779 76842 19413 13613 9266 3546 25068 15018 5287 1145
2013 45995 77202 65834 19938 23209 80955 20064 15378 8840 4090 30938 15213 5843 3012
2014 48859 77457 68582 20596 23523 78941 21961 18323 7654 5095 32102 15294 5961 3150
2015 50052 78219 68983 21180 24377 79921 23191 19098 7648 5884 38693 15921 6380 3552
2016 51277 78228 78770 22304 25662 84619 23783 19607 7754 7565 42343 15868 5988 3954
Fuente. (CEUB, 2017)
En el presente trabajo se muestra la inseguridad que se encuentra presente en los
centros de datos de las universidades públicas en Bolivia, como se observa en los
datos presentados, estas estadísticas son preocupantes debido a que solo se
29. - 14 -
cuenta con un solo centro de datos certificado en todas las universidades públicas
del estado plurinacional de Bolivia, de acuerdo al estudio realizado por la AGETIC,
una comparación en la figura 1.3 donde se concentra la mayor cantidad de
estudiantes de las principales universidades en el eje troncal de Bolivia tenemos los
siguientes resultados la UAGRM cuenta con 84.619 estudiantes, UMSS cuenta con
78.770 estudiantes, UMSA cuenta con 78.228 estudiantes y la UPEA cuenta con
42.343 estudiantes con lo expuesto con anterioridad se expuso la figura comparativa
a continuación.
Figura 1.4 – Universidades de los departamentos La Paz, Cochabamba, Santa Cruz,
(CEUB)
Hoy en día se han incrementado el uso indebido y manipulación de la información
(ODIB, 2020), esta acción como tal, llega a generar pérdidas monetarias a la
institución o al usuario perdiendo la credibilidad y la integridad en cuanto a la
información.
La presencia de amenazas a la información almacenada en una casa superior de
estudios, es latente en cada institución, con la presente investigación, se plantea
resolver posibles riesgos y amenazas presentes en la seguridad de la información
y su almacenamiento de datos y resguardo de los mismos, mediante el desglose de
niveles de seguridad que está conformado por el nivel físico este prevé aspectos a
la comunicación, ingreso, planos eléctricos, cableado, ventilación etc., enlace que
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
UMSA UMSS UAGRM UPEA
30. - 15 -
abarca otros como la ubicación de rack, análisis de topología de la red, control de
direcciones de hardware, configuraciones de switch, análisis de tráfico unicast y
multicast, etc., nivel de red es el encargado de las tareas de direccionar, control de
contraseñas, configuraciones del router, ayudaran a colocar barreras para el
atacante, nivel de transporte este se encarga de establecer y cerrar sesiones cerrar
puertos, control de puertos UDP, nivel de aplicación control de servidores web, FTP,
proxy, vigilando los flujos de datos y establecimiento de sesiones, control de acceso
de remoto, firewall, DNS, estas recomendaciones de protección son por los cuales
debe atravesar el atacante informático teniendo que autenticarse antes de entrar a
cada nivel hasta llegar a los datos. Además, garantizar la confiabilidad, integridad y
disponibilidad de la información de los centros de datos.
1.4.1. Formulación del Problema
¿Cuál es la influencia del desarrollo de un Sistema de Seguridad por Niveles en las
redes informáticas Corporativas del Sistema Universitario de Bolivia?
1.5 . OBJETIVOS DE LA INVESTIGACIÓN
1.5.1. Objetivo General
Diseñar el sistema de seguridad por Niveles para las redes informáticas
corporativas, en Universidades Públicas y los Centros de datos del Sistema de
Universidades de Bolivia de acuerdo a la interoperabilidad2
y sujeto a la ley N° 0164,
Decreto Supremo N° 1793 y el Decreto supremo 3251.
2
La interoperabilidad es la capacidad de dos o más sistemas o componentes para intercambiar información
y usar la información que se ha intercambiado.
31. - 16 -
1.5.2. Objetivos Específicos
Analizar los requerimientos para la seguridad por niveles en el sistema
universitario de Bolivia en conformidad a la ley 164, D.S. 1793, D.S. 3251 y
D.S. 2524.
Definir las especificaciones y lineamientos de recursos, analizando su estado
actual de la Universidad, que respondan a la ley 164, D.S. 1793, D.S. 3251
D.S. 2524.
Realizar el diseño de seguridad para las redes informáticas corporativas de
la Universidad.
Seleccionar la tecnología que responda al requerimiento del sistema de
seguridad informática corporativa y la normativa vigente.
Presentar la implementación de un prototipo que respondan a la seguridad
de la red informática corporativa.
1.6 . JUSTIFICACIÓN
1.6.1. Justificación Teórica
La presente investigación se realiza con el propósito de brindar seguridad por
niveles en los centros de datos de las universidades públicas, este a su vez está
formada por las sapiencias desarrolladas por el autor Alejandro Corletti Estrada que
publica el libro “Seguridad por Niveles” que a su vez está dividido en dos partes: la
Primera parte consta de conceptos y protocolos por nivel físico, enlace, red,
transporte y aplicación donde se detalla de manera más específica su función que
realiza, conceptos importantes, herramientas a usar, y estándares de comunicación,
La Segunda parte trata de las recomendaciones de seguridad por niveles desde el
nivel físico, enlace, red, transporte, aplicación este fue publicado con el nombre
“Seguridad por Niveles”, su finalidad es de profundizar la seguridad de la
información, presentándolo desde el modelo TCP/IP. Y así aportar al conocimiento
de la protección perimetral en los servidores con el criterio de “no confiar en nadie”
32. - 17 -
(Zero trust) con este criterio se pretende proteger todo acceso a los niveles de
información antes de acceder a los datos.
