La seguridad de la información puede ser definida como una sensación de protección respecto de la información y sus recursos asociados.
La seguridad de la información se logra a través de la implementación de controles adecuados que no solo involucran dispositivos informáticos, sino que también agrupan procedimientos, políticas, recursos humanos, aplicaciones, metodología, hardware, software, etc.
3. SEGURIDAD
La seguridad de la información puede ser definida como una
sensación de protección respecto de la información y sus recursos
asociados.
La seguridad de la información se logra a través de la implementación
de controles adecuados que no solo involucran dispositivos
informáticos, sino que también agrupan procedimientos, políticas,
recursos humanos, aplicaciones, metodología, hardware, software,
etc.
4. OBJETIVOS PRINCIPALES DE
SEGURIDAD
Confidencialidad: Asegura que la información solamente será
revelada a personal autorizado.
Integridad: Da a conocer que el contenido de la información debe
permanecer inalterado a menos que sea modificado por personal
autorizado.
Autenticidad: Garantiza la validación de la identidad del emisor, para
asegurar el origen de los datos.
Disponibilidad: Asegura que la información se encontrara disponible
cada vez que un usuario autorizado deba hacer uso de ella.
5. SEGURIDAD, UN PROCESO
CONTINUO
La seguridad de una organización debe ser vista como un proceso
continuo y circular, que nunca puede detenerse, con el objetivo de
que la organización se encuentre en una mejora constante.
Seguridad: este paso deberá incluir la implementación de las
soluciones de seguridad adecuadas para lograr el cumplimiento de
los objetivos de seguridad de la organización.
Monitoreo: nos permitirá detectar las posibles violaciones a la política
de seguridad.
Testeo: podemos verificar las soluciones implementadas desde el
punto de vista de un ataque.
6. ANÁLISIS DE SITUACIÓN DE
AMENAZAS
Cada empresa o usuario que se conecte a internet se expone a un gran
numero de amenazas, pero algunas de las mas peligrosas no provienen de
ese medio, sino de la red interna. Las amenazas explotan o toman ventaja de
las vulnerabilidades.
Estos siguientes pasos nos ayudar con el análisis:
Identificación y valoración de activos
Evaluación de vulnerabilidad
Identificación de amenazas
Estimación de los riesgos
Este conjunto de acciones permitirá identificar aquellos recursos dignos de
ser protegidos, a través de la identificación de cada uno de ellos y la
asociación de un valor estimado.
7. IDENTIFICACIÓN Y
VALORACIÓN DE ACTIVOS
Cada organización posee activos y recursos valiosos. Un activo puede
ser representado por un recurso, producto, proceso, dato y todo
aquello que tenga un valor para la organización.
Esta dividido en dos grandes grupos:
Tangibles (Computadoras, servidores, dispositivos de networking,
edificios, etcétera).
Intangibles: (Datos en general y propiedad intelectual).
8. EVALUACIÓN DE
VULNERABILIDADES
Una vulnerabilidad se define como la ausencia o debilidad de control.
Una vulnerabilidad en el software, hardware o procedimiento puede
proveer a un ataque de la puerta de acceso necesaria para ingresar en
una computadora o red de modo no autorizado.
9. IDENTIFICACIÓN DE
AMENAZAS
Un profesional de seguridad debe conocer las amenazas que existen
en la actualidad y, además, debe mantenerse actualizado sobre las
nuevas que pueden surgir.
Según su origen, encontramos: amenazas físicas, catástrofes
naturales, fraude informático, error humano, intrusiones, software
ilegal y código maliciosos ente otros.
10. ESTIMACIÓN DE LOS
RIESGOS
Los requerimientos por cubrir en el área de seguridad se intensifican
mediante una evaluación metódica de los riesgos de seguridad.
Asimismo, es importante detectar que el riesgo puede ser
identificado y tratado de algún modo, pero nunca eliminado.
11. SEGURIDAD APLICADA
Se debe de tomar en cuenta los siguientes pasos:
Seguridad en el diseño de redes
Dividir la red en dominios de colisión.
