UNIVERSIDAD POLITÉCNICA SALESIANA

SEDE CUENCA

CARRERA DE INGENIERÍA DE SISTEMAS

Tesis previa a la obtención del título de:

Ingeniero de Sistemas

TÍTULO

Anàlisis de Soluciones de Acceso Seguro a la Red, e

Implementación de un Proyecto Piloto para la Unidad Educativa

"Técnico Salesiano"

AUTORAS

Julia Targelia Jiménez Orellana

Blanca Inés Rumipulla Castillo

DIRECTOR:

Ing. Byron Carrión

Cuenca, 05 de octubre del 2012

Página 2

CERTIFICACIÓN Certifico que el presente trabajo de tesis previo a la obtención del Título Ingeniero de Sistemas

fue desarrollado por las alumnas: Julia Targelia Jiménez Orellana y Blanca Inés Rumipulla

Castillo bajo mi supervisión.

Atentamente.

Ing.Byron Carrión

DIRECTOR DE TESIS

Página 3

Página 4

Página 5

DECLARATORIA Nosotras: Julia Targelia Jiménez Orellana con CI 0301987582 y Blanca Inés Rumipulla

Castillo CI 0104662028 estudiantes de Ingenieria de Sistemas, declaramos que el trabajo aqui

descrito es de nuestra autoría; que no ha sido previamente presentado por ningún grado o

calificación personal y que hemos consultado de referencias bibliográficas que se incluyen en

este documento, todo el análisis, desarrollo del sistema y toda la información aqui vertida son

de exclusiva responsabilidad de los autores. Autorizo a la Universidad Politécnica Salesiana el

uso de esta información con fines académicos.

Atentamente.

Julia Jiménez Orellana Blanca Rumipulla Castillo

Estudiante Estudiante

Página 6

Página 7

DEDICATORIA.

Dedico este proyecto de tesis, en primer lugar a Dios por haberme brindado salud y

perseverancia para lograr mis objetivos propuestos, a mi esposo e hijo por su amor,

paciencia y por haber creído en mí, a mis padres y a toda mi familia por haber

depositado su entera confianza en cada reto que se me presentaba sin dudar ni un

solo momento de mi inteligencia y capacidades por ellos que logre mi meta con

mucho amor y cariño

Julia Jiménez Orellana.

Página 8

DEDICATORIA

Al cumplir una de las metas que me he propuesto, me siento muy motivada, muy

feliz y muy agradecida, mi mente hace un retroceso de todo lo que ha quedado atrás,

momentos alegres, momentos tristes, momentos difíciles, momentos de triunfo,

momentos que siendo buenos o malos nos han permitido aprender y a descubrir que

en cada persona existe un potencial infinito capaz de conseguir todo lo que se

proponga, somos dueños de nuestro destino y todas las tareas que se nos han

impuesto no son superiores a nuestra fuerza, todas las dificultades y problemas nunca

estarán por encimas de lo que somos capaces de soportar

Esta meta cumplida en primer lugar se la dedico a Dios que me ha regalo, la

sabiduría, la perseverancia, la fortaleza, la paciencia y me ha rodeado de personas

maravillosas: mi madre que me ha apoyado en cada momento, cuya motivación fue

mi inspiración, mis hermanas(os) en especial Galo y Juan siempre brindándome su

ayuda incondicional, mis amigas(os), mis maestros, mi amiga y compañera de tesis

con la que pasamos momentos difíciles, sin embargo el impulso mutuo nos ayudo a

hoy cumplir nuestra meta.

También dedico a todas las personas que me motivaron, me aconsejaron, me

ayudaron y han confiado en mi de tal manera que han dejado huellas en mi mente y

en especial en mi corazón por ello mi dedicación con todo respeto y afecto.

Blanca Rumipulla Castillo

Página 9

AGRADECIMIENTO.

Los resultados de este proyecto, quiero agradecer al Ing. Byron

Carrión tutor por habernos apoyado en la dirección de la tesis por

guiarnos en todo el trayecto aportando sus conocimientos. Al Ing.

Marco Timbi quien con su ayuda desinteresada compartió sus

conocimientos. Al Ing. Pablo Durazno por permitirnos implementar

el proyecto en la Institución. A mi esposo por su comprensión,

paciencia, apoyo económico y sobre todo por su amor. A mis padres

por su apoyo económico, sentimental, moral por haberme apoyado a

estudiar la Universidad y por confiar en mí hasta el final.

Julia Jiménez Orellana.

Página 10

AGRADECIMIENTO

Mi especial y mas emotivo agradecimiento a Dios

por ser mi guía en este largo camino

A mi madre por estar en todo momento apoyándome,

y a toda mi familia en especial mis hermanos

Juan y Galo que con su cariño, consejos, confianza y ayuda

me motivaron a continuar hasta llegar a la meta

Al Ing. Byron Carrión director de tesis por guiarnos

con sus grandes conocimientos y experiencias

,además por su verdadero interés y consideración

Al Ing. Marco Timbi, Ing. Juan Rodríguez, Ing. David Mogrovejo

por compartir desinteresadamente sus conocimientos,

Al Ing. Pablo Durazno Director del Departamento de Sistemas

de la Unidad Educativa “Técnico Salesiano” quien nos

permitió realizar la implementación del proyecto en la institución

Un especial agradecimiento a todos mis amigos, amigas

y para aquella personita especial que estuvo

siempre apoyándome, motivándome con

sus consejos y optimismo y sobre todo

por su entera confianza. Gracias de corazón

A mi amiga y compañera de tesis Julia

por todos los momentos compartidos

Blanca Rumipulla Castillo

Página 11

ÍNDICE

Contenido

1. SEGURIDAD .................................................................................................... 11

1.1. Introducción. ................................................................................................. 11

1.2. Objetivos de la Seguridad............................................................................. 11

1.3. Definición ....................................................................................................... 11

1.4. Tipos de Seguridad........................................................................................ 13

1.5. Principales Servicios de Seguridad.............................................................. 13

1.5.1. Servicio de Autenticación ........................................................................ 14

1.5.2. Servicio de Confidencialidad de los datos. .............................................. 17

1.5.3. Servicio de Integridad de los datos. ......................................................... 17

1.5.4. Servicio de no Repudio .......................................................................... 18

1.5.5. Servicio de control de acceso................................................................. 19

1.5.6. Servicio de Anonimato........................................................................... 20

1.6. Gestión de Riesgos......................................................................................... 20

1.6.1. Definición. ............................................................................................... 20

1.6.2. Fases de la Gestión de Riesgos. ............................................................. 20

1.7. Vulnerabilidad............................................................................................... 21

1.7.1. Tipos de vulnerabilidades ..................................................................... 21

1.8. Amenazas. .......................................................................................................... 22

1.8.1. Fuentes de amenaza. ..................................................................................... 23

1.9. Mecanismos de Seguridad ............................................................................ 29

1.9.1. Tipos de Mecanismos............................................................................. 29

1.10. Firma Digital.................................................................................................. 30

1.10.1. Tráfico de relleno ................................................................................... 30

2. ISO/IEC 27002 .................................................................................................. 32

2.1. Introducción ...................................................................................................... 32

Página 12

2.2. Objetivos: ........................................................................................................... 33

2.3. Seguridad de la información ........................................................................ 33

2.4. Importancia de la Seguridad de la Información ........................................ 33

2.5. Requerimientos de Seguridad ...................................................................... 34

2.6. Evaluación de los Riesgos ............................................................................. 34

2.7. Definición ....................................................................................................... 35

2.8. Ventajas y Desventajas ISO 27002 .............................................................. 37

2.8.1. Ventajas: .................................................................................................. 37

2.8.2. Desventajas .............................................................................................. 39

2.9. Control de Acceso.......................................................................................... 39

2.9.1. Introducción: .......................................................................................... 39

2.9.2. Definición ................................................................................................ 40

2.9.3. Control de Acceso por Identificación ................................................... 41

2.9.4. Control de acceso por autenticación .................................................... 42

2.9.5. Control de Acceso Criptográfico .......................................................... 43

2.9.6. Modelos de control de acceso ................................................................ 45

2.9.7. Requisitos previos para el control de acceso ....................................... 48

2.9.8. Gestión de acceso de usuario................................................................. 50

2.9.9. Responsabilidad del usuario .................................................................... 55

2.9.10. Control de Acceso a las Redes (NAC) .................................................. 58

2.9.11. Control del Acceso al Sistema Operativo ............................................ 65

2.9.12. Control de acceso a la aplicación y la información ............................. 71

2.9.13. Computación y Tele-Trabajo Móvil..................................................... 73

3. SOLUCIONES DE CONTROL DE ACCESOS A LA RED ........................ 79

3.1 Introducción .................................................................................................. 79

3.2 Soluciones NAC ............................................................................................. 80

3.3 Solución Protección de Acceso a la Red (NAP) .......................................... 80

3.3.1 Introducción ............................................................................................... 80

3.3.2 Características. .......................................................................................... 81

3.3.3 Aspectos importantes de NAP. ................................................................. 81

3.3.4 Escenarios para Protección de Acceso a la Red (NAP) .......................... 82

3.3.5 Infraestructura de la red. ......................................................................... 83

3.3.6 Componentes NAP. ................................................................................... 84

3.3.7 Seguridad del protocolo de internet (IPsec) ............................................ 85

3.3.8 IEEE 802.1X............................................................................................... 87

Página 13

3.4 Solución Cisco NAC ...................................................................................... 92

3.4.1 Introducción ............................................................................................... 92

3.4.2 Definición ................................................................................................... 92

3.4.3 Características y beneficios ...................................................................... 93

3.4.4 Beneficios para El Negocio ....................................................................... 93

3.4.5 Protocolo de autenticación extensible (EAP) .......................................... 94

3.4.6 Descripción de la Arquitectura ................................................................ 95

3.4. Soluciones Open Source.............................................................................. 111

3.4.1. Solución Freenac .................................................................................. 111

3.4.2. Características...................................................................................... 112

3.4.3. Ventajas a implementar freeNac ........................................................ 113

3.4.4. Modos de operación:............................................................................ 114

3.4.7. Requisitos del Sistema Operativo ....................................................... 117

3.4.8. Requerimientos de hardware.............................................................. 117

3.4.9. Conexión entre diferentes Sistemas Operativos .................................... 117

3.4.10. Configuración de la Base de Datos Mysql............................................. 118

3.4.11. Asignación de direcciones IP. ............................................................. 119

3.4.12. Portal web Freenac. ............................................................................. 119

3.4.13. Ingreso a la interfaz de usuario. ......................................................... 120

3.5. PACKETFENCE ........................................................................................ 121

3.5.1. Introducción: ........................................................................................ 121

3.5.2. Definición .............................................................................................. 121

3.5.3. Características...................................................................................... 121

3.5.4. Requisitos del Sistema ......................................................................... 125

3.5.5. Requerimientos de hardware.............................................................. 126

3.5.6. Requisitos del sistema operativo......................................................... 126

3.5.7. Administración Packetfence ............................................................... 130

CAPITULO IV ....................................................................................................... 153

4. ESTUDIO DE LA EMPRESA....................................................................... 154

4.1. Introducción. ................................................................................................... 154

4.2. Misión. .......................................................................................................... 154

4.3. Visión. ........................................................................................................... 154

4.4. Estructura organizacional .......................................................................... 155

4.5. Departamentos............................................................................................. 156

4.6. Servicios implementados sobre la red de datos. ....................................... 156

Página 14

4.7. Medios de transmisión. ............................................................................... 156

4.8. Identificación de dispositivos de conexión de la empresa ........................ 156

4.9. Estructura de la red LAN........................................................................... 157

4.10. Descripción de la VLAN implementadas. ................................................. 158

4.11. Tipos de seguridad actualmente implementadas ..................................... 158

5. IMPLEMENTACIÓN DE PACKETFENCE COMO UNA SOLUCIÓN

NAC ......................................................................................................................... 166

5.1 Objetivos de la institución. ......................................................................... 166

5.2 Análisis de la seguridad en la institución .................................................. 166

5.3 Descripción de la Infraestructura de la Solución NAC ........................... 167

5.4 Análisis de requerimientos de hardware. ................................................. 167

5.5 Análisis de requerimientos de software .................................................... 168

5.6 Implementación. .......................................................................................... 168

6. Anexos. ............................................................................................................. 189

6.1. MANUAL DE USUARIO............................................................................... 189

6.2. MANUAL TÉCNICO. .................................................................................... 200

7. CONCLUSIONES Y RECOMENDACIONES. .......................................... 222

7.1. Conclusiones. ............................................................................................... 222

7.2. Recomendaciones. ....................................................................................... 222

7.3. Bibliografía………………………………………………………………..225

CAPITULO I

Página 10

Página 11

Capítulo 1

1. Seguridad

1.1. Introducción.

En la actualidad, la seguridad informática ha adquirido gran incremento, por las

cambiantes condiciones y las nuevas plataformas de computación que se dispone.

La posibilidad de interconectarse a través de redes, ha abierto nuevos espacios que

permiten investigar más allá de las fronteras de la organización. Esta situación ha

llevado a la aparición de nuevas amenazas en los sistemas computarizados como son

que las organizaciones dependen de la presencia de internet, que es uno de los

principales motivos que provocan riesgos de seguridad, porque permite acceder a la

información y a los recursos de manera no autorizada.

Al analizar esta vulnerabilidad es necesario implementar medidas y técnicas de

seguridad en redes para proteger la información y recursos, estas deben ser

proporcionales a lo que se intenta proteger como son: servidores web, servidores de

correo, FTP, base de datos o cualquier tipo de red también se pretende crear

manuales que dirigen al uso adecuado de estas nuevas tecnologías, con

recomendaciones para obtener las mejores ventajas y no realizar un mal uso de las

nuevas tecnologías que se dispone.

1.2. Objetivos de la Seguridad.

a. Mantener la disponibilidad de los datos.

b. Mantener la integridad de los datos.

c. Mantener la confidencialidad de los datos, contra infracciones.

d. Asegurar la identidad de origen y destino

1.3. Definición

Es un conjunto de métodos y herramientas destinados a proteger la información y

sistemas informáticos contra las perdidas y modificaciones. Ante cualquier amenaza.

“Es un proceso mediante el cual se pretende minimizar la vulnerabilidad de los

sistemas”

Página 12

La seguridad se basa en cinco pilares muy importantes que son1:

Evaluación

Prevención

Detección

Reacción

Recuperación

Seguridad en Redes.

Seguridad en redes es mantener bajo protección los recursos y la información con la

que cuenta la red a través de procedimientos basados en políticas de seguridad de

control de acceso para tener un control adecuado de acceso a la red2.

Seguridad de la red se inicia con la autenticación del usuario, generalmente con un

nombre de usuario y una contraseña para mantener bajo protección los recursos y la

información con que se cuenta en la red, a través de una serie de procedimientos

basados en una política de seguridad que permitan el control. Cabe recalcar que no

existe una seguridad absoluta, lo que se intenta es minimizar el riesgo.

Las tecnologías de seguridad de red protegen su red contra el robo y el uso incorrecto

de información confidencial de la empresa y ofrecen protección. Sin ningún tipo de

seguridad en red, la organización se enfrenta a accesos no autorizados que provocara

periodos de inactividad de red, interrupción del servicio, incumplimiento de las

normativas e incluso a acciones legales.

1 CARRACEÑO GALLARDO Justo. Redes Telemáticas p 18

2

Manual de Seguridad en Redes página 13 , Coordinación de emergencia en redes telemáticas

Página 13

Debemos tener en cuenta que seguridad comienza y termina con las personas es por

esto que debemos lograr de los usuarios concientización de conceptos, usos y

costumbres. .

1.4. Tipos de Seguridad3

La seguridad informática se plantea desde dos enfoques distintos aunque

complementarios:

La Seguridad Física: puede asociarse a la protección del sistema ante las

amenazas físicas mediante la aplicación de barreras físicas y procedimientos

de control como medidas de prevención y contramedidas ante amenazas ante

recursos e información confidencial.

La Seguridad Lógica: consiste en la aplicación de barreras y procedimientos

que resguarden el acceso a los datos y sólo se permita acceder a ellos a las

personas autorizadas para hacerlo protección de la información en su propio

medio, mediante el enmascaramiento de la misma usando técnicas de

criptografía. Aplicación de barreras para resguardar el acceso a los datos y

solo puedan acceder a ellas personas autorizadas.

Técnicas de Seguridad Lógica.

Control de acceso

Autenticación.

Encriptación.

Firewall

Antivirus.

1.5. Principales Servicios de Seguridad4.

Los principales servicios básicos de seguridad son:

a. Autenticación

b. Confidencialidad

c. Integridad

3 RAMIO AGUIRRE Jorge Madrid España edición 2006 capitulo 3 Introducción a la seguridad

Informática página 61

4Madjid Nakhjiri and Nahsa Nakhjiri, AAA and Network Security for Mobile Access : Radius,

Diameter,EAP,PKI and IP Mobility.Edición 2005

Página 14

d. Control de acceso

e. No repudio

f. Anonimato recalcar

1.5.1. Servicio de Autenticación5

Son medidas dirigidas a garantizar que la persona o la maquina es quien dice ser. Por

medio de este servicio se protege contra el ataque de suplantación de personalidad

donde una entidad remota se hace pasar por alguien que no es.

Debemos recalcar las distintas situaciones de autenticación:

a. Autenticación de Entidad.-cuando una entidad se conecta al sistema debe

demostrar su identidad ante el sistema.

b. Autenticación de Origen de Datos.-se da cuando en una transferencia de

datos como por ejemplo en correo electrónico solamente se requiere

demostrar que los datos han sido originados por una determinada entidad.

Autenticación de Entidad.

Se puede llevar a cabo basándose en diferentes características que son:

a) Por algo que solo conoce la entidad o persona que trata de comunicarse y la

entidad que verifica la autenticación puede darse por medio de una clave,

palabra

b) Por algo que solo quien trata de comunicarse posee, puede ser por un

dispositivo físico, clave secretar

c) Por algo que una persona sabe hacer, podría ser una habilidad que la persona

posea para autenticarse.

d) Por cómo es la persona exhibiendo características biométricas que podría ser:

huella digital, iris del ojo.

La autenticación se basa en dos esquemas de autenticación:

a. Autenticación simple.

b. Autenticación fuerte.

5 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 27

Página 15

Autenticación Simple

Solo uno de los participantes en la comunicación está obligado a demostrar su

identidad, se basa en contraseñas o palabra de paso más o menos protegida.

Ejemplo.- la entidad A trata de probar su identidad, envía a la entidad B su nombre

significativo y un testigo de autenticación T este testigo se construye a través de un

nombre y una contraseña pass-A todo protegido mediante una función

unidireccional f1.

Para que el esquema funcione el nombre significativo debe ser “claro” y la entidad B

conozca y tenga almacenada la contraseña de A en la base de datos.

Para que la contraseña sea almacenada con seguridad se debe proteger con una

función unidireccional que lo que almacene sea una función del testigo de

autenticación, es decir mientras no se comprueba que el valor recibido coincide con

el valor almacenado no se dará valido el proceso de autenticación.

El problema de este proceso de autenticación es la vulnerabilidad de ingreso y ataque

de terceras personas.

Autenticación Mediante Desafío.

Se basa en que la entidad A que trata de autenticarse comparte la información

secreta con la entidad B que verifica la autenticación.

La entidad A envía a la entidad B una petición de autenticación la entidad B le

responde con un reto o desafío que puede ser una pregunta que la respuesta solo la

Página 16

entidad A conoce, esta no ofrece un nivel de seguridad aceptable, por tanto se ve la

necesidad de implementar la autenticación fuerte.

Autenticación fuerte.- se basa en que cada una de las entidades participantes en el

escenario de autenticación está en posición de una clave privada que se mantiene en

secreto para este fin.

Se puede diferenciar los siguientes casos de autenticación fuerte.

Autenticación unidireccional.

Autenticación Mutua o bidireccional

Autenticación tridimensional.

a) Autenticación unidireccional.-que consiste en que solo uno de los participantes

que forman parte de la comunicación deben demostrar su identidad, comporta

una sola transferencia de información entre la entidad A que trata de autenticarse

con la entidad B que verifica la autenticación.

b) Autenticación bidireccional o mutua.- los participantes deben demostrar su

identidad en ambos sentidos de la comunicación es decir consiste en añadir una

respuesta de la entidad B al proceso de autenticación.

c) Autenticación Tridimensional.- ayuda a reforzar la autenticación bidireccional,

se añade una tercera transferencia de datos entre las entidades A y B

Autenticación de Origen de Datos.

Se basa en los siguientes métodos.

Página 17

a. MAC (Código de autenticación de mensaje).- es una pieza de información

de tamaño fijo que se genera mediante un criptosistema de clave secreta

b. Firma digital.- un determinado mensaje constituye un testigo autenticador de

extraordinaria fortaleza.

c. Valor hash.- es una pieza de información de tamaño fijo que se genera

mediante una función unidireccional, que puede servir como valor

autenticador de mensajes, son parte fundamental de los algoritmos de firma

digital.

1.5.2. Servicio de Confidencialidad de los datos6.

Proporciona protección para evitar que los datos sean revelados a usuarios no

autorizados, garantiza que los datos sean entendido solo por destinatarios autorizados

es decir si la información es robada no sea posible entender su significado. Con este

servicio se puede garantizar que la información que circula a través de las redes esté

disponible para usuarios legítimos.

1.5.3. Servicio de Integridad de los datos. 7Este servicio garantiza que los datos recibidos por el receptor coincidan exactamente

con los enviados por el emisor, garantiza que la información no sea modificada,

añadida, sustraída es decir el receptor detectara si se ha producido un ataque a la

información y podrá aceptar los datos recibidos o rechazarlos.

Debe garantizar que la información es fiable y que no se ha modificado es decir que

la información no ha sido copiada, modificada, borrado en su origen o durante su

trayecto. Debemos tener en cuenta que es necesario proteger la información contra

la modificación sin el permiso del dueño.

La información a ser protegida no sólo debe estar almacenada en la computadora

sino que se debe considerar elementos menos obvios como respaldos,

documentación. Esto comprende cualquier tipo de modificaciones:

Causadas por errores de hardware y/o software.

Causadas de forma intencional.

6CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 28 , 326

7CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 29

Página 18

Causadas de forma accidental

Cuando se trabaja con una red, se debe comprobar que los datos no fueron

modificados durante su transferencia.

1.5.4. Servicio de no Repudio8

No repudio.- proporciona garantías respecto a la emisión y recepción de la

información, sirve para evitar que algún participante niegue haber formado parte de

ella

Casos de no repudio.

a). No repudio con prueba de origen.-el receptor que envía el mensaje adquiere una

prueba del origen de la información recibido por tanto el emisor no puede negar que

envío información porque el destinatario tiene pruebas del envío, el receptor recibe

una prueba infalsificable del origen del envío esto evita que el emisor niegue el

envío.

b). No repudio con prueba de envío.-El receptor o emisor adquiere una prueba que

no podrá negar que recibió el mensaje con la fecha y hora. Este servicio proporciona

al emisor la prueba de que el destinatario del envío, realmente lo recibió, evitando

que el receptor lo niegue.

8CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 29, 30,31

9CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 31

Página 19

c). No repudio con prueba de entrega.- el emisor adquiere una prueba demostrando

a terceras personas que el receptor adecuado recibió el mensaje sin inconvenientes.

1.5.5. Servicio de control de acceso.

9Sirve para evitar el uso no autorizado de los recursos de la red es decir permite que

solo personas autorizadas puedan tener acceso a una maquina cada usuario tenga los

permisos de acuerdo a sus funciones.

Permiso.- se refiere a que un usuario pueda hacer determinadas operaciones de

acuerdo a sus funciones.

Este servicio se implementa bajo la autenticación en la que el usuario demuestra

quien dice ser para poder acceder a los privilegios y restricciones correspondientes.

En el control de acceso se presenta dos servicios que son;

El acceso a servidores de todo tipo base de datos, impresoras, servidores es decir

el usuario accede de forma cliente- servidor deben identificarse para acceder de

acuerdo a los servicios que requiera.

El acceso a terminales desde lo que el usuario se conecta a la red

En algunos casos estos servicios se conecta utilizando el servicio de autenticación,

porque al comprobar que el usuario es quien dice ser se le aplican los privilegios que

tienen y las restricciones.

Otros casos puede ser por medio de credenciales que consiste en asignar privilegios

independientes de la identidad.

Página 20

1.5.6. Servicio de Anonimato10

.

Se encarga de ocultar la identidad de la persona ante actores que forma parte de

dichas operaciones. Se trata de emular en la red situaciones de la vida real en la que

es conveniente mantener el anonimato.

1.6. Gestión de Riesgos.

1.6.1. Definición.

11 Son métodos, mecanismos de protección para reducir los riesgos a un nivel

apropiado, es un aspecto más básico y difícil de construir ya que se requiere amplios

conocimientos de riesgos, ámbitos de riesgo y métodos de mitigación. Es un

procedimiento que se diseña para implantar y mantener en el tiempo las

contramedidas establecidas en el análisis de riesgos para conseguir seguridad

implementando mecanismos para controlar el riesgo y un adecuado funcionamiento

del sistema.

Al aplicar la gestión de riesgos queremos proteger:

La información

Los procesos.

Las aplicaciones

El sistema operativo

El hardware

Las comunicaciones

Los soportes de información

Las instalaciones.

1.6.2. Fases de la Gestión de Riesgos.

Contiene cuatro fases:

Análisis.-establece los componentes de un sistema que necesitan protección,

analizan sus vulnerabilidades lo que debilitan y las amenazas que lo ponen en

peligro, con el resultado de revelar su grado de riesgo

10CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 32

11

MAÑAS José Antonio. Gestión de Riesgos p4

Página 21

Clasificación.- determina si los riesgos encontrados y los riesgos restantes son

aceptables.

Reducción.-define e implementa las medidas de protección, sensibilizando y

capacitando a los usuarios conforme a las medidas

Control.- realiza un análisis del funcionamiento, la efectividad y el

cumplimiento de las medidas, para determinar y concertar las medidas

deficientes y sancionar el incumplimiento.

1.7. Vulnerabilidad

Es un elemento de un sistema informático que puede ser víctima por un atacante para

violar la seguridad y puede causar algún daño.

La vulnerabilidad se considera como un elemento interno del sistema, por tanto los

administradores y usuarios deben detectarlos, valorarlos y reducirlos.

1.7.1. Tipos de vulnerabilidades

Las vulnerabilidades se producen por errores en el sistema, fallos en el diseño del

sistema, limitaciones tecnológicas etc.

Las vulnerabilidades se clasifican en:

Física o Ambiental.

Hardware.

Software.

Red.

Factor humano.

Física.- se relaciona con el acceso físico al sistema, se refiere a las instalaciones de

los equipo de cómputo que forman parte del sistema. La vulnerabilidad se presenta

en las malas prácticas de las políticas de acceso del personal a los sistemas, usan

medio de almacenamiento para extraer información.

Natural.- se refiere al grado que el sistema se puede ver afectado por este tipo de

desastres, la vulnerabilidad se presenta por deficiencias de medidas para afrontar los

desastres.

Ejemplo.- baja ventilación calefacción.,

Página 22

Hardware.-presenta la probabilidad de que las piezas del sistema fallen, dejando el

sistema inoperable, trata de cómo las personas pueden utilizar el hardware para

atacar.

Software.- esto puede ocurrir por errores en la programación, o en el diseño

Red.- son muy vulnerables al tener equipos conectados entre sí compartiendo

recursos, es posible atacar a toda la red, al inicio ataca solo un equipo y luego

expandirse. La vulnerabilidad se basa en la intercepción de la información por

personas no autorizadas con fallas en la disponibilidad de servicios.

Factor humano.- son la parte más vulnerable del sistema son los más difíciles de

controlar, se origina por la falta de capacitación y concienciación provocando

negligencia en las políticas de seguridad y mal uso de los equipos

1.8. Amenazas.

El control de acceso se encarga de contrarrestar la amenaza que sufre alguna entidad

sobre operaciones no autorizadas en los recursos de la red.

Las amenazas pueden ser12

:

Utilización indebida de los recursos de la red podría ser por suplantación de

personalidad.

Divulgación o repetición de contenido y dirigirlo a un destinatario no autorizado.

Modificación, alteración, destrucción del contenido del mensaje o información

contenida en el sistema.

12 CCNA Security

Página 23

Denegación de servicio a causa de alguien que acceda de manera indebida al

sistema

Para proteger la información es necesario:

Emplear mecanismo de seguridad específicos.

La cooperación con otros servicios de seguridad.

Puede originarse en cualquier lugar o momento, aprovechándose de las diferentes

vulnerabilidades que se pueda dar como; Sistema operativo, de las aplicaciones,

protocolos, psicológicas o de algún método de ingreso al sistema.

Considerando los riesgos.

En internet existen muchas personas que se dedican a robar información, pueden ser

personas de la misma organización o externa, estas pueden robar información y los

administradores pueden quizá darse cuenta luego de semanas o meses, esto trae como

consecuencia perdidas de dinero, clientes.

1.8.1. Fuentes de amenaza.

Las amenazas pueden tener diferentes orígenes, se las puede dividir en cinco tipos13

.

1.8.1.1. Amenazas humanas.- las personas son la fuente principal de amenaza en las

que se invierte más recursos para controlarlos y equilibrar sus consecuencias. Implica

actos males intencionados, incumplimiento de medidas de seguridad.

Tipos de amenazas humanas.

Curiosos.- ingresan al sistema sin autorización motivados por aprender,

curiosidad, desafío a personal, se debe tener bastante cuidado porque pueden

causar daño no intencional incluso perdidas económicas.

Intrusos.- se encarga de ingresar al sistema con un objetivo fijo, se debe

tener precaución porque estas personas tienen la experiencia. Capacidad y

herramientas para ingresar al sistema sin importar el nivel de seguridad que

posea

13CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 35,36

Página 24

Personal enterado.-personal que tiene acceso autorizado puede ser personal

que labora en la actualidad o ex empleados que lo pueden hacer por

revanchas personales o motivados por el dinero.

Terrorista –causar daño para diferentes fines.

Robo.-extraer información en algún unidad de almacenamiento, robo físico

de hardware para otros fines.

Sabotaje.-consiste en reducir la funcionalidad del sistema por medio de

acciones que impidan el normal funcionamiento por tanto daño de los

equipos, interrupción de los servicios, en algunos casos provocando la

destrucción completa del sistema.

Fraude.-actividad que tiene como fin aprovechar los recursos para obtener

beneficios ajenos a la organización.

Ingeniería social.- obtener información social a través de la manipulación a

los usuarios legítimos impulsándolos a revelar información sensible. De esta

manera los ingenieros sociales aprovechan la tendencia natural de la gente a

confiar en su palabra antes que aprovechar de los agujeros de seguridad de los

sistemas.

1.8.1.2. Amenazas de hardware.-las amenazas se da por las fallas físicas del

hardware ya sea defectos de fabricación o mal diseño de hardware que forma parte

del sistema de cómputo

Tipos de amenazas de hardware.

Mal diseño.-cuando los componentes de hardware del sistema no cumple con

los requerimientos necesarios.

Errores de fabricación.-cuando el hardware tienen desperfecciones de

fabricación y fallan en el momento de usarse. Esto trae consecuencias

negativas a la organización que a los fabricantes.

Suministro de energía.- las variaciones de voltaje provocan daños en los

dispositivos, es por esto que debemos revisar las instalaciones de energía, que

proporcionen el voltaje que se requiere de acuerdo al hardware caso contrario

se acortara su vida útil.