1.6.2. Justificación Legal
El Parágrafo I del Artículo 72 de la Ley N° 164 de 28 de julio de 2011, Ley General
de Telecomunicaciones, que establece que: “El Estado en todos sus niveles,
fomentará el acceso, uso y apropiación social de las tecnologías de información y
comunicación, el despliegue y uso de infraestructura, el desarrollo de contenidos y
aplicaciones, la protección de las usuarias y usuarios, la seguridad informática y de
redes, como mecanismos de democratización de oportunidades para todos los
sectores de la sociedad y especialmente para aquellos con menores ingresos y con
necesidades especiales”.
El inciso d) del Artículo 4 (Principios), parágrafo II, del Decreto Supremo N° 1793 de
13 de noviembre de 2013, que señala que: “Se debe implementar los controles
técnicos y administrativos que se requieran para preservar la confidencialidad,
integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información,
brindando seguridad a los registros, evitando su falsificación, extravío, utilización y
acceso no autorizado o fraudulento”.
El Artículo 8 (Plan de contingencia) del Decreto Supremo N° 1793, de 13 de
noviembre de 2013, que menciona que: “Las entidades públicas promoverán la
seguridad informática para la protección de datos en sus sistemas informáticos, a
través de planes de contingencia desarrollados e implementados en cada entidad”.
El Decreto Supremo N° 2514 de 9 de septiembre de 2015, en los siguientes
artículos, incisos o disposiciones transitorias: Inciso, i) del Artículo 7, que establece
entre las funciones de la AGETIC, “Elaborar, proponer, promover, gestionar,
articular y actualizar el Plan de Implementación de Gobierno Electrónico y el Plan
de Implementación de Software Libre y Estándares Abiertos para las entidades del
33. - 18 -
sector público; y otros planes relacionados con el ámbito de gobierno electrónico y
seguridad informática” Parágrafo I del Artículo 8, de creación del “Centro de Gestión
de Incidentes Informáticos – CGII como parte de la estructura técnico operativa de
la AGETIC”. Inciso c) del Parágrafo II del Artículo 8, que menciona como una de las
funciones del Centro de Gestión de Incidentes Informáticos – CGII, “Establecer los
lineamientos para la elaboración de Planes de Seguridad de Información de las
entidades del sector público”. Parágrafo III del Artículo 17, que establece que “Las
entidades del sector público deberán desarrollar el Plan Institucional de Seguridad
de la Información acorde a los lineamientos establecidos por el CGII”.
1.6.3. Justificación Social
La información que se tiene almacenada en los centros de datos de las
Universidades Públicas en particular contienen una gran cantidad de información,
en consecuencia, es muy importante resguardar la información personal de
universitarios, docentes y administrativos.
En cuanto a la información de la Universidad sea confiable, la institución mantendrá
el prestigio ante la población y confianza con las personas que estudian y trabajan
en la misma, así que cada universidad debe velar la integridad, disponibilidad de
datos.
1.6.4. Justificación Técnica
Para empezar el incremento anual de estudiantes nuevos que ingresan a las
diferentes Universidades Públicas y el crecimiento vegetativo de los mismos va en
constante aumento como lo refleja la tabla 1.3, con respecto a la necesidad de
resguardar mayor cantidad bits en el centro de almacenamiento esto con referencia
a los datos que se ingresan al sistema académico de cada casa superior de
estudios, en consecuencia de se sugiere la mejora continua de las medidas de
34. - 19 -
seguridad y controles para evitar pérdidas en los datos acumulados en los centros
de datos.
1.6.5. Justificación Subjetiva
La seguridad de la información es de vital importancia, porque con ello se resguarda
la base de datos que sirve para el manejo adecuado de una institución,
especialmente cuando se trata de una Universidad Pública, además que su razón
de ser es el formar profesionales competentes ante la sociedad, esto se logra con
un seguimiento académico de cada uno de los universitarios hasta antes de su
titulación; conociendo este aspecto no se puede dejar a la deriva la información de
cada uno de los ellos, ya que dicha información se debe manipular de manera
confidencial.
1.7 . ALCANCES
Con el presente documento se aborda la Seguridad por Niveles (Corletti E., 2011)
en Redes Informáticas corporativas que a su vez cuentan con un centro de
almacenamiento de datos, este puede o no estar en ambientes que cumplan
estándares internacionales de calidad, así mismo según la norma nacional donde
se prevé los aspectos relacionados con la seguridad e integridad de información
según lo establece la ley 164, D.S. 1793, D.S. 3251, D.S. 2524, como lo establece
con mayor claridad el Artículo 8 (Plan de contingencia) del Decreto Supremo N°
1793, de 13 de noviembre de 2013, que menciona que: “Las entidades públicas
promoverán la seguridad informática para la protección de datos en sus sistemas
informáticos, a través de planes de contingencia desarrollados e implementados en
cada entidad”.