Utilizar VLANs (LANs Virtuales) para dividir la red en dominios de
broadcast.
Permitir que el switch aprenda solamente un cierto número de MACs
por puerto.
Asignar en forma estática las MACs que estarán sobre un puerto
determinado.
Emplear redundancia de enlaces, pero sin bucles, utilizando
Spanning Tree Protocol.
12. Seguridad en el acceso a redes: el reconocimiento e identificación de
un usuario podrá basarse en:
Algo que sabe o conoce.
Algo que posee.
Algo de su pertenencia intrínseca.
Passwords.
Tarjetas token card.
Sistemas biométricos.
13. Seguridad en el perímetro de la red:
Implementar ACLs en el router del perímetro.
Implementar una arquitectura de firewall, por software o por
hardware (Cisco PIX/ASA/IOS Firewall).
Establecer un política restrictiva de acceso a la red: todo lo que no
este expresamente permitido puede negarse.
Crear una o varias DMZs (zonas desmilitarizadas) si se van a
implementar servidores públicos, conexiones con redes de terceros o,
incluso, sistemas que por algún motivo, puedan ser susceptibles a
ataques.
Utilizar servidores proxy para el acceso a internet.
14. Seguridad de los datos:
Utilizar algoritmos simétricos.
Emplear funciones de hash para asegurar la integridad de la
Utilizar esquemas de firma digital para asegurar la identidad del
un mensaje y la integridad del mismo.
Seguridad en ambiente de acceso remoto:
Reemplazar como protocolo de administración el uso de telnet por
Shell.
Utilizar CHAP como protocolo para lograr una autenticación mínima
recursos.
Habilitar el uso de servidores AAA.
Utilizar protocolos que permitan el establecimiento de VPNs (redes
privadas digitales).
15.
16. REDES AUTODEFENSIVAS
Las amenazas a la seguridad son cada vez mas concretas y se
materializan a velocidades increíbles.
La estrategia de Cisco se vale del mejoramiento de nuestro
dispositivos de red actuales en conjunto con otras tecnologías,
soluciones y productos, de forma tal que la red sea capaz de
prevenir, detectar y mitigar los posibles ataques a nuestro sistema.
Existen 3 elementos críticos:
Esquema de conectividad seguro.
Sistema de defensa contra amenazas.
Sistema de confianza y validación de identidad.
17. LAS TRES FASES DE
SEGURIDAD
Toda la evolución de la red podrá llevarse a cabo en diferentes fases,
las cuales se podrán en funcionamiento de manera independiente,
con el fin de fragmentar el proyecto en tramos mas sencillos, pero sin
perder la vista el objetivo final.
Las siguientes tres fases de implementación son las siguientes:
Seguridad integrada.
Sistemas de seguridad colaborativos.
Defensa de amenazas adaptiva.
18.
19. SOLUCIONES DE SEGURIDAD
Las soluciones de seguridad se adoptan de acuerdo con las
necesidades especificas de cada estructura de red.
Cisco ofrece una gran variedad de soluciones:
Sistema de prevención de intrusiones para estaciones de trabajo
- HIPS).
Sistemas de prevención de intrusiones de red (Network IPS - NIPS).
Cisco IOS IPS brinda la posibilidad de desplegar sistemas de
intrusos a lo largo de la red, de manera de aumentar el nivel de
de cada uno de los nodos que la integran y asegurar el trafico
El modulo AIP puede incorporarse al firewall ASA de la organización
sumar las características de un sensor a nuestra red.
20. CONTROL DE ADMISIÓN A LA
REDLa iniciativa de cisco llamada redes autodefensivas debes poseer la
capacidad de identificar, prevenir y adaptarse a cualquier posibles
amenazas a través de tres fuentes pilares.