Desgaste.- al usar el hardware se da un desgaste de este hasta que no se

pueda utilizar.

Página 25

Descuido y mal uso.-los componentes de hardware deben ser usados

tomando en cuenta los parámetros establecidos de los fabricantes como son:

Tiempo de uso, periodos y procedimientos de mantenimiento, no tomar en

cuenta esto provoca un mayor desgaste y reduce la vida útil de los recursos de

hardware.

1.8.1.3. Amenazas de red.- se presenta cuando la red no está disponible para su uso,

esto puede ocurrir por un ataque o por un error físico o lógico del sistema.

Las principales amenazas que se dan en la red son:

No disponibilidad de la red.

Extracción lógica de la información.

Tipos de amenazas en la red.

Topología seleccionada.- la topología es la disposición física que se conecta los

nodos de una red ordenadores o servidores, cada uno con sus ventajas y desventajas.

Dependiendo del alcance se puede implementar una topología sobre otra pero

debemos tener en cuenta que se puede limitar la comunicación hasta dejar la red

fuera de servicio.

1.8.1.4. Sistema operativo.- cada sistema operativo tiene diferente nivel de

protección que los hace susceptibles a ataques, a partir de esto los atacantes pueden

tomar acciones contra los sistemas operativos con mayor seguridad

Incumplimiento de las normas de instalación de la red.- las instalaciones se deben

seguir ciertas normas y estándares que se conoce como cableado estructurado.

Cableado estructurado.- son normas y estándares que consiste en un tendido de

cables en el interior de un edificio con el propósito de implantar una red, utiliza una

serie de cables, canalizaciones, conectores, etiquetas y demás dispositivos que se

necesitan para establecer una infraestructura de telecomunicación en un edificio, se

debe tener limitaciones dependiendo de lo que se vaya a implementar. Debemos

considerar los siguientes puntos para tener éxito al implementar para evitar fallas o

problemas de transmisión, operatividad y disponibilidad de recursos en la red.

Segmentación del tráfico de red

Longitud máxima de cada segmento de red

Página 26

La presencia de interferencias electromagnéticas

Redes locales virtuales.

1.8.1.5. Amenazas de Software.-fallas dentro del software dentro del sistema

operativo, puede ser por software mal desarrollado, diseñado, implantado

Tipos

Software de desarrollo.- es personalizado, puede ser creado para atacar un sistema

completo, aprovechando las características de violar la seguridad.

Software de aplicación.- fue creado especialmente para realizar ataques, tiene

características que pueden ser usadas para atacar un sistema.

Código malicioso.- el software que ingresa al sistema e intenta romper las reglas

son; caballos de Troya, virus gusanos y otras amenazas programadas.

1.8.1.6. Amenazas de desastres naturales.- eventos que tienen origen por la fuerzas

de la naturaleza, estas afectan a la información de los sistemas y a la amenaza de

integridad del sistema completo, trae como consecuencia un sistema inoperable.

Tipos de desastres naturales.

Entre los diferentes desastres naturales que afectan al sistema son: inundaciones,

terremotos, incendios, huracanes, tormentas eléctricas, por esta razón debemos tener

en cuenta la importancia de un cableado de red de datos, redes de energía, suministro

de agua ya que una falla de estos puede dañar la información de la organización.

1.8.1.7. Amenazas de seguridad.

El propósito de esta sección es realizar un análisis de cada uno de las posibles

amenazas que puede ingresar o interrumpir los sistemas. Entre las amenazas

tenemos.

Virus.-programas maliciosos que se propagan mediante código ejecutable,

modifican otros programas insertando copias del mismo para propagarse a

través de la red.

Los virus no pueden ejecutarse como un programa independiente necesitan

un programa anfitrión que los inicialice

Página 27

Recomendaciones para proteger un sistema de virus.

Centralizar la responsabilidad de mover un cualquier archivo entre

subsistemas

Implementar una política de respaldos completos del sistema

Mantener los archivos temporales fuera del directorio del sistema operativo y

de los que soportan productos de software a terceros.

Gusanos (worms).-paquetes que se transmiten por la red y aprovechan la

vulnerabilidad del sistema operativo

Trampas.- son programas o parte de programas que permite el acceso no

autorizado al sistema, permite a los usuarios a entrar en programas para

realizar evaluación, depuración, mantenimiento y monitoreo en el proceso de

desarrollo de sistemas

Caballo de Troya.- son amenazas fáciles y comunes de implantar, son

programas que imitan a un programa que quieren implantar pero son

diferentes, se utiliza para capturar passwords, cambiar permisos, crear

programas

Bacterias.-son programas que existen para recuperarse a sí mismo, afecta a

un sistema porque consumen recursos computacionales que le pertenece a ese

sistema, estas bacterias no destruyen archivos ni alteran datos, su propósito es

degradar todo el servicio del sistema provocando que se detenga.

Huecos de seguridad.- son imperfecciones del diseño de software que

otorgan privilegios a usuarios comunes

Los huecos de seguridad se dan en cuatro clases.

1. Huecos de seguridad físicos.-permiten el acceso físico al equipo a

personas no autorizadas

2. Huecos de seguridad de software.-el problema se da al otorgar mal los

privilegios de usuarios

3. Huecos de seguridad de uso incompatible.- el administrador del sistema

ensambla una combinación de software y hardware el mismo que es

usado como un sistema dañado desde un punto de vista de seguridad.

4. Selección de una filosofía de seguridad y mantenimiento.-está basado

en la percepción y entendimiento, es decir si tenemos un software

Página 28

perfecto un hardware bien protegido, compatibilidad entre componentes

pero no concientizamos a los usuarios esto de nada nos servirá.

Insectos (bugs).- defecto de un programa que provoca que este realice algo

inesperados

Phishing.-es una táctica mediante la cual el usuario hace clic en un enlace

falso el cual lo lleva a un sitio web donde le roban información personal.

Spyware.-es un sitio web que supervisa el comportamiento del usuario,

transmite la información a un hacker para robar información.

Tipos de Amenazas.

Las diferentes fuentes de amenazas a las cuales se expone a un computador a

conectar a internet son:

Vulnerabilidad de información.- mediante firewalls se puede dar una

incorrecta configuración o poseer una tecnología de firewalls muy antigua.

Vulnerabilidad de software.- permite controlar las computadoras, robar

información, acceder indebidamente a los sistemas.

o Debilidades del sistema físico.

o Transmisión de debilidades.

Los diferentes ataques que puede sufrir al conectarse a internet en redes corporativas

son;

Ataques basados en passwords

Ataques en base de escuchar el tráfico de la red

Ataques que explotan los accesos confiables

Basados en direcciones IP

Introducir información sin darse cuenta

Predicción de números secuenciales

Secuestrando sesiones

Ataques a las debilidades de la tecnología

Explotando el sistema de librerías compartidas.

DNS

Keyloggers

Ingeniería social.

Página 29

1.9.Mecanismos de Seguridad14

Es una técnica para implementar los servicios está diseñado para detectar, prevenir y

recuperarse de un ataque de seguridad.

Los mecanismos de seguridad se basan en tres componentes principales que son:

a. Información secreta como claves, contraseñas, conocidas por las entidades

certificadoras

b. Algoritmos para llevar a cabo el cifrado, descifrado y generación números

aleatorios

c. Procedimientos para definir como usaron los algoritmos es decir quien envía,

a quien y cuando.

1.9.1. Tipos de Mecanismos

1.9.1.1. Mecanismos de seguridad generalizados

Están relacionados con la administración de seguridad, permiten determinar el grado

de seguridad del sistema ya que la aplican para cumplir la política general

1.9.1.2.Etiquetas de seguridad

Está relacionado con números para medir el nivel de seguridad de la información

clasificándola como información secreta, confidencial, no clasificada

1.9.1.3.Detección de eventos

Detecta movimientos peligrosos dentro del sistema utilizando auditorias de seguridad

para así conocer las políticas establecidas y los procedimientos operacionales.

1.9.1.4.Recuperación de seguridad

Realiza la recuperación de la información basada en reglas, las acciones de

recuperación pueden ser inmediatas como desconexión, invalidación temporal de

una entidad o de largo plaza intercambio de clave.

1.9.1.5.Mecanismos de seguridad específicos

Definen la implementación de servicios concretos, los más importantes son los

siguientes:

Intercambio de Autenticación.-verifica la entidad de quienes envían los mensajes y

datos, se clasifica en mecanismos fuertes y débiles.

14CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 135

15 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 343,344

Página 30

Fuertes.-utiliza técnicas criptográficas propiedades de los sistemas criptográficos de

clave pública para proteger los mensajes que se van a intercambiar, el proceso es el

siguiente. El usuario se autentica mediante un identificador y contraseña o clave

privada, en la que el interlocutor verifica que las claves, también lo realiza por

certificados que es un documento firmado por una autoridad certificadora válido

hasta un periodo determinado de tiempo y que se asocia con la clave del usuario

Débiles.- está basado en técnicas de control de acceso, el emisor envía su

identificador y una contraseña al receptor el cual la comprueba.

Integridad de datos.-garantiza que los datos no sean alterados o destruidos

1.10. Firma Digital

Se define como un conjunto de datos códigos y claves criptográficas privadas que se

añaden a la unidad de datos para proteger contra cualquier falsificación, permitiendo

al receptor verificar el origen y la integridad de los datos.

“Es una pieza de información añadida a una entidad de datos, que es el resultado de

una transformación criptográfica de esta en la que se ha usado una información

privada del signatario, que permite a una entidad receptora probar la autenticidad del

origen y la integridad de los datos recibidos”15

Ventajas de la Firma Digital.

La firma es autentica

La firma no puede ser violada

El documento firmado no puede ser alterado

La firma no es reutilizable

1.10.1. Tráfico de relleno

Es un mecanismo que provee una generación de tráfico falso, generan eventos de

comunicación, unidades de datos y datos falsos e forma aleatoria para confundir a un

analizador de tráfico.

CAPITULO II

Página 31

Página 32

Capítulo 2

2. ISO/IEC 27002

2.1. Introducción

Actualmente las tendencias que han ido adquiriendo la gran mayoría de las empresas

dedicadas o relacionadas con las tecnologías de información, es permitir que cada

uno de sus procesos se orienten a operaciones y servicios en red de manera

distribuida, con el objetivo de que todos los miembros (clientes, empleados,

proveedores) de una organización tengan conectividad desde una gran variedad de

dispositivos y plataformas, sin embargo el creciente aumento de los puntos de acceso

expondrá aún más la infraestructura y los activos digitales de las empresas, surge

entonces la necesidad de contar con buenos mecanismos de seguridad para riesgos y

amenazas, los mismos que no solamente consiste en robos de información inducido

por personal dentro de la misma área geográfica donde estén las computadores, sino

también existen riesgos de robos o accesos no autorizados a la información mediante

las diferentes redes que interconectan a las computadoras o a cualquier equipo

tecnológico utilizado para transmitir información digital.

La réplica elemental frente a este entorno de conectividad más exigente, consiste

entonces en un conjunto de decisiones tecnológicas orientadas a la seguridad,

tecnología que permita a las empresas garantizar la imposición de las políticas de

seguridad corporativas a los puntos finales conectados a sus redes. Por ejemplo, que

los terminales tengan completamente actualizados las herramientas antivirus o los

parches de seguridad, es muy importante considerar los estándares internacionales,

los mismos que han sido muy bien aceptados, porque proporcionan mecanismos de

seguridad que han sido estudiados detenidamente y cuyas pruebas han sido exitosas,

concluyendo que los resultados que ofrecen son los ideales y que deberían ser

implementados por todas las organizaciones relacionadas a las tecnologías de la

información, dicho estándar internacional es ISO/IEC 27002, el cual trata

específicamente sobre aspectos de seguridad en las tecnologías de información.

Página 33

2.2. Objetivos:

1. Gestionar y proteger los activos de información de una organización

2. Aplicar habilidades prácticas para ayudar a concientizar a la organización

sobre la seguridad

3. Permite supervisar continuamente el rendimiento y la mejora.

4. Ayuda a demostrar independientemente que se respetan las leyes y

normativas que sean de aplicación. Proporciona una ventaja competitiva al

cumplir los requisitos contractuales y demostrar a los clientes que la

seguridad de su información es primordial.

5. Permite verificar independientemente que los riesgos de la organización

estén correctamente identificados, evaluados y gestionados al tiempo que

determina unos procesos, procedimientos y documentación de protección de

la información.

2.3.Seguridad de la información

“La seguridad de la información es la protección de la información contra una

gran variedad de amenazas con el fin de asegurar la continuidad del negocio,

minimizar el riesgo para el negocio y maximizar el retorno de inversiones y

oportunidades de negocio”

La seguridad de la información se puede conseguir mediante la implementación

de un conjunto apropiado de controles incluyendo políticas procesos,

procedimientos, estructuras organizacionales y funciones de software y hardware,

estos controles necesitan ser, establecidos, implementados, monitoreados,

revisados y mejorados, donde sea necesario, para asegurar que se cumplan los

objetivos específicos de seguridad y del negocio de la organización.16

2.4.Importancia de la Seguridad de la Información

La información y los procesos, sistemas y redes de apoyo son activos comerciales

importantes. Definir, lograr, mantener y mejorar la seguridad de la información

16NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 7

Página 34

puede ser esencial para mantener una ventaja competitiva, el flujo de caja,

rentabilidad, observancia legal e imagen comercial.

Las organizaciones y sus sistemas y redes de información enfrentan amenazas de

seguridad de un amplio rango de fuentes; incluyendo fraude por computadora,

espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de daño como

código malicioso, pirateo computarizado o negación de ataques de servicio se

hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas.

La seguridad de la información es importante tanto para negocios del sector

público como privado, y para proteger las infraestructuras críticas. En ambos

sectores, la seguridad de la información funcionará como un facilitador; por

ejemplo para evitar o reducir los riesgos relevantes. La interconexión de redes

públicas y privadas y el intercambio de fuentes de información incrementan la

dificultad de lograr un control del acceso. La tendencia a la computación

distribuida también ha debilitado la efectividad de un control central y

especializado17

2.5.Requerimientos de Seguridad

Es esencial que una organización identifique sus requerimientos de seguridad.

Existen tres fuentes principales de requerimientos de seguridad. Una fuente se

deriva de evaluar los riesgos para la organización, tomando en cuenta la

estrategia general y los objetivos de la organización. A través de la evaluación

del riesgo, se identifican las amenazas para los activos, se evalúa la

vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.18

2.6.Evaluación de los Riesgos

Los requerimientos de seguridad se identifican mediante una evaluación

metódica de los riesgos de seguridad. El gasto en controles debiera ser

equilibrado con el daño comercial probable resultado de fallas en la seguridad.

17http://isvoc.com/download/ISO_27002_EN.pdf

18

NORMA TÉCNICA NTC-ISO/IEC 27002 Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 9

Página 35

Los resultados de la evaluación del riesgo ayudarán a guiar y determinar la acción de

gestión apropiada y las prioridades para manejar los riesgos de seguridad de la

información, e implementar los controles seleccionados para protegerse contra esos

riesgos.

La evaluación del riesgo se debiera repetir periódicamente para tratar cualquier

cambio que podría influir en los resultados de la evaluación del riesgo.

2.7.Definición

ISO

ISO es el acrónimo de International Organization for Standardization y se deriva del

griego "isos", que significa "igual". Se trata de la organización desarrolladora y

publicadora de Estándares Internacionales más grande en el mundo. ISO es una red

de instituciones de estándares nacionales de 157 países, donde hay un miembro por

país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema

La misión de la ISO es promover el desarrollo de las actividades de normalización y

afines en el mundo con el fin de facilitar el intercambio internacional de bienes y

servicios, para desarrollar la cooperación en la actividad intelectual, la actividad

científica, tecnológica y económica.19

La ISO es un órgano consultivo de la Organización de las Naciones Unidas. Coopera

estrechamente con la Comisión Electrotécnica

Internacional (International Electrotechnical Commission, IEC) que es responsable

de la normalización de equipos eléctricos.

IEC

19http://trace.wisc.edu/docs/taacmtg_sep96/iso.htm

Página 36

Fundada en 1906, la IEC (International ElectrotechnicalCommission) es la

organización líder en el mundo para la preparación y publicación de normas

internacionales para todas las tecnologías eléctricas, electrónicas y relacionadas.

Éstos se conocen colectivamente como "electrotécnica".20

ISO/IEC JTC1

ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1

(ISO/IEC JointTechnicalCommittee). Este comité trata con todos los asuntos

de tecnología de la información, este se encarga de las técnicas de seguridad de las

tecnologías de información. Dicho subcomité ha venido desarrollando una familia de

Estándares Internacionales para el Sistema Gestión y Seguridad de la

Información. La familia incluye Estándares Internacionales sobre requerimientos,

gestión de riesgos, métrica y medición, y el lineamiento de implementación del

sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de

numeración utilizando las series del número 27000 en secuencia.

ISO 27002:

ISO / IEC 27002, es la última versión de la "tecnología de la información, es

definida como técnicas de seguridad o como el Código de buenas prácticas para la

gestión de seguridad de la información, dirigida a los responsables de implementar o

mantener activa la seguridad de la información, esta norma es aceptada

internacionalmente, por lo que decenas o cientos de miles de organizaciones en todo

el mundo siguen la norma ISO / IEC 27002.21

PDCA

El "Plan-Do-Check-Act" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar"

siendo este un enfoque de mejora continua:

20http://www.iec.ch/about/

21

http://www.itnews.ec/marco/000124.aspx

Página 37

Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de

riesgos de seguridad de la información y la selección de controles adecuados.

Do (hacer): es una fase que envuelve la implantación y operación de los

controles.

Check (controlar): es una fase que tiene como objetivo revisar y evaluar el

desempeño (eficiencia y eficacia) del SGSI.

Act (actuar): en esta fase se realizan cambios cuando sea necesario para

llevar de vuelta el SGSI a máximo rendimiento.

PDCA permite seguir un proceso cuando se necesita hacer un cambio o resolver un

problema, un proceso que asegure planificar, probar e incorporar retroalimentación

antes de comprometerse con la implementación.22

.

2.8.Ventajas y Desventajas ISO 27002

2.8.1. Ventajas:

Es importante considerar que una seguridad al 100% no existe, sin embargo esta

norma establece una metodología y una serie de medidas que al menos busca una

mejora continua y que, sin lugar a dudas, aumentará el porcentaje actual de cualquier

empresa, entre estas ventajas tenemos:

22

http://www.mindtools.com/CXCtour/PDCA.php

Página 38

Competitividad: es un factor que le interesa a cualquier empresa., por lo que

poco a poco las grandes empresas, emprenderán una búsqueda de dicha

certificación para abrir y compartir sus sistemas con cualquier empresa.

Calidad a la seguridad, transformando a la seguridad en una actividad de

gestión, es decir se convierte en un ciclo de vida sistemático y controlado,

que se busca y exige hoy en toda empresa.

Reduce riesgos, partiendo de un Análisis de Riesgos, que impone la norma,

hasta la implementación de los controles, entonces este conjunto de acciones

adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano

(intencionado o no), mal uso de instalaciones y equipo a los cuales está

expuesto el manejo de información.

Concienciación y compromiso: El estándar crea conciencia y compromiso de

seguridad en todos los niveles de la empresa, no sólo al implantarla, sino que

será permanente

Visión externa y ordenada del sistema donde implica rigidez y

responsabilidad que impone al personal de la empresa, para que aporten con

elementos de juicio y acciones de mejora.

Establecimiento de una metodología de gestión de la seguridad de la

información clara y bien estructurada.

Los riesgos y sus respectivos controles son revisados constantemente.

Garantiza el cumplimiento de las leyes y reglamentos establecidos en materia

de gestión de la información.

Incrementa el nivel de concientización del personal con respecto a los tópicos

de seguridad informática, además de proporciona confianza y reglas clara al

personal de la empresa.

Página 39

2.8.2. Desventajas

Tal vez la mayor problemática es el poder convencer a la alta dirección la

importancia que reviste todo el proceso para la implementación de esta

norma.

El conjunto de tareas, que se deben realizar, será una sobrecarga al ritmo

habitual de trabajo que tiene la organización, entonces es importante ser

consciente de que habrá una mayor exigencia en el esfuerzo, o esfuerzos

adicionales.

No tiene retorno, Una vez que se ha empezado el camino de implementación

de la norma no hay retorno por lo que se deberán cumplir con

mantenimiento y mejora continua, sin dejar a un lado el Sistema de Gestión

de la Seguridad de la Información

Requiere esfuerzo continuo, se requerirá infaliblemente un esfuerzo

continuado de toda la organización.

2.9.Control de Acceso

2.9.1. Introducción:

Lo fundamental es poder contar con una política para el control de acceso con el

objetivo de evitar o minimizar todos aquellos accesos que no son autorizados, por lo

que se puede controlar mediante:

Registros de usuarios

Gestión de privilegios

Autenticación por contraseñas o usuarios, etc.

Página 40

Además de la autenticación es necesario poder asegurar a los equipos que son

descuidados por un lapso de tiempo determinado, es decir se podría realizar una

activación automática de un protector de pantalla después de cierto tiempo de

inactividad, el mismo que impedirá el acceso mientras no se introduzca una

contraseña autorizada. Así mismo son de vital importancia los controles de acceso a

la red, al sistema operativo, a las aplicaciones y a la información, para ello deben

existir registros y bitácoras de acceso. Para el caso de existir comunicación móvil,

redes inalámbricas, ordenadores portátiles, etc. también es necesario implementar

políticas que contemplen cada uno de estos aspectos.23

2.9.2. Definición

El control de acceso es el proceso de conceder permisos a usuarios o grupos y poder

conocer quienes están autorizados para acceder a los sistemas de información y

recursos. Su concepto se resume en tres pasos que son: identificación, autenticación

y autorización, gracias a estos principios y con el buen uso de los mismos el

administrador del sistema puede controlar que recursos están disponibles para los

usuarios de un sistema.

Se debe establecer, documentar y revisar una política de control de accesos en base a

las necesidades de seguridad y de negocio de la organización. Las reglas para el

control del acceso deberían tener en cuenta las políticas de distribución y

autorización de la información, es decir establecer una serie de controles referidos a:

Control de acceso a la información, análisis de requisitos necesarios para el

control de acceso

o Crear una Política de control de accesos.

Control de accesos, únicamente a usuarios autorizados

o Registro de usuario, gestión de privilegios, gestión de contraseñas de

usuarios.

Control de accesos a usuarios no autorizados, contribución y responsabilidad

por parte de los usuarios

o Uso de contraseña, equipo de usuario desatendido, Política de puesto

despejado y mesa limpia.

Control de acceso no autorizado a la red.

23http://www.novenca.com/site/index.php?option=com_content&view=article&id=86&Itemid=164

Página 41

o Política de uso de los servicios en la red, autenticación de los usuarios

para conexiones externas, identificación de los equipos en las redes,

segregación de las redes.

Control de acceso no autorizados al sistema operativo

o Procedimiento seguro de inicio de sesión, identificar y autentificación

de usuarios, sistemas de gestión de contraseñas, desconexión

automática de sesión, limitación del tiempo de conexión.

Control de acceso a las aplicaciones y a la información para evitar accesos no

autorizados.

o Restricciones de acceso a la información, aislamientos de sistemas

sencillos.

Ordenadores portátiles, garantizando la información de los ordenadores

portátiles.

o Política formal de ordenadores portátiles y comunicaciones móviles.

2.9.3. Control de Acceso por Identificación

Es una acción que el sistema realiza para reconocer la identidad de los usuarios,

habitualmente se usa un identificador de usuarios, todas las acciones que se llevan a

cabo en el sistema son de responsabilidad de los usuarios, entonces hablamos de la

necesidad de registros de auditorías que permiten guardar las acciones realizadas

dentro del sistema y rastrearlas hasta el usuario autenticado, es decir es el medio por

el cual los usuarios del sistema se identifica quiénes son.24

24http://www.subinet.es/guias-y-tips/guias-tips-internet/%C2%BFque-es-el-control-de-acceso-en-

sistemas-informaticos/

Página 42

2.9.4. Control de acceso por autenticación

Autenticación es verificar que el usuario que trata de identificarse es válido, por lo

general se implementa con una contraseña en el momento de iniciar una sección, es

el segundo paso del proceso de control de acceso. Existen 4 tipos de técnicas que

permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser

utilizadas individualmente o combinadas:

1. Algo que solamente el individuo conoce: ejemplo una contraseña.

2. Algo que una persona posee: ejemplo un tarjeta magnética, tarjeta

con circuito integrado

3. Algo que el individuo es y que lo identifica de manera única : ejemplo

las huellas digitales, reconocimiento de voz

4. Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de

escritura.

2.9.4.1.Características de la Autenticación

Cualquier sistema de identificación ha de poseer unas determinadas características

para ser asequibles:

Que cumpla su función bajo condiciones fijadas y durante un período

determinado, es decir que sea fiable.

En lo económico deberá ser asequible para la organización por ejemplo si

el costo es superior al valor de lo que se intenta proteger, el sistema es

incorrecto

Sobrellevar con éxito cuando se den algún tipo de ataques.

Ser admisible para los usuarios, pues ellos serán quienes lo utilicen.

Página 43

2.9.4.2.AUTORIZACIÓN

La autorización se origina después de que un usuario del sistema se autentica y luego

es autorizado a utilizar el sistema. Por lo general un usuario es autorizado a usar

únicamente una parte de los recursos del sistema, lo que esto significa es que un

usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo, sin

embargo esto dependerá de la función que cumple en la organización. Por ejemplo el

personal de finanzas o contabilidad tiene menos accesos a diferentes aplicaciones y

archivos con respecto al personal de ingeniería. Además del principio de menor

privilegio, es importante considerar los accesos en tiempo permitidos, Por, ejemplo, a

veces, puede no ser aconsejable permitir el acceso a los registros financieros a horas

en las cuales las instalaciones deberían estar cerradas.

Existen diferentes modos para hacer cumplir el acceso además del uso de software,

gracias al control de acceso se puede mantener con algo tan simple como una puerta

cerrada, es decir solo, los usuarios con su clave correcta, o con el uso de su tarjeta se

les admitirá ingresar.

2.9.5. Control de Acceso Criptográfico

Existen mecanismos de control de acceso criptográfico donde se combina algunas

técnicas de la criptografía para desarrollar protocolos, modelos y mecanismos de

autenticación para el control de acceso

Página 44

Kerberos

Es un protocolo de autentificación de red. Está diseñado para suministrar una

autentificación poderosa para aplicaciones cliente/servidor usando criptografía

secret-key. Una versión libre de este protocolo Internet es un lugar inseguro.

Muchos de los protocolos usados en internet no proporcionan seguridad.

Herramientas para "rastrear" contraseñas fuera de la red son usadas comúnmente por

piratas informáticos maliciosos. Por lo tanto, aplicaciones que envían una contraseña

no encriptado sobre la red son sumamente vulnerables. Peor aún, otras aplicaciones

de cliente/servidor dependen de la honestidad sobre la identidad del usuario que lo

está usando.25

Algunos sitios intentan que cortafuegos (Firewall) solucionen sus problemas de

seguridad de la red. Desafortunadamente, los cortafuegos suponen que "los villanos"

están en el exterior, que es a menudo una suposición muy mala. La mayoría de los

incidentes muy perjudiciales del delito informático son llevados por miembros. Los

cortafuegos también tienen una desventaja importante, restringen cómo pueden usar

Internet por sus usuarios.Después de todo, los cortafuegos son sólo un ejemplo

menos extremista del dictamen de que no hay nada más seguro que una computadora

que está desconectada de la red. En muchos lugares, estas restricciones son sólo

irrealistas e inaceptables.

Kerberos fue creado por MIT como una solución para estos problemas de seguridad

de la red. El protocolo de Kerberos usa criptografía fuerte con el propósito de que un

cliente pueda demostrar su identidad a un servidor (y viceversa) al otro lado de una

conexión de red insegura. Después de que un cliente/servidor ha conseguido que

Kerberos demuestre su identidad, también pueden cifrar todas sus comunicaciones

para garantizar la privacidad y la integridad de los datos cuando continúa en su

empresa. Kerberos está disponible libremente en MIT, bajo los permisos de derecho

de autor muy similares a aquellos que usaron para el sistema operativo de BSD y el

25http://galiciacuamatzi.wikispaces.com/4.4+Control+de+acceso+criptogr%C3%A1fico

Página 45

X WindowSystem. MIT provee el código fuente de Kerberos con el propósito de que

alguien que desea usarlo pueda estudiar el código y así asegurarse que el código es

digno de confianza. Además, para aquellos que prefieren depender de un producto

soportado de manera profesional, Kerberos está disponible como un producto de

muchos distribuidores diferentes. 26

El protocolo de autenticación de Kerberos es un proceso en el que diferentes

elementos colaboran para conseguir identificar a un cliente que solicita un servicio

ante un servidor que lo ofrece; este proceso se realiza en tres grandes etapas que a

continuación se describen.

C : Cliente que solicita un servicio

S : Servidor que ofrece dicho servicio

A : Servidor de autenticación

T : Servidor de tickets

K : Clave secreta del cliente trasferencia

K : Clave secreta del servidor

K : Clave secreta del servidor de tickets

K : Clave de sesión entre el cliente y el servidor de tickets

K : Clave de sesión entre cliente y servidor

2.9.6. Modelos de control de acceso

Un modelo de control de acceso es un conjunto definido de criterios que un administrador

del sistema utiliza para definir derechos/permisos de los usuarios del/al sistema27

26

http://yoalo.wikispaces.com/4.4+Control+de+acceso+criptogr%C3%A1fico

27http://www.subinet.es/guias-y-tips/guias-y-tips-seguridad/%C2%BFcuales-son-los-modelos-de-

control-de-acceso/

Página 46

Los modelos principales de control de acceso son :

Control de Acceso Obligatorio (Mandatory Access Control) (MAC),

Control de Acceso Discrecional (Discretionary Access Control) (DAC)

Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC)

2.9.6.1.Control de acceso obligatorio (Mandatory Access Control) (MAC)

En este modelo se determinan cada una de las funciones asignadas a los usuarios, los

mismos que son rigurosamente ajustados a las pretensiones del administrador del

sistema, siguiendo el principio de mínimos privilegios, este método de control de

acceso es considerado como el más restrictivo ya que los usuarios finales no pueden

establecer controles de acceso en los archivos. Generalmente los controles de accesos

obligatorios son implementados en instalaciones altamente secretas, es decir donde la

pérdida o robo de archivos pueden afectar la seguridad nacional.28

2.9.6.2.Control de Acceso Discrecional (Discretionary Access Control) (DAC)

El modelo de control de acceso discrecional es el menos restrictivo de los otros

modelos, está definido de acuerdo a los criterios de evaluación de un sistema, en este

modelo el usuario final tiene una libertad integral para asignar los derechos de los

objetos que desea, por lo que este nivel de control completo sobre los archivos puede

28

http://www.subinet.es/guias-y-tips/guias-y-tips-seguridad/%C2%BFcuales-son-los-modelos-de-

control-de-acceso/

Página 47

ser peligroso a causa de que si un atacante o algún Malware compromete la cuenta a

continuación, el usuario malicioso o código tendrá un control completo también.29

2.9.6.3.Controles de Acceso Basado en Roles (Rule Based Access Control)

(Rbac)

Por lo general todas las aplicaciones empresariales necesitan contar con buenos

niveles de control de acceso con el objetivo de restringir diferentes acciones u

operaciones que puede realizar un usuario, entonces uno de los esquemas más

comunes es el control de accesos basado en roles, conocido también como RBAC

(Role Based Access Control), por sus siglas en inglés30

Las principales características que un sistema de control de acceso basado en roles

debe cumplir:

Funcionalidad. Un sistema RBAC debe cumplir como mínimo los niveles

de funcionalidad de: autenticación, autorización y auditoria.

o Autenticación. Capacidad de validar la identidad de un usuario.