Para empezar el presente trabajo de investigación se tiene como universo a las
universidades públicas y estas a su vez forman parte del Comité Ejecutivo de la
Universidad Boliviana (CEUB), que a su vez suman un total de 11 casas de estudio
35. - 20 -
superior que están dispersas por el territorio de Bolivia, para seleccionar la muestra
debemos empezar por definir la unidad de análisis, que no es otra cosa, sino dónde
y con quién se realizará la recolección de los datos, para el universo se observa
solo a universidades públicas que son 11 de estas son, la UMSA y la UPEA se
encuentran en el departamento de La Paz, la UTO que se encuentra en el
departamento de Oruro, la UABJB de Trinidad, la USFX de Sucre, la UMSS de
Cochabamba, la UAP de Pando, la UAGRM de Santa Cruz, la UATF y UNXX de
Potosí, la UAJMS de Tarija, al observar el universo amplio se debe elegir una
muestra del tipo de probabilístico o no probabilístico. Según la proyección del
Instituto de estadística de Bolivia INE los departamentos con mayor cantidad de
población hasta el año 2020 se tiene en La Paz con 2.926.996, Cochabamba con
2.028.639, Santa Cruz con 3.370.059 habitantes.
En cuanto a la muestra es no probabilística, y se realiza a través de procesos donde
se elige a un determinado elemento que sea realizable para el modelado del sistema
de seguridad informática corporativa, haciendo notar que el departamento de La
Paz es seleccionado debido a que es el segundo departamento con más población
y también tiene dos universidades donde aglutina a la mayor cantidad de
universitarios, de las dos universidades que se encuentran en el departamento de
La Paz son la UMSA, UPEA y una de ellas presenta un mayor número de respuestas
negativas al cuestionario de seguridad de la información que se realizó a la
Universidad Mayor de San Andrés y la Universidad Pública de El Alto esta última es
la que no presenta los conocimientos necesarios para responder satisfactoriamente
el cuestionario, así mismo esta casa superior es la más joven a comparación de las
otras once universidades públicas, que a su vez percibe dinero del TGN,
Coparticipación y IDH que son destinados para su funcionamiento, en consecuencia
por su particularidad y juventud presenta diferentes conflictos que no siempre son
respondidos o resueltos de manera oportuna o coherente y esto presenta riesgo en
sus asistentes, infraestructura y bienes materiales por lo que puede perderse
información de vital importancia para la misma institución.
36. - 21 -
Con respecto a la protección de la información almacenada en el centro de datos
de la Universidad Pública de El Alto, es el tema de estudio para el presente trabajo
de investigación, el cual tiene como objetivo mejorar las medidas defensivas con la
división por niveles de seguridad. De modo que con el análisis de riesgos del Data
center se prevé brindar un diseño que responda las vulnerabilidades que se tiene,
mediante el diseño del modelado, la implementación de la defensa en profundidad
y seguridad por niveles para los centros de procesamiento datos.
1.7.1. Área de Investigación
1.7.2. Seguridad
El área de investigación del presente trabajo, es la seguridad informática corporativa
que a su vez se relaciona estrechamente con los centros de procesamientos de
datos, pero para este caso es la Universidad Pública de El Alto.
La seguridad es la ausencia del peligro o riesgo, esto ayuda a brindar un conjunto
de medidas preventivas y reactivas de organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la información con la finalidad de
mantener la confidencialidad, disponibilidad e integridad.
Según (Erb, 2008) la seguridad informática se refiere a las características y
condiciones de sistemas de procesamiento de datos y su almacenamiento, para
garantizar su confidencialidad, integridad y disponibilidad.
1.7.2.1. Seguridad de la Información
La seguridad informática consiste en asegurar los recursos del sistema de
información de una organización mediante, el control de acceso a la información
contenida en el centro de datos, la modificación solo será posible por las personas
que se encuentren acreditadas dentro de los límites de su autorización (Viveros S.,
2015).
37. - 22 -
Para el análisis en la seguridad de la información se debe identificar las
vulnerabilidades, ya que estos pasan a ser riesgos potenciales que presentan los
centros datos ante sucesos, actividades internas o externas.
La gestión de riesgo en la seguridad de la información es un método para
determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar
mecanismos que permitan controlar incidentes.
En esta investigación se pretende mostrar los diferentes riesgos, al no contemplar
con una correcta implementación de las políticas (CTIC, 2017), así como lo
establecen la Ley General de Telecomunicaciones Tecnologías de Información Nº
164 y los Decretos Supremos 1793 del 13 de noviembre del 203 y el Decreto
Supremo 3251 del 12 de julio 2017 de la seguridad en las tecnologías de la
información.
1.8 . TEMA ESPECÍFICO
Los niveles de seguridad es el estándar más utilizando internacionalmente es el
TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad
en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mínimo grado de seguridad al máximo, estos niveles han sido
desarrollados por estándares europeos (ITSEC/ITSEM) y con posterioridad
internacionalmente con la (ISO/IEC).