Cisco NAC ofrece la capacidad de mantener un control estricto sobre
la red. La mayoría de las organizaciones modernas precisan una
forma de identificar usuarios, sus dispositivos y sus roles dentro de la
red. Evalúan el cumplimiento de la política de seguridad vigente y, a
la vez, aislar y reparar aquellas estaciones de trabajo que no cumplan
con las especificaciones de seguridad debidas. Cuando un equipo se
conecta a la red, el primer reto que deberá enfrentar será la
autentificación. El segundo será la evaluación del dispositivo para
verificar si se encuentra en cumplimiento de las políticas
establecidas. Por ultimo si todo sale bien, entonces el dispositivo
podrá acceder a los recursos de la red. En caso contrario será aislado
y bloqueado.
21.
22.
23. ADMINISTRAR DISPOSITIVOS
DE RED
Uno de los aspectos que debemos tener en cuenta es la
administración de los dispositivos de seguridad desplegados a lo
largo de la red.
Cisco Secure Manager (CSM) y Cisco Monitoring, Analysis and
Response System (CS-MARS): Cisco Secure Manager es una
aplicación que nos permite realizar la administración centralizada de
varis soluciones de seguridad a través de una única interfaz. Se
encuentra dirigida a la administración de firewalls, redes privadas
virtuales y sistemas de prevención de intrusiones.
24.
25. SEGURIDAD EMPRESARIAL
Las empresas pequeñas y medianas (pyme) poseen características
particulares que les convierte en altamente dinámicas y con
proyecciones de crecimiento variables. Las soluciones que ofrece
cisco cubren tres grandes áreas:
Una red construida desde sus bases como segura, que permita
acompañar el crecimiento de la empresa, brindando soporte a
diferentes tecnologías, como telefonía, datos, aplicaciones
propietarias y video, entre otras.
Brindar una solución solida y segura en redes inalámbricas, evitando
el acceso a ellas por parte de personal no autorizado.
Extender la seguridad de la red a los usuarios remotos, brindándoles
un alto nivel de seguridad, incluso, cuando se conectan desde sus
hogares.
26. CISCO ADAPTIVE SECURITY
APPLIANCE (ASA)
El Cisco ASA 5505 es el dispositivo ideal para funcionar como firewall
de borde en una empresa pequeña o mediana, y brindar
comunicaciones seguras para los trabajadores remotos. Provee
motores de inspección específicos a nivel de cada aplicación para
mas de 30 protocolos, entre las que se encuentras FTP, HTTP, HTTPS,
SMTP, POP3, IMAP, H323, SIP, ETC.EL ASA 5505 agrupa los puertos
disponibles en VLANs Y, cada VLANs nos
provee de una interfaz independiente.
Ahora bien, cada una de las interfaces
definidas, ya sea a través de VLANs o a
través de interfaces físicas
independientes, tendrá asociado un nivel
de seguridad que determinara la forma
en la cual se tratara el trafico.
27. CISCO ISR 800, 1800 Y 2800
Este dispositivo se caracteriza
por tener una gran flexibilidad a
la hora de enfrentar los desafíos
de una empresa pequeña o
mediana, a la vez que ofrece un
muy buen conjunto de
soluciones. Se le sumas
capacidades avanzadas, como
Cisco IOS Firewall, prevención
de intrusos, VPN sobre SSL y
filtrado de contenidos.
28. CISCO CATALYST EXPRESS
SWITCHES
Brinda una muy buena solución de conectividad a nivel de la capa de acceso
de una empresa. Estos dispositivos tienen un adecuado balance entre el
costo y las funcionalidades a las que accedemos por ese valor.
Seecurity Slider nos permitirá definir tres niveles de seguridad
preestablecidos para los puertos de switch:
Nivel de seguridad bajo: restringe cada uno de los puertos del switch, de
forma tal que pueda conectarse un único dispositivo.
Nivel de seguridad medio: aplica filtrando sobre la MAC address del
dispositivo conectado, de modo tal que solo los equipos autorizados
puedan obtener acceso a la red.