Típicamente se realiza por medio de nombres de usuario y

contraseña.

o Autorización. Es la definición de qué es lo que un usuario específico

puede hacer dentro de una aplicación, es decir a qué información y

operaciones tiene acceso.

o Auditoría. Se refiere a la capacidad de mantener un registro de las

transacciones sensitivas de una aplicación. La auditoría permite saber

29http://es.paperblog.com/cuales-son-los-modelos-de-control-de-acceso-255170/

30

http://www.yiiframework.com/wiki/120/introduccion-al-control-de-acceso-basado-en-roles-rbac/

Página 48

quién hizo qué, cuando lo hizo, y quién le dio los permisos necesarios

a ese usuario.

Componentes

o Repositorio. Se requiere de un lugar seguro para almacenar los

usuarios, contraseñas, roles y permisos.

o Interfaz entre aplicación y repositorio. Este es el componente

intermedio que sirve de interfaz entre una aplicación y el repositorio

de seguridad.

o Consola de administración. La consola que permite administrar las

cuentas de usuario, roles y permisos. Debe ser sencilla de usar, de

forma que gente no técnica pueda realizar estas tareas.

o Documentación. Un elemento comúnmente olvidado, que sin

embargo es necesario para tener un proceso de seguridad confiable y

que no dependa de personas específicas.

2.9.7. Requisitos previos para el control de acceso

Objetivo

Controlar los accesos a la información.31

Principios

Los accesos a la información, así como a cada uno de los servicios de

procesamiento de información y a los procesos de negocio, deben ser

controlados con base a los requisitos, obligaciones y necesidades de

seguridad y de negocio que requiera la organización

Para el control de acceso las pautas deberían tener en cuenta todas las

políticas de distribución y autorización

Tanto las reglas de control de acceso como otros controles de seguridad,

deberían ser definidas y aprobadas por los propietarios de activos de

información los mismos que son responsables ante la dirección

31

http://isvoc.com/download/ISO_27002 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la

información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la

información Pág. 72

Página 49

Asegúrese también de que se les responsabiliza de incumplimientos, no

conformidades y otros incidentes.

2.9.7.1.Política de Control de Accesos

Control

La política definida para el control de acceso debe quedar basada en los

requerimientos de seguridad además de ser implantada, documentada y revisada

Guía Para Su Implementación

En una política de accesos se debe establecer de manera detallada y clara las reglas y

los derechos que son asignados a cada usuario o grupo de usuarios. Es importante

que se considere de manera conjunta los controles de acceso lógicos y físicos.

También es primordial dar a los usuarios y proveedores de servicios una explicación

detallada y clara de cada uno de los requisitos de negocio protegidos por los

controles de accesos. La política debería contemplar lo siguiente:

1. Requerimientos de seguridad que serán analizados de manera individual para

cada aplicación de negocio

2. Recopilación e identificación de la información con referencia a las

aplicaciones y riesgos que la información está afrontando.

3. Políticas para la distribución de la información y las autorizaciones (niveles

de seguridad para la clasificación de la información)

4. Coherencia entre las políticas de control de accesos y las políticas de

clasificación de la información en los distintos sistemas y redes;

5. Reglamentación aplicable y las obligaciones establecidas con respecto a la

protección del acceso a los datos o servicios

6. Perfiles de acceso de usuarios estandarizados según las categorías comunes

de trabajos

7. Administración de los derechos de acceso en un entorno distribuido en red

que reconozca todos los tipos disponibles de conexión;

8. Segregación de los roles de control de acceso, como el pedido de acceso,

autorización de acceso, administración de accesos;

9. Requerimientos para la autorización formal de los pedidos de acceso

10. Requerimientos para la revisión periódica de controles de acceso

11. Retiro de los derechos de acceso

Página 50

Precauciones:

Al especificar las reglas de los controles de acceso se debe considerar:

La distinción entre reglas a cumplir siempre y reglas adicionales o

condicionales

El establecimiento de las reglas basándose en la premisa “está prohibido todo

lo que no esté permitido explícitamente” , considerada más débil o más

permisiva

Los cambios en las etiquetas de información iniciadas automáticamente por

los recursos de tratamiento de la información y las que inicia el usuario

manualmente

Los cambios en las autorizaciones al usuario realizados automáticamente por

el sistema de información y los que realiza un administrador

La distancia entre reglas que requieren o no la aprobación del administrador o

de otra autoridad antes de su promulgación

Las reglas de control de acceso deben ser apoyadas por procedimientos formales y

por responsabilidades claramente definidos.

2.9.8. Gestión de acceso de usuario

Objetivo

Asegurar el acceso de usuarios autorizados e impedir el acceso de usuarios no

autorizados a los sistemas de información.32

Principios

Es importante definir procedimientos con el objetivo de poder controlar la

asignación de los derechos de accesos tanto a los sistemas como a los

servicios de información.

Todas las fases del ciclo de vida del acceso del usuario deben estar

comprendidas dentro de los procedimientos, desde el registro inicial para

32

NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 74

Página 51

usuarios nuevos hasta la cancelación final del registro, es decir usuarios que

ya no requieren acceso a los servicios y sistemas de información. Además es

primordial controlar a los usuarios que se les permite o se les otorga el

privilegio de anular los controles del sistema, es decir poder controlar la

asignación de derechos y así obtener eficacia de los mismos

2.9.8.1.Registro de usuario.

Control

Se debería determinar un procedimiento de registro de altas y bajas de usuarios para

garantizar el acceso a los sistemas y servicios de información multiusuario

Guía De Implementación

Se debería controlar el acceso a los servicios de información multiusuario mediante

un proceso formal de registro que debería incluir:

a) La utilización de un identificador único para cada usuario, de esta forma

puede vincularse a los usuarios y responsabilizarles de sus acciones. Se

debería permitir el uso de identificadores de grupo cuando sea conveniente

para el desarrollo del trabajo y estos deben ser aprobados y documentados;

b) La comprobación de la autorización del usuario por el propietario del

servicio para utilizar el sistema o el servicio de información. También puede

ser conveniente que la gerencia apruebe por separado los derechos de acceso

c) Verificación de la adecuación del nivel de acceso asignado al propósito del

negocio y su consistencia con la política de seguridad de la organización (por

ejemplo, su no contradicción con el principio de segregación de tareas

d) La entrega a los usuarios de una relación escrita de sus derechos de acceso;

e) La petición a los usuarios para que reconozcan con su firma la comprensión

de las condiciones de acceso;

f) La garantía de que no se provea acceso al servicio hasta que se hayan

completado los procedimientos de autorización;

g) El mantenimiento de un registro formalizado de todos los autorizados para

usar el servicio;

Página 52

h) La eliminación inmediata de las autorizaciones de acceso a los usuarios que

dejan la organización o cambien de trabajo en ella;

i) La revisión periódica y eliminación de identificadores y cuentas de usuario

redundantes

j) La garantía de no reasignación a otros usuarios de los identificadores de

usuario redundantes

Otra Información

Se debería considerar el establecimiento de roles de acceso a usuario basado en

requisitos de negocio que resuman un numero de derechos de acceso

en un expediente típico de acceso de usuario. Los pedidos y revisiones

de acceso son manejadas más fácilmente al nivel de dichos roles que

los niveles de derechos particulares. Se debería considerar la inclusión

de cláusulas en los contratos laborales y de servicio que especifiquen

sanciones si sus signatarios realizan accesos no autorizados

2.9.8.2. Gestión de Privilegios.

Control

Debería restringirse y controlarse el uso y asignación de privilegios.

Guía De Implementación

Se debería controlar la asignación de privilegios por un proceso formal de

autorización en los sistemas multiusuario. Se deberían considerar los pasos

siguientes:

a) Identificar los privilegios asociados a cada elemento del sistema, por

ejemplo, el sistema operativo, el sistema gestor de base de datos y cada

aplicación; así como las categorías de empleados que necesitan de ellos;

b) Asignar privilegios a los individuos según los principios de “necesidad de su

uso” y “caso por caso” y en línea con la política de control de acceso, por

ejemplo, el requisito mínimo para cumplir su función sólo cuando se

necesite;

Página 53

c) Mantener un proceso de autorización y un registro de todos los privilegios

asignados. No se otorgarán privilegios hasta que el proceso de autorización

haya concluido

d) Promover el desarrollo y uso de rutinas del sistema para evitar la asignación

de privilegios a los usuarios;

e) Promover el desarrollo y uso de programas que evitan la necesidad de correr

con privilegios;

f) Asignar los privilegios a un identificador de usuario distinto al asignado para

un uso normal.

Otra información

Un uso inapropiado de los privilegios de la administración del sistema (cualquier

característica o facilidad de un sistema de información que habilite al usuario

sobrescribir los controles del sistema o de la aplicación) pueden ser un gran factor

contribuidor de fallas o aberturas en los sistemas

2.9.8.3.Gestión de contraseñas de usuario.

Control

Se debería controlar la asignación de contraseñas por medio de un proceso de gestión

formal.

Guía de Implementación

El proceso debe incluir los siguientes requisitos:

a) Requerir que los usuarios firmen un compromiso para mantener en secreto

sus contraseñas personales y las compartidas por un grupo sólo entre los

miembros de ese grupo (compromiso que podría incluirse en los términos y

condiciones del contrato de empleo);

b) Proporcionar inicialmente una contraseña temporal segura que forzosamente

deben cambiar inmediatamente después

c) Establecer procedimientos para verificar la identidad de un usuario antes de

proveer una contraseña nueva, de reemplazo o temporal

d) Establecer un conducto seguro para hacer llegar las contraseñas temporales a

los usuarios. Se debería evitar su envío por terceros o por mensajes no

cifrados de correo electrónico

Página 54

e) Las contraseñas temporales deben ser únicas para cada individuo y no deben

ser obvias

f) Los usuarios deberían remitir acuse de recibo de sus contraseñas

g) Las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin

ser protegidos

h) Las contraseñas por defecto de los vendedores deben ser alteradas después

de la instalación de los sistemas o software.

Otra Información

Las contraseñas son un medio común de verificar la identidad del usuario antes de

que el acceso a un sistema de información o servicio sea dado de acuerdo a la

autorización del usuario. Se deben considerar, si son apropiadas, otras tecnologías

para identificación y autentificación de usuario como las biométricas (como la

verificación de huellas, la verificación de la firma) o el uso de dispositivos hardware

(como las tarjetas inteligentes)

2.9.8.4.Revisión de los derechos de acceso de los usuarios.

CONTROL

La gerencia debería establecer un proceso formal de revisión periódica de los

derechos de acceso de los usuarios.

Guía de Implementación

La revisión de los derechos de acceso de usuario debería considerar las siguientes

pautas:

a) Revisar los derechos de acceso de los usuarios a intervalos de tiempo

regulares(se recomienda cada seis meses) y después de cualquier cambio

como promoción, degradación o termino del empleo

b) Los derechos de acceso de los usuarios deben ser revisados y reasignados

cuando se traslade desde un empleo a otro dentro de la misma organización;

c) Revisar más frecuentemente (se recomienda cada tres meses) las

autorizaciones de derechos de acceso con privilegios especiales.

Página 55

d) Comprobar las asignaciones de privilegios a intervalos de tiempo regulares

para asegurar que no se han obtenido privilegios no autorizados;

e) Los cambios en las cuentas privilegiadas deben ser registradas para una

revisión periódica.

Otra Información

Es necesario revisar regularmente los derechos de los accesos de los usuarios para

mantener un control efectivo del acceso a los datos y los sistemas de información.

2.9.9. Responsabilidad del usuario

Objetivos:

Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la

información y de las instalaciones de procesamiento de información

Una protección eficaz necesita la cooperación de los usuarios autorizados.

Los usuarios deberían ser conscientes de sus responsabilidades en el

mantenimiento de la eficacia de las medidas de control de acceso, en

particular respecto al uso de contraseñas y a la seguridad del material puesto a

su disposición

Un escritorio limpio, así como una política de pantalla clara debe ser

implementado con el fin de reducir el riesgo de acceso no autorizado o de

daño a los papeles, medios e instalaciones del procesamiento de información

33

2.9.9.1.Uso de contraseñas

Control

Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de

sus contraseñas.

Guía de Implementación

Todos los usuarios deberían ser informados acerca de:

a. Mantener la confidencialidad de las contraseñas;

33NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 77

Página 56

b. Evitar guardar registros (papel, archivos de software o dispositivos) de las

contraseñas, salvo si existe una forma segura de hacerlo y el método de

almacenamiento ha sido aprobado;

c. Cambiar las contraseñas si se tiene algún indicio de su vulnerabilidad o de la

del sistema;

d. Seleccionar contraseñas de buena calidad, con una longitud mínima

caracteres, que sean:

1. fáciles de recordar;

2. No estén basadas en algo que cualquiera pueda adivinar u obtener

usando información relacionada con el usuario, por ejemplo, nombres,

fechas de nacimiento, números de teléfono, etc.

3. No sean vulnerables a ataques de diccionario (no consisten en

palabras incluidas en diccionarios);

4. Estén carentes de caracteres consecutivos repetidos o que sean todos

números o todas letras;

e. Cambiar las contraseñas a intervalos de tiempo regulares o en proporción al

número de accesos (las contraseñas de las cuentas con privilegios especiales

deberían cambiarse con más frecuencia que las normales), evitando utilizar

contraseñas antiguas cíclicas;

f. Cambiar las contraseñas temporales asignadas para inicio, la primera vez que

se ingrese al sistema;

g. No incluir contraseñas en ningún procedimiento automático de conexión, que,

las deje almacenadas permanentemente;

h. No compartir contraseñas de usuario individuales

i. No utilizar la misma contraseña para propósitos personales o de negocio.

Si los usuarios necesitan acceder a múltiples servicios o plataformas y se les pide

que mantengan contraseñas múltiples, deberían ser aconsejados sobre la posibilidad

de usar una sola contraseña de calidad para todos los servicios, que brinde un nivel

razonable de protección para la contraseña almacenada.

Otra Información

La gestión de los sistemas de ayuda que tratan con problemas de perdida u olvido de

contraseña necesitan un cuidado especial ya que esto también significa medios de

ataque al sistema de contraseñas

Página 57

2.9.9.2.Equipo informático de usuarios desatendidos

Control

Los usuarios deberían asegurar que los equipos informáticos desatendidos estén

debidamente protegidos.

Guía de Implementación

Todos los usuarios y proveedores de servicios deberían conocer los requisitos de

seguridad y los procedimientos para proteger los equipos desatendidos, así como sus

responsabilidades para implantar dicha protección. Se les debería recomendar:

a. Cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de

una herramienta de bloqueo general, por ejemplo, una contraseña para

protector de pantalla;

b. Desconectar (log-off)los servidores o los computadores centrales cuando se

ha terminado la sesión (y no sólo apagar el terminal o el computador

personal);

c. Proteger el terminal o el puesto de trabajo cuando no estén en uso con un

bloqueador de teclado o una medida similar, por ejemplo, una contraseña de

acceso

Otra Información

El equipo instalado en áreas de usuarios, como las estaciones de trabajo o los

servidores de archivo, pueden requerir protección específica para un acceso no

autorizado cuando se desatienda por un periodo extenso.

2.9.9.3.Política de pantalla y escritorio limpio control

Control

Se debería adoptar una política de escritorio limpio para papeles y medios

removibles de almacenamiento así como una política de pantalla limpia para

instalaciones de procesamiento de información.

Guía de Implementación

La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la

información los requerimientos legales y contractuales los riesgos correspondientes y

Página 58

los aspectos culturales de la organización. Las siguientes pautas deben ser

consideradas:

a. La información crítica o sensible del negocio (papel o medios electrónicos de

almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u

otras formas de muebles de seguridad) cuando no sea requerido,

especialmente cuando la oficina este vacía;

b. Los computadores y terminales deben ser apagados o protegidos con un

mecanismo de protección de pantalla o de teclado controlado por contraseña

u otro mecanismo de autentificación, cuando estas se encuentren

desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro

tipo de control cuando no sean utilizados;

c. Los puntos salientes o entrantes de correo y los faxes desatendidos deben ser

protegidos;

d. Debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías

de reproducción como scanner o cámaras digitales;

e. Los documentos que contienen información sensible y clasificada deben ser

removidos de las impresoras de inmediato.

Otra Información

Una política de pantalla y escritorio limpio reduce los riegos de un acceso no

autorizado y de la pérdida o daño de la información durante horas de trabajo no

establecidas. Las cajas fuerte su otras formas de instalaciones de almacenamiento

pueden también proteger información almacenada contra desastres como incendio,

terremotos, inundación u explosión. Considere el uso de impresoras con código pin

de modo tal que los creadores sean los únicos que puedan sacar sus impresiones y

solo cuando se encuentren al costado de la impresora.

2.9.10. Control de Acceso a las Redes (NAC)

Objetivo

Evitar el acceso no autorizado a los servicios de la red.34

34NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 80

Página 59

Se debiera controlar el acceso a los servicios de redes internas y externas.

El acceso del usuario a las redes y servicios de las redes no debieran

comprometer la seguridad de los servicios de la red asegurando:

a. Que existan las interfaces apropiadas entre la red de la organización y

las redes de otras organizaciones, y redes públicas;

b. Que se apliquen los mecanismos de autenticación apropiados para los

usuarios y el equipo;

c. Que el control del acceso del usuario a la información sea obligatorio

Otra información

Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a

toda la organización. Este control es particularmente importante para las conexiones

de la red con aplicaciones comerciales confidenciales o críticas o con usuarios en

ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de

la gestión y control de seguridad de la organización.

2.9.10.1. Política sobre el Uso de los Servicios de la Red Control

Los usuarios sólo debieran tener acceso a los servicios para los cuales hayan sido

específicamente autorizados.

Guía de implementación

Se debiera formular una política relacionada con el uso de las redes y los servicios de

la red.

Esta política debiera abarcar:

a) Las redes y servicios de la red a las cuales se tiene acceso;

b) Los procedimientos de autorización para determinar quién está autorizado a

tener acceso a cuáles redes y servicios en red;

c) Controles y procedimientos gerenciales para proteger el acceso a las

conexiones de la red y los servicios en red;

d) Los medios utilizados para tener acceso a las redes y los servicios de la red

(por ejemplo, las condiciones para permitir acceso vía discado a un proveedor

del servicios de Internet o sistema remoto)

Página 60

Otra información

Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a

toda la organización. Este control es particularmente importante para las conexiones

de la red con aplicaciones comerciales confidenciales o críticas o con usuarios en

ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de

la gestión y control de seguridad de la organización.

2.9.10.2. Autenticación del usuario para las conexiones externas

Control

Se debieran utilizar métodos de autenticación apropiados para controlar el acceso de

usuarios remotos.

Guía de implementación

La autenticación de los usuarios remotos se puede lograr utilizando, por ejemplo, una

técnica basada en criptografía, dispositivos de hardware o un protocolo de

desafío/respuesta. Las posibles implementaciones de tales técnicas se pueden

encontrar en varias soluciones de la red privada virtual (VPN). También se pueden

utilizar las líneas privadas dedicadas para proporcionar la seguridad de la fuente de

conexiones.

Los procedimientos y controles de discado; por ejemplo, utilizando módems de

discado; pueden proporcionar protección contra conexiones no autorizadas e

indeseadas a los medios de procesamiento de la información de una organización.

Este tipo de control ayuda a autenticar a los usuarios que tratan de establecer una

conexión con la red de la organización desde ubicaciones remotas. Cuando se utiliza

este control, una organización no debiera utilizar los servicios de red, los cuales

incluyen reenvío de llamadas, y si lo hacen, debieran deshabilitar el uso de tales

dispositivos para evitar las debilidades asociadas con el reenvío de llamadas. El

proceso de llamada de verificación debería asegurar que ocurra una desconexión real

en el lado de la organización. De otra manera, el usuario remoto podría tomar la línea

abierta pretendiendo que ha ocurrido la llamada de verificación. Los procedimientos

y controles de la llamada de verificación debieran ser comprobados

concienzudamente para evitar esta posibilidad.

Página 61

La autenticación del nodo puede servir como un medio alternativo para la

autenticación de los grupos de usuarios remotos, cuando están conectados a un medio

de cómputo seguro y compartido. Se pueden utilizar técnicas criptográficas; por

ejemplo, basadas en los certificados de las máquinas; para la autenticación del nodo.

Otra información

Las conexiones externas proporcionan un potencial para el acceso no autorizado a la

información comercial; por ejemplo, acceso mediante métodos de discado. Existen

diferentes tipos de métodos de autenticación, algunos de estos proporcionan un

mayor nivel de protección que otros; por ejemplo, los métodos basados en el uso de

las técnicas criptográficas pueden proporcionar una autenticación sólida. Es

importante determinar el nivel de protección requerido mediante una evaluación del

riesgo. Esto es necesario ara la selección apropiada de un método de autenticación.

Un medio para la conexión automática con una computadora remota podría

proporcionar una manera de obtener acceso no autorizado a la aplicación comercial.

Esto es especialmente importante si la conexión utiliza una red que esté fuera del

control de la gestión de seguridad de la organización.

2.9.10.3. Identificación del equipo en las redes

Control

La identificación automática del equipo se debiera considerar como un medio para

autenticar las conexiones de ubicaciones y equipos específicos.

Guía de implementación

La identificación del equipo se puede utilizar si es importante que la comunicación

sólo sea iniciada desde una ubicación o equipo específico. Se puede utilizar un

identificador dentro o incorporado en el equipo para indicar si este equipo está

autorizado a conectarse a la red. Estos identificadores debieran indicar claramente a

cuál red está autorizado a conectarse el equipo, si existe más de una red y

particularmente si estas redes tienen diferentes grados de confidencialidad. Puede ser

necesario considerar la protección física del equipo para mantener la seguridad del

identificador del equipo.

Página 62

2.9.10.4. Protección del puerto de diagnóstico y configuración remoto

Control

Se debiera controlar el acceso físico y lógico a los puertos de diagnóstico y

configuración.

Guía de implementación

Los controles potenciales para el acceso a los puertos de diagnóstico y configuración

incluyen el uso de un seguro y procedimientos de soporte para controlar el acceso

físico al puerto. Un ejemplo de un procedimiento de soporte es asegurar que los

puertos de diagnóstico y configuración sólo sean accesibles a través de un acuerdo

entre el gerente del servicio de cómputo y el personal de soporte de

hardware/software que requiere acceso.

Los puertos, servicios y medios similares instalados en una computadora o red, que

no son requeridos específicamente por funcionalidad comercial, debieran ser

desactivados o removidos.

Otra información

Muchos sistemas de cómputo, sistemas de redes y sistemas de comunicaciones están

instalados con un medio de diagnóstico o configuración remoto para ser utilizado por

los ingenieros de mantenimiento. Si no están protegidos, estos puertos de diagnóstico

proporcionan un medio de acceso no autorizado

2.9.10.5. Segregación en Redes

Control

Los grupos de servicios de información, usuarios y sistemas de información debieran

ser segregados en redes.

Guía de implementación

Un método para controlar la seguridad de grandes redes es dividirlas en dominios de

red lógicos separados; por ejemplo, dominios de red internos y dominios de red

externos de una organización; cada uno protegido por un perímetro de seguridad

definido. Se puede aplicar un conjunto de controles graduados en dominios de red

Página 63

lógicos diferentes para segregar aún más los ambientes de seguridad de la red; por

ejemplo, sistemas de acceso público, redes internas y activos críticos. Los dominios

debieran ser definidos en base a una evaluación del riesgo los requerimientos de

seguridad diferentes dentro de cada uno de los dominios.

Este tipo de perímetro de red se puede implementar instalando un gateway seguro

entre dos redes para mantenerlas interconectadas y controlar el acceso y el flujo de

información entre los dos dominios. Este gateway debiera estar configurado para

filtrar el tráfico entre estos dominios y para bloquear el acceso no-autorizado en

concordancia con la política de control de acceso de la organización. Un ejemplo de

este tipo de Gateway es lo que comúnmente se conoce como un firewall. Otro

método para segregar dominios lógicos separados es restringir el acceso a la red

utilizando redes privadas virtuales para grupos de usuarios dentro de la organización.

Las redes también pueden ser segregadas utilizando la funcionalidad del dispositivo

de red; por ejemplo, IP switching. Los dominios separados también se pueden

implementar controlando los flujos de data a la red utilizando capacidades

routing/switching, como listas de control de acceso.

El criterio de segregación de las redes en dominios se debiera basar en la política de

control de acceso y los requerimientos de acceso, y también debiera tomar en cuenta

el costo relativo y el impacto en el desempeño al incorporar una adecuada tecnología

de routing o gateway de red. Además, la segregación de las redes se debiera basar en

el valor y la clasificación de la información almacenada o procesada en la red,

niveles de confianza o líneas comerciales; para así reducir el impacto total de una

interrupción del servicio.

Se debiera tener en consideración la segregación de las redes inalámbricas de las

redes internas y privadas. Como los perímetros de las redes inalámbricas no están

bien definidos, se debiera llevar a cabo una evaluación del riesgo para identificar los

controles (por ejemplo, autenticación sólida, métodos criptográficos y selección de

frecuencia) para mantener la segregación de la red.

Otra información

Las redes se están extendiendo cada vez más allá de los límites organizacionales

tradicionales, conforme se forman sociedades comerciales que puedan requerir la

Página 64

interconexión o intercambio de medios de procesamiento de la información y redes.

Estas extensiones podrían incrementar el riesgo de un acceso no-autorizado a los

sistemas de información existentes que utilizan la red, algunos de los cuales pueden

requerir protección de otros usuarios de la red debido a la confidencialidad o grado

crítico.

2.9.10.6. Control de conexión a la red

Control

Para las redes compartidas, especialmente aquellas que se extienden a través de las

fronteras de la organización, se debiera restringir la capacidad de los usuarios para

conectarse a la red, en línea con la política de control de acceso y los requerimientos

de las aplicaciones comerciales.

Guía de implementación

Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar

conforme lo requiera la política de control de acceso. Se puede restringir la

capacidad de conexión de los usuarios a través de gateways de la red que filtran el

tráfico por medio de tablas o reglas predefinidas. Los ejemplos de aplicaciones a las

cuales se pueden aplicar las restricciones son:

a) Mensajes; por ejemplo, correo electrónico,

b) Transferencia de archivos,

c) Acceso interactivo,

d) Acceso a una aplicación.

Se debieran considerar vincular los derechos de acceso a la red con ciertos días u

horas.

Otra información

La política de control de acceso puede requerir la incorporación de los controles para

restringir la capacidad de conexión de los usuarios en las redes compartidas,

especialmente aquellas que se extienden a través de los límites o fronteras

organizacionales.

Página 65

2.9.10.7. Control de Routing de la Red

Control

Se debieran implementar controles de routing en las redes para asegurar que las

conexiones de la computadora y los flujos de información no violen la política de

control de acceso de las aplicaciones comerciales.

Si se emplean tecnologías “proxy” (en inglés, representante o apoderado) y/o de

traducción de direcciones de la red, se pueden utilizar los gateways de seguridad para

validar las direcciones de la fuente y el destino en los puntos de control de las redes

internas y externas. Los encargados de la implementación debieran estar al tanto de

las fuerzas y debilidades decualquier mecanismo empleado. Los requerimientos para

el control del routing de la red se debieran basar en la política de control de acceso

Otra información

Las redes compartidas, especialmente aquellas que se extienden a través de las

fronteras organizacionales, pueden requerir controles de routing adicionales. Esto se

aplica particularmente cuando las redes son compartidas con terceros (no-

organización).

2.9.11. Control del Acceso al Sistema Operativo

Objetivos:

Evitar el acceso no autorizado a los sistemas operativos.

Se debieran utilizar medios de seguridad para restringir el acceso a los

sistemas operativos a los usuarios autorizados. Los medios debieran tener la

capacidad para

a) Autenticar a los usuarios autorizados, en concordancia con una

política de control de acceso definida;

b) Registrar los intentos exitosos y fallidos de autenticación del sistema;

c) Registrar el uso de los privilegios especiales del sistema;

d) Emitir alarmas cuando se violan las políticas de seguridad del sistema;

e) Proporcionar los medios de autenticación apropiados;

f) Cuando sea apropiado, restringir el tiempo de conexión de los

usuarios.

Página 66

2.9.11.1. Procedimientos para un Registro Seguro

Control

El acceso a los sistemas operativos debiera ser controlado mediante un

procedimiento de registro seguro.

Guía de implementación:

El procedimiento para registrarse en un sistema de operación debiera ser diseñado de

manera que minimice la oportunidad de un acceso no autorizado. Por lo tanto, el

procedimiento para registrarse debiera divulgar el mínimo de información acerca del

sistema para evitar proporcionar al usuario no-autorizado ninguna ayuda innecesaria.

Un buen procedimiento de registro:

a) No debiera mostrar identificadores del sistema o aplicación hasta que se haya

completado satisfactoriamente el proceso de registro;

b) Debiera mostrar la advertencia general que a la computadora sólo pueden

tener acceso los usuarios autorizados;

c) No debiera proporcionar mensajes de ayuda durante el procedimiento de

registro que ayuden al usuario no-autorizado;

d) Sólo debiera validar la información del registro después de completar todo el

input de data. Si surge una condición de error, el sistema debiera indicar qué

parte de la data es correcta o incorrecta;

e) Debiera limitar el número de intentos de registro infructuosos permitidos; por

ejemplo, tres intentos; y debiera considerar:

1. registrar los intentos exitosos y fallidos;

2. forzar un tiempo de espera antes de permitir más intentos de registro o

rechazar cualquier otro intento sin una autorización específica;

3. desconectar las conexiones de vínculo a la data;

4. establecer el número de re-intentos de clave secreta en conjunción con

el largo mínimo de la clave secreta y el valor del sistema que se está

protegiendo;

f) Debiera limitar el tiempo máximo y mínimo permitido para el procedimiento

de registro. Si se excede este tiempo, el sistema debiera terminar el registro;

Página 67

g) Debiera mostrar la siguiente información a la culminación de un registro

satisfactorio:

1. fecha y hora del registro satisfactorio previo;

2. detalles de cualquier intento infructuoso desde el último registro

satisfactorio;

h) No debiera mostrar la clave secreta que se está ingresando o considerar

esconder los caracteres de la clave secreta mediante símbolos;

i) No debiera transmitir claves secretas en un texto abierto a través de la red.

Otra información

Si las claves secretas se transmiten a través de la red en un texto abierto durante la

sesión, estas pueden ser capturadas por un programa espía en la red.

2.9.11.2. Identificación y autenticación del usuario

Control

Todos los usuarios tienen un identificador único (ID de usuario) para su uso

personal, y se debiera escoger una técnica de autenticación adecuada para sustanciar

la identidad de un usuario.

Guía de implementación

Se debiera aplicar este control a todos los tipos de usuarios (incluyendo el personal

de soporte técnico, operadores, administradores de redes, programadores de sistemas

y administradores de bases de datos).Se debieran utilizar los IDs de usuarios para

rastrear las actividades hasta la persona responsable. Las actividades de usuarios

regulares no debieran realizarse desde cuentas privilegiadas.

En circunstancias individuales, cuando existe un beneficio comercial claro, se puede

utilizar un ID de usuario compartido para un grupo de usuarios o un trabajo

específico. Para tales casos la aprobación de la gerencia debiera estar documentada.