1.9 . NIVEL DE INVESTIGACIÓN
El nivel de investigación es aplicado al presente trabajo, ya que requiere realizar
tareas por medio de la programación en los diferentes niveles de seguridad, que
38. - 23 -
mitiguen los riesgos de pérdidas de datos o mala manipulación de los mismos por
la ruptura del servicio con los usuarios.
1.9.1. Alcance Espacial
El sistema de seguridad por niveles se realizará basándose en la formulación del
modelo, el mismo sugiere los aspectos y el desarrollo para la implementación de los
centros de datos en las universidades públicas que formen parte de la CEUB. Para
el estudio de caso se consideró como muestra a la Universidad Pública de El Alto,
que se encuentra ubicada en la ciudad de El Alto, Zona Villa Esperanza S/N entre
la Av. Sucre “A” y “B”.
1.9.2. Alcance Temporal
La presente investigación se desarrolló en el segundo semestre de la gestión 2018
y la gestión 2019 concluyendo en el primer trimestre de la gestión 2021.
El presente trabajo de investigación tiene como vigencia de máximo dos años y un
mínimo de 1 año dependiendo de los siguientes aspectos que se deben considerar:
Crecimiento de los datos y el modo de almacenarlos de forma local o en la
nube.
Actualizaciones de versiones en los softwares de control o administración del
sistema de seguridad por niveles.
Cambio de equipos o personal asignado en tareas de administración y control
y monitoreo del sistema de seguridad por niveles.
Actualización constate del personal encargado en cursos que formen nuevos
y mejores conocimientos de una seguridad por niveles.
Uso inadecuado del sistema o negligencias de los usuarios o
administradores.
39. - 24 -
CAPÍTULO SEGUNDO
ESTADO DEL ARTE
2 . FUNDAMENTOS TEÓRICOS GENERALES
2.1 . FUNDAMENTOS TEÓRICOS GENERALES
Para empezar, se debe hablar de la CEUB que es el organismo de programación,
coordinación y ejecución de las Universidades Públicas y Universidades de
Convenio, sus principales funciones es representar al sistema nacional de
universidades de Bolivia a nivel nacional. Al mismo tiempo se debe hablar del
estudio realizado por la AGETIC – ESTADO TIC a los centros de las Universidades
Públicas en cuanto al resguardo de la información.
Por lo que refiere a la publicación de la AGETIC – ESTADO TIC, nos muestra una
cifra muy preocupante de universidades públicas que no cuentan con un adecuado
manejo del centro de datos, donde se puedan almacenar de manera adecuada la
información. En la actualidad la seguridad es un elemento primordial en los sistemas
informáticos según lo establece la PISI3
, preservar la información en su integridad
es de vital importancia para las universidades, ya que puede generar pérdidas
económicas, credibilidad y de tiempo. En particular tomando en cuenta que el
acceso al sistema por un usuario no autorizado podría conllevar a varios percances
dentro de la institución por lo contrario los afectados suman con respecto a la
cantidad de estudiantes que ingresan a las universidades.
Acerca de los datos obtenidos en el texto Estadística UPEA, 2016 muestra un
incremento en la población universitaria en los departamentos de La Paz,
Cochabamba y Santa Cruz los cuales forman el eje troncal del País y donde existe
la mayor cantidad de población con relación a otros departamentos.
3
PISI (Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de la
Información de las entidades del sector público) : tiene como objetivo establecer los lineamientos para que
las entidades del sector público del Estado Plurinacional de Bolivia puedan elaborar e implementar sus Planes
Institucionales de Seguridad de la Información, en concordancia con la normativa vigente.
40. - 25 -
En relación con los distintos ataques a sistemas informáticos, perpetrados a
entidades estatales, privadas por parte de los hackers, cracker y lamers que son
realizadas con la finalidad de obtener algún beneficio o simplemente al superar los
sistemas de seguridad, este tipo de ataques son noticia en las portadas de diarios
y periódicos digitales, dado que según los reportes (ODIB, 2020) que nos muestra
la cantidad de vulnerabilidades que se encuentran expuestos los sistemas de
seguridad.
Por ejemplo, la pérdida de información o la mala manipulación de un agente externo
ajeno a la entidad son amenazas con las que se cuenta en la actualidad. Al respecto,
el autor (Mieres, 2009) en el libro titulado “ATAQUES INFORMÁTICOS Y
DEBILIDADES DE SEGURIDAD COMÚNMENTE EXPLOTADOS” describe los
distintos ataques y vulnerabilidades que se encuentran presentes en los sistemas
de producción y que se convierten en riesgos para posteriormente ser explotados
por terceras personas. El autor concluye recomendando que si no conoces las
maneras en las que un atacante puede perpetrar un sistema, entonces eres parte
del problema y no así la solución.
Así el autor de la tesis de la Maestría en Seguridad Informática de la Universidad de
Buenos Aires Facultad de Ciencias Económicas Exactas y Naturales e Ingeniería
(Devincenzi, 2009) en su trabajo titulado “TÉCNICAS Y HERRAMIENTAS
FORENSES PARA LA DETECCIÓN DE BOTNETS” elabora una metodología
integral para la detección de botnet en la red, mediante el análisis de tráfico en
saliente y entrante a un host haciendo uso de herramientas que coadyuvan a dicho
trabajo. Para ello emplea herramientas como ser: Snort que es una herramienta que
monitorea el tráfico de la red.