Nivel de seguridad alto: permite aplicar el estándar 802.1x, de manera tal
de autenticar a los usuarios conectados a la red a través de un servidor
29. SMARTPORTS
Hace que cualquier administrador pueda aplicar las mejores practicas
de seguridad sobre los diferentes puertos, solo con seleccionar el
tipo de dispositivo que se conectara al puerto (router, Access point,
teléfono, otro switch).
30. CISCO WIRELESS EXPRESS
500
Este tipo de soluciones brinda la capacidad de ofrecer movilidad a los
usuarios. Esta opción inalámbrica busca una respuesta flexible, de
fácil configuración, sencillo mantenimiento, gran estabilidad y, sobre
todo, que nos ofrezca una herramienta segura.
La solución Cisco Wireless Express esta integrada por dos
componentes principales: Cisco Wireless, Express 521 Access Point y
Cisco Wireless Express Mobily Controller 526.
31. AMENAZAS A WIFI
Al implementar el punto de acceso inalámbrico en nuestra empresa,
lo que estamos haciendo es cubrir con una onda de radiofrecuencia
una cierta área de cobertura de red. No será la primera ni la ultima
vez que esta área incluya cobertura a un sector no autorizado, por
ejemplo, la calle o la vereda de la organización. Este hecho deja por
sentado que podría estar recibiendo un ataque a nuestra red interna a
pesar de que el atacante no este físicamente conectado a la red
dentro del edificio.
Cisco brinda una solución sencilla desde el punto de vista de la
protección, a través de la inclusión de los últimos estándares en
seguridad y de la administración centralizada que evita errores de
configuración a través del Cisco Express Wireless Controller 526.
32. TIPS DE CONFIGURACIÓN
GENERALES
Algunas de las técnicas de mitigación de ataques incluyen:
Definir una longitud mínima para la contraseña, que debería de ser
superior a ocho caracteres.
Establecer el periodo máximo durante el cual permanecerá activa la
contraseña.
Aplicar un control de complejidad para evitar contraseñas triviales.
Aplicar un pequeño historial para evitar la repetición de las mismas
contraseñas.
Deshabilitar las cuentas luego de cierto numero de intentos fallidos.
No utilizar protocolos que transmitan las credenciales en texto
claro.
33.
34. ATAQUES DE CAPA 2
Estos dispositivos son capaces de brindar una amplia gama de
servicios y se encuentran ubicados en todos los segmentos de la red.
El modo en el un ataque puede afectar un sistema de información
puede variar en función de diversos aspectos; no obstante, es posible
situar cada uno de ellos en alguna de las siguientes categorías:
1. Interceptación
2. Modificación
3. Interrupción
4. Falsificación
35. ATAQUE POR
INTERCEPTACIÓN
Un ataque o por acceso puede ser definido como aquel en el que un
atacante busca ingresar en determinados recursos. La intercepción a
menudo, es un buen ejemplo de este tipo, porque atenta contra la
propiedad o confidencialidad de la información y suele producirse
cuando un usuario no autorizado obtiene acceso a determinados
datos para los cuales no esta autorizado.
Los ataques de intercepción pueden ser activos o pasivos.
El objetivo de un ataque por interceptación es ganar acceso a la
información para la cual el atacante no se encuentra autorizado.
36. ATAQUE POR MODIFICACIÓN
En un ataque de este tipo, un
usuario malicioso obtiene
acceso no autorizado a un
sistema o recurso con el nivel
de privilegios necesarios para
alterar de algún modo los
datos o información que en el
se encuentran, para su
beneficio. El objetivo de todo
ataque de modificación es
realizar cambios en el entorno.
La detección de estos ataques
requiere un estudio exhausto
por parte de un analista de
37. ATAQUE POR INTERRUPCIÓN
La interrupción consiste en
afectar, dañar o dejar sin
funcionamiento un sistema
completo o parte de el. A
menudo estos son fáciles de
detectar, debido principalmente,
a que su existencia es
rápidamente notada por los
usuarios autorizados de la red.