Se pueden requerir controles adicionales para mantener la responsabilidad.

Sólo se debiera permitir el uso de IDs genéricos para una persona cuando las

funciones accesibles o acciones llevadas a cabo por el ID no necesitan ser rastreadas

(por ejemplo, sólo acceso de lectura), o cuando existen otros controles establecidos

(por ejemplo, la clave secreta para un ID genérico sólo es emitido para una persona a

Página 68

la vez y se registra dicha instancia).Cuando se requiere autenticación y verificación

de identidad sólidas, se debieran utilizar métodos de autenticación alternativos para

las claves secretas, como los medios criptográficos, tarjetas inteligentes, dispositivos

o medios biométricos.

Otra información

Las claves secretas son una manera muy común para proporcionar identificación y

autenticación en base a un secreto que sólo conoce el usuario.

Se puede lograr lo mismo con medios criptográficos y protocolos de autenticación.

La fuerza de la identificación y autenticación del usuario debiera ser la adecuada para

la confidencialidad de la información a la cual se va a tener acceso. Los objetos

como los dispositivos de memoria o tarjetas inteligentes que poseen los usuarios

también pueden ser utilizados para la identificación y autenticación. También se

pueden utilizar tecnologías de autenticación biométrica que utilizan las

características o atributos singulares de una persona para autenticar su identidad. Una

combinación de tecnologías y mecanismos vinculados de manera segura

proporcionarán una autenticación más sólida.

2.9.11.3. Sistema de Gestión de Claves Secretas

Control

Los sistemas para el manejo de claves secretas debieran ser interactivos y debieran

asegurar claves secretas adecuadas.

Guía de implementación

Un sistema de gestión de claves secretas:

a) Aplicar el uso de IDs de usuarios individuales y claves secretas para

mantener la responsabilidad;

b) Permitir a los usuarios seleccionar y cambiar sus propias claves secretas e

incluir un procedimiento de confirmación para permitir errores de input;

c) Aplicar la elección de claves secretas adecuadas

d) Aplicar los cambios de claves secretas

Página 69

e) Obligar a los usuarios a cambiar las claves secretas temporales en su primer

ingreso o registro

f) Mantener un registro de claves de usuario previas y evitar el re-uso;

g) No mostrar las claves secretas en la pantalla en el momento de ingresarlas;

h) Almacenar los archivos de claves secretas separadamente de la data del

sistema de aplicación;

i) Almacenar y transmitir las claves secretas en un formato protegido (por

ejemplo, codificado o indexado).

Otra información

Las claves secretas son uno de los principales medios para validar la autoridad del

usuario para tener acceso a un servicio de cómputo. Algunas aplicaciones requieren

que una autoridad independiente asigne claves secretas de usuario; en tales casos, no

se aplican los puntos b), d) y e) del lineamiento anterior. En la mayoría de los casos,

las claves secretas son seleccionadas y mantenidas por los usuarios.

2.9.11.4. Uso de las Utilidades del Sistema

Control

Se debiera restringir y controlar estrechamente el uso de los programas de utilidad

que podrían ser capaces de superar los controles del sistema y la aplicación.

Guía de implementación

Se debieran considerar los siguientes lineamientos para el uso de las utilidades del

sistema:

a) Uso de los procedimientos de identificación, autenticación y autorización

para las utilidades del sistema;

b) Segregación de las utilidades del sistema del software de la aplicación;

c) Limitar el uso de las utilidades del sistema a un número práctico mínimo de

usuarios autorizados y confiables

d) Autorización para el uso ad hoc de las utilidades del sistema;

e) Limitación de la disponibilidad de las utilidades del sistema; por ejemplo, por

la duración de un cambio autorizado;

f) Registro de todo uso de las utilidades del sistema;

Página 70

g) Definir y documentar los niveles de autorización de las utilidades del sistema;

h) Eliminación o inutilizar todas las utilidades innecesarias basadas en software,

así como los software del sistema que sean innecesarios;

i) No poner las utilidades a disposición de los usuarios que tienen acceso a las

aplicaciones en los sistemas donde se requiere la segregación

Otra Información

La mayoría de las instalaciones de cómputo tienen uno o más programas de

utilidades del sistema que podrían superar los controles del sistema y la aplicación.

2.9.11.5. Cierre de una Sesión por Inactividad

Control

Las sesiones inactivas debieran ser cerradas después de un período de inactividad

definido.

Guía de implementación

Un dispositivo de cierre debiera borrar la pantalla de la sesión y también,

posiblemente más adelante, cerrar la aplicación y las sesiones en red después de un

período de inactividad definido. El tiempo de espera antes del cierre debiera reflejar

los riesgos de seguridad del área, la clasificación de la información que está siendo

manejada y la aplicación siendo utilizada, y los riesgos relacionados con los usuarios

del equipo. Una forma limita del dispositivo de cierre puede ser provista para

algunos sistemas, este dispositivo borra la pantalla y evita el acceso no autorizado

pero no cierra las sesiones de la aplicación o la red.

Otra información

Este control es particularmente importante en las ubicaciones de alto riesgo, las

cuales incluyen áreas públicas o externas fuera de la gestión de seguridad de la

organización. Se debieran cerrar las sesiones para evitar el acceso no autorizado de

personas y la negación de ataques del servicio

2.9.11.6. Limitación del tiempo de conexión

Control

Página 71

Se debieran utilizar restricciones sobre los tiempos de conexión para proporcionar

seguridad adicional para las aplicaciones de alto riesgo.

Guía de implementación

Se debieran considerar controles sobre el tiempo de conexión para las aplicaciones

de cómputo sensibles, especialmente desde ubicaciones de alto riesgo; por ejemplo,

áreas públicas o externas que están fuera de la gestión de seguridad de la

organización. Los ejemplos de tales restricciones incluyen:

a) Utilizar espacios de tiempo predeterminados; por ejemplo, para transmisiones

de archivos en lotes, o sesiones interactivas regulares de corta duración;

b) Restringir los tiempos de conexión a los horarios laborales normales, si no

existe ningún requerimiento para sobre-tiempo o una operación de horario

extendido;

c) Considerar la re-autenticación cada cierto intervalo de tiempo.

Otra información

Limitar el período permitido para las conexiones con los servicios de cómputo

reduce la ventana de oportunidad para el acceso no autorizado. Limitar la duración

de las sesiones activas evita que los usuarios mantengan sesiones abiertas para evitar

la re-autenticación.

2.9.12. Control de acceso a la aplicación y la información

Objetivo:

Evitar el acceso no autorizado a la información mantenida en los sistemas de

aplicación.

Se debieran utilizar medios de seguridad para restringir el acceso a y dentro

de los sistemas de aplicación.

El acceso lógico al software de la aplicación y la información se debiera

limitar a los usuarios autorizados. Los sistemas de aplicación debieran:

a) Controlar el acceso del usuario a la información y las funciones del

sistema de aplicación, en concordancia con una política de control de

acceso definida;

35 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 90

Página 72

b) Proporcionar protección contra un acceso no autorizado de cualquier

utilidad, software del sistema de operación y software malicioso que

sea capaz de superar o pasar los controles del sistema o la aplicación;

c) No comprometer a otros sistemas con los cuales se comparten

recursos de información.35

2.9.12.1. Restricción del acceso a la información

Control

El acceso de los usuarios y el personal de soporte a la información y las funciones

del sistema de la aplicación debiera limitarse en concordancia con la política de

control de acceso definida.

Guía de implementación

Las restricciones para el acceso se debieran basar en los requerimientos de las

aplicaciones comerciales individuales. La política de control de acceso también

debiera ser consistente con la política de acceso organizacional.

Se debiera considerar aplicar los siguientes lineamientos para reforzar los

requerimientos de restricción del acceso:

a) Proporcionar menús para controlar el acceso a las funciones del sistema de

aplicación;

b) Controlar los derechos de acceso de los usuarios; por ejemplo, lectura,

escritura, eliminar y ejecutar;

c) Controlar los derechos de acceso de otras aplicaciones;

d) Asegurar que los outputs de los sistemas de aplicación que manejan

información confidencial sólo contengan la información relevante para el uso

del output y sólo sea enviada a las terminales y ubicaciones autorizadas; esto

debiera incluir revisiones periódicas de dichos outputs para asegurar que se

descarte la información redundante

36 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,

Código de práctica para la gestión de la seguridad de la información Pág. 92

Página 73

2.9.12.2. Aislar el sistema confidencial

Control

Los sistemas confidenciales debieran tener un ambiente de cómputo dedicado

(aislado).

Guía de implementación

Se debieran considerar los siguientes lineamientos para aislar el sistema sensible o

confidencial:

a) El propietario de la aplicación debiera identificar y documentar

explícitamente la sensibilidad o confidencialidad del sistema de aplicación;

b) Cuando una aplicación confidencial va a correr en un ambiente compartido,

el propietario de la aplicación confidencial debiera identificar y aceptar los

sistemas de aplicación con los cuales va a compartir recursos y los riesgos

correspondientes.

2.9.13. Computación y Tele-Trabajo Móvil

Objetivos:

Asegurar la seguridad de la información cuando se utiliza medios de

computación y tele-trabajo móvil.

La protección requerida se debiera conmensurar con los riesgos que causan

estas maneras de trabajo específicas. Cuando se utiliza computación móvil, se

debieran considerar los riesgos de trabajar en un ambiente desprotegido y se

debiera aplicar la protección apropiada. En el caso del tele-trabajo, la

organización debiera aplicar protección al lugar del tele-trabajo y asegurar

que se establezcan los arreglos adecuados para esta manera de trabajar.36

2.9.13.1 Computación y comunicaciones Móviles

Control

Página 74

Se debiera establecer una política y adoptar las medidas de seguridad apropiadas para

proteger contra los riesgos de utilizar medios de computación y comunicación móvil.

Guía de implementación

Cuando se utiliza medios de computación y comunicación móvil; por ejemplo,

notebooks, laptops, tarjetas inteligentes y teléfonos móviles; se debiera tener especial

cuidado en asegurar que no se comprometa la información comercial. La política de

computación móvil debiera tomar en cuenta los riesgos de trabajar con equipo de

computación móvil en ambientes desprotegidos. La política de computación móvil

debiera incluir los requerimientos de protección física, controles de acceso, técnicas

criptográficas, respaldos (back-up) y protección contra virus. Esta política también

debiera incluir reglas y consejos para la conexión de medios móviles con las redes y

lineamientos para el uso de estos medios en lugares públicos.

Se debiera tener cuidado cuando se utiliza medios de computación móvil en lugares

públicos, salas de reuniones y otras áreas desprotegidas fuera de los locales de la

organización. Se debiera establecer la protección para evitar el acceso no autorizado

o divulgación de la información almacenada y procesada por estos medios; por

ejemplo, utilizando técnicas criptográficas

Los usuarios de los medios de computación móvil que se encuentran en lugares

públicos debieran tener cuidado en evitar que personas no autorizadas vean su

trabajo. Se debiera establecer procedimientos contra los software maliciosos y se

debieran mantener actualizados

Los respaldos (back-up) de la información comercial crítica se debieran realizar con

regularidad. Debiera estar disponible el equipo para permitir realizar un respaldo

rápido y fácil de la información. Se debiera dar a estos respaldos la protección

adecuada; por ejemplo, contra el robo o pérdida de información.

Se debiera dar la protección adecuada al uso de medios móviles conectados a las

redes. El acceso remoto a la información comercial a través de una red pública

utilizando medios de computación móvil sólo debiera realizarse después de una

satisfactoria identificación y autenticación, y con los controles de acceso adecuados

en funcionamiento.

Los medios de computación móvil también debieran estar físicamente protegidos

contra robo especialmente cuando se les deja en, por ejemplo, autos y otros medios

Página 75

de transporte, cuartos de hotel, centros de conferencias y lugares de reunión. Se

debiera establecer un procedimiento específico tomando en cuenta los requerimientos

legales, de seguros y otros requerimientos de seguridad de la organización para casos

de robo o pérdida de los medios móviles. El equipo que contiene información

comercial importante, confidencial y/o crítica no se debiera dejar desatendido y,

cuando sea posible, debiera estar asegurado físicamente, o se pueden utilizar seguros

para proteger el equipo

Se debiera planear capacitación para el personal que utiliza computación móvil para

elevar el nivel de conciencia sobre los riesgos adicionales resultantes de esta forma

de trabajo y los controles que se debieran implementar.

Otra información

Las conexiones inalámbricas a la red móvil son similares a otros tipos de conexión

en red, pero tienen diferencias importantes que se debieran considerar cuando se

identifican los controles. Las diferencias típicas son:

a) Algunos protocolos de seguridad inalámbricos aún son inmaduros y tienen

debilidades conocidas

b) La información almacenada en las computadoras móviles tal vez no tiene

respaldo (back-up) debido a la banda ancha limitada de la red y/o porque el

equipo móvil puede no estar conectado en las horas en que se realizan los

respaldos.

2.9.13.2 Tele-Trabajo

Control

Se debiera desarrollar e implementar una política, planes operacionales y

procedimientos para las actividades de tele-trabajo.

Guía de implementación

Las organizaciones sólo debieran autorizar las actividades de tele-trabajo si están

seguros que se cuenta con los arreglos y controles de seguridad apropiados, y que

estos cumplen con la política de seguridad de la organización.

El lugar del tele-trabajo debiera contar con una protección adecuada contra; por

ejemplo, el robo de equipo e información, la divulgación no autorizada de

información, acceso remoto no autorizado a los sistemas internos de la organización

o el mal uso de los medios. Las actividades de tele-trabajo debieran ser autorizadas y

Página 76

controladas por la gerencia, y se debiera asegurar que se hayan establecido los

arreglos adecuados para esta forma de trabajo.

Se debieran considerar los siguientes puntos:

a) La seguridad física existente en el lugar del tele-trabajo, tomando en cuenta la

seguridad física del edificio y el ambiente del local:

b) El ambiente de tele-trabajo físico propuesto;

c) Los requerimientos de seguridad de las comunicaciones, tomando en cuenta

la necesidad de acceso remoto a los sistemas internos de la organización, la

confidencialidad de la información a la cual se tendrá acceso y el vínculo de

comunicación y confidencialidad del sistema interno;

d) La amenaza de acceso no autorizado a la información o recursos por parte de

otras personas que utilizan el medio; por ejemplo, familia y amigos;

e) El uso de redes en casa y los requerimientos o restricciones en la

configuración de los servicios de la red inalámbrica;

f) las políticas y procedimientos para evitar las disputas relacionadas con los

derechos de propiedad intelectual desarrollados en equipo de propiedad

privada;

g) acceso a equipo de propiedad privada (para chequear la seguridad de la

máquina o durante una investigación), el cual puede ser evitado por la

legislación

h) contratos de licencias de software que hacen que las organizaciones sea

responsables por las licencias del software del cliente en las estaciones de

trabajo de propiedad de los empleados, contratistas y terceros;

i) requerimientos de protección anti-virus y firewall.

Los lineamientos y arreglos a considerarse debieran incluir:

a) la provisión de equipo y muebles de almacenaje adecuados para las

actividades de tele-trabajo, donde no está permitido el uso del equipo de

propiedad privada que no esté bajo el control de la organización;

b) una definición del trabajo permitido, el horario de trabajo, la clasificación de

la información que se puede mantener y los sistemas y servicios internos a los

cuales tiene autorización de acceso la persona que realiza el tele-trabajo;

c) la provisión de un equipo de comunicación adecuado, incluyendo métodos

para asegurar el acceso remoto;

Página 77

d) seguridad física;

e) reglas y lineamientos sobre el acceso de la familia y amigos al equipo y la

información;

f) la provisión de soporte y mantenimiento de hardware y software; la provisión

de un seguro; los procedimientos para el respaldo (back-up) y la continuidad

del negocio; monitoreo de la auditoría y la seguridad;

g) revocación de los derechos de autoridad y acceso, y la devolución del equipo

cuando terminan las actividades de tele-trabajo.

Otra información

El tele-trabajo utiliza tecnología de comunicaciones que permite al personal trabajar

remotamente desde un lugar fijo fuera de su organización.

CAPITULO III

Página 78

Página 79

Capítulo 3

3. Soluciones de Control de Accesos a la red

3.1 Introducción

Actualmente las empresas disponen de estructuras de redes cada vez más

distribuidas, tanto sus oficinas como los centros de negocio están ubicados en

diferentes lugares, todos con las mismas necesidades de acceder a la red y a cada

uno de los sistemas de la empresa desde cualquier dispositivo y ubicación,

utilizando tecnologías inalámbricas, internet, VPN, etc., donde dichos accesos no

deberían comprometer la integridad y confidencialidad de la información, sin

embargo la aparición de puntos débiles en los accesos se hacen presentes,

provocando circunstancias que implican nuevos riesgos y amenazas, por lo tanto las

empresas buscan dar soluciones para solventarlas, en se respuestas a esta demanda

surgen iniciativas, tecnologías y estándares que permiten encontrar soluciones,

englobándose en lo que se conoce como Control de Acceso a la Red, el mismo que es

un enfoque de seguridad en redes de computación que permiten unificar tecnologías

de seguridad en los equipos finales, en usuarios o sistemas de autenticación y permite

implementar seguridad en el acceso a la red, es decir permite controlar a quien se

permite el acceso a la red, ya sea bloqueando a los usuarios no autorizados,

controlando a los ordenadores que entran ocasionalmente y garantizando que se

cumplan las políticas de seguridad , con esto obtenemos una reducción de los

riesgos que la red pueda ser afectada ya sean estos ordenadores no autorizados,

conexiones ocasionales, ordenadores que no cumplan la política de seguridad,

pudiendo ser ordenadores que se conecten a la red con cable o inalámbrica, la

solución NAC nos permite garantizar que únicamente los ordenadores autorizados

obtengan el acceso a la red.

Página 80

3.2 Soluciones NAC

Las soluciones NAC son diferentes pero pueden ser clasificadas en dos grupos:

Clienless no necesita de ningún software instalado en los dispositivos

Client-based un componente de software es preinstalado en los dispositivos

para poder asistir al proceso de NAC

Pre admisión NAC

Determina que un dispositivo cumpla con ciertos criterios predeterminados antes de

permitirle el acceso a la red. Si esos criterios no se cumplen, no permite que el

dispositivo se conecte a la red, o le asigna un acceso restringido. La Pre-Admisión en

NAC se encuentra en las siguientes soluciones:

Microsoft NAP

Cisco NAC

Open Source NAC

o Freenac

o PacketFence

3.3 Solución Protección de Acceso a la Red (NAP)

3.3.1 Introducción

Network Access Protection(NAP) es una herramienta incorporada al sistema

operativo de Windows Server 2008, Windows Vista y Windows XP Service Pack 3,

proporciona una serie de componentes tanto en el cliente como el servidor para

aplicar los requisitos de mantenimiento, inspeccionar y evaluar el estado de los

equipos cliente, limitar el acceso a la red cuando se considera que los equipos cliente

no cumplen los requisitos y soluciona este incumplimiento enviando a los equipos

Página 81

cliente para que tengan un acceso a la red ilimitada hasta que cumplan las políticas

de salud.

Es una gran alternativa para los administradores de la red ya que les ayuda a hacer un

mantenimiento de salud del equipo y de esta forma mantener la integridad de la red,

con esta alternativa los desarrolladores y los administradores pueden crear soluciones

para la validación de equipos que se conectan a sus redes, proporcionan

actualizaciones necesarias o el acceso a los recursos necesarios de actualización, y

limitar el acceso o la comunicación de los equipos que no cumplen

3.3.2 Características.

Conjunto de componentes del sistema operativo que proporcionan una plataforma

para proteger el acceso a las redes privadas

Proporciona una manera integrada de detectar el estado de un cliente de red que

esté intentando conectarse o comunicarse con una red

Aislar a ese cliente de red hasta que cumpla los requisitos de salud

supervisa y determina el estado de los equipos cliente cuando intentan conectarse

a una red o comunicarse a través de ella

3.3.3 Aspectos importantes de NAP.

1. Validación del estado de salud.- un equipo intenta conectarse a la red se realiza

un análisis del estado de salud del equipo basándose en las políticas de salud

definidos como requisito por el administrador. En un entorno de acceso limitado,

los equipos que cumplan con las políticas de salud se permiten el acceso

ilimitado a la red caso contrario sucede con los equipos que no cumplan con las

políticas requisito de salud pueden tener un acceso limitado la red.

2. Cumplimiento de las políticas de salud.- los administradores puede ayudar a

garantizar el cumplimiento de las políticas mediante la elección requisito para

actualizar automáticamente los equipos que no cumplen con las actualizaciones

de software que faltan o los cambios de configuración a través de software de

gestión, tales como Microsoft System Management Server.

3. Acceso limitado a la red.- los administradores de la red puede limitar el acceso y

proteger las redes a computadores que no cumplan las normas para tener acceso.

Página 82

Definen una red restringida que contiene los recursos de salud de actualización y

el acceso limitado durará hasta que el equipo que no cumplen las normas se

ponga en conformidad. Los administradores también pueden configurar las

excepciones para que los equipos que no son compatibles no tengan acceso

limitado a la red.37

3.3.4 Escenarios para Protección de Acceso a la Red (NAP)

Verificación el estado de salud de las computadoras portátiles.

La portabilidad y la flexibilidad son dos ventajas principales de computadoras

portátiles, pero estas características también presentan una amenaza para la salud.

Portátiles de la empresa con frecuencia salir y entrar a la red de la empresa. Mientras

que los portátiles están fuera de la empresa, no puede recibir las actualizaciones de

software más recientes o los cambios de configuración. Computadoras portátiles

pueden ser infectados, mientras que vienen están expuestos a redes como Internet.

Mediante el uso de NAP, los administradores de red pueden verificar el estado de

salud de cualquier ordenador portátil cuando se conecte a la red de la empresa, ya sea

mediante la creación de una conexión VPN a la red de la empresa o físicamente a

regresar a la oficina

Verificación del estado de salud de las computadoras de escritorio

Las computadoras de escritorio pueden presentar una amenaza es por esta razón que

se debe minimizarla los equipos deben tener actualizaciones y el software requerido.

Ya que se corre el riesgo de infección de sitios web, correo electrónico, archivos de

carpeta compartidas y otros recursos de acceso público. Al implementar el uso de la

herramienta NAP, los administradores de red pueden automatizar los controles de

salud de los equipos para verificar el cumplimiento de cada uno de acuerdo con las

políticas de requisitos de salud, caso contrario los administradores pueden comprobar

los archivos de registro para determinar qué equipos no cumplen. En el caso de no

cumplir las políticas se puede generar informes automáticos y actualizar los equipos

que no cumplan

Verificación del estado de salud de las computadoras visitantes.

37 Network Access Protection Platform Architecture p 4

http://www.microsoft.com/en-us/download/details.aspx?id=8415

Página 83

Las organizaciones permiten a los consultores, socios e invitados para conectarse a

sus redes privadas. Las maquinas portátiles pueden presentar algún riesgo porque no

cumpla con los requisitos y políticas de salud.

Al implementar NAP los administradores pueden limitar el acceso a las

computadoras que no pertenezcan a la red de la empresa.

Verificar el estado de salud de los ordenadores no administrados

Ordenadores no administrados que no es miembro de Active Directory de la

empresa Servicios de dominio puede conectarse a una red a través de una conexión

VPN.

Estos ordenadores ofrecen un reto adicional para los administradores, ya que no

tienen acceso físico a estos equipos. La falta de acceso físico hace exigir el

cumplimiento de los requisitos de salud, tales como el uso de software antivirus. Sin

embargo, con el NAP, los administradores de red pueden verificar el estado de salud

de una computadora en casa cada vez que se establece una conexión VPN a la red de

la empresa y limitar el acceso a una red restringida hasta que los requisitos del

sistema de salud se cumplan.

Dependiendo de sus necesidades, los administradores pueden configurar una

solución para hacer frente a cualquiera o todos estos escenarios para sus redes

3.3.5 Infraestructura de la red.

Para validar el acceso a una red basada en sistema de salud, una infraestructura de

red tiene que proporcionar las siguientes áreas de funcionalidad:

Validación del estado de salud.- determina si las computadoras cumplen con los

requisitos de la política de salud.

Limitación de acceso a la red.- Limita el acceso a equipos que no cumplen.

Limpieza Automática.-proporciona las actualizaciones necesarias para permitir

que un equipo que no cumpla las normas las puedan llegar a cumplir sin

intervención de un usuario.

Página 84

El cumplimiento continuo.- se actualiza automáticamente los equipos

compatibles para que se adhieran a los continuos cambios en los requisitos de la

política de salud.38

3.3.6 Componentes NAP

Protección de acceso a redes (NAP) incluye varios componentes de cliente y servidor

dependiendo de la implementación que se va a realizar39

La plataforma NAP es extensible proporciona componentes de infraestructura y una

interfaz de programación de aplicaciones de Windows para poder agregar

componentes, modificar y verificar la salud de las computadoras y para que se

cumpla los distintos tipos de acceso a la red

Agentes del Sistema de Salud (SHA) y validadores del Sistema de Salud (SHV)

Componentes de la infraestructura NAP su función principal es realizar un

seguimiento del estado de salud y validación. NAP está diseñado para ser flexible y

38

Microsoft Network Access Protection Web page at http://www.microsoft.com/nap

39 Network Access Protection Platform Architecture p 5

Página 85

extensible, se puede interactuar con el software de cualquier fabricante que

proporciona SHA y SHV que utilizan la API NAP.

Componentes de la aplicación y métodos.

Componentes de la infraestructura del NAP conocida como clientes de cumplimiento

(EC) y servidores de aplicación (ESS) requieren la validación de salud y forzar un

acceso limitado a la red de equipos que no cumplen para tipos específicos de acceso

a la red o la comunicación.

Tipos De Acceso A La Red o la Comunicación40

Seguridad del protocolo Internet (IPsec),

IEEE 802.1X con autenticación de conexiones de red

El acceso remoto VPN conexiones

Dynamic Host Configuration Protocol (DHCP) de configuraciones de

direcciones

Terminal Server (TS) las conexiones de puerta de enlace

3.3.7 Seguridad del protocolo de internet (IPsec)41

Es un conjunto de protocolos, su función principal es asegurar la comunicación sobre

el protocolo de internet, autenticando y cifrando cada paquete en un flujo de datos, se

encarga también de incluir protocolos para establecer claves de cifrado.

Características.

IPsec actúa en la capa de red del modelo OSI.

Es más flexible que otros protocolos ya que se lo puede utilizar para proteger

otros protocolos de la capa de transporte (capa 4)

Para implementar IPsec en capas superiores no es necesario realizar ningún

cambio en su código.

Estándar está diseñado para ser indiferente a las versiones de IP

Arquitectura de seguridad IPsec

40Network Access Protection Platform Architecture p 4

41

Introduction to Network Access Protection at http://go.microsoft.com/fwlink/?LinkId=49884

Página 86

IPsec utiliza un conjunto de protocolos criptográficos para:

Asegurar el tráfico de la red

Garantizar la autenticación mutua

Establecer parámetros criptográficos.

La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad como

base para construir funciones de seguridad en protocolo de internet (IP).

Asociación de seguridad.-es un paquete de algoritmos y parámetros que se está

usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto la

decisión final de los algoritmos de cifrado y autenticación le corresponde al

administrador de IPsec.

Para disponer qué protección se va a proporcionar a un paquete saliente, IPsec utiliza

el índice de parámetro de seguridad (SPI), un índice a la base de datos de

asociaciones de seguridad (SABD), junto con la dirección de destino de la cabecera

del paquete, que juntos identifican de forma única una asociación de seguridad para

dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este

caso IPsec toma las claves de verificación y descifrado de la base de datos de

asociaciones de seguridad.

En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se

duplica para todos los receptores autorizados del grupo. Puede haber más de una

asociación de seguridad para un grupo, utilizando diferentes IP, y por ello

permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo

Propósito de diseño IPsec

IPsec fue implementado para proporcionar seguridad en el modo de transporte del

tráfico de paquetes en el que las computadoras de los extremos finales realizan el

procesado de seguridad o en el modo túnel en el que la seguridad del tráfico de

paquetes es proporcionada a varias máquinas por un único nodo

Cumple con los siguientes servicios de seguridad como son:

Cifrar el tráfico.

Validación de integridad

Autenticar a los extremos

Página 87

Anti-repetición.

Protocolos IPsec

Consta de dos protocolos que han sido desarrollados para proporcionar seguridad a

nivel de paquete, tanto para IPv4 como para IPv6:

AuthenticationHeader (AH) proporciona integridad, autenticación y no repudio

si se eligen los algoritmos criptográficos apropiados.

Encapsulating Security Payload (ESP) proporciona confidencialidad y la

opción altamente recomendable de autenticación y protección de integridad.

Cumplimiento NAP para comunicaciones IPsec42

El cumplimiento NAP para el tráfico protegido mediante IPsec se implementa con un

servidor de certificados de mantenimiento, un servidor HRA, un servidor NPS y un

cliente de cumplimiento IPsec.

El servidor de certificados de mantenimiento emite certificados X.509 para clientes

NAP cuando éstos son compatibles con los requisitos de mantenimiento del sistema.

Estos certificados se usan entonces para autenticar clientes NAP cuando inician

comunicaciones protegidas mediante IPsec con otros clientes NAP en una intranet.

El cumplimiento IPsec limita la comunicación en la red a los clientes compatibles y

ofrece la forma de implementación más segura de NAP.

3.3.8 IEEE 802.1X43

Es una norma para el control de acceso a la red basada en puertos

42Network Access Protection Platform Architecture p 22

43Network Access Protection Platform Architecture p 25

Página 88

Con la aplicación de 802.1X, un equipo debe ser compatible para obtener acceso a la

red sin límite a través de una conexión de red 802.1X con autenticación, tales como

la autenticación de un conmutador Ethernet o IEEE 802.11 punto de acceso

inalámbrico (AP). Los equipos que no cumplen, acceder a la red se restringe a través

de un perfil de acceso restringido puesto en la conexión por el conmutador Ethernet o

punto de acceso inalámbrico. El perfil de acceso restringido puede especificar filtros

de paquetes IP o una LAN virtual (VLAN) identificador (ID) que corresponde a la

red restringida.

Aplicación de 802.1X debe cumplir los requisitos de las políticas de salud cada vez

que un equipo intenta una conexión de red 802.1X con autenticación, también vigila

activamente el estado de salud del cliente NAP conectado y se aplica el perfil de

acceso restringido a la conexión si el cliente no cumplen las normas.

Aplicación VPN

Con la aplicación de VPN, un equipo debe ser compatible para obtener acceso a la

red sin límite a través de una conexión de acceso remoto VPN. Para equipos que no

cumplen, acceder a la red se limita a través de un conjunto de filtros de paquetes IP

que se aplican a la conexión VPN por el servidor VPN.

Cumplimiento NAP para VPN

El cumplimiento NAP para VPN se implementa con un componente de servidor y un

componente de cliente para la aplicación de VPN. Al usar el cumplimiento NAP para

VPN, los servidores VPN pueden aplicar directivas de mantenimiento cuando los

equipos cliente intentan conectarse a la red a través de una conexión VPN de acceso

remoto.

La aplicación de VPN proporciona acceso de red limitado seguro a todos los equipos

que obtienen acceso a la red por medio de una conexión VPN de acceso remoto.

Cumplimiento NAP para DHCP

El cumplimiento DHCP se implementa con un componente de servidor de

cumplimiento NAP para DHCP, un componente cliente de cumplimiento DHCP y

NPS. Con el cumplimiento DHCP, los servidores DHCP y NPS pueden aplicar

Página 89

directivas de mantenimiento cuando un equipo intente conceder o renovar una

dirección IP versión 4 (IPv4).