En el caso de la publicación titulada “DEFENSA EN PROFUNDIDAD PARA
PROTEGER LA INFORMACIÓN DE LA RED CORPORATIVA” realizada por
(Viveros S., 2015) donde analiza la importancia de aislar en capas la infraestructura
41. - 26 -
de red con el fin de proporcionar mayor dificultad de acceso no autorizado a la
información, para ello plantea aplicar controles de seguridad para proteger los datos
en diferentes capas, esto con la finalidad de que el atacante tenga que superar
varias medidas de seguridad antes de llegar a su objetivo.
En particular los autores de la Tesis de Especialización titulada “DISEÑO DE UN
SISTEMA DE SEGURIDAD PERIMETRAL E INTERNA PARA LA EMPRESA
AMERICAS BUSNESS PROCESS SERVICE” (Camacho Contreras & Lopez
Rodriguez, 2017), en su trabajo realizado, el diseño que mitigue los riesgos
asociados a la infraestructura crítica de la compañía, donde plantea una plataforma
de seguridad robusta, escalable, y de alto rendimiento con los últimos estándares
de seguridad. En la parte conclusiva de su trabajo sugiere pautas para el correcto
diseño de la red que garantice la seguridad e integridad de todos los activos
tecnológicos de la compañía, mitigando los riesgos, así también un correcto
monitoreo del tráfico y retención de logs.
A saber en el libro titulado “SEGURIDAD POR NIVELES” del autor (Corletti E.,
2011), se plante la importancia del conocimiento de manera específica y disgregada
del modelo TCP/IP su funcionamiento y los diferentes protocolos que hacen uso
cada uno de ellos, esto basándose en el nivel físico, red, transporte, acceso y
aplicación, al mismo tiempo el libro presenta de manera fácil y esquemática cada
uno de los niveles donde muestra las ventajas y desventajas y las medidas a
considerar a posibles fallas y posteriores contramedidas para la solución de dichos
acontecimientos.
Por ejemplo en el libro publicado “CRITERIOS DE EVALUACIÓN DEL SISTEMA
DE CÓMPUTO DE DEFENSA, DEL DEPARTAMENTO DE DEFENSA DE
ESTADOS UNIDOS” (Latham, 1985) que fue elaborado por el departamento de
defensa de Estados Unidos, muestra diferentes formas y criterios que se divide en
los niveles de protección mínima que sería la “D” y máxima protección “A”, así
42. - 27 -
mismo establece subdivisiones intermedias donde muestra el cómo dar
contramedidas a posibles contingencias o riesgos que se presentan.
En cuanto al presente trabajo de investigación pretende mejorar los niveles de
seguridad en las Universidades Públicas con base a la legislación boliviana y su
marco normativo, con lineamientos por niveles de seguridad donde se
proporcionará desde el nivel bajo “D” hasta el más alto el nivel “A”, se tomará el
modelo TCP/IP que se contempla en el libro de seguridad por niveles.
2.2 . FUNDAMENTOS TEÓRICOS ESPECÍFICOS
2.2.1. Seguridad Informática
Según el autor (Gutierrez, 2012) señala que, al momento de buscar los mejores
estándares de seguridad de la información, existen varias alrededor de las normas
ISO 27000, mismo que reúne los lineamientos de gestión de seguridad de la
información:
“…la seguridad informática como cualquier medida que implica la ejecución
de operaciones no autorizadas sobre un sistema o red informática, cuyos
efectos puedan con llevar daños sobre la información, comprometer su
confidencialidad, autenticidad o integridad, disminuir el rendimiento de los
equipos o bloquear el acceso de usuarios autorizados al sistema”
En otras palabras según el estándar ISO/IEC 17799 tiene su origen en el British
Standard BS 7799-1 que fue publicado por primera vez en 1995, se define a la
seguridad de la información como la preservación de su confidencialidad, su
integridad y su disponibilidad, así también la ISO 7498 que fue publicado el 1983
más conocido como el modelo OSI (en inglés Open System Interconnetion) que es
un referente para los protocolos de red, define la seguridad informática como “una
serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una
organización”, así también se puede decir que la seguridad de la información son
43. - 28 -
las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad
de los activos de los sistemas de información, incluyendo hardware, software,
firmware y aquella información que procesan, almacenan y comunican.
Los aspectos considerados para mantener la integridad de la información como bien
más preciado de la institución, según los anteriores autores ya mencionados se
puede realizar mediante la formación de subdivisiones, llamados para una
seguridad por niveles y niveles de seguridad, esto mediante el uso adecuado de los
conocimientos en los que se manejan ambos términos que son distintos, pero
manejan como único fin resguardar la información.
2.3 . SEGURIDAD DE REDES INFORMÁTICAS
El término utilizado para la seguridad de redes informáticas lleva una simple idea
que es la de proteger la red interna donde se conectan las computadoras,
servidores, equipos que contengan información delicada que comprometa a la
institución, esto se logra mediante el uso de diversos métodos o considerando
diferentes aspectos todos ellos con el fin de resguardar la información como bien
más preciado de la institución. Los autores de libros y artículos revistas informativas
llegan a disgregar en diferentes aspectos así como lo señala la (Universidad
Internacional de Valencia, 2018) Seguridad de hardware, software y red.
