Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controles de monitoreo
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controles de monitoreo
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 10
Marco teórico para elaborar controles de
monitoreo
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
OSI Layers Short Description
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Fred Baker
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Definiciones
“La administración de la red son actividades que apoyan las operaciones y la
integridad de los sistemas de cómputo y su uso, y que administran sus
particularidades. En un ambiente computacional, la red de computadoras es,
a menudo, incluida como parte de un sistema más complejo. El administrador
de la red tiene, como función primaria, administrar la computadora y los
sistemas de la red a nombre de otro, tales como un empleador o un cliente”.
http://www.sage.org
The Systems Administrators Gould
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Definiciones
“La administración de la red es una disciplina amplia que implica administrar
gente, procesos y procedimientos, productos y herramientas tecnológicas, y
vendedores y proveedores de servicio. Asegura que la red siempre funcione
eficientemente, para evitar cualquier impacto negativo a la operación de la
empresa. Es responsable de una infraestructura confiable, constante y
escalable, que satisfaga o exceda niveles de servicio, y optimice los activos
de la empresa”.
http://www.microsoft.com/resources/documentation/msa/idc/all/solution/en-
us/oag/oagc00.mspx
Microsoft Operations Architecture Guide (Capítulo 7)
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Definiciones
“La administración de la red significa diversas cosas para
diversas personas. En algunos casos, implica un solitario
consultor de red que vigila la actividad de la red con un
analizador de protocolo anticuado. En otros casos, la
administración de la red implica una base de datos distribuida,
chequeo automático y periódico de los dispositivos de la red, y
de poderosas estaciones de trabajo que generan vistas gráficas
en tiempo real de los cambios en la topología de la red y en el
tráfico. En general, la administración de la red es un servicio que
emplea una variedad de herramientas, aplicaciones, y
dispositivos para asistir a los administradores de red humanos
en la vigilancia y en el mantenimiento de las redes”.
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/nmbasics.htm
Cisco Documentation, Network Management Basics
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Dimensiones de la administración
(contrapartida de la seguridad)
Despliegue
Capacitación y desarrollo
Informar a los usuarios de las regulaciones de seguridad establecidas
Planeamiento estratégico
Diseño y seguridad de la red
Definir tecnología
Objetivos de calidad
Capacidad operacional
Servicios de soporte
Capacidad de respuesta
Mantenimiento y monitoreo
Utilización eficiente de recursos
Resolución o depuración de problemas
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Administración de redes:
Áreas funcionales
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Service
Level
Agreement
Tareas centrales
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Componentes de la arquitectura para administrar redes
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Códigos de los mensajes ICMP del tipo 3 (destino
no alcanzable)
Código Razón Descripción RFC
0 Red no alcanzable Generado por un router si no está disponible una ruta hacia al red destino. RFC 792
1 Host (o subnet) no alcanzable Generado por un router si no está disponible una ruta hacia un host en una red conectada directamente (esto es, si el
host no responde a la petición ARP).
RFC 792
2 Protocolo no alcanzable Generado por un host si no está soportado el protocolo de transporte utilizado (por ejemplo, TCP). RFC 792
3 Puerto no alcanzable Generado por un host si el servicio especificado en la trama no está soportado y no hay un mecanismo de capa de
transporte que informe al remitente (por ejemplo, TCP RST).
RFC 792
4 Se requiere fragmentación pero
se ha seleccionado la opción No
fragmentar
Generado por un router si éste recibe una trama que requiere fragmentación pero no se permite por que se ha
seleccionado la bandera de no fragmentar.
RFC 792
RFC 1191
5 Falla en la ruta origen Generado por un router cuando una trama no puede ser enviada al salto siguiente que es especificado en su opción
Ruta Origen.
RFC 792
6 Red destino desconocida No debe generarse. En su lugar un router debe retornar un valor Red no Alcanzable (Código = 0). RFC 1122
7 Host destino desconocido Generado sólo si el router puede determinar que el host destino no exite. Si no existe esa evidencia, el router debe
generar un mensaje de Host no Alcanzable (Código = 1).
RFC 1122
8 Host Origen Aislado No debe generarse. En su lugar un router debe retornar un valor Red no Alcanzable (Código = 0) o Host jo Alcanzable
(Código = 1).
RFC 1122
9 Comunicación con la red destino
ha sido prohibida
administrativamente
No debe emplearse. En su lugar los router deben emplear Comunicación Prohibida Administrativamente por Filtrado
(Código = 13).
RFC 1122
10 Comunicación con host destino
prohibido administrativamente
No debe emplearse. En su lugar los router deben emplear Comunicación Prohibida Administrativamente por Filtrado
(Código = 13).
RFC 1122
11 Red no alcanzable por tipo de
servicio
Generado por un router si una red destino no está disponible para el Tipo de Servicio especificado en la trama. RFC 1122
12 Host no alcanzable por tipo de
servicio
Generado por un router si un host destino no está disponible para el Tipo de Servicio especificado en la trama. RFC 1122
13 Comunicación prohibida
administrativamente por filtrado
Generado por un router si no puede enviar una trama debido a un filtrado administrativo. Este código es opcional
y los routers pueden estar configurados para no enviarlo.
RFC 1812
Fuente: http://www.iana.org/assignments/icmp-parameters
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
SNMP: Definiciones previas
Componentes:
Agentes maestros
Sub-agentes
Estaciones de administración
Puertos:
snmp: UDP/161
snmtrap: UDP/162
Management information base (MIB)
Abstract Syntax Notation One (ASN.1 )
Agente
Agente
Administrador
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
OSI L7
Comandos:
• Get
• Getnext
• Set
• Trap
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
SNMP: Amenazas
SNMP
Modificación de
información
Enmascaramiento
Modificación
del flujo del
mensaje
Exposición no
autorizada a los
datos
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
SNMP V3 (RFC3411-RFC3418): seguridad
User based Security Model –USM
Identificación
USM MIB
Claves
Autenticación:
HMAC-MD5-96
HMAC-SHA-96
Sincronización
Ejemplos:
http://www.simpleweb.org/ietf/mibs/modules/html/?category=IETF&mo
dule=ACCOUNTING-CONTROL-MIB
http://www.icir.org/fenner/mibs/extracted/BGP4-V2-MIB-idr-04.txt
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
http://www.mg-soft.com/netinsp.html
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Puntos Problemáticos en las Redes Actuales
InternetDatacenter(s)WAN Corporativo
WAN
Corporativo
Datacenter
LAN Internet
DMZ
NOC
Applicaciones
Empresariales
Problemas de
Ejecución
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Trabajo práctico
Con respecto a la red mostrada en la lámina anterior:
Simule la red WAN corporativa donde hay dos locales remotos que
pueden verse entre sí.
¿Cómo plantearía implementar la seguridad?
¿Qué requiere en cada caso?
Grupos de tres.
90 minutos.
http://www.strongswan.org/uml/testresults/tnc/tnccs-20/
21. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?