El servidor NPS limita el acceso a red del cliente a la red restringida indicándole al

servidor DHCP que asigne una configuración de dirección IP limitada. No obstante,

si los equipos cliente se configuran con una dirección IP estática o se configuran para

evitar la configuración de direcciones IP limitada, el cumplimiento DHCP no es

efectivo.

Cumplimiento NAP para Puerta de enlace de TS

El cumplimiento NAP para Puerta de enlace de TS se implementa con un

componente de servidor de cumplimiento de Puerta de enlace de TS y un

componente cliente de cumplimiento de Puerta de enlace de TS. Con el

cumplimiento NAP para Puerta de enlace de TS, el servidor Puerta de enlace de TS

puede aplicar la directiva de mantenimiento en equipos cliente que intenten

conectarse a los recursos corporativos internos a través del servidor Puerta de enlace

de TS. El cumplimiento de Puerta de enlace de TS ofrece acceso limitado seguro a

todos los equipos que obtengan acceso a la red a través de un servidor Puerta de

enlace de TS.

NPS

Servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a

la red en toda la organización con fines de mantenimiento de clientes, autenticación

de solicitudes de conexión y autorización de solicitudes de conexión. Además, puede

usar NPS como un proxy RADIUS (Servicio de autenticación remota telefónica de

usuario) para reenviar solicitudes de conexión a un servidor que ejecute NPS u otros

servidores RADIUS que configure en grupos de servidores RADIUS remotos.

Para la autenticación y autorización, utiliza Active Directory para verificar el usuario

olas credenciales del equipo y obtenerlas propiedades del usuario de un equipo

cuando el equipo intenta realizar una conexión802.1X autenticado una conexión

VPN.

NPS también actúa como un servidor NAP política de salud. Los administradores

pueden definirlos requisitos del sistema de salud en forma de políticas de salud en el

servidor.

Página 90

Servidores NPS evaluar la información del estado de salud proporcionado por los

clientes NAP para determinar el cumplimiento de la salud, y en caso de

incumplimiento, el conjunto de acciones de remediación que se debe hacer por el

cliente NAP para llegar a cumplir.

Servidor de Actualización.

Son servidores que se encargan de verificar que un computador no cumple las

normas que se ha colocado en la red restringida. Estos recursos pueden realizar la

resolución de nombre o almacenar las actualizaciones de software más recientes o los

componentes necesarios para hacer que un equipo no compatible cumplir con los

requisitos del sistema de salud.

3.3.9 Arquitectura de la Plataforma NAP

Los componentes que forman parte de esta arquitectura son:44

Clientes NAP.- equipos que soportan la plataforma NAP para validar el sistema de

salud de acceso a la red o la comunicación.

Puntos de aplicación NAP.- son equipos de acceso a la red que pueden utilizar

NAP para exigir una evaluación del estado de salud de las computadores y de esta

manera permitir el acceso a la red, para implementar NAP utiliza el servidor de

44

Network Access Protection Platform Architecture p 5,6,7,8

Página 91

directivas de redes (NPS) que está relacionado con el servidor de políticas NAP para

evaluar el estado de salud de los clientes de esta manera permitir o no el acceso

Autoridad de registro de salud (HRA).- una computadora que Windows Server

2008 e Internet Information Services (IIS) que obtiene los certificados de salud de

una autoridad de certificación (CA) para las computadoras compatibles.

Servidor VPN.-un equipo ejecuta Windows Server 2008, routing, acceso remoto que

permite las conexiones VPN a internet

Servidor DHCP.- un equipo ejecuta Windows Server 2008 y el servicio de servidor

DHCP que proporciona automáticamente direcciones IP para la configuración de la

intranet de DHCP cliente.

Dispositivos de acceso a la red.-conmutadores Ethernet, acceso inalámbrico que

soportan la autenticación IEEE 802.1X

Servidores de políticas de salud45

.-equipos que ejecutan Windows Server 2008 y el

servidor de NPS que almacenan las políticas de salud y proporcionar la validación de

requisitos de salud del estado para el NAP.

NPS es el reemplazo para el servicio de autenticación de Internet (IAS), usa

Servicio (RADIUS) y el proxy se proporciona con Windows Server 2003. NPS

también puede actuar como la autenticación, autorización y contabilidad (AAA) del

servidor de acceso a la red. Al actuar como un servidor AAA o el servidor de

políticas de salud NAP, NPS normalmente se ejecuta en un servidor

independiente para la configuración centralizada de acceso a la red y las políticas de

requisitos de salud.

Servidores de requerimientos de salud.-equipos que proporcionan el estado

actual del sistema de salud para los servidores de políticas de salud NAP

Active directory.- servidor de dominio, donde almacena las credenciales de

cuentas, sus propiedades y la configuración de directiva de grupo.

Active Directory es necesario para las comunicaciones protegidas por IPsec, las

conexiones autenticadas por 802.1X, y las conexiones remotas de acceso a la VPN.

45Network Access Protection Platform Architecture p 27,28,29

Página 92

Restricción de la red.-red independiente separada la red física de la lógica.

Remediación de equipos.

Clientes NAP con límites de acceso.

3.4 Solución Cisco NAC

3.4.1 Introducción

Cisco NAC es una solución para el control de acceso a la red, cuya arquitectura es

propietaria, que permite autenticar, autorizar, evaluar y remediar posible

vulnerabilidades, antes de permitir que los usuarios se conecten en la red, conexiones

que pueden ser alámbricas, inalámbricas, accesos remotos, etc., decir se identifica a

los dispositivos, ordenadores portátiles, ordenadores de sobremesa y otros activos

que sean autorizados, compatibles y que cumplan con la política, antes de permitir el

acceso. El primer paso se produce en el punto de autenticación, antes de que el

código malicioso pueda causar daños, entonces su tarea es evaluar si las máquinas

cumplen con las políticas de seguridad. Las políticas de seguridad pueden variar por

el tipo de usuario, el tipo de dispositivo o sistema operativo, es así que cuando no se

cumple la política se toman las acciones de bloquear, aislar o reparar maquinas que

no cumplan. Las máquinas son redirigidas a un área de cuarentena, donde se produce

la remediación.

3.4.2 Definición

Cisco define a NAC como: El control de la admisión de la red de Cisco (NAC) es

una solución que utiliza la infraestructura en red para hacer cumplir políticas de

seguridad en todos los dispositivos que intentan tener acceso a recursos de

computación de la red NAC ayuda a asegurar que todos los hosts cumplan con las

últimas políticas de seguridad corporativa, tales como antivirus, software de la

Página 93

seguridad, y patch (remiendo) del sistema operativo, antes de obtener el acceso de

red normal.46

3.4.3 Características y beneficios

Impide el acceso no autorizado a redes para proteger sus activos de

información

Ayuda a mitigar proactivamente las amenazas de red tales como virus,

gusanos y software espía

Identifica las vulnerabilidades en los equipos de los usuarios mediante la

evaluación periódica y la remediación

Permite reducir costos mediante el seguimiento automático, reparación y

actualización de equipos cliente

Reconoce y clasifica a los usuarios y sus dispositivos antes de que el código

malicioso puede causar daños

Evalúa el cumplimiento de la política de seguridad basada en el tipo de

usuario, tipo de dispositivo y sistema operativo

Aplica las políticas de seguridad mediante el bloqueo, aislamiento y

reparación de máquinas no compatibles en un área de cuarentena sin

necesidad de la atención del administrador

Aplica el servicio de evaluación y remediación a una variedad de

dispositivos, sistemas operativos, dispositivos y métodos de acceso

incluyendo LAN, WLAN, WAN y VPN

Aplica las políticas de todos los posibles escenarios de funcionamiento sin

necesidad de productos independientes o módulos adicionales

Compatible con el inicio de sesión único sin fisuras a través de un agente con

la reparación automatizada

3.4.4 Beneficios para El Negocio

Período completo de control mediante la evaluación de todos los puntos

finales a través de todos los métodos de acceso, incluyendo LAN,

conectividad inalámbrica, acceso remoto y WAN

46

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/gt_nac.html

Página 94

La visibilidad y el control de punto final para ayudar a garantizar que logró,

no administrado, invitados y dispositivos no autorizados cumplir con las

políticas corporativas de seguridad

Apoyo del ciclo de vida para el control de punto final que automatiza la

evaluación, la autenticación, autorización y remediación de los criterios de

valoración

La admisión granular de control de gestión mediante la combinación de la

gestión central de la política, los dispositivos de red inteligente y servicios de

red con soluciones de docenas de los principales antivirus, seguridad y

gestión de proveedores

3.4.5 Protocolo de autenticación extensible (EAP)

El Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol)

es una extensión del Protocolo punto a punto (PPP) que admite métodos de

autenticación arbitrarios que utilizan intercambios de credenciales e información de

longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda

de métodos de autenticación que utilizan dispositivos de seguridad, como las tarjetas

inteligentes, tarjetas de identificación y calculadoras de cifrado. EAP proporciona

una arquitectura estándar para aceptar métodos de autenticación adicionales junto

con PPP.

Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos

como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación,

contraseñas de un solo uso, autenticación por clave pública mediante tarjetas

inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un

componente tecnológico crítico para las conexiones de red privada virtual (VPN)

seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor

seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas,

que otros métodos de autenticación basados en contraseña, como CHAP o MS-

CHAP.

Página 95

Soporte 802.1X

Cisco NAC ayuda a reducir la pérdida potencial de información sensible permitiendo

a las organizaciones verificar el nivel de privilegios de un usuario antes de conceder

el acceso a la red. Esto ayuda a prevenir el acceso no autorizado a través del cable,

inalámbrica o red de acceso remoto. Cisco NAC proporciona una integración

completa con la tecnología inalámbrica, VPN y 802.1X, y puede ser implementado

en un single-sign-on (SSO) de manera de maximizar los beneficios y minimizar el

impacto de seguridad del usuario.47

El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de

2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya

sea por cable o inalámbrica). Esto se hace a través del uso de un servidor de

autenticación. El 802.1x se basa en el protocolo EAP (Protocolo de autenticación

extensible), definido por el IETF. Este protocolo se usa para transportar la

información de identificación del usuario.

3.4.6 Descripción de la Arquitectura

Se trata de la solución de control de acceso a redes de Cisco. Es una arquitectura

propietaria, que en el lado del cliente se compone de un agente denominado Cisco

Trust Agent cuya función es la de recibir la información del estado de la seguridad

del equipo a conectar a la red proporcionando toda la información recogida, para

recopilar esta información pueden usarse aplicaciones de distintos fabricantes o una

47http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_implementation_whi

te_paper0900aecd80557152.html

Página 96

propietaria de Cisco, el CiscoSecure Access. Para el Trust Agent Cisco ha

desarrollado un protocolo propietario el EAP, en dos versiones: una sobre UDP y

otra sobre 802.1X. La diferencia entre ambas es que sobre UDP se hace solo

validación y en 802.1X se hace validación y autenticación. Además no todos los

equipos Cisco soportan todos los escenarios posibles a través del protocolo EAP,

muchos switches y routers requieren de una actualización. En cuanto a servidores

Cisco la implementa en base al Access Control Server que ha desarrollado para tal

fin, completando con interfaces de verificación, auditoria y autenticación de otros

fabricantes. Cisco también ofrece una solución basada en appliances permitiendo una

más rápida implementación

Cisco define a NAC como: El control de la admisión de la red de Cisco (NAC) es

una solución que utiliza la infraestructura en red para hacer cumplir políticas de

seguridad en todos los dispositivos que intentan tener acceso a recursos de

computación de la red… NAC ayuda a asegurar que todos los hosts cumplan con las

últimas políticas de seguridad corporativa, tales como antivirus, software de la

seguridad, y patch (remiendo) del sistema operativo, antes de obtener el acceso de

red normal.48

Cisco NAC está presente a través de todos los métodos de acceso a la red. La

información de la situación puede ser recogida y la política de acceso aplicadas para

los host que tratan de acceder a la red a través de routers, switches, puntos de acceso

inalámbricos, concentradores VPN, etc.

Los procesos en el escenario de validación de cisco NAC incluyen los siguientes

componentes arquitectónicos

COMPONENTES:

Host: Máquina de acceso a la red en la que se aplicaNAC

Compostura del Plugins (PP). Un Cisco o la tercera parte de un DLL que

reside en un host y proporciona la situación de las identificaciones o

credenciales de un agente y este que reside en el mismo dispositivo.

48Libro Cisco System NAC Network Admission control. Deployment guide

Página 97

Agente de Postura (PA). Agente host de software que actúa como un

intermediario en el host para la agregación de credenciales potenciales de

múltiples situaciones, plugins y la comunicación con la red.

Remediación del cliente: Un componente de una solución de gestión

de recuperación que funciona en combinación con un servidor

de recuperación para actualización de software cliente específico, tales

como parches del sistema operativo.

CUMPLIMIENTO:

Dispositivo de acceso a la red (NAD) dispositivo de red que actúa como un

punto de aplicación NAC. Estos pueden incluir routers de acceso Cisco (800 -

7200), puertas de enlace VPN (VPN3000 serie), Catalyst Capa 2 y Capa

3, switches y puntos de acceso inalámbricos.

Decisión y Remediación

Servidor AAA(servidor de autenticación, autorización y contabilidad)-El

servidor de políticas central que agrega una o más autenticaciones y/o

autorizaciones en una decisión del sistema único de autorización y de los

mapas de decisión a un perfil de acceso a la red cumplimiento por

el NAD. Cisco Secure Access Control Server (ACS) es producto de

servidor AAA de Cisco que soporta NAC.

Servidor de Directorios, un servidor de directorio centralizado para la

creación de usuario y/o autenticación de la máquina. Los posibles

Servidores de directorios son: Lightweight Directory Access

Protocol (LDAP), Microsoft Active Directory (AD),

Novell DirectoryServices (NDS), y al mismo tiempo Servidor de contraseñas

(OTP).

Servidor de validación situación (PVS)- Un servidor de validación actúa

como una política específica de la aplicación, es decir como punto de

decisión en el NAC para la autorización de un conjunto de credenciales de la

postura de uno o más plugins validada frente a un conjunto de políticas. Los

ejemplos incluyen servidores de antivirus o servidores de seguridad de las

aplicaciones.

Página 98

Servidor de Remediación. Una solución de gestión utilizada para llevar el

cumplimiento de la normas. Esto podría ser un parche especializado gestión

de aplicaciones, o tan simple como un sitio Web para la distribución

de software. cuando mejor y más eficiente es el anfitrión de parches y

remediación, menor será el riesgo

La siguiente figura muestra los principales componentes de NAC y proporciona una

visión general del proceso de autorización utilizados para conceder o denegar

acceso a la red.

1. La validación de postura ocurre cuando un dispositivo de acceso a la red

detecta que un host se quiere conectar o usar los recursos de la red

2. Una vez detectado el nuevo dispositivo el NAD (dispositivo de acceso a la

red) habilita una conexión entre el AAA server )servidor de autorización

autenticación y auditoria y el access control server ACS o server de control

de acceso, una vez establecida el Server AAA requiere las credenciales de

postura al host desde uno o más plugins de posturas

3. El host responde a la petición con sus credenciales de postura desde los

software compatibles con NAC

4. El server AAA valida la información de las posturas localmente, o puede

delegar esta decisión a otros servers de validación de posturas

Página 99

5. El server AAA agrega los resultados individuales de la postura, o símbolo

(tokens)de postura, de todos los servers para determinar la conformidad total

del host, o del símbolo de postura del sistema

6. La autenticación de identidad y el token de postura del sistema son luego

chequeadas por una red de autorización , que puede consistir en : server

Radius, asignación de VLANs o listas de acceso descargables

7. Estas cualidades del Radius se envían al NAD para la aplicación en el host

8. El CTA en el host envía el estado de su postura para notificar los plugins

respectivos de su postura individual del uso así como la postura entera del

sistema

9. Se puede enviar opcionalmente un mensaje al usuario final usando el diálogo

de la notificación de CTA's notificando el estado actual del anfitrión en la

red.

FIREWALL, IPS E IDS PREVIENEN DE ATAQUES DE HACKERS.

En muchas de las compañías no se tiene un control de sus propias pc`s, laptops del

personal que accede desde afuera, oficinas remotas de la organización.

Página 100

Y no podríamos saber si todos ellos cumplen con las políticas de seguridad en todos

los puntos de acceso a la red, quizás en un primer momento en su implementación

pero hace falta una política global para todos aquellos que usan nuestra red, esto es

una política de control de admisión de acceso49

¿Qué y quien se conecta y por cuánto tiempo?

¿Cuáles son los requerimientos para garantizar un acceso seguro a la red?

¿Qué pasos se deben seguir para conseguir que se cumpla este acceso seguro?

¿Cuáles son los requerimientos creados y cuáles modificaremos?

Cisco introduce el concepto de NAC o Control de Admisión a la red

NAC permite la seguridad entre los puntos finales y la red

Una verdadera solución de NAC debe:

o Autenticar e identificar accesos

o Hacer cumplir la política de accesos, impidiendo aquellos no

permitidos

o Identificar e impedir el acceso a usuarios que no cumplan con la

política de seguridad establecida

Eliminar o en su defecto mitigar la vulnerabilidades

El control de acceso a la red se define como una tecnología o arquitectura que

permite controlar el acceso de los usuarios a la red en un punto de acceso

verificando además de su identidad el cumplimiento de todas las políticas se

seguridad establecidas por la organización, es decir que el equipo que trate de

conectarse este actualizado, tenga todas las herramientas de seguridad

exigidas por la empresa, etc. se incluye además el control sobre lo que pueden

hacer, a que contenidos e información pueden acceder estos usuarios y que

sistemas o recursos son accesibles una vez admitidos en la red

Un usuario se conecta a la red corporativa con su laptop, pero su sistema

operativo es vulnerable

49http://postgrado.info.unlp.edu.ar/Carreras/Especializaciones/Redes_y_Seguridad/Trabajos_Finales/E

smoris.pdf

Página 101

Su autenticación es validada

El sistema de control de admisión a la red escanea el dispositivo que se quiere

conectar y encuentra que el sistema operativo de esa laptop es vulnerable a un nuevo

gusano que acaba de aparecer

Esta vulnerabilidad es chequeada por el o los servers de políticas de validación

Página 102

Si no cumple con lo estipulado sus credenciales no son aceptadas

Por tal motivo su acceso no es otorgado

El sistema redirección la conexión a un server llamado server de remediación, el cual

actualiza el sistema operativo con los últimos fixes haciendo que el dispositivo

cumpla con las normas de seguridad establecidas por la organización

Página 103

Estado: Saludable ahora el Antivirus está al día. También puede comprobar el nivel

El dispositivo es nuevamente chequeado y ya remediado se le otorgan las

credenciales de acceso

La siguiente figura muestra los principales componentes de NAC y proporciona una

visión general del proceso de remediación utilizado para mover una gran cantidad de

host que están en cuarentena a un estado saludable.

de ruta, la política de actualización, etc. El filtro puede ser aplicado para facilitar el

acceso del grupo (invitado, administrador de recursos humanos) pero es opcional50

50

Libro Cisco System NAC Network Admission control. Deployment guide

Página 104

Consulte los números en la figura anterior por cada paso adelante que describe

el proceso de remediación NAC.

1. Un host que ha sido colocado en el estado de cuarentena está dirigida a un

servidor de remediación tercero a fin de actualizar su software AV.

2. Las encuestas de Cisco Trust Agent del plug-in para el software de la

postura AV, descubre que ha habido un cambio, y desencadena

una revalidación

desde el NAD. El NAD establece una ruta de comunicación entre el servidor

AAA (AEC) y el agente de la postura. Después de que la vía de

comunicación se ha establecido, el servidor AAA pide al extremo de las

credenciales de la postura de una o más posturas plugins.

3. El host responde a la solicitud con sus credenciales de la postura de los

plugins disponibles postura de software compatible con NAC componentes

en el host

4. El servidor AAA valida la información de la postura localmente o que a su

vez puede delegar partes a la decisión de la postura externa servidores de

validación

5. Los agregados de servidor AAA de los resultados individuales, la

postura o posturas, fichas de todos los servidores de delegados para

determinar el host de cumplimiento general de la postura o ficha sistema.

6. La autenticación de la identidad y el símbolo de sistema de posturas se

asignan a una autorización de la red en el perfil de acceso a la red que

consisten en los atributos de RADIUS de los temporizadores, las asignaciones

de VLAN, o descargar las listas de control de acceso(ACL).

7. Estos atributos de RADIUS se envían a la NAD para la aplicación en el host.

8. La CTA en el host se envía su condición de postura para notificar a

los respectivos plugins de su postura de aplicación individual, así como

la postura sistema entero.

9. Un mensaje puede, opcionalmente, se envía al usuario de la máquina usando

el diálogo de la CTA de notificación para que sepan su estado en la red.

10. Software antivirus El anfitrión es ahora hasta la fecha y ha sido verificado

por el servidor AV validación de postura. Como resultado de ACS se ha

movido el anfitrión de un estado de cuarentena a un estado saludable.

Página 105

Todos los puntos de decisión son considerados si el servidor AAA o PVS, evalúa

uno o más conjuntos de credenciales de host en los motores de políticas basadas en

reglas, con resultados en una o más tokens de aplicación (APT). Un APT representa

un control de cumplimiento de las aplicaciones en el host dados a un proveedor El

servidor AAA a continuación, combina todos los APTs con los PVs delegados en su

propio motor de políticas dentro de un único token de sistema de la postura (SPT)

que representa el cumplimiento general del host. Por lo tanto, si uno de los APTs que

componen el SPT en general, no pasa la prueba de conformidad, el SPT general

refleja esto. Tanto APTs y SPTs se representan mediante las siguientes fichas pre-

definidas:

Saludable- El Host es compatible, no tiene restricciones sobre el acceso a la

red.

Chequeo- El Host está dentro de la política, pero hay una actualización

disponible. Este chequeo se utiliza para remediar de forma proactiva el

estado de salud.

Transición. El Host de postura es un proceso, para facilitar el acceso

provisional en espera de la validación de la postura completa. Este estado es

aplicable durante el arranque del host, cuando todas las aplicaciones NAC no

se están ejecutando o durante una auditoria cuando la información de la

postura aún no se ha obtenido a partir del host.

Cuarentena. El host no cumple las políticas de control; restringir el acceso a

la red, colocando en una red de cuarentena para la remediación. El host no es

una amenaza activa pero es vulnerable a un ataque conocido o infección.

Infectado Host es una amenaza activa a otras máquinas, acceso a la red debe

ser severamente restringido o totalmente negado todo acceso a la red.

Desconocido. La postura de un host no se puede determinar. se debe poner en

un estado de cuarentena el host, auditoría o remediación hasta que se puede

determinar una postura definitiva.

Página 106

COMPONENTES DE CISCO NAC

CISCO TRUST AGENT (CTA)

El software Cisco Trust Agent, es un sistema, instalado en los dispositivos de

sobremesa y en los servidores situados en los extremos de la red, obtiene

información sobre el nivel de seguridad en cada punto por medio de múltiples

aplicaciones, como el software antivirus. Una vez obtenida la información, Trust

Agent la transmite a la red de Cisco, donde se toman y se hacen cumplir las

decisiones relativas al control de acceso a la red. Para facilitar el despliegue, este

software puede integrarse con Cisco Security Agent, una solución de seguridad para

los extremos de la red que la protege contra ataques por virus desconocidos (day-

zeroattacks) y otras amenazas diseñada con el propósito de asegurar una total

compatibilidad de los parches con los sistemas operativos de los dispositivos

finales.51

CARACTERÍSTICAS Y BENEFICIOS

Permite la NAC para validar la postura de las aplicaciones en activos

administrados

Funciona en redes cableadas, inalámbricas, de acceso remoto, y los

entornos de oficinas remotas

Está respaldada por una amplia gama de proveedores

Está disponible en sistemas operativos Windows y Red Hat Linux

Es fácil de instalar, ligero para correr

Actúa como un componente de middleware que toma la información de la

política de acogida y con seguridad se comunica la información a la

51http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps5923/product_data_sheet0900aecd8

0119868.html

Página 107

autenticación, autorización y contabilidad (AAA) del servidor de

políticas.

Cisco Trust Agent se comunica con las aplicaciones habilitados con NAC

a través de los canales de comunicación integrados por los participantes

del NAC en sus aplicaciones

Incluye un suplicante 802.1x para las comunicaciones de Capa 2 en

entornos cableados.

Autentica el servidor AAA. Cisco Trust Agent valida el solicitante a

través de comunicaciones cifradas con el servidor AAA.

Permite a los clientes para crear secuencias de comandos para la

recopilación de información personalizada.

CTA suplicante

El suplicante CTA es un NAC - suplicante 802.1x habilitada. NAC- habilitada,

significa que el solicitante es capaz de utilizar el protocolo EAP-FAST al llevar a la

identidad y la información postura en el transporte 802.1x. Esto permite al solicitante

proporcionar no sólo la identidad del usuario y de la máquina, sino también la

información de la postura de la maquina En la actualidad, el suplicante CTA soporta

interfaces cableadas. Si la tecnología inalámbrica de Cisco NAC es necesaria, un

suplicante que soporta tanto por cable e inalámbrica puede ser obtenido a partir de

uno de los socios de Cisco NAC.

SERVIDOR DE CONTROL DE ACCESO

El Cisco ACS es un servidor AAA (autenticación, autorización y contabilidad)

servidor RADIUS con capacidades que van más allá de la autenticación de la

identidad para el manejo de la autorización de las credenciales de la postura de un

host. El servidor ACS continuación, asigna la política resultante de decisión de un

perfil de acceso a la red que se proporciona en el NAD para su ejecución. El servidor

ACS puede ser configurado para delegar las decisiones de autorización a uno o más

servidores de validación de posturas externas. Esto se puede realizar para mejorar la

escalabilidad, delegar la decisión de un dominio de políticas específicas, o manejar

los atributos de propiedad.

Página 108

El servidor ACS mantiene un registro de bases de datos de políticas locales y

externos utilizando el tipo de proveedor y la aplicación de los atributos como un

dominio o espacio de nombres. El Servidor ACS multiplex y de-multiplex requieren

solicitudes y respuestas hacia y desde las bases de datos.

Cada base de datos tiene una política o varias políticas, cada uno con un conjunto de

reglas definidas por el administrador. Cada política evalúa un conjunto de

credenciales postura (por proveedor y tipo de aplicación) para crear una postura

aplicación token (APT), que define el nivel de cumplimiento de dicho componente.

El servidor ACS luego consolida todos los APTs en una evaluación de la postura

final llamado postura token(SPT) que es el APT que representa la mayor cantidad de

incumplimientos. El SPT es entonces asignado a un perfil de acceso que se

proporciona a la NAD para la aplicación en el host. Los APTs, SPT y cualquier

usuario configurado opcionalmente o notificaciones de acción también se envían a la

PA para completar el ciclo de autorización.52

SERVIDOR DE REMEDIACIÓN

Un servidor de remediación es un repositorio de actualizaciones de software de host

que se ponen a disposición para un host o cliente para satisfacer las conformidades

políticas dentro de una organización. El servidor puede albergar elementos tales

como actualizaciones del sistema operativo, parches de seguridad, software de agente

de host y otros componentes de software.

Cuando un host determina que un estado no es compatible con la postura basada en

la información actual, el usuario puede ser reenviado a un servidor de recuperación a

través de la redirección de URL. Allí, el proceso de reparación puede comenzar por

encaminar a los usuarios para descargarse los software necesarios que cumpla con la

política de seguridad. Un servidor de recuperación es a menudo parte de una

solución de recuperación más amplio que incluye tanto el servidor como parte

cliente.

52

Libro Cisco System NAC Network Admission control. Deployment guide

Página 109

SERVIDOR DE VALIDACIÓN DE POSTURA

El servidor de validación de postura se utiliza para determinar si un host permite el

acceso a un dispositivo. Un servidor de validación de postura (PVS) es cualquier

servidor que autoriza a los conjuntos de credenciales de la postura en una o más

APT. Mientras que el servidor ACS es una instancia de un EVP, el término se utiliza

normalmente para describir a un servidor delegado para asistir en la autorización del

dominio específico de la postura credencial. Por ejemplo, un Servidor de anti-virus-

(AV) puede actuar como un EVP para hacer AV de decisiones específicas de la

postura desde el servidor AV sabe el último motor de exploración y las versiones de

archivos de firmas. Un PVS se espera poner en práctica las siguientes funciones

utilizando el protocolo de autorización de credenciales de host (HCAP) para la

comunicación entre el servidor AAA y las PVS:

Aceptar una solicitud de credencial postura de un servidor AAA o PVS

Autorizar las credenciales frente a una política de cumplimiento o más

delegarlas a otros PVS

Responder a las que el servidor AAA con lo siguiente:

o Aplicación de Postura Tokens (APT), el resultado de la validación de

las credenciales de la postura

o

(Opcional) Notificaciones postura para ayudar en el dominio específico de la

rehabilitación de la máquina. Los ejemplos incluyen las acciones a ejecutar, la URL

de servidor de actualizaciones, etc.

Servidor de auditoria

El último componente de la solución NAC es el servidor de auditoría, que se aplica

para la evaluación de vulnerabilidades (VA) tecnologías para determinar el nivel de

confianza o de riesgo de un host antes de la admisión a la red. VA usa técnicas tales

como el escaneo en red, acceso remoto, o basada en requisitos

Los agentes se suelen utilizar para recopilar la información que normalmente se

proporcionan por el solicitante IEEE 802.1X o CTA. El servidor de auditoría

Página 110

componente es suministrada por ciertos proveedores en el Programa Cisco NAC para

dar a los clientes la posibilidad de elegir un proveedor de VA y la tecnología que

mejor se adapte a sus necesidades políticas y los requisitos de implementación.

El servidor de auditoría utiliza el mensaje genérico Protocolo de autorización de

Exchange para comunicarse con la información de auditoría de la AEC. ACS es

responsable de desencadenar el proceso de auditoría para las máquinas sin agente

con el servidor de auditoría. Mientras que el servidor de auditoría está realizando el

proceso de auditoría,

ACS sondea periódicamente el servidor de auditoría para una decisión de la

auditoría. Cuando el servidor de auditoría completa el proceso de auditoría se

informa sobre el estado de la postura de la sede de ACS.

REPORTE

La información sobre los eventos relacionados con NAC, como autenticaciones

fallidas y pasado y las razones de cada uno se pueden ver en los informes de la AEC.

Los campos que se muestran en cada informe se pueden personalizar para que la

información relevante o adicional se puede ver si es necesario. Los informes en

ACS es el principal medio para solucionar problemas de autenticación NAC.

Además, la información de la NAC en pacientes con SCA se puede exportar a la de

Cisco CS-MARS (Análisis de Vigilancia y Respuesta de Cisco SecureSystem)

aparato. El aparato MARS ofrece tanto la correlación de eventos, así como un

conocimiento visual en la red para los eventos de NAC.

Existen varias opciones de presentación de informes por defecto están disponibles

para la NAC en el aparato MARS. Un administrador puede optar por ver una de las

NAC informes predeterminados, como el número total de los actuales anfitriones de

cuarentena, así como crear informes personalizados.

MARS también permite al administrador ver rápidamente un incidente relacionado

con NAC y determinar dónde el cliente se encuentra físicamente dentro de la red al

nivel del interruptor específico y switchport.