El tema de estudio del presente trabajo es la seguridad en redes por lo que se
realizara un énfasis en los aspectos que conciernen a este, así mismo se
considerara otros aspectos que sean de importancia al momento de resguardar la
información en la seguridad de redes
La seguridad en redes muestra los diferentes tipos de protección que conlleva a
este como ser:
44. - 29 -
Firewalls que optimiza el balance entre seguridad y accesibilidad con lo que
llega a separar la red interna y externa.
IDS (Sistemas de Detección de intrusos) estos sistemas hacen referencia a
un mecanismo de escucha del tráfico en la red, que a su vez detecta
actividades anormales o sospechosas
IPS (Sistemas de prevención de intrusos) estos pueden ser tanto como
equipos o software encargados en revisar el tráfico de red con fin de detectar
y responder a posibles ataques o modificarlos, el IPS en comparación es
proactivo, esto nos refiere que es capaz de responder con iniciativa y
capacidad para anticiparse a problemas o necesidades futuras, mediante la
buena programación y administración del mismo.
Las redes virtuales como ser las VPN este último va referido a la
encapsulación y encriptación de los paquetes de datos a distintos puntos
remotos mediante el uso de infraestructuras públicas de transporte, que
viajan a la red privada por medio de “tunel”.
La seguridad de redes tiene aspectos que adquieren del modelo OSI, esto debido a
que responde a diferentes niveles que se comunican entre sí, para dar un servicio
al usuario y el equipo. Conservando estos principios se mostrará los aspectos
considerados en el libro publicado de seguridad por niveles que nutrirán al desarrollo
del presente trabajo.
2.3.1. Seguridad por Niveles
Es la presentación de conocimiento detallado de la arquitectura de capas, con los
que pretende fundamentar las bases y así llegar hasta el techo, en este entendido
se usara el modelo DARPA o TCP/IP para tener una idea principal se presenta la
Tabla 2.1 que visualiza los puntos a considerar como señala (Corletti, 2011).
45. - 30 -
Tabla 2.1 - MODELADO DE TCP/IP
APLICACIÓN USUARIO Desde aquí hacia
arriba mira el usuario
TRANSPORTE
Es el primer nivel que ve la conexión "de Extremo a
Extremo"
Desde aquí hacia
abajo mira hacia la
red
RED Rutas
ENLACE Nodo inmediatamente adyacente
FÍSICO Aspectos mecánicos, físico y eléctricos (u ópticos)
Fuente. (Corletti Estrada, Seguridad de Niveles, 2011)
Para el desarrollo ordenado de las ideas se plantea describir cada nivel de los ya
anteriormente mencionados esto en comparación al modelo OSI como se muestra
en la tabla 2.2.
Tabla 2.2 - Modelado de los modelos TCP/IP y OSI
TCP/IP MODELO OSI
Capa de aplicación
Capa de aplicación
Capa de presentación
Capa de sesión
Capa de transporte Capa de transporte
Capa de internet Capa de red
Capa de enlace Capa de enlace de datos
Capa física Capa física
Fuente. (Viveros S., 2015)
2.3.2. Nivel 1 (Físico)
El nivel físico es el medio por el cual se transmite la información, en este nivel
emergen las señales eléctricas, ópticas, electromagnéticas, para la comunicación
con el siguiente nivel de enlace que lo realiza mediante la recepción de tramas, y
las tramas a su vez las convierten en señales eléctricas u ópticas y las envía por el
canal de comunicaciones. Define aspectos mecánicos, eléctricos u ópticos y
procedimentales. Algunas de las especificaciones más comunes son: RS 232,
46. - 31 -
V.24/V.28, X.21, X.25, SONET, etc. Entre las Funciones y servicios de este nivel se
encuentran:
Activar/desactivar la conexión física.
Transmitir las unidades de datos.
Gestión de la capa física.
Identificación de puntos extremos (Punto a punto y multipunto).
Secuencia-miento de bit (Entregar los bits en el mismo orden que los recibe).
Control de fallos físicos del canal.
2.3.3. Nivel 2 (Enlace)
Este nivel comprende la conexión con la intersección inmediata vecina, lo cual en
una red punto a punto es sumamente claro, pero en una red LAN, es difícil de
interpretar cual es la intersección adyacente. Por esta razón como menciona en la
teoría IEEE los separa en 2 subniveles: LLC y MAC (LLC: Logical Link Control, MAC:
Medium Access Control), en realidad como una de las características de una LAN
es el empleo de un único canal por todos los Hosts, el nodo adyacente son todos
los Host. En la Figura 2.3 se presenta una comparación.
Tabla 2.3 - Comparación entre la IEEE y Modelo OSI
Modelado OSI (Ethernet) IEE(802,x)
Enlace (nivel 2)
LLC
MAC
Fuente. (Corletti Estrada, Seguridad por Niveles, 2011)
La importancia de este nivel, es el último que encapsula todos los paquetes
anteriores, por lo que, si se escucha y se sabe des encapsular se tiene acceso a
toda la información que circula en una red.