Los daños ocasionados por lo
eventual suspensión del servicio
y el tiempo de recuperación
relacionado con este tipo de
ataques puede llegar a ser muy
importante.
38. ATAQUE DE FALSIFICACIÓN
Este tipo de ataque presupone que alguno de los componentes de un
sistema ha sido falsificado. La falsificación puede aplicarse tanto a
escenarios donde se hayan construidos determinados paquetes de
datos arbitrariamente, con el objetivo de hacer creer a un sistema o
dispositivo acerca de la velocidad de los mismos, a fin de que este
ejecute alguna acción que pueda der aprovechada por el atacante.
El ataque de falsificación por excelencia en una red de datos es el
Spoofing.
39. ATAQUE MAC SPOOFING
Este tipo de ataque involucra el uso de direcciones MAC reales,
pertenecientes a otros hosts de la red, a fin de que el switch las
registre en el puerto donde realmente se encuentra el atacante, para
transformarse en el destinatario de las tramas dirigidas al verdadero
host.
El modo de mitigar este ataque es configurando la dirección MAC que
cada puerto tendrá conectada para, así, evitar que se asocie una
determinada dirección a un puerto incorrecto.
40. ATAQUE MAC FLOODING
Este ataque intenta explotar las
limitaciones de recursos que poseen
los switches de diferentes
vendedores en referencia a la
cantidad de memoria asignada para
la MAC Address Table; es decir el
lugar donde se almacenan las
direcciones físicas aprendidas por el
dispositivo y el identificador de
puerto físico correspondiente.
Típicamente un intruso trata de
inundar el switch con un gran
numero de tramas con direcciones
MAC falsas, hasta agotar la MAC.
41. ATAQUES BASADOS EN EL
PROTOCOLO ARP
Address Resolution Protocol (ARP) es utilizado
para obtener una dirección de MAC
desconocida a partir de una IP conocida dentro
de una LAN, donde residen los hosts de la
misma subred.
Una solución posible para mitigar este tipo de
ataque es emplear la técnica conocida como
Dynamic ARP Inspection que permite la valides
de un paquete de ARP basado en la relación
existente entre una dirección MAC y una IP.
42. ATAQUES BASADOS EN EL
PROTOCOLO DHCP
Un ataque conocido como DHCP Starvation envía solicitudes DHCP
cuyas direcciones MAC origen son falsas.
Las técnicas usadas para mitigar este tipo de ataque comprende,
entre otras, la limitación de direcciones MAC que pueden existir
sobre un puerto del switch, la implementación de la RFC 3118 para
autenticación de mensajes DHCP y también una técnica conocida
como DHCP SNOOPING.
43. DHCP SNOOPING
Proporciona un alto grado de seguridad al filtrar los mensajes DHCP
que arriban desde puertos no declarados para procesar este tipo de
trafico.
DHCP Snooping permite construir un atabla de asignaciones de
direcciones IP, dicha tabla contiene la siguiente información:
Dirección MAC de la estación de trabajo
Dirección IP otorgada
Tiempo de vida o alquiler de la dirección IP
Tipo de enlace o binding
Identificador del puerto al que esta conectado la estación.
44. ATAQUES A VLANS
VLANs Hooping es un tipo de
ataque en el que el agresor envía
trafico destinado de un host
situado en una VLAN diferente que
normalmente no debería de ser
alcanzado por el trafico originado e
la VLAN a la que pertenece dicho
agresor.
45. ATAQUES BASADOS EN
SPANNING TREE
A partir de este ataque un posible
intruso buscara la manera de
realizar la captura de trafico
sensible a través de la manipulación
del protocolo STP.
Para mitigar este ataque de
manipulación de STP se utilizan las
capacidades de seguridad de los
switches administrables, como los
comandos spanning-tree guard y
bpdu guard en un switch. Mientras
que el primero permite habilitar root
guard a fin de restringir las
interfaces que podrán convertirse en
puertos raíz, el segundo permite
filtrar el envió o la recepción de