Página 111

3.4.Soluciones Open Source

3.4.1. Solución Freenac

Es una solución para el control de acceso a la red detectando dispositivos que tratan de

obtener acceso, negando su acceso y registrando el evento ocurrido, en los dispositivos

que forman parte de la red son registrados y colocados en una red virtual.

Esta solución utiliza un conjunto de protocolos para lograr la protección de acceso a la

red, con FreeNAC, tan pronto como un nuevo dispositivo es conectado al puerto del

switch, su dirección MAC se pasa al servidor, donde será almacenada y comprobada

para determinar si este dispositivo tiene acceso a la red. Si el dispositivo está autorizado

a tener acceso, el servidor le regresará al switch la red virtual a la que este dispositivo

pertenece. Si este dispositivo todavía no está registrado, su acceso es bloqueado o se

coloca en una red virtual limitada, dependiendo en la política. 53

53http://www.freenac.net

Página 112

3.4.2. Características.

Freenac versión comunitaria.

Asignación dinámica de redes virtuales

Control de acceso a redes

Flexibilidad en mecanismos de autentificación para redes: 802.1x, VMPS,

Cisco Mac-Auth-Bypass

Altamente automatizado

Redundancia y repartición de carga de red para una mejor disponibilidad

Inventario en tiempo real de los aparatos conectados a la red

Documentación del cableado de la red

Reportes flexibles

Comparación entre Freenac versión comunitaria y versión Empresarial

La versión empresarial provee características adicionales, como se detalla a

continuación:

Comparación de características Comunitaria Empresarial

Autentificación basada en dirección MAC (VMPS

mac-auth-bypass)

Autentificación 802.1x

Interfaz de usuario Windows

Interfaz de usuario basada en Web

Integración con Active Directory

Integración inteligente de hubs

Comprobación de puertos abiertos e identificación

del sistema operativo en los dispositivos

Documentación de cableado

Inventario automatizado de nombres de

computadoras

Establecer una fecha de validez para cada

dirección MAC (para permitir el acceso a los

visitantes por un día por ejemplo)

Soporte para el manejo de máquinas virtuales

Asignación de redes virtuales dependiendo de la

localización del switch

Scripts para ayudar en la importación inicial de

sistemas desde un archivo CSV

Alertas de eventos claves del sistema

Detección automática de dispositivos no

manejados activamente por NAC, para

proporcionar un inventario completo de los

dispositivos en la red

X

Integración con servidores de antivirus McAfee

EPO

X

Integración con servidores SMS de Microsoft

(Software package/gestión del sistema)

X

Herramienta web para ayudar en documentar la

localización de cables/puertos de switches

X

Herramienta de "paro" de emergencia la cual

puede desactivar NAC y rápidamente configurar

redes virtuales estáticas en los puertos del switch

(recuperación en un desastre o en una situación

extrema)

X

Módulos personalizados para entornos de clientes

específicos (por ejemplo, interfaces a sistemas

corporativos "estáticos" de inventario)

X

Soporte prioritario de parte del equipo FreeNAC X

3.4.3. Ventajas a implementar FreeNac

Página 113

Página 114

Una red dinámica le permite un mejor uso de los puertos de switches disponibles,

lo cual reduce costos y aumenta la eficiencia.

Facilita la configuración de los switches y hace posible tener menos cambios en

el cableado durante reorganizaciones.

No requiere software instalado en los dispositivos en modo VMPS. En modo

'802.1x', un software 'suplicante' necesita ser instalado. Clientes que ya usan

"acceso manual basado en puerto" ahorrarán tiempo y ganarán efectividad.

Funciona con antiguos switches Cisco, no es necesario adquirir nuevo hardware

Cisco.

Inventario automatizado de la red.

Permite que el cableado de red sea más dinámico y eficiente.

Altamente automatizado y fácil de usar, lo que reduce costos por soporte.

Extensible permite agregar sus propios módulos o interfaces a sus sistemas

NAC corre sobre hardware y sistemas operativos estándar (Linux/Unix).

Más eficiente que "acceso manual basado en puerto" o VMPS clásico.

3.4.4. Modos de operación:

VMPS

802.1X

VMPS (VLAN Management Policy Server).- es un método para asignar puertos de un

switch a redes virtuales específicas de acuerdo a la dirección MAC del dispositivo que

busca acceso a la red.

En modo VMPS, un switch compatible con VMPS detecta una nueva PC y crea una

petición VMPS pidiendo autorización de FreeNAC, el cual revisa en su base de datos

ypermite o niega el acceso a la red basándose en la dirección MAC. El switch se encarga

de respaldar la decisión tomada por FreeNAC y niega acceso o en caso contrario, coloca

el dispositivo de manera dinámica en su red virtual por defecto.

802.1X.- es un estándar creado por la IEEE para el control de acceso a redes basándose

en el puerto del switch. Proporciona autentificación a dispositivos conectados a un

Página 115

puerto de la red, estableciendo una conexión punto a punto o restringiendo el acceso en

caso de que la autentificación falle.

802.1x está disponible en algunos modelos recientes de switches y puede ser

configurado para autentificar equipos los cuales cuenten con un software suplicante, no

permitiendo accesos no autorizados a la red en la capa de enlace.

En modo 802.1x, FreeNACverifica las credenciales de los usuariosa través del uso de un

servidor de autentificación externo y usa la dirección MAC del dispositivo que se

conecta para asignarlo a una red virtual. Esto crea un par nombre de usuario/dispositivo

que es único para cada cliente que se conecta.

3.4.5. Arquitectura FreeNac

Página 116

3.4.6. Componentes FreeNac

Para implementar debemos tener en cuenta los siguientes componentes:

1. Autenticación de direcciones MAC

2. GUI de Windows

3. Interfaz Web

4. Active Directory.

5. La detección automática y el inventario de los dispositivos finales no gestionados

activamente por NAC, para garantizar un inventario completo de los dispositivos

finales de la red

6. Escaneo de puertos abiertos y la identificación del sistema operativo en

dispositivos finales

7. Emergencia 'stop' herramienta que puede desactivar NAC y rápidamente

configurar VLAN estáticas en los puertos del switch

8. Autenticación de usuario 802.1x

9. McAfee Anti-Virus Epo consultas de servidor

10. Microsoft SMS paquete de software / sistema de gestión de las consultas del

servidor

11. Microsoft WSUS (Windows Update) consultas de servidor.

Página 117

3.4.7. Requisitos del Sistema Operativo

Freenac soporta los siguientes sistemas operativos en las arquitecturas i386:

Ubuntu servidor

SUSE

Requisitos de la herramienta freenac

Freenac necesita los siguientes componentes previos a la instalación

Mysql

Apache.

Freeradius

Php5

libxml

FreeTDS

3.4.8. Requerimientos de hardware

A continuación se proporciona una lista de recomendaciones de hardware del servidor:

CPU Intel o AMD a 3 GHz

2GB de RAM

40 GB de espacio en disco (RAID 1 se recomienda)

1 Tarjeta de red

1 para alta disponibilidad

1 para detección de intrusos

3.4.9. Conexión entre diferentes Sistemas Operativos

FreeNac está configurado para utilizar el modo bridge para activar la red y recibir

paquetes en una dirección IP dedicada

En el momento de instalar la aplicación podemos tener acceso a la interfaz web

Página 118

En la cual podemos visualizar los dispositivos con el cual trabajara el servidor, revisar

los dispositivos, direcciones permitidas.

3.4.10. Configuración de la Base de Datos Mysql

Debemos configurar que la base de datos inicie de forma automática, lo podemos hacer

mediante la siguiente línea de comandos.

Update –rc.dmysql defaults

Debemos configurar el archivo my.cnf

En este archivo podemos configurar para que inicie la base de datos, el nombre de la

base, los usuarios que pueden acceder, el puerto que va a escuchar.

A continuación se muestra los parámetros de configuración del archivo my.cnf

El parámetro server-id indica el número de servidor maestro y tiene el nombre vmps1,

tenemos que agregar el tiempo de espera para evitar desconexiones con las siguientes

líneas de comando.

Página 119

El puerto por defecto de Mysql es 3306

3.4.11. Asignación de direcciones IP.

3.4.12. Portal web Freenac.

El dispositivo de control de acceso en este caso el switch detecta el nuevo pc y solicita la

autorización de la herramienta freenac que utiliza el servidor de autenticación freeradius,

este verifica en la base de datos y concede o niega el acceso a la red, basándose en la

dirección mac.

También lo podemos hacer con el mecanismo de control de acceso 802.1x para esto

utilizamos un usuario y contraseña los cuales ya están registrados en la base de datos con

el mismo procedimiento de verificación de datos concede o niega el acceso.

Edición de archivos:

Página 120

Para realizar la autenticación freeradius cuenta con diversos archivos que deben

configurarse los siguientes archivos, los principales son:

radiusd.conf→ /etc/freeradius/radiusd.conf

eap.conf→ /etc/freeradius/eap.conf

users→ /etc/freeradius/users

Este archivo es el que contiene la información de los usuarios que pueden acceder a la red, en caso de

que no se use otro método. En nuestro caso, este archivo no tiene mucho uso, puesto que se usará un

directorio ldap.

Lo que si hay que modificar en este fichero "/etc/freeradius/users" es "System" por "LDAP"por lo que

debería quedar algo asi:DEFAULTFramed-Protocol == PPP.

default→ /etc/freeradius/sites-enabled/default -> ../sites-available/default

clients.conf→ /etc/freeradius/clients.conf

Configuramos clients.conf que indica los hosts desde los que se aceptan las peticiones.Aquí se

especifican los IPs o subredes desde las cuales se aceptarán peticiones. Si llegauna petición de acceso

desde un IP que no esté registrada, el servidor RADIUSsimplemente la ignora, negándole el acceso.

sql.conf→ /etc/freeradius/sql.conf

ldap→ /etc/freeradius/modules/ldap

3.4.13. Ingreso a la interfaz de usuario.

Aquí podemos ingresar verificar los switch conectados, crear usuarios, dar privilegios a

los usuarios, verificar los accesos a la red por la dirección mac, generar reportes, crear

vlans.

Es una herramienta de gran ayuda y sobre todo es de código abierto, en la que el

administrador podrá manejarlo de acuerdo a las necesidades de la organización.

Página 121

3.5.PACKETFENCE

3.5.1. Introducción:

PacketFence que actualmente está en su versión 3.5 es una solución de código abierto

(Open Source) preparada para instalar un Sistema de Control de Acceso a la Red, es

decir un NAC (Network Access Control). Es una distribución Linux basada en Centos

diseñada especialmente para proporcionar un completo sistema de control de acceso a

las redes. PacketFence es totalmente compatible, de confianza, es un sistema libre y de

fuente abierta para el Control de Acceso a la Red. Permite impulsar un impresionante

conjunto de características, incluyendo un portal para el registro y remediación,

administración centralizada con cable e inalámbrica, soporta 802.1x, permite el

aislamiento de los dispositivos problemáticos, integración con Snort, escaneo de

vulnerabilidades. Packetfence se puede utilizar de manera efectiva para la seguridad en

las redes, desde redes pequeñas hasta redes heterogenias de gran tamaño

3.5.2. Definición

PacketFence es un código abierto para el Control de Acceso a la Red, sistema que

proporciona las siguientes funciones: registro, detección de actividades de la red

anormales a partir de sensores remotos de Snort, exploraciones preventivas de

vulnerabilidad, aislamiento de los dispositivos problemáticos, reparación a través de un

portal cautivo (vigila e intercepta el trafico http), 802.1X, integración inalámbrica y

Agente-Usuario/DHCP que toma huellas dactilares. 54

3.5.3. Características.

1) Sitio web cautivo para autenticación y registro de dispositivos que solicitan el acceso

a la red.

2) Detección de actividades de la red anormales

54http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-3.5.0.pdf

Página 122

3) Exploraciones preventivas de vulnerabilidades

4) Aislamiento de los dispositivos problemáticos

5) Servicio de DHCP

6) Control de acceso basado en roles

7) Integración con escáneres de vulnerabilidades diferentes y soluciones de detección

de intrusos

8) Ancho de banda controlada para cada dispositivo

9) Soporte 802.1x con FreeRadius incluido

10) Gestión centralizada de las redes tanto cableada como inalámbrica.

11) Integración con el sistema para la detección de intrusos SNORT y NESSUS.

12) Soporte VLAN y aislamiento de redes.

13) Autenticación, PacketFence tiene soporte para: Microsoft Active Directory, Novell e

Directory, OpenLDAP, Cisco ACS, RADIUS (FreeRADIUS, Radiator, etc.) y local

user file).55

En linea

Seguridad cuello de botella

o Inmune a la subversión

Cierre por falla

o Ejecución de cuello de botella

Punto único de fallo

55

http://puchunguis.com/blog/2012/08/packetfence-software-gratuito-para-controlar-el-acceso-a-la-red/

Página 123

ción de la red

Pasivo Falla a abrir la solución

o Preferiblemente en el ambiente académico

No hay cuellos de botella en el ancho de banda

Visibilidad de la red

o Hub, puerto de monitor, conectar

Fácil integración - no hay cambios en la infraestructura

o Conexión/ejecución

Manipula el cliente de caché ARP

o "Virtualmente" en línea

Arquitectura pasiva

Integra

La aplicación de la VLAN se representa en el diagrama anterior. La aplicación en línea debe ser visto como un

simple plano de red en donde PacketFence actúa como un firewall / gateway.

Componentes.

Página 124

3.5.4. Requisitos del Sistema

Página 125

PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto, requiere

los siguientes:

Base de datos del servidor (MySQL)

Servidor web (Apache)

Dependiendo de su configuración puede que tenga que instalar componentes adicionales

como:

Servidor DHCP (ISC DHCP)

Servidor DNS (BIND)

Servidor RADIUS (FreeRADIUS)

NIDS (Snort / Suricata)

En esta guía, se supone que todos esos componentes se están ejecutando en el mismo

servidor (es decir, "localhost" o"127.0.0.1") que PacketFence se instalará en el.

El buen entendimiento de los componentes subyacente y GNU / Linux es necesario para

instalar PacketFence. La siguiente tabla proporciona recomendaciones para los

componentes necesarios, junto con la versión necesaria 56

MySQL server MySQL 4.1 or

5.1

Web server Apache 2.2

DHCP server DHCP 3

DNS server BIND 9

RADIUS

server

FreeRADIUS

2.1.12

Snort Snort 2.8 or 2.9

Suricata Suricata 1.x

Se recomienda utilizar las versiones más recientes del software mencionado en la tabla

anterior

56 http://www.packetfence.org/downloads/PacketFence/doc/PacketFenceZEN_Installation_Guide-

3.5.1.pdf

Página 126

3.5.5. Requerimientos de hardware

A continuación se proporciona una lista de recomendaciones de hardware del servidor:

CPU Intel o AMD a 3 GHz

2GB de RAM

20 GB de espacio en disco (RAID 1 se recomienda)

1 Tarjeta de red

1 para alta disponibilidad

1 para detección de intrusos

3.5.6. Requisitos del sistema operativo

PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y

x86_64:

Red Hat Enterprise Linux 5.x/6.x servidor

Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x

Asegúrese de que usted puede instalar paquetes adicionales de su distribución estándar.

Por ejemplo, si está usando Red Hat Enterprise Linux, tienes que estar suscrito a la Red

Hat Network antes de continuaron la instalación del software PacketFence.

Otras distribuciones como Debian, Fedora se sabe que funcionan

Servicios Activos

Servidor web (httpd)

Servidor DHCP (dhcpd)

Servidor DNS (nombre)

FreeRADIUS servidor (radiusd)

Snort / Suricata IDS de red (snort / suricata)

Firewall (iptables)

Asegúrese de que todos los demás servicios se inician automáticamente por el Sistema

Operativo

Página 127

Ejecución.

Distribución fuera banda

Operación de PacketFence es completamente fuera de banda que permite la solución a

escala geográfica y es muy resistente a los fallos. Un servidor PacketFence puede ser

usado para asegurar cientos de switch y muchos miles de nodos conectados a ellos.

Despliegue en línea

Mientras quela opción fuera de la banda es la forma preferida de la implementación de

PacketFence, un modo en línea también es compatible con equipos inmanejables por

cable o inalámbricos. La implementación PacketFence usando el modo en línea también

puede llevarse a cabo en cuestión de minutos.

AUTENTICACIÓN Y REGISTRO

Soporte 802.1x

802.1X inalámbrico y por cable se apoya por un FreeRADIUS módulo que se incluye en

PacketFence.

Voz Sobre Ip (Voip) Apoyo

También se llama telefonía IP (IPT), voz sobre IP es totalmente compatible (incluso en

entornos heterogéneos) para los fabricantes de conmutadores múltiples (Cisco, Edge-

Core, HP, Linksys, Nortel Networks y muchos más).

Página 128

Integración Wireless

PacketFence se integra perfectamente con las redes inalámbricas a través de un módulo

FreeRADIUS. Esto le permite asegurar sus redes alámbricas e inalámbricas de la misma

manera puede set usando la base de datos de usuario y la misma base del portal cautivo,

proporcionando una experiencia de usuario consistente.57

Registro de Dispositivos

PacketFence cuenta con un mecanismo de registro opcional similares a "soluciones de

portales cautivos". Contrariamente a la mayoría de soluciones de portal cautivo,

PacketFence recuerda a los usuarios que previamente registrados y automáticamente les

dará acceso sin otra autenticación. Por supuesto, esto es configurable. Una política de

uso aceptable se puede especificar de forma que los usuarios no pueden permitir el

acceso de la red sin haberlo aceptado.

Conformidad.

Detección de Actividades anormales en la red

Actividades anormales de la red (virus informáticos, gusanos, software espía, el tráfico

denegado por la política de establecimiento) pueden ser detectados local o remotamente

utilizando sensores Snort. Más allá de la simple detección, Las propias capas

57

http://www.packetfence.org/en/about/advanced_features.html#c1485

Página 129

PacketFence presentan mecanismos de alerta y supervisión en cada tipo de alerta Un

conjunto de acciones configurables para cada violación está disponible para los

administradores.

Estado de Salud

Mientras que hace una autenticación de usuario 802.1x, PacketFence puede realizar una

evaluación completa de la ubicación del dispositivo de conexión con la Declaración del

protocolo de la Salud TNC. Por ejemplo, PacketFence puede verificar si los antivirus

están instalado y actualizado, si hay parches que se aplican al Sistema Operativo y

mucho más todo sin ningún agente instalado en el dispositivo de punto final.

Proactivos de vulnerabilidad

NessusoOpenVAS análisis de vulnerabilidad se puede realizar en el registro,

programado o sobre una base ad-hoc. PacketFence correlaciona el Nessus / OpenVAS

ID de la vulnerabilidad de cada exploración a la configuración de violación, volviendo

Página 130

las páginas de contenido web específicas sobre las que la vulnerabilidad del huésped

pueda tener.

Remediación a través de un portal cautivo

Una vez atrapado, todo el tráfico de la red se termina mediante el sistema de

PacketFence. Con base en el estado actual de los nodos (violación no registrado, abierto,

etc.), se redirige al usuario a la URL correspondiente. En el caso de una violación, el

usuario será presentado con las instrucciones para la situación particular que él / ella se

encuentra, la reducción de la intervención costosa mesa de ayuda.

Aislamiento de los dispositivos problemáticos

PacketFence compatible con varias técnicas de aislamiento, como el aislamiento VLAN

con soporte para VoIP (incluso en entornos heterogéneos) para múltiples fabricantes de

conmutadores.

3.5.7. Administración Packetfence

Gestión desde línea de comandos y en la Web

Página 131

Basada en Web y las interfaces de línea de comandos para todas las tareas de gestión.

Administración basada en Web compatible con diferentes niveles de permisos para los

usuarios y la autenticación de usuarios contra LDAP o Microsoft Active Directory.

Funciones avanzada

En el texto siguiente, el nodo se utiliza para referirse a un dispositivo de red, considere

que es controlado y monitoreado por PacketFence, y puede ser una PC, un ordenador

portátil, una impresora, un teléfono IP, etc.58

Flexible VLAN de administración y basado en el rol de control de acceso

La solución se basa en el concepto de aislamiento de la red a través de la asignación de

VLAN. Debido a su larga experiencia y los despliegues de varios, la gestión de VLAN

de PacketFence llegó a ser muy flexible con los años. Su configuración VLAN pueden

ser lo que es y sólo dos nuevos VLAN tendrá que ser añadido en toda la red: el registro

de VLAN y VLAN aislada. Por otra parte, PacketFence también pueden hacer uso de las

funciones de apoyo de muchos proveedores de equipos.

VLAN y roles pueden ser asignados utilizando diversos medios:

Por switch (por defecto para la VLAN)

58

http://www.packetfence.org/en/about/advanced_features.html#c1485

Página 132

Por categoría de cliente (por defecto para los roles)

Por cliente

El uso decisión arbitraria (si utiliza nuestros puntos de extensión de perl)

Además, el método por el switchse puede combinar con los otros. Por ejemplo, con una

configuración por defecto PacketFence, una VLAN o una función puede ser asignada a

las impresoras y los ordenadores (si se clasifican correctamente) sobre la base de los

equipos que están conectados. Esto implica que usted puede fácilmente tener por cada

dispositivo de creación de un tipo de VLAN

Acceso de invitados

Hoy en día, la mayoría de las organizaciones hacen frente a una gran cantidad de

consultores de diversas empresas en el terreno que requieren acceso a Internet para su

trabajo. En la mayoría de los casos, un acceso a la red corporativa se da con poca o

ninguna auditoría de la persona o dispositivo. Además, rara vez se requiere que tengan

acceso a la infraestructura corporativa interna, y evitar una carga administrativa (por

puerto VLAN de administración).

PacketFence es compatible con una VLAN de invitada especial, VLAN o el papel de la

caja. Si utiliza una VLAN de invitados, a configurar su red para que la VLAN invitada

sólo sale a la Internet y el registro de VLAN y el portal cautivo son los componentes que

se utilizan para explicar al cliente cómo registrarse para tener acceso y cómo funciona su

acceso. Esto generalmente se marca por la organización que ofrece el acceso. Varios

medios de registro de los huéspedes son posibles:

El registro manual de los invitados (por adelantado o por)

Contraseña del día

Auto-registro (con o sin credenciales)

El acceso de invitados patrocinar (empleado que dé fe de un invitado)

El acceso de invitado activada por correo electrónico de confirmación

El acceso de invitado activada por la confirmación de teléfono móvil (mediante

SMS)

Página 133

PacketFence también soporta los huéspedes creaciones a granel de acceso y las

importaciones. PacketFence también se integra con la solución de facturación en línea,

como Authorize.net .Utilizando esta integración, que puede manejar los pagos en

línea, necesarios para obtener acceso a la red correcta.

Registro Automático

Debido a que la mayoría de las redes de producción son ya muy grande y complejo,

PacketFence ofrece varios medios para registrar de forma automática a un cliente o

dispositivo.

Al dispositivo de red.

Un dispositivo de red (Switch, AP, WirelessController) se puede configurar para

registrar automáticamente todas las direcciones MAC que solicite acceso a la

red. Muy útil para una transición a la producción.

Por las huellas dactilares de DHCP

Toma de huellas dactilares de DHCP se puede utilizar para registrar

automáticamente los tipos específicos de dispositivos (ej. teléfonos VoIP,

impresoras).

Al proveedor de direcciones MAC

La parte vendedora de una dirección MAC se puede utilizar para registrar

automáticamente los dispositivos de un proveedor. Por ejemplo, todos los

productos de Apple podría ser automáticamente registrados con dicha regla.

Y más

Snort, Nessus, OpenVAS, navegador de agente de usuario e incluso las técnicas

más también podría ser utilizado para registrar automáticamente los dispositivos.

Página 134

Vencimiento del tiempo de acceso a la red

La duración de acceso a la red se puede controlar con los parámetros de

configuración. Se puede ser una fecha absoluta (por ejemplo, "Jue Ene 20 20:00:00 EST

2011"), una ventana (por ejemplo, "cuatro semanas a partir de primer acceso de red") o

tan pronto como el dispositivo se vuelve inactiva. En la expiración dispositivos

registrados quedado registrada. Con poco de personalización también es posible hacer

esto sobre una base categoría de dispositivos. Vencimiento también puede ser editado

manualmente en función de cada nodo.

Administración de Ancho de banda

PacketFence puede seguir automáticamente la cantidad de consumo de ancho de banda

de los dispositivos de en la red. Gracias a su compatibilidad integrada con violaciones,

se puede poner en cuarentena o el cambiar el nivel de acceso de los dispositivos que

están consumiendo ancho de banda en exceso durante un tiempo en

particular. PacketFence también presenta informes sobre el consumo de ancho de banda.

Los dispositivos flotantes en la red

Un dispositivo de red flotante es un punto de cambio o de acceso (AP) que se puede

mover alrededor de su red y que está conectado a los puertos de acceso. Una vez

configurado correctamente, PacketFence reconocerá los dispositivos de red flotante y

configurar los puertos de acceso se suele permitir varias VLAN y más direcciones

MAC. En este punto, el dispositivo de red flotante también puede realizar acceso a la red

a través de PacketFence o no. Una vez que el dispositivo está desconectado PacketFence

entonces volver a configurar de nuevo a su configuración original.

Autenticación flexible

PacketFence puede autenticar a los usuarios que utilizan varios protocolos y

normas. Esto le permite integrar PacketFence en su entorno sin necesidad de que los

usuarios recuerden otro nombre de usuario y contraseña. Se sabe que funcionan las

fuentes de autenticación son los siguientes:

Página 135

Microsoft Active Directory

Novell e Directory

OpenLDAP

Cisco ACS

RADIUS (FreeRADIUS, radiador, etc)

Archivo de usuario local

Redes enrutadas

La arquitectura de PacketFence le permite trabajar en redes enrutadas. El servidor puede

estar ubicado en el centro de datos y todavía se puede conseguir con eficacia las

sucursales.

Implementación gradual

Debido a la naturaleza intrusiva de control de acceso a la red, PacketFence viene con

controles de grano fino a la hora de la implementación. Como se describe en otro lugar,

automáticamente se puede pre-registrarse nodos, pero también se puede controlar el

nivel de un carnero por interruptor y por puerto-o no debería PacketFence cumplimiento

de sus funciones. Esto le permite desplegar en la velocidad que desee, por el interruptor,

por piso, por ubicación, etc.

El mismo nivel de control está también disponible en las características de

aislamiento. Al principio, sólo se puede iniciar sesión en los eventos de

violación. Entonces, como usted se siente más familiarizado con lo que se puede aislar y

validado frente a falsos positivos, se puede habilitar el aislamiento de la VLAN. Juntas,

estas dos características hace que el despliegue de una PacketFence tan fácil como

podría ser.

Pass-Through

PacketFence puede ser configurado para permitir el acceso a los recursos especificados

incluso cuando el nodo está en el aislamiento. Esto le permite dar acceso a herramientas

específicas o parches a través del portal cautivo.

Página 136

De alta disponibilidad

PacketFence se desarrolla con una alta disponibilidad en mente. Todos los despliegues

se realizan utilizando activo-pasivo de alta disponibilidad así que la solución se ha

demostrado en ese sentido. La información sobre cómo configurar PacketFence en ese

modo de operación se encuentra disponible en nuestra Guía de administración .

Hardware soportado

PacketFence compatible con hardware de red de los proveedores de varias de ellas en

una forma integrada. Ver los parámetros admitidos y la AP de página para la lista

completa. Si usted es un vendedor y que le gustaría ver a su hardware soportado en

contacto con nosotros .

Basado en estándares

PacketFence está construido utilizando estándares abiertos para evitar la dependencia de

un proveedor. Entre las normas que apoyamos y el uso, se encuentran:

802.1X

Simple Network Management Protocol (SNMP)

La gestión estándar de SNMP base de información (MIB), como BRIDGE-MIB,

Q-BRIDGE-MIB, IF-MIB, IEEE8021-PAE-MIB

RADIUS

Netflow / IPFIX

Wireless ISP Roaming (WISPr)

Wired: 802.1X + eludir la autenticación MAC (MAB)

802.1X proporciona autenticación basada en puerto, lo que implica la comunicación

entre un suplicante, autenticador (conocido como NAS), y el servidor de autenticación

(conocida como AAA). El suplicante es a menudo el software en un dispositivo cliente,

como un ordenador portátil, el autenticador es un conmutador Ethernet con cable o

punto de acceso inalámbrico y el servidor de autenticación es en general una base de

datos RADIUS.

Página 137

El solicitante (es decir, el dispositivo cliente) no se permite el acceso a través de la

autentificación de la red hasta que la identidad del solicitante está autorizado. Con

802.1X autenticación basada en puerto, el solicitante proporciona las credenciales, como

el nombre de usuario / contraseña o certificado digital, para el autenticador, y el

autenticador reenvía las credenciales para el servidor de autenticación para su

verificación. Si las credenciales son válidas (en la base de datos de servidor de

autenticación), el solicitante (dispositivo cliente) se le permite acceder a la red. El

protocolo para la autenticación se llama Extensible AuthenticationProtocol (EAP), que

tiene muchas variantes. Tanto el solicitante y servidores de autenticación deben hablar el

mismo protocolo EAP. Entre los más populares son EAP-MD5, PEAP MSCHAPv2

(utilizado por Windows para la autenticación en Active Directory) o EAP-TLS

En este contexto, PacketFence ejecuta el servidor de autenticación (una instancia de

FreeRADIUS) y volverá la VLAN adecuada en el interruptor. Un módulo que se integra

en FreeRADIUS hace una llamada remota en el servidor PacketFence para obtener esa

información. Más y más dispositivos tienen suplicante 802.1X, que hace que este

enfoque cada vez más popular.

Derivación de autenticación MAC (MAB) es un nuevo mecanismo introducido por

algunos proveedores de conmutadores para manejar los casos en que un suplicante

802.1X no existe. Después de un período de tiempo de espera, el cambio dejará de

intentar llevar a cabo 802.1X y reserva voluntad de MAB. Tiene la ventaja de utilizar el

mismo enfoque que 802.1X, salvo que la dirección MAC se envía en lugar del nombre

de usuario y que no hay extremo a terminar la conversación EAP (sin autenticación

fuerte). Usando el MAB, los dispositivos como impresora de red o no 802.1X teléfonos

IP capaces (IPT) todavía puede tener acceso a la red y el derecho de VLAN.

En este momento esta integración no es agradable, ya que podría ser la participación de

la modificación manual de nuestro módulo de FreeRADIUS pero nuestro último código

inédito que ya se encarga de 802.1X + MAB integrado en la configuración PacketFence

principal. Si usted es aventurero no dude en probarlo.

Página 138

Integración Inalámbrica

Inalámbricas 802.1X funciona muy parecido a la autenticación por cable 802.1X y MAC

es como el MAB. Cuando las cosas cambian es que el 802.1X se utiliza para configurar

las claves de seguridad para la comunicación encriptada (WPA2-Enterprise), mientras

que la autenticación de MAC sólo se utiliza para autorizar a permitir o no un MAC en la

red inalámbrica.