Para este cometido se deberá observar con más detenimiento la composición de la
trama o también llamado “frame” que lleva la información respectiva como ser:
47. - 32 -
El primer campo es el preámbulo que indica el inicio de la trama y tienen el
objeto de que el dispositivo que lo recibe detecte una nueva trama y se
sincronice.
El delimitador de inicio de trama indica que el frame empieza a partir de él.
Los campos de MAC (o dirección) de destino y origen indican las direcciones
físicas del dispositivo al que van dirigidos los datos y del dispositivo origen
de los datos, respectivamente.
La etiqueta es un campo opcional que indica la pertenencia a una VLAN o
prioridad en IEEE P802.1p.
Ethernetype indica con que protocolo están encapsulados los datos que
contiene la Payload, en caso de que se usase un protocolo de capa superior.
La Payload es donde van todos los datos, en el caso correspondiente,
cabeceras de otros protocolos de capas superiores (Según Modelo OSI,
véase Protocolos en informática) que pudieran formatear a los datos que se
tramiten (IP, TCP, etc.). Tiene un mínimo de 64 Bytes (o 42 si es la versión
802.1Q) hasta un máximo de 1518 Bytes. Los mensajes inferiores a 64 bytes
se llaman tramas enanas (run frames) e indican mensajes dañados y
parcialmente transmitidos.
La secuencia de comprobación es un campo de 4 bytes que contiene un valor
de verificación CRC (control de redundancia cíclica). El emisor calcula el
CRC de toda la trama, desde el campo destino al campo CRC suponiendo
que vale 0. El receptor lo recalcula, si el valor calculado es 0 la trama es
válida.
El gap de final de trama son 12 bytes vacíos con el objetivo de espaciado
entre tramas, como se muestra en el Cuadro 2.1.
48. - 33 -
Preámbulo
Delimitador
de inicio de
trama
MAC
de
destino
Mac
de
origen
802.1Q
Etiqueta
(opcional)
Etgrtype
(ethernet
II) o
longitud
(IEEE
802.3)
Payload
Secuencia de
Comprobación
(32-bit CRC)
Gap
entre
frame
7 Bytes 1Byte 6 Bytes 6 Bytes 4Bytes 2 Bytes
De 46 o 42 hasta
1500 Bytes
4 Bytes
12
Bytes
64 - 1522 Bytes
72 - 15300 Bytes
84 - 1542 Bytes
Cuadro 2.1 - Estructura de la trama de Ethernet (J.M., 1991)
Las herramientas que operan a este nivel son analizadores de protocolos, y existen
de varios tipos y marcas. Los que son Hardware diseñado específicamente para
esta actividad como el Internet Advisor de Hewlett Packard o el Dominó de Vandell
& Goltermann, poseen la gran ventaja de operar naturalmente en modo promiscuo,
es decir que dejan pasar hacia el instrumental la totalidad del bit que circulan por el
medio de comunicaciones.
Los desarrollados como herramientas de Software dependerán del tipo de acceso
físico a la red que se posea, pues justamente la mayoría de estos dispositivos
asumen tareas de comunicaciones para no sobrecargar con esto a la CPU, por lo
tanto, existe cierta información que no pasará al nivel superior. Aquí se desarrollará
el análisis de las medidas a auditar en el enlace de datos para continuar
estrictamente referido a un planteo de niveles. Básicamente efectúa el control de
flujo de la información y sus funciones o servicios del nivel 2 son:
División de la conexión del enlace de datos (Divide un enlace de datos en
varias conexiones físicas).
Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja
dinámicamente).
Proporciona parámetros de Calidad de Servicio (QoS), por ejemplo: Tiempo
medio entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en
el tránsito, etc.
49. - 34 -
Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum).
Corrección de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error
Control}), sin eximir a capas superiores de hacerlo.
La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC
(Logical Link Control), si bien esto no es contemplado por OSI.
Algunas de las especificaciones más comunes son: LAP-B {X.25}, LAP-D {ISDN},
ISO 4335 del HDLC, I 122 del Frame Relay, también se puede tener en cuenta
protocolos propietarios como ODI (Open Data Interface) y NDIS (Network Drivers
Interface Standard).
2.3.4. Nivel (Red)
Este nivel es el responsable primario de los (enrutamientos de los paquetes hacia
el nivel de transporte) a través de la red. Si se trata de la familia TCP/IP, aquí se
encontrará la mayor actividad, por lo tanto, el centro de atención de la auditoría en
este nivel, deberá estar puestos en los mensajes de ruta, direcciones y conmutación
de paquetes. Es por esta razón que su trabajo acorde al tipo de conexión es muy
variable. En una red de conmutación de paquetes puede ser implementado en
detalle, en cambio al conmutar circuitos prácticamente no tiene sentido.
Las Funciones y servicios del nivel de red son:
Encaminamiento y retransmisión (Define las rutas a seguir).
Conmutación de paquetes.
Multiplexación de conexiones de red.
Establecimiento de circuitos virtuales.
Direccionamiento de red.