Compatibilidad de dispositivos de red

Soporte de conexión cableada 59

Switch SNMP MAC Authentication 802.1X

3COM NJ220

3COM SS4200

3COM SS4500

3COM 4200G

3COM E4800G

3COM E5500G

Accton ES3526XA

Accton ES3528M

AlliedTelisis

AT8000GS

Amer SS2R24i

Avaya (seeNortels)

Brocade ICX64XX

Brocade ICX66XX

BrocadeFastIron

4802

Brocade

FCXXXXX

Brocade FI-SXXXX

59

http://www.packetfence.org/about/supported_switches_and_aps.html

Cisco 2900XL

Cisco 2900XL

Cisco 2950

Cisco 2960 / 2970

Cisco 3500XL

Series

Cisco 3550

Cisco 3560

Cisco 3750

Cisco 4500

Cisco 6500

Cisco ISR 1800

Series

Dell PowerConnect

3424

D-Link DES3526

D-Link DES3550

D-Link DGS3100

D-Link DGS3200

Enterasys D2

EnterasysMatrix N3

EnterasysSecureStac

k C2

EnterasysSecureStac

k C3

Extreme Networks

Summit (XOS)

Extreme Networks

EAS

HP E4800G

Página 139

HP E5500G

HP Procurve 2500

Series

HP Procurve 2600

Series

HP Procurve 3400cl

Series

HP Procurve 4100

Series

HP Procurve 5300

Series

HP Procurve 5400

Series

HP/H3C S5120

Intel Express 460

Intel Express 530

Juniper Networks

EX Series

LG iPecs Series

Linksys SRW224G4

Netgear FGS Series

Nortel BayStack

470

Nortel BayStack

4550

Nortel BayStack

5500 Series

Nortel ERS 2500

Series

Nortel ERS 4500

Página 140

Página 141

Series

Nortel ERS 5500

Series

Nortel ES325

Nortel BPS2000

SMC TS6128L2

SMC TS6224M

SMC SMC8824M -

SMC8848M

Soporte inalámbrico

Hay dos enfoques para redes inalámbricas. Un controlador que se encarga de los puntos

de acceso (AP) y un AP para funcionar individual. PacketFence apoya ambos enfoques.

Los controladores inalámbricos

Cuando se utiliza un controlador, no importa lo que PacketFence AP individuales son

compatibles o no. Mientras que la propia AP es compatible con el controlador y que el

controlador es compatible con PacketFence que funciona bien.

PacketFence compatible con los mandos inalámbricos siguientes:

Aerohive Serie AP

Aruba Networks (200, serie 600, 800, 2400, 3000, 6000)

AvayaWireless controladores

BrocadeMobility controladores de LAN inalámbrica

Cisco Wireless Services Module (WiSM, WiSM2)

Cisco WLC (2100, 2500, 4400, 5500)

D-Link DWS 3026

Extricom EXSW WirelessSwitches (controladores)

HP ProCurve MSM710 el controlador de movilidad

Meru Networks Wireless controladores

Página 142

Motorola RF Interruptores (controladores)

RuckusWireless controladores

Los controladores inalámbricos de Trapeze

XirrusWi-Fi matrices

Puntos de acceso

Algunos puntos de acceso se comportan de la misma, si están unidos a un controlador o

no. Debido a que es posible que desee probar un módulo de controlador si un

controlador del mismo proveedor se apoya en la lista anterior.

PacketFence apoya los puntos de acceso siguientes:

Aerohive Serie AP

Cisco 1130AG

Cisco 1240AG

Cisco 1250

D-Link DWL Puntos de Acceso

HP ProCurve

XirrusWi-Fi matrices

TABLA DE COMPARACIÓN ENTRE SOLUCIONES DE CONTROL DE ACCESO A LA RED NAC

PARAMETROS

SOLUCIONES PROPIETARIO

SOLUCIONES OPEN SOURCE

CISCO NAC

MICROSOFT NAP

FREENAC

PACKETFENSE

REQUERIMIENTO DEL NEGOCIO PARA EL CONTROL DE ACCES

Política de control de

acceso

Cisco Clean Manager para

crear políticas de seguridad y

gestionar los usuarios

conectados, puede hacer la

función de servidor de

autenticación Proxy hacia los

servidores de autenticación del

back end. Este dispositivo

gestiona y se comunica con el

servidor Cisco Clean Access

que es el dispositivo que se

encarga de permitir o no el

acceso desde la red

Servidor de políticas NAP para

evaluar el estado de salud de los

clientes de esta manera permitir o

no el acceso SHVs viene

incorporado dentro de las políticas

de red, y determina la acción a

tomar basándose en el estado de

salud del equipo que se conecta

Son políticas definidas por la

institución una de ellas seria que

mientras un usuario no este

registrado en la base de datos no

puede tener acceso a la red.

Se debe cumplir una política de

uso aceptable, los usuarios no

pueden habilitar el acceso a la

red, sin antes haberse

autenticado

Página 143

GESTIÓN DE ACCESO AL USUARIO

Registro de usuario

Servidor de Directorio. Un

servidor de directorio

centralizado para registro de

usuario y / o autenticación. Los

servicios de directorio posibles

son: LightweightDirectory

Access Protocol(LDAP),

Microsoft ActiveDirectory

(AD), Novell DirectoryServices

(NDS), y por una sola vez

servidores de tokens OTP

(contraseña).

Active directory

Freenac permite realizar

un registro de usuarios en

la base de datos mysql.

Packetfence permite un registro

de usuario y un registro de

dispositivos conectados a la red,

tanto un registro de archivos

planos como un registro de

usuarios en la base de datos

OpenLdap, para dicho registro se

ha creado una aplicación amigable

para ingresar los datos de los

usuarios, así como sus

respectivas contraseñas

Gestión de privilegios

Servidor RADIUS sobre el

protocolo RADIUS. El servidor

RADIUS comprueba que la

información es correcta

utilizando esquemas de

autenticación como EAP sobre

802.1X

WSv Protege a las VM del sistema

operativo host y viceversa, al

permitir que las VM se ejecuten en

una cuenta de servicio sólo con los

privilegios necesarios

Permite determinar

privilegios el momento

de crear los usuarios.

Todos los usuarios que tenga los

privilegios para acceder a la red

serán registrados en OpenLdap,

usuario que no esté registrado no

podrá acceder a la red, a los

usuarios se les asigna el privilegio

como

Administrador o invitado

Página 144

Gestión de claves secretas

de los usuarios

Cisco TrustSec ofrece controles

de acceso a la red basados en

una política uniforme para los

usuarios (incluidos empleados,

contratistas o usuarios

temporales), los dispositivos

terminales (equipos portátiles,

teléfonos IP, impresoras) y los

dispositivos de red (switches,

routers, etc.). Cisco TrustSec es

capaz de controlar el modo en

que se le otorga acceso a un

usuario o dispositivo, las

políticas de seguridad que

deben cumplir los dispositivos

terminales, como el

cumplimiento de una postura, y

los recursos de red que un

usuario está autorizado a usar

dentro de la red

Mediante la herramienta IPsec está

implementado por un conjunto

de protocolos criptográficos para

asegurar el flujo de paquetes,

garantizar la autenticación

mutua y establecer parámetros

criptográficos

El momento de crear los

usuarios se utiliza mecanismos

criptográficos de autenticación

como peap. Eap.

Se registrará un usuario y una

contraseña, dichos usuarios serán

almacenados en OpenLdap, donde

las contraseñas de cada uno de los

usuarios serán almacenas de

manera segura, es decir cifradas-

Página 145

Revisión de los derechos

de acceso del usuarios

Cisco TrustSec protege el

acceso a la red y los recursos,

así sea una red cableada,

inalámbrica o VPN, y se

asegura de que los dispositivos

terminales

tengan autorización y se

mantengan en buen estado

NPS como un servidor RADIUS

para procesar solicitudes de

conexión, así como para realizar la

autenticación, la autorización y la

administración de cuentas para

conexiones inalámbricas 802.11

Freenac emite informes

detallados de los

usuarios que acceden a

la red

Para la revisión de los derechos de

acceso de los usuarios al intentar

conectarse a la red se revisará en

la base de datos que el usuario

suplicante está registrado, caso

contrario el usuario no puede

ingresar a la red

RESPONSABILIDADES DEL USUARIO

Uso de claves secretas

Servidor de directorios

Active directory

Combinación de Kerberos, LDAP,

Samba

NIS(YP) and NIS+ para autenticar

usuarios en la red

Se debería concientizar a

los clientes sobre el uso

de las claves secretar su

importancia etc.

Se debe recomendar a los usuarios

el cumplimiento de buenas

prácticas de seguridad en la

selección y el uso de las

contraseñas, sin embargo al

ingresar los usuarios a la base de

datos las contraseñas están

validadas para que las mismas

cumplan con un cierto grado de

seguridad.

Equipo de usuario

desatendido

No cumple No cumple No cumple Una vez que el usuario se

autentique, si este deja a su

equipo desatendido por un lapso

Página 146

de tiempo determinado el acceso

será bloqueado y le pedirán

nuevamente autenticarse.

Política de escritorio y

pantallas limpios

No cumple

No Cumple

No cumple

No cumple

CONTROL DE ACCESO A LA RED

Políticas sobre el uso de

los servicios de red

Configuración en los servidores

de políticas, de puntos de

decisión y de Auditoria

NPS permite crear y aplicar

políticas de acceso a la red para toda

la organización referidas al estado

de salud de los equipos clientes, y

los requisitos de autenticación y

autorización para la conexión.

Se usan políticas (orientada a

objetos), con funciones pre y post

conexión.

Con Freenac se Establecen una

fecha de validez para cada dirección

MAC

Los usuarios deberían basarse

en las políticas de control de

acceso

Los usuarios deberán cumplir

con la política de acceso a la

red, es decir todos los usuarios

necesitan autenticarse.

Autenticación del usuario

para las conexiones

externas

Cisco dispone de un servidor de

autenticación propio

denominado Cisco Security

Access que soporta tanto

Switches con autenticación

basada en protocolo 802.1x

NPS para habilitar el proceso de

autenticación segura de passwords

No cumple

Página 147

RADIUS como TACACS con protocolo PEAP

Protected Extensible

AuthenticationProtocol (PEAP)-

MS-CHAP v2 para conexiones

inalámbricas

servicio Routing and Remote

Access Service (RRAS) disponen de

los servicios de enrutamiento para

red de área local (LAN) y redes de

área extensa (WAN) utilizados para

conectar segmentos de red en

entornos de conexión remota o

infraestruturas de redes de oficina

certificados X.509

Identificación del equipo

en las redes

Servidor de autorización

autenticación y auditoria

Servidor de control de acceso

SHVs (SystemHealthValidators)

para analizar el estado de salud del

equipoSHAServidor de

cumplimiento NAP

El momento que una maquina

accede se registra la dirección

MAC de la maquina por tanto

se tiene un registro de acceso a

la red

Todos los equipos una vez

autenticados serán identificados

por su dirección MAC

Protección del puerto de

diagnostico y

configuración remota

Basado en una autenticación

Secure Sockets Layer (SSL)

802.1X podemos hablar de ports

controlados y ports no controlados.

Un port controlado es aquel que nos

No cumple No cumple

Página 148

habilita a ciertas direcciones de red.

Un port no controlado nos permite

un acceso irrestricto a la red.

Segregación de redes

No cumple

Se puede crear bosques mediante el

active directory

Un bosque de Active Directory tiene

el esquema ampliado con las

extensiones de esquema del

Administrador de configuración, y

se dotará de un contenedor de

administración del sistema en al

menos un dominio.

Permite crear vlan.

PacketFence es el servidor que

asigna la VLAN a un dispositivo.

Esta VLAN puede ser una de sus

VLAN o puede ser una VLAN

especial donde PacketFence actúa

como un servidor DHCP / DNS /

HTTP en el que se ejecuta el

portal cautivo. Vlans, permiten

crear redes lógicamente

independientes dentro de una

misma red física lo que permiten

una administración de la red

separando segmentos lógicos de

una red de área local

Control de conexión a la

red

Una vez detectado el nuevo

dispositivo el NAD (dispositivo

de acceso a la red) habilita una

conexión entre el Servidor

AAA, el servidor de

autorización autenticación y

Permitir el acceso a la red

Permitir el acceso a la red por

tiempo limitado

Permitir el acceso limitado

Si un servidor que ejecuta NPS es

PacketFence es completamente

compatible, confiable de código

abierto, sistema de control de

acceso( a la red NAC), basados en

la norma 802.1x que permiten

la autenticación de dispositivos

Página 149

auditoria y el access

control server ACS o server de

control de acceso, una vez

establecida la conexión con el

Server AAA se requiere las

credenciales para la respectiva

conexión

miembro de un dominio de Active

Directory®, NPS usa el servicio de

directorio como su base de datos de

cuentas de usuario y forma parte de

una solución de inicio de sesión

único. El mismo conjunto de

credenciales se usa para controlar de

acceso a la red (autenticación y

autorización del acceso a una red) y

para iniciar sesión en un dominio de

Active Directory. Debido a esto, se

recomienda usar NPS con los

Servicios de dominio de Active

Directory (AD DS)

conectados a un

puerto LAN, estableciendo una

conexión punto a punto o

previniendo el acceso por ese

puerto si la autenticación falla

Control de enrutamiento a

la red

No cumple

No cumple

No cumple

No cumple

CONTROL DE ACCESO AL SISTEMA OPERATIVO

Procedimiento para un

registro seguro

WSv Protege a las VM del sistema

operativo host y viceversa, al

No Cumple

Página 150

permitir que las VM se ejecuten en

una cuenta de servicio sólo con los

privilegios necesarios

.

Identificación y

autenticación del usuario

Los servicios de directorio

posibles son:

LightweightDirectory Access

Protocol(LDAP), Microsoft

ActiveDirectory (AD), Novell

DirectoryServices (NDS),

usando servidor RADIUS

comprueba que la información

es correcta utilizando esquemas

de autenticación como EAP

sobre 802.1X R

Active directory

NPS como un servidor RADIUS

para procesar la autenticación, la

autorización y la administración de

cuentas inalámbricas, alambricas,

VPN

Se realiza la autenticación por

medio de protocolo de

autenticación 802.1x

Todos los usuarios tendrán un

identificador único, para poder

ingresar a la red, es decir cada

usuario tendrá que autenticarse

antes de ingresar a la red

Sistema de gestión de

contraseñas

Configuración dentro del

servidor de control de acceso,

políticas de control de acceso

Active directory

Las contraseñas al momento de

ser almacenadas en OpenLdap

serán validadas para que las

mismas sean de calidad, es decir

cumplan con ciertas condiciones

de seguridad, además dichas

contraseñas serán almacenadas en

Página 151

formatos protegidos(encriptación)

Uso de las utilidades del

sistema

Servidor de Control de Acceso

usando servidores Radius

X

Cierre de una sesión por

inactividad

X

Limitación del tiempo de

conexión

X Packetfence permite limitar los

tiempos de conexión, es decir

asignar un tiempo especifico para

su conexión.

CONTROL DE ACCESO A LA APLICACIÓN Y A LA INFORMACIÓN

Restricción de acceso a la

información

Trafico protegido mediante (IPsec)

Secure Sockets Layer (SSL)

X

Aislar el sistema

confidencial

Trabajo remoto

El papel de NAC Appliance 4.0

de Cisco Systems responde al

acceso a la red en todos los

segmentos de la misma de una

empresa: alámbricos,

inalámbricos y conexiones

remotas;

Página 152

CAPITULO IV

Página 153

Página 154

Capítulo 4

4. Estudio de la Empresa

4.1. Introducción.

La Unidad Educativa “Técnico Salesiano”, de la ciudad de Cuenca, se encuentra

ubicado en la Av. Felipe II y Don Bosco, al ser una institución que alberga a una

gran cantidad de alumnos tanto en horarios matutino como vespertino, así como

también personal docente y administrativo, tienen que estar a la par con las

tecnologías necesarias para mantener segura la información, especialmente por la

gran cantidad de personal en la institución, es por ello que día a día se mantienen

actualizando y buscando maneras de mejorar la seguridad y automatización se sus

sistemas.

4.2.Misión.

La misión del Colegio Técnico Salesiano es educar evangelizando y evangelizar

educando con excelencia humana y académica a los adolescentes y jóvenes de la

región. Fieles al ideal de Don Bosco, formamos “buenos cristianos y honrados

ciudadanos”, actores sociales responsables con visión crítica de la realidad

4.3.Visión.

El Colegio Técnico Salesiano es un centro educativo líder en la excelencia

académica y humana que estimula la creatividad y la investigación. Bajo los

principios de reciprocidad y solidaridad desarrolla procesos educativo-pastorales

integrales, significativos y de calidad gracias a la corresponsabilidad de los actores

sociales de la Comunidad Educativo Pastoral y del protagonismo juvenil.

Página 155

La visión tiene las siguientes implicaciones:

Fortalece la identidad carismática mediante la formación permanente y

conjunta de SDB y Seglares.

Hace de la escuela salesiana un contexto de crecimiento humano y

realización profesional.

Vivencia el Sistema Preventivo manifiesto en un clima de familiaridad y

solidaridad.

Cultiva la dimensión asociativa y la ciudadanía para asumir opciones

transformadoras en la sociedad y en la Iglesia.

Aplica una gerencia y gestión educativa participativa, eficiente y eficaz.

Mejora su capacidad de sostenibilidad para mantenerse al servicio de los

destinatarios preferenciales.

Desarrolla un currículo integral, actualizado y articulado en sus distintos

niveles educativos.

Incorpora dimensiones humanistas: educación para la paz y no violencia;

educación al amor y la sexualidad, equidad de género, formación ciudadana,

interculturalidad, ecología, educación en y para el mundo del trabajo

4.4.Estructura organizacional

Página 156

4.5.Departamentos.

Departamentos de campo Yanuncay

Departamento psicopedagógico

Departamento de bienestar estudiantil

Secretaria

Departamento Financiero

Biblioteca

Departamento de Pastoral

Departamento de Asistencia

Departamento de Sistemas Informáticos

Departamento de Talento Humano

Departamento de Construcción.

Departamento de Comunicación.

Departamento de Trabajo Social

4.6.Servicios implementados sobre la red de datos.

Seguridad del puerto Vlan especifica

Subredes por departamento

ACL

VPN configuradas

Seguridad del puerto en switch de acceso

Asignación de un puerto a una determinada VLAN

4.7.Medios de transmisión.

Medio de transmisión Velocidad (bps) Ancho de banda (Hz)

Par trenzado 100 Mbps, 1 Gbps

Cable coaxial Xxx

Fibra óptica 1 Gbps

Inalámbrica 54bps

4.8.Identificación de dispositivos de conexión de la empresa

NOMBRE CISCO CATALYST 3560

Puertos 24 x Ethernet 10Base-T, Ethernet

100Base-TX, Ethernet 1000Base-T

Protocolo de gestión. SNMP 1, RMON 1, RMON 2, RMON 3,

RMON 9, Telnet, SNMP 3, SNMP 2c,

HTTP, SSH-2

Protocolo de Transmisión de datos Ethernet, Fast Ethernet, Gigabit Ethernet

Nombre Cisco Catalyst 2960G (24,48)

Puertos 24 puertos 10BASE-T/100BASE-T con

auto negociación.

Dos puertos gigabit de uso dual para

poder habilitar 10/100/1000

Protocolos de gestión telnet, RMON 1, RMON 2, SNMP 1,

SNMP 3, SNMP 2C, TFTP, SSH

Protocolo de Transmisión de Datos Ethernet, Fast Ethernet, Gigabit Ethernet

4.9.Estructura de la red LAN

Página 157

4.10. Descripción de la VLAN implementadas.

Se ha implementado una Vlan para cada uno de los departamentos y laboratorios de

cómputo

Vlan de administrativos

Vlan de profesores

Vlan inalámbrica

Vlan Colegio Mario Rizzini

Vlan aulas

Vlan profesores laboratorios

Vlan laboratorios

4.11. Tipos de seguridad actualmente implementadas

A través de shorewall

A través de firewall Cisco

Claves para accesos a sistemas, desde la propia Base de Datos

Página 158

Página 159

Resultados de la obtención de la información previo a la implementación al proyecto.

Control de título Control de la descripción Aplicabilidad Control

implementado / s

Comentarios Evidencia

Comentarios

de Auditoría

Interna

Política de Seguridad

Politicas de control de acceso Se debe establecer, documentar y revisar las políticas de control de acceso en base a los requisitos del negocio y a la

seguridad para el acceso

Una política de control de acceso se

Políticas de control de acceso a la

red

Gestión de Usuarios

ha establecido, documentado y

revisado sobre la base de los

negocios y los requisitos de

seguridad para el acceso

SI SI

Seguridad de

puerto

Vlan Especifica

Registro de usuarios Debe existir un procedimiento formal para el registro y cancelación de los usuarios para autorizar y denegar acceso

a los sistemas

El administrador otorgara un

identificador único para cada Registro de usuarios

usuario, los mismos que deben estar

aprobados y documentados

NO NO

Gestión de privilegios Se debe restringir y controlar la asignación y el uso de privilegios a través de un proceso formal de autorización

Se asignará los respectivos privilegios de acuerdo a las

funciones de los usuarios identificación

asignación de p de

rivile usuarios

gios y basándonos en

control de acceso las políticas de subredes

SI SI departame

por

nto

Página 160

Gestión de contraseñas para

usuarios

Se debe crear un proceso de gestión para la asignación de contraseñas

Los requisitos para los acuerdos de

confidencialidad o no divulgación

de contraseñas ya sean individuales

Todos tienen

contraseñas Los acuerdos de

confidencialidad de contraseñas

Revisión de derechos de acceso

o de grupo para la protección de la

información., considerando los

parámetros y normas de seguridad

para crear y definir contraseñas

SI NO pero NO bajo

políticas

predeterminadas

de los usuarios Se debe establecer un revisión periódica de los derechos de acceso de los usuarios

Los derechos de usuarios se debe

revisión de derechos de acceso

de los usuarios

Responsabilidad de los usuarios

revisar en intervalos regulares de

tiempo, o cuando se da algún

cambio, términos de contrato se

recomienda realizarlo en caso de

usuarios privilegiados cada 3 meses

y en otros usuarios se lo realizar

cada 6 meses

SI SI

Se tienen

distribuidos los

derechos de

usuario pero no

se realizan

revisiones

periódicas

Accesos a

sistemas y a la

red(no

documentados

Uso de contraseñas Exigir a los usuarios el uso de buenas prácticas de seguridad en el uso de contraseñas

los usuarios deberán aplicar las

Uso de contraseñas

reglas de seguridad para crear

contraseñas seguras es decir que no

sean fáciles de deducir como fecha

de cumpleaños, nombre, caracteres

consecutivos

SI NO

No se aplican

reglas para la

revisión de

claves

Página 161

los servicios de red deberían ser

consistentes con las políticas de

control de acceso de la organización.

SI

autenticación utilizando métodos apropiados para controlar el acceso SI

de usuarios remotos

se debe considerar la autenticación

de equipos desde un lugar específico

con el objetivo de saber a qué red

está permitido conectarse dicho SI

equipo

concientizar a los usuarios sobre las No existen

medidas de seguridad a seguir políticas

equipo y usuario desatendido cuando los equipos están SI NO definidas solo

Política de escritorio despejado y

de pantalla despejada

desatendidos es decir cierre de

sesiones, apagar el computador

Se debería informar a los usuarios

sobre los riesgos de pérdida de

información, copias no autorizadas,

o robos, considerando la

importancia de la información que

maneje cada uno de ellos.

SI NO

se realizan

verbalmente

No existen

políticas

definidas solo

se realizan

verbalmente

Control de acceso a las redes tanto externos como internos

Política sobre el uso de los

servicios de red

Políticas de control de acceso a la

red

Los usuarios deberán tener acceso únicamente a los servicios autorizados

Los usuarios podrán tener acceso

solo a los servicios de red

autorizados. Las políticas de uso de SI

Creación de

ACL´s

Autenticación de usuarios para

conexiones externas

VPN SI

Configurado

Identificación de los equipos en

las redes

Creación de SI

ACL´s

Página 162

medios vulnerables para el acceso

no autorizado

SI SI

en switch de

acceso

Se debería separar los grupos de servicios de información, usuarios,

sistemas de información es decir

dividirla en dominios lógicos de red

separación de las redes separados. Para separar las redes se SI SI subredes Vlans

debe considerar las políticas de

control de acceso, teniendo en

cuenta los costos y el impacto que

puede causar en la organización

Para redes grandes que se extiende más allá de las fronteras se debe

restringir el acceso a los usuarios

control de conexión de la red para conectarse a la red de acuerdo SI SI Acl 's

con la política de control de acceso

Inter. VLAN

Routing

ya establecidas con anterioridad y de

los requisitos de la institución.

Se debe implementar controles de

enrutamiento para asegurar que las

computadoras y los flujos de

información no incumplan con las

protección de

los

puertos de

configuración y diagnostico

remoto

controlar los puertos acceso de

manera física y lógica ya que son

Seguridad de

puerto

control de enrutamiento de la red políticas de control de acceso a las

políticas del negocio. Las redes que

van más allá de la organización

requieren controles adicionales de

enrutamiento.

SI SI

Routing con

OSPF

ACL's

Página 163

Control de Acceso al Sistema Operativo.

Procedimiento de registro de

inicio seguro

Procedimiento de registro de

Controlar el acceso al sistema operativo de manera seguro

Está diseñado para minimizar el

acceso al sistema operativo a

usuarios no autorizados, por tanto se

debe tener cuidado en la no

No existen

inicio seguro

Identificación y autenticación de

usuarios

Sistema de gestión de contraseñas

Uso de utilidades del sistemas

divulgación de la información,

registrar los acceso exitosos y

fallidos, no mostrar contraseñas

esconderla mediante símbolo

Cada usuario debería tener un

identificador para uso personal, se

debe implementar técnicas para

comprobar la identidad

Deben ser interactivas y debe

asegurar la calidad de las

contraseñas

Se debe restringir y controlar el uso

de programas utilitarios que puedan

anular los controles del sistema y de

la aplicación, se recomienda utilizar

procedimientos de identificación,

autorización, autorización para las

utilidades del sistema

SI NO

SI NO

SI NO

SI NO

registros de

accesos

Se tiene

implementados

pero no en

todos los

usuarios

Tiempo de inactividad de sesión

las sesiones inactivas se deben

desactivar después de un periodo

indefinido de inactividad

SI NO

Página 164

Computación y comunicaciones con la protección bajo riesgo por el

SI móviles uso de dispositivos de computación

y comunicaciones móviles porque la

información se puede poner en

peligro

desarrollar e implementar, planes Trabajo Remoto operativos y procedimientos para las SI

actividades de trabajo remoto

limitación del tiempo de conexión

Control de acceso a las

Se debe establecer restricciones del

tiempo de conexión para brindar

seguridad a las aplicaciones de alto

riesgo

SI NO

aplicaciones de la información Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación y dentro de ellos

Restringir el acceso y las funciones

Restricción de acceso a la

información

aislamiento de los sistemas

de aplicación por parte de los

usuarios y personal de soporte de

acuerdo con las políticas definidas

en el control de acceso a la red

Los sistemas sensibles tendrán un

SI NO

Control de

acceso definido

asignación de

un puerto a una

sensibles

Computación móvil y trabajo

canal aislado al entorno informático SI SI

en los SGBD

pero no están

documentados

determinada

VLAN

remoto Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de teletrabajo

Se debe establecer una política

formal que deben adoptar las

medidas de seguridad apropiadas

NO

NO

CAPITULO V

Página 165

Página 166

C

Capitulo 5

5. Implementación de Packetfence como una solución NAC

5.1 Objetivos de la institución.

Controlar el acceso a la red de la institución.

Generar reportes de las conexiones a la red

Limitar el acceso a usuarios no registrados que no pertenecen a la

institución.

Establecer un tiempo de conexión de acuerdo a las políticas de seguridad.

5.2 Análisis de la seguridad en la institución

La Unidad Educativa Técnico Salesiano cuenta con una infraestructura de red de un

tamaño considerable tanto por el espacio físico, así como por el ambiente dinámico

principalmente por las actividades y por la gran cantidad de usuarios que se tiene, en

dicha institución tanto los estudiantes, docentes, personal administrativo entre otros,

tienen acceso a la red y a conexiones externa como es el Internet, para la conexión

externa los usuarios pueden usar los puntos de red o de manera inalámbrica usando

una clave que es general para toda la institución, en definitiva el control de acceso a

la red no está controlado, por este motivo es necesario e importante un control de

seguridad en la red, como tal la institución ha implementado: seguridades en los

puertos, existen subredes por cada departamento, se han creado Acl`s, existen VPN

configuradas, entre otros, sin embargo surge la necesidad de una mayor seguridad en

el acceso a la red, se requiere que los usuarios antes de ingresar a la red se

autentiquen, es decir el administrador asignará un identificador único para cada

usuario antes de acceder a la red, tanto para una conexión por cable como para

conexiones inalámbrica, con esto se consigue que solamente usuarios registrados

puedan acceder a la red, además de poder realizar reportes sobre las diferentes

conexiones realizadas, en las que se registra;la dirección Mac del dispositivo

conectado, fecha y hora de conexióny así como el nombre usuario conectado, con

esto conseguimos accesos únicamente autorizados impidiendo conexiones de terceras

personas ajenas a la institución.

Página 167

5.3 Descripción de la Infraestructura de la Solución NAC

En base al análisis de la situación actual de la institución y sobre todo a las

necesidades de un control de acceso a la red, planteamos la siguiente estructura de

seguridad, que consta de un servidor de autenticación que se agregaría a la estructura

de red actual, este servidor permite una autenticación 802.1x vía PEAP, es decir

acceder a la red siempre y cuando sea un usuario autorizado, dicho usuario será

registrado con sus datos y su contraseña las mismas que serán almacenadas en

OpenLdap y en la base de datos Mysql, se contará con una aplicación para el

registro de usuarios nuevos,además en el servidor Packetfense se registra la

dirección Mac, la hora de conexión de cada usuario que accede a la red.

5.4 Análisis de requerimientos de hardware.

Página 168

Para la implementación de este proyecto se utilizó un computador con las

siguientes características.

Procesador Intel core duo 3ghz

Memoria RAM 2gb

Disco duro 80 gb

2 tarjetas de red

Switch Cisco Catalyst 2950, 2960

5.5 Análisis de requerimientos de software

Centos 6x de 32 bits

Packetfence v3.5.1

Dhcp server

Radius Server Freeradius

DNS server

Servidor de Base de datos mysql

Openldap

Web Server Apache

Servidor de aplicaciones Glash Fish

JDK 7

5.6 Implementación.

5.6.1. Introducción

El Anàlisis de soluciones de acceso seguro a la red, nos han permitido indagar sobre una

herramienta que nos permita un control de acceso, y para implemantar como un proyecto

piloto en el Colegio “Tècncio Salesiano”, con el fin de restringir los accesos, identificar a

los usaurios, registrar horas y tiempos de conexiòn, asignaciòn de privilegios necesarios ,

etc, todas estas opciones y muchas màs alternativas nos permite la herramienta

Packetfense , la cual ha sido diseñada para proporcionar un completo Sistema de Control

de Acceso a la Red, es una distribución libre basada en Centos, es totalmente

compatible, libre, de confianza y estable.

Por lo tanto es necesario, e importante conocer el procedimeitno para la intalaciòn, manejo

y mantenimiento del servidor y otros dispositivos, con el objetivo de garantizar su buen

funcionamiento y eficacia.