2.3.5. Nivel (Transporte)
En ese nivel dentro de la pila TCP/IP como se mencionó con anterioridad existirán
dos posibilidades, operar en modo orientado a la conexión para lo cual se emplea
TCP o sin conexión cuyo protocolo es UDP, es responsable de decidir a qué
50. - 35 -
protocolo le entregara su mensaje es el que se emplee en el nivel superior, para lo
cual existe el concepto de puerto que es el SAP (Service Acces Point) entre el nivel
de transporte y el de aplicación en este nivel los dos elementos importantes a auditar
son el establecimiento de sesiones y los puertos los cuales se pueden determinar
con las siguientes actividades.
Su tarea fundamental es la conexión de extremo a extremo (end to end), que a su
vez permite al usuario elegir entre distintas calidades de servicio.
Se definen cinco clases que van desde la cero (sin recuperación y eliminando
paquetes dañados) hasta la cuatro (Detección y corrección de errores extendida)
las funciones y servicios son:
Correspondencia entre direcciones de transporte y de red.
Supervisión de red.
Facturación de extremo a extremo.
Algunos ejemplos de este nivel son: SPX, TCP, X. 224.
2.3.6. Nivel (Aplicación)
El nivel de aplicación es la ventana a los procesos de aplicación del ordenador y el
usuario. Tiene en cuenta el significado de los datos entre las Funciones y servicios
de este nivel destacan.
Servicios de directorio (Transferencia de archivos).
Manejo de correo electrónico.
Terminal virtual.
Procesamiento de transacciones.
Son algunos ejemplos de este nivel: X.400, X.500, SMTP, Telnet, FTP.
51. - 36 -
Como el presente trabajo trata de niveles de seguridad para una red corporativa, a
continuación se presenta de manera metódica los niveles de seguridad que
elaboraron en el Departamento de Defensa de Estados Unidos, que realiza las
recomendaciones con forme los llamados niveles de seguridad como lo muestra en
su trabajo del: (DEPARTMENT OF DEFENSE UU.EE., 1985).
2.3.7. Niveles de Seguridad
Los niveles de seguridad se basan en el documento conocido como libro naranja
del departamento de defensa de estados unidos, con su publicación
(DEPARTMENT OF DEFENSE UU.EE., 1985), DoD 5200.28-STD, "Criterios de
evaluación del sistema informático de confianza del Departamento de Defensa" se
emite bajo la autoridad de una de acuerdo con la Directiva 5200.28 del
Departamento de Defensa, "Requisitos de seguridad para sistemas automáticos de
procesamiento de datos" y en apoyo de responsabilidades asignadas por la
Directiva DoD 52l5.l, "Centro de Evaluación de Seguridad Informática".
Su propósito es proporcionar los criterios técnicos de seguridad de hardware /
firmware / software y las metodologías de evaluación técnica asociadas en apoyo
de la política general de seguridad del sistema
Los niveles de seguridad son cuatro desde el nivel más bajo es el D hasta el nivel
más alto que en este caso será el A. para eso se considera las medidas que deben
implementarse de acuerdo a la delicadeza de la información.
2.3.8. Nivel D (el sistema entero no es confiable)
Este nivel contiene solo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad. Sistemas no
confiables, no hay protección para el hardware, el sistema operativo es inestable y
52. - 37 -
no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la
información.
2.3.9. Nivel C (Protección Discreta)
Se describe como protección discreta a los usuarios que se encuentran en el mismo
nivel que los datos, los datos se encuentran separados de los usuarios, así como la
limitación de acceso de algún tipo.
a) Nivel C1: Protección Discrecional
Se requiere identificación de usuario que permite el acceso a distinta información.
Cada usuario puede manejar su información privada y se hace la distinción entre
los usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema solo pueden ser
realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad
del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro
que en una organización encontremos dos o tres personas cumpliendo este rol. Esto
es un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario.
b) Clase (C2): Protección de Acceso Controlado
Los sistemas de esta clase imponen un control de acceso discrecional más
detallado que los sistemas (C1), lo que hace que los usuarios sean individualmente
responsables de sus acciones a través de procedimientos de inicio de sesión,
auditoría de eventos relevantes para la seguridad y aislamiento de recursos. Los
siguientes son requisitos mínimos para los sistemas a los que se les ha asignado
una clasificación de clase (C2).
53. - 38 -
2.3.10. Nivel B
Este nivel se subdivide en sub divisiones los cuales a su vez son necesarios para
una mejor disgregación con respecto de los diferentes tipos de niveles que
componen este mismo.
a) Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B este a su vez
soporta la seguridad multinivel, como la secreta y ultra secreta es en esta parte que
se establece que el dueño del archivo no puede modificar los permisos de un objeto
que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato,
etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto,
secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).
El usuario que accede a un objetivo debe poseer un permiso expreso para hacerlo
y viceversa, es decir que cada usuario tiene sus objetivos asociados, y así también
se establecen controles para limitar la propagación del derecho de acceso a los
distintos objetivos.
b) Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior. La Protección Estructurada es la primera que empieza a referirse al
problema de un objeto a un nivel más elevado de seguridad en comunicación con
otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar
archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas; y el administrador es el encargado de fijar los canales
de almacenamiento y ancho de banda a utilizar por los demás usuarios.