Página 169

5.6.2. Descripción del Esquema de Red

Para el planteamiento del esquema de red, nos basamos en el esquema de red que nos aporto

el adminsitrador de red a efímeros rasgos, cuya estructura es cliente servidor a nivel de 3

capss, es por ello que el switch central se conectarà a nuestro servidor Packetfence que usa

muchos componentes en su infraestructura como: base de datos (Mysql), servidor

apache, dependiendo de la configuración necesitará componentes adicionales, este

servidor se conectará a una base de datos OpenLDAP que almacenará los usuarios y

las contraseñas para su respectiva validación, tiene dos interfaces de red: una interfaz

eth1 para conexiones externas como por ejemplo Internet y una interfaz eth0 para la

administración del packetfence, desde esta interfaz nos conectamos hacia el switch

Cisco 2960, este switch tendrá habilitados sus puertos para autenticación

802.1x/PEAP vía Packetfence, donde a este switch se conectarán los usuarios, en el

instante que el usuario quiera acceder a la red se le notificará que necesita

Página 170

proporcionar información adicional ( usuario y contraseña) antes de acceder a la red,

una vez digitado correctamente los datos solicitados, el usuario tiene acceso a la red,

el mismo caso se daría para la conexión inalámbrica ya que el Access Point 1130

estará conectado a al swich que solicita autenticación antes del ingreso.

5.6.3. Instalación

5.6.4. Requisitos del Sistema

PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto,

requiere los siguientes:

Base de datos del servidor (MySQL)

Servidor web (Apache)

Dependiendo de su configuración pueden ser necesarios componentes adicionales

como:

Servidor DHCP (ISC DHCP)

Servidor DNS (BIND)

Servidor RADIUS (FreeRADIUS)

NIDS (Snort / Suricata)

Todos los componentes se ejecutan en un mismo servidor (es decir, "localhost" o

"127.0.0.1") y PacketFence se instalará en el.

La siguiente tabla proporciona recomendaciones para los componentes necesarios,

junto con la versión necesaria para una correcta instalación de packetfense

MySQL server MySQL 4.1 or 5.1

Web server Apache 2.2

DHCP server DHCP 3

DNS server BIND 9

RADIUS server FreeRADIUS 2.1.12

Snort Snort 2.8 or 2.9

Suricata Suricata 1.x

Nota: Se recomienda instalar las versiones más recientes del software mencionado

en la tabla anterior

5.6.5. Requerimientos de Hardware

Página 171

A continuación se proporciona una lista de recomendaciones de hardware del

servidor:

CPU Intel o AMD a 3 GHz

2GB de RAM

20 GB de espacio en disco (RAID 1 se recomienda)

2 Tarjeta de red

1 para alta disponibilidad

a) para detección de intrusos

5.6.6. Requisitos del Sistema Operativo

PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y

x86_64:

Red Hat Enterprise Linux 5.x/6.x servidor

Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x

Es importante considerar que se pueda instalar paquetes adicionales de su

distribución estándar. Por ejemplo, cuando se usa Red Hat Enterprise Linux, tiene

que estar suscrito a Red Hat Network antes de continuarcon la instalación del

software PacketFence.Otras distribuciones como Debian, Fedora y Gentoo funcionan

de manera correcta

5.6.7. Servicios Activos

Es importante tener los siguientes servicios activos para su correcto

funcionamiento:

Servidor web (httpd) Servidor

DHCP (dhcpd) Servidor DNS

(nombre) FreeRADIUS servidor

(radiusd)

Snort / Suricata IDS de red (snort / suricata)

Firewall (iptables)

Página 172

Asegúrese de que todos los demás servicios se inician automáticamente por el

Sistema Operativo

5.6.8. Instalación de Packetfence

La última versión de PacketFence es 3.5.1, la misma que ha sido puesta a

disposición el 05/09/2012. Esta versión es estable y se puede utilizar en un entorno

de producción.. Estas son las diferentes formas de obtener PacketFence:

A través del yum repositorio es una de las formas más fácil de instalar PacketFence

si utiliza RedHat Enterprise Linux (o un equivalente como distribución CentOS) se

puede utilizar el repositorio de yum. Para ello, basta con crear un archivo llamado /

etc / yum.repos.d / PacketFence.repo con el siguiente contenido:

[PacketFence] name=PacketFenceRepository

baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch

gpgcheck=0

Para RHEL / CentOS 5 y 6

Hay varios repositorios que usted necesita instalar, son dependencias propios

dePacketFence:

Repoforge , también conocido anteriormente como rpmforge. Instale el

paquete rpmforge-release para su respectiva distribución y arquitectura

Repositorio EPEL

Repositorio OpenFusion

También es necesario instalar los siguientes componentes adicionales:

MySQL server MySQL 4.1 or 5.1

Web server Apache 2.2

DHCP server DHCP 3

DNS server BIND 9

RADIUS server FreeRADIUS 2.1.12

Snort Snort 2.8 or 2.9

Suricata Suricata 1.x

Página 173

Es importante actualizar los repositorios para una correcta instalación:

yum update

apt-get update

apt-get upgrade

Usted pude instalar packetfence, con los repositorios necesarios de la siguiente

manera:

packetfence yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence-

complete

O, si lo prefiere, puede instalar sólo el núcleo PacketFence sin todos los servicios

externos, puede utilizar:

yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence

Una vez definido los repositorios usted puede instalar packetfense con todas las

dependencias y servicios externos requeridos(servidor DNS, Servidor de Base de

datos, servidor DHCP, servidor Radius) usando:

sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4

sudo apt-get update

sudo apt-get install packetfence

5.6.9. Configuración

En esta sección, usted aprenderá cómo configurar PacketFence. PacketFence usa

MySQL, Apache, Servidor DHCP, Servidor DNS y FreeRADIUS. Donde todos los

componentes se ejecutan enel mismo servidor en el que PacketFence se está

instalando.

El primer paso después de instalar los paquetes necesarios es la configuración. De

PacketFence, que nos proporciona una útil y detallado configuración web.

Página 174

Después de la instalación de paquetes, packetfense se abre desde el la dirección web

http://@ip_packetfence:3000/configurator.Desde allí, el proceso de configuración se

basa en diferentes pasos desde la web.

Paso 1.- Selección de la aplicación

Se puede seleccionar entre: una aplicación Vlan, una aplicación en línea o amabas.

Para este caso seleccionamos una aplicación en línea

Paso 2.-Configuraciónde la red.

En este paso configuramos las interfaces de red del sistema, nuestro servidor

packetfence tiene dos interfaces:

Interfaz eth0 con dirección IP estática 172.16.8.3/24 para la administración del

Packetfence

Interfaz eth1 con asignación de IP Dinámica para conexión externa Internet

Página 175

Paso 3.- Configuración de base de datos.

Este paso va a crear la base de datos PacketFence y administrar con el estructura

correcta. Usted necesita crear un usuario de MySQL y asignarlo a la base de datos

recién creada;Para la configuración lo editamos el archivo

/usr/local/pf/conf/pf.conf

Página 176

Paso 4.-Configuración General.

Usted tendrá realizar una configuración básica PacketFence colocando los

parámetros; necesarios como: dominio, el hostname, y Servidor DHCP

Paso 5: Usuario administrativo.

En este paso se le pedirá que cree un usuario administrativo, el mismo que

podráacceder a la interfaz de administración basada en la web una vez que los

servicios son funcionales;

Página 177

Paso 6.- Inicio de Servicios

Consulte el estado de su configuración, es decir que los servicios hayan iniciado y

estén corriendo

5.6.9. Revisión de Opciones

Una vez configurados todos los pasos iníciales podemos acceder desde la interfaz

web

https:// 192.168.1.3 en donde podemos observar el ESTADO donde usted puede ver,

la cantidad de disco usado, la memoria usada, las consultas SQL que se han

realizado, intento de violaciones recientes, registros recientes, entre otras opciones:

Página 178

En la pestaña USUARIO podemos ver los usuarios registrados, agregar un nuevo

usuario, buscar, y una gestión para invitados

En la siguiente pestaña NODO usted podrá la dirección MAC de la PC, el nombre

del dispositivo conectado, la categoría, el estado, el estado(registrado, no registrado),

la descripción del sistema operativo que se intenta conectar, aquí encontrará las

opciones de Ver, buscar, adicionar e importar.

Página 179

A continuación en la pestaña siguiente podemos observar los intentos de acceso

fallidos, o de usuarios que no han sido registrados, se registra la dirección MAC del

dispositivo que intenta conectarse, así como el nombre del computador, el estado,

descripción y fecha.

En la pestaña administración encontraremos los servicios que hemos instalado,

podremos observar que los servicios que esta ejecutándose y los servicios que están

parados, podemos ver los servicios, los registros, adicionar un administrador, entre

otras opciones.

Página 180

En la siguiente pestaña tenemos varias opciones para ser configuradas dentro de esta

opción podemos modificar las interfaces de red, los switch, categorías de los nodos,

dispositivos flotantes de red, violaciones de restricciones, etc.

Tenemos la opción AVANZADOque se usa para controles de accesos avanzado

Página 181

5.6.10. Configuracion del Switch

Para nuestra implementacion del proyecto usamos el switch Catalyst 2950, donde

para su respectiva configuración realizamos los siguientes pasos:

Paso 1 Para ingresar al switch necesitamos instalar en nuestro computador el

programa Putty o desde Telnet

Paso 2 Luego de su instalaciòn ingresamos en este caso al Putty

Paso 3. Digitamos la dirección IP del switch 172.16.8.3/24 usando el puertgo 23,

Via Telnet y elegimo Open

Paso 4. Se le solicita que ingrese su usuario y clave respectiva del switch

Página 182

Paso5. Una vez ingresado al switch para la configuracion 802.1x desde packetfence

digitamos

Switch> enable

Switch# configure terminal

Switch(config)# aaa new model

Switch(config)# aaa group server radius packetfence

Switch(config-sg-radius)# server 172.16.8.3 auth port 1812 acc-port 1813

Switch(config-sg-radius)# end

Switch(config)# aaa authentication login default local

Switch(config)# aaa authentication dot1x default group packetfence

Switch(config)# authorization network default group packetfence

Switch(config)# interface fastEthernet 0/21

Switch(config-if)# switch port model access

Switch(config-if)# dot1x port-control auto

Página 183

Paso 6. En el cliente nos vamos a configuración de red, clic en propiedades de área

local, en la pestaña Autenticación

Habilitamos la autenticacion 802.1x en modo protegido PEAP, presionamos aceptar

Página 184

Paso 7. Inmediatamente podemos observar que se presenta un mensaje de que

necesitamos información adicional para acceder a la red.

Paso 8. Se le presentará una ventana apra que ingrese su usuario y contraseña, usted

solo pordrá tener acceso a la red siempre y cuando este regisrado en la base de datos

Página 185

5.6.11. Ingreso de Usuarios a la Base de Datos

Para el ingreso a la base de datos diseñamos una aplicación web para la

misma usamos:

Servidor Glassfich,

Netbeans

java 5

OpenLDAP,

Apache directory estudio,

Base de datos mysql y postgres

Paso 1 Para entrar a la aplicación ingresamos desde un navegador Web (firefox,

google chroom, etc) y digitamos 192.168.200.1:8080/GestionUsuariosLDAP/, aquí

se nos solicita un usuario y contraseña, donde root es el usuario y admin la clave

Página 186

Paso 2 Inmediatamente ingresamos a la administración de usuarios donde podemos

observar los usuarios registrados, podemos crear, modificar y borrar usuarios

Paso 3. En caso que necesitemos ingresar un nuevo usuario, presionamos la opcion

Nuevo usuario y llenamos los campos solicitados

Para el ingreso de usuario podemos seleccionar el grupo al que pertenece este usuario

que puede ser Administrador, o general ,para ello seleccionamos en el campo grupo y

posteriormente ingresamos los datos del nuevo usuario.

Para el ingreso de la contraseña esta esta valida para que cumpla con las normas de

contraseñas seguras como por ejemplo el número de caracteres que debe tener las

contraseñas es de 8 caracteres, con una convinación de letras y números.

Página 187

Podremos observar el nuevo usuario registrado al listar los usuarios

Paso 4. Podemos editar los campos de los usuarios registrados en caso que sea necesario

Se cambiarà los datos necesarios y se presiona GUARDAR

ANEXOS

Página 188

Página 189

6. Anexos.

6.1. MANUAL DE USUARIO.

1. Introducción.

Por medio de este documento se describirá los objetivos y la información

detallada de cómo los usuarios pueden autenticarse para acceder a la red de la

institución.

Para la autenticación se utiliza una herramienta “Packetfence” es una herramienta

de código abierto para el Control de Acceso a la Red que se implementó en el

colegio Técnico Salesiano con el objetivo de mejorar la seguridad de la red

mediante políticas de seguridad, utilizando claves como usuario y contraseña y

de esta manera poseer un control de acceso ya sea en la red LAN o inalámbrica.

2. Objetivos.

Se desarrolló este manual para ayudar a los usuarios a utilizar la herramienta de

Control de Acceso a la red Packetfence , de esta manera ayudarles a un correcto

manejo de manera rápida, eficiente y así despejar las dudas que posean

planteándonos los siguientes objetivos:

Enseñar cómo configurar los equipos para usar la herramienta

packetfence

Guiar como realizar la autenticación.

Guiar como realizar un registro de usuarios en la base de datos.

3. Dirigido a:

Este manual está dirigido a al personal administrativo, profesores, alumnos en

general que van a interactuar con la red.

4. Especificaciones técnicos

Para la implementación de la herramienta de control de acceso a la red

packetfence se necesita lo siguiente.

Clientes.

Habilitar 802.1x para redes cableadas.

La configuración en los clientes requiere seguir los siguientes pasos:

Página 190

Para realizarlo debemos iniciar sesión como administrador.

Paso 1.-haga clic en botón inicio, escriba services.msc presione enter

A continuación se apareces una lista de servicios locales, debemos habilitar el

servicio “Configuración automática de redes cableadas” y a continuación

hacemos clic en iniciar, el tipo de inicio lo ponemos en automático

Página 191

Aceptamos los cambios.

Para abrir las conexiones de red, hago clic en el botón inicio y a continuación

haga clic en el panel de control.

Vamos a redes e internet, conexiones de red,cambiar la configuración del

adaptador, identificamos conexión de área local, damos clic derecho en

propiedades y aparece la pestaña adicional de autenticación

Página 192

En la pestaña de autenticación habilitamos la casilla “habilitar autenticación

de IEEE 802.1X “, en el método de autenticación de red elegimos

“Microsoft EAP protegido (PEAP)”

Página 193

Para habilitar opciones adicionales damos clic en configuración adicional,

habilitamos la casilla “especificar modo de autenticación” elegimos

autenticación de usuario y aceptamos los cambios.

Habilitar 802.1x en una red inalámbrica.

Para acceder a la configuración de redes inalámbricas, damos clic en inicio,

panel de control.

Nos aparece un listado en el cual escogemos redes e internet, damos clic en

ver el estado de y las tareas de red.

Página 194

Nos aparece un listado en la parte derecha escogemos inalámbricas y a

continuación, haga clic en “Administrar redes inalámbricas”.luego damos clic

sobre la red en este caso upsnet

Hacemos clic derecho en la red que queremos habilitar la autenticación

802.1x y a continuación hacemos clic en propiedades.

Página 195

Aparece una ventana y escogemos la pestaña seguridad y en tipo de seguridad

tenemos una lista y escogemos 802.1x

Hacemos clic en configuración avanzada, habilitamos la casilla en

“especificar modo de autenticación” escogemos autenticación de usuarios,

aceptamos los cambios y podemos ver que la red upsnet está habilitada con la

seguridad de autenticación 802.1x

Página 196

Habilitar 802.1x en Windows xp

para habilitar 802.1x en los clientes con Sistema Operativo Windows xp,

hacemos clic en inicio, ejecutar digitamos “services.msc”

Aparece un listado de los servicios locales del sistema, buscamos

“configuración automática de redes cableado” damos doble clic y en la

pestaña de tipo de inicio cambiamos a automático, aplicamos los cambios y

guardamos.

Página 197

Luego de aceptar los cambios vamos inicio, mis sitios de red.

Damos doble clic y escogemos la opción “ver conexiones de red”

Página 198

Damos clic derecho sobre “conexiones de área local” propiedades.

Podemos visualizar la pestaña de autenticación.

Página 199

Damos clic en habilitar la autenticación de IEEE802.1X, elegimos el tipo de autenticación

“EAP protegido PEAP”.

Luego de escoger el tipo de autenticación damos clic en configuración y deshabilitamos la

casilla de “validar un certificado del servidor”, de esta manera habilitamos la autenticación.

Página 200

6.2. MANUAL TÉCNICO.

1. INTRODUCCIÓN

El Anàlisis de soluciones de acceso seguro a la red, nos han permitido indagar sobre una

herramienta que nos permita un control de acceso, y para implemantar como un proyecto

piloto en el Colegio “Tècncio Salesiano”, con el fin de restringir los accesos, identificar a

los usaurios, registrar horas y tiempos de conexiòn, asignaciòn de privilegios necesarios ,

etc, todas estas opciones y muchas màs alternativas nos permite la herramienta

Packetfense , la cual ha sido diseñada para proporcionar un completo Sistema de Control

de Acceso a la Red, es una distribución libre basada en Centos, es totalmente

compatible, libre, de confianza y estable.

Por lo tanto es necesario, e importante conocer el procedimeitno para la intalaciòn, manejo

y mantenimiento del servidor y otros dispositivos, con el objetivo de garantizar su buen

funcionamiento y eficacia.

2. OBJETIVOS Y ALCANCE DE LA HERRAMIENTA

2.1 OBJETIVOS

Autorizar únicamente accesos seguros a la

red

Identificar a los usuarios registrados

Registro de hora y tiempos de conexión

Asignación de privilegios

2.2 ALCANCE

La implementación de la herramienta Packetfence se baso en un análisis

previo de las diferentes soluciones de acceso seguro a la red,

fundamentada en el estandar internacional ISO/IEC 27002, el cual se

enfoca específicamente sobre aspectos de seguridad en las tecnologías de

información, mediante la aplicación de 133 controles óptimos a las

Página 201

necesidades de las organizaciones, para nuestra proyecto nos basamos

unicamente en el control que nos confiere la guìa para la gestión de

seguridad de la informaciòn dentro del control o dominio llamado

Control de acceso a la red. La herramienta Packetfense permite cumplir

gran parte de las clàusulas de control de acceso a la red, además de tener

un correcto control de que computadoras o que usuarios tienen acceso a la

red, ya sea a travès de switches, routers, u otros dispositivos, basandose

en el estàndar de autenticaciòn ya sea para equipos portalites, o de

escritorio, es decir podrán conectarse a la red sólo si sus credenciales han

sido validadas por el servidor de autenticación, en donde las credenciales

de usuario, se comprobarán mediante el uso de protocolos de

autenticación especiales que pertenecen al estándar 802.1X.

La solución requerida era poder controlar el acceso a la red, tanto para red

cableada como para la red inalámbrica, solución que se ha cumplido

cabalmente ya que herramienta cumple satisfactoriamente cada una de

estas necesidades

3. DESCRIPCION DEL ESQUEMA DE RED

Página 202

Para el planteamiento del esquema de red, nos basamos en el esquema de red que nos aporto

el adminsitrador de red a efímeros rasgos, cuya estructura es cliente servidor a nivel de 3

capss, es por ello que el switch central se conectarà a nuestro servidor Packetfence que usa

muchos componentes en su infraestructura como: base de datos (Mysql), servidor

apache, dependiendo de la configuración necesitará componentes adicionales, este

servidor se conectará a una base de datos OpenLDAP que almacenará los usuarios y

las contraseñas para su respectiva validación, tiene dos interfaces de red: una interfaz

eth1 para conexiones externas como por ejemplo Internet y una interfaz eth0 para la

administración del packetfence, desde esta interfaz nos conectamos hacia el switch

Cisco 2960, este switch tendrá habilitados sus puertos para autenticación

802.1x/PEAP vía Packetfence, donde a este switch se conectarán los usuarios, en el

instante que el usuario quiera acceder a la red se le notificará que necesita

proporcionar información adicional ( usuario y contraseña) antes de acceder a la red,

una vez digitado correctamente los datos solicitados, el usuario tiene acceso a la red,

el mismo caso se daría para la conexión inalámbrica ya que el Access Point 1130

estará conectado a al swich que solicita autenticación antes del ingreso.

4. INSTALACIÒN

4.1 REQUISITOS DEL SISTEMA

PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto,

requiere los siguientes:

Base de datos del servidor (MySQL)

Servidor web (Apache)

Dependiendo de su configuración pueden ser necesarios componentes adicionales

como:

Servidor DHCP (ISC DHCP)

Servidor DNS (BIND)

Servidor RADIUS (FreeRADIUS)

NIDS (Snort / Suricata)

Todos los componentes se ejecutan en un mismo servidor (es decir, "localhost" o

"127.0.0.1") y PacketFence se instalará en el.

Página 203

La siguiente tabla proporciona recomendaciones para los componentes necesarios,

junto con la versión necesaria para una correcta instalación de packetfense

MySQL server MySQL 4.1 or 5.1

Web server Apache 2.2

DHCP server DHCP 3

DNS server BIND 9

RADIUS server FreeRADIUS 2.1.12

Snort Snort 2.8 or 2.9

Suricata Suricata 1.x

Nota: Se recomienda instalar las versiones más recientes del software mencionado

en la tabla anterior

4.2 REQUERIMIENTOS DE HARDWARE

A continuación se proporciona una lista de recomendaciones de hardware del

servidor:

CPU Intel o AMD a 3 GHz

2GB de RAM

20 GB de espacio en disco (RAID 1 se recomienda)

2 Tarjeta de red

1 para alta disponibilidad

1 para detección de intrusos

4.3 REQUISITOS DEL SISTEMA OPERATIVO

PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y

x86_64:

Red Hat Enterprise Linux 5.x/6.x servidor

Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x

Es importante considerar que se pueda instalar paquetes adicionales de su

distribución estándar. Por ejemplo, cuando se usa Red Hat Enterprise Linux, tiene

que estar suscrito a Red Hat Network antes de continuar con la instalación del

Página 204

software PacketFence. Otras distribuciones como Debian, Fedora y Gentoo

funcionan de manera correcta

4.4 SERVICIOS ACTIVOS

Es importante tener los siguientes servicios activos para su correcto

funcionamiento:

Servidor web (httpd) Servidor

DHCP (dhcpd) Servidor DNS

(nombre) FreeRADIUS servidor

(radiusd)

Snort / Suricata IDS de red (snort / suricata)

Firewall (iptables)

Asegúrese de que todos los demás servicios se inician automáticamente por el

Sistema Operativo

4.5 INSTALACIÓN DE PACKETFENCE

La última versión de PacketFence es 3.5.1, la misma que ha sido puesta a

disposición el 05/09/2012. Esta versión es estable y se puede utilizar en un entorno

de producción.. Estas son las diferentes formas de obtener PacketFence:

A través del yum repositorio es una de las formas más fácil de instalar PacketFence

si utiliza RedHat Enterprise Linux (o un equivalente como distribución CentOS) se

puede utilizar el repositorio de yum. Para ello, basta con crear un archivo llamado /

etc / yum.repos.d / PacketFence.repo con el siguiente contenido:

[PacketFence] name=PacketFenceRepository

baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch

gpgcheck=0

Para RHEL / CentOS 5 y 6

Hay varios repositorios que usted necesita instalar, son dependencias propios

dePacketFence:

Página 205

Repoforge , también conocido anteriormente como rpmforge. Instale el

paquete rpmforge-release para su respectiva distribución y arquitectura

Repositorio EPEL

Repositorio OpenFusion

También es necesario instalar los siguientes componentes adicionales:

MySQL server MySQL 4.1 or 5.1

Web server Apache 2.2

DHCP server DHCP 3

DNS server BIND 9

RADIUS server FreeRADIUS 2.1.12

Snort Snort 2.8 or 2.9

Suricata Suricata 1.x

Es importante actualizar los repositorios para una correcta instalación:

yum update

apt-get update

apt-get upgrade

Usted pude instalar packetfence, con los repositorios necesarios de la siguiente

manera:

packetfence yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence-

complete

O, si lo prefiere, puede instalar sólo el núcleo PacketFence sin todos los servicios

externos, puede utilizar:

yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence

Página 206

Una vez definido los repositorios usted puede instalar packetfence con todas las

dependencias y servicios externos requeridos(servidor DNS, Servidor de Base de

datos, servidor DHCP, servidor Radius) usando:

sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4

sudo apt-get update

sudo apt-get install packetfence

4.6 CONFIGURACIÓN

En esta sección, usted aprenderá cómo configurar PacketFence. PacketFence usa

MySQL, Apache, Servidor DHCP, Servidor DNS y FreeRADIUS. Donde todos los

componentes se ejecutan en el mismo servidor en el que PacketFence se está

instalando.

El primer paso después de instalar los paquetes necesarios es la configuración. De

PacketFence, que nos proporciona una útil y detallado configuración web.

Después de la instalación de paquetes, packetfense se abre desde el la dirección web

http://@ip_packetfence:3000/configurator.Desde allí, el proceso de configuración se

basa en diferentes pasos desde la web.

Paso 1.- Selección de la aplicación

Se puede seleccionar entre: una aplicación Vlan, una aplicación en línea o amabas.

Para este caso seleccionamos una aplicación en línea

Página 207

Paso 2.-Configuraciónde la red.

En este paso configuramos las interfaces de red del sistema, nuestro servidor

packetfence tiene dos interfaces:

Interfaz eth0 con dirección IP estática 172.16.8.3/24 para la administración del

Packetfence

Interfaz eth1 con asignación de IP Dinámica para conexión externa Internet

Página 208

Paso 3.- Configuración de base de datos.

Este paso va a crear la base de datos PacketFence y administrar con el estructura

correcta. Usted necesita crear un usuario de MySQL y asignarlo a la base de datos

recién creada. Para la configuración lo editamos el archivo

/usr/local/pf/conf/pf.conf

Página 209

Paso 4.-Configuración General.

Usted tendrá realizar una configuración básica PacketFence colocando los

parámetros; necesarios como: dominio, el hostname, y Servidor DHCP

Paso 5: Usuario administrativo.

En este paso se le pedirá que cree un usuario administrativo, el mismo que podrá

acceder a la interfaz de administración basada en la web una vez que los servicios

son funcionales;

Página 210

Paso 6.- Inicio de Servicios

Consulte el estado de su configuración, es decir que los servicios hayan iniciado y

estén corriendo

4.7 REVISIÓN DE OPCIONES

Una vez configurados todos los pasos iníciales podemos acceder desde la interfaz

web https:// 192.168.1.3 en donde podemos observar el ESTADO donde usted puede

ver, la cantidad de disco usado, la memoria usada, las consultas SQL que se han

realizado, intento de violaciones recientes, registros recientes, entre otras opciones:

Página 211

En la pestaña USUARIO podemos ver los usuarios registrados, agregar un nuevo

usuario, buscar, y una gestión para invitados

En la siguiente pestaña NODO usted podrá la dirección MAC de la PC, el nombre

del dispositivo conectado, la categoría, el estado, el estado(registrado, no registrado),

la descripción del sistema operativo que se intenta conectar, aquí encontrará las

opciones de Ver, buscar, adicionar e importar.

Página 212

A continuación en la pestaña siguiente podemos observar los intentos de acceso

fallidos, o de usuarios que no han sido registrados, se registra la dirección MAC del

dispositivo que intenta conectarse, así como el nombre del computador, el estado,

descripción y fecha.

En la pestaña administración encontraremos los servicios que hemos instalado,

podremos observar que los servicios que esta ejecutándose y los servicios que están

parados, podemos ver los servicios, los registros, adicionar un administrador, entre

otras opciones.

Página 213

En la siguiente pestaña tenemos varias opciones para ser configuradas dentro de esta

opción podemos modificar las interfaces de red, los switch, categorías de los nodos,

dispositivos flotantes de red, violaciones de restricciones, etc.

Tenemos la opción AVANZADO que se usa para controles de accesos avanzado

4.8 Arrancar Packetfence

Luego de iniciar nuestro servidor necesitamos arrancar el servicio

con

service packetfence start

Usted puede verificar con el comando chkconfig que el servicio

PacketFence para iniciar automáticamente cuando arranca Centos

4.9 CONFIGURACION DEL SWITCH

Para nuestra implementación del proyecto usamos el switch Catalyst 2950, donde

para su respectiva configuración realizamos los siguientes pasos:

Paso 1 Para ingresar al switch necesitamos instalar en nuestro computador el

programa Putty o desde Telnet

Página 214

Paso 2 Luego de su instalación ingresamos en este caso al Putty

Paso 3. Digitamos la dirección IP del switch 172.16.8.3/24 usando el puerto 23,

Vía Telnet y elegimos Open

Paso 4. Se le solicita que ingrese su usuario y clave respectiva del switch

Página 215

Paso5. Una vez ingresado al switch para la configuración 802.1x desde packetfence

digitamos

Switch> enable

Switch# configure terminal

Switch(config)# aaa new model

Switch(config)# aaa group server radius packetfence

Switch(config-sg-radius)# server 172.16.8.3 auth port 1812 acc-port 1813

Switch(config-sg-radius)# end

Switch(config)# aaa authentication login default local

Switch(config)# aaa authentication dot1x default group packetfence

Switch(config)# authorization network default group packetfence

Switch(config)# interface fastEthernet 0/21

Switch(config-if)# switch port model access

Switch(config-if)# dot1x port-control auto

Página 216

Paso 6. En el cliente nos vamos a configuración de red, clic en propiedades de área

local, en la pestaña Autenticación

Habilitamos la autenticación 802.1x en modo protegido PEAP, presionamos aceptar

Página 217

Paso 7. Inmediatamente podemos observar que se presenta un mensaje de que

necesitamos información adicional para acceder a la red.

Paso 8. Se le presentará una ventana para que ingrese su usuario y contraseña, usted

solo podrá tener acceso a la red siempre y cuando este registrado en la base de datos

Página 218

4.10 INGRESO DE USUARIOS A LA BASE DE DATOS

Para el ingreso a la base de datos diseñamos una aplicación web para la

misma usamos:

Servidor Glassfich,

Netbeans

java 5

OpenLDAP,

Apache directory estudio,

Base de datos mysql y postgres

Paso 1 Para entrar a la aplicación ingresamos desde un navegador Web (firefox,

google chroom, etc. ) y digitamos 192.168.200.1:8080/GestionUsuariosLDAP/, aquí

se nos solicita un usuario y contraseña, donde root es el usuario y admin la clave

Página 219

Paso 2 Inmediatamente ingresamos a la administración de usuarios donde podemos

observar los usuarios registrados, podemos crear, modificar y borrar usuarios

Paso 3. En caso que necesitemos ingresar un nuevo usuario, presionamos la opción

Nuevo usuario y llenamos los campos solicitados

Para el ingreso de usuario podemos seleccionar el grupo al que pertenece este usuario

que puede ser Administrador, o general ,para ello seleccionamos en el campo grupo y

posteriormente ingresamos los datos del nuevo usuario.

Para el ingreso de la contraseña esta valida para que cumpla con las normas de

contraseñas seguras como por ejemplo el número de caracteres que debe tener las

contraseñas es de 8 caracteres, con una combinación de letras y números.

Página 220

Podremos observar el nuevo usuario registrado al listar los usuarios

Paso 4. Podemos editar los campos de los usuarios registrados en caso que sea necesario

Se cambiarà los datos necesarios y se presiona GUARDAR

Página 221

CONCLUSIONES Y

RECOMENDACIONES

Página 222

7. Conclusiones y Recomendaciones.

7.1.Conclusiones.

Al realizar un “Análisis de Soluciones de Acceso Seguro a la Red” podemos concluir

que tenemos distintas alternativas a implementar tanto herramientas propietarias y en

código abierto, por tanto se eligió implementar la solución “Packetfence” que es

una herramienta de código abierto nueva y estable que cumple la mayoría de

estándares de seguridad .Para escoger la implementación de dicha herramienta nos

basamos en las directrices del Estándar Internacional Norma ISO/IEC 27002 en lo

que hace referencia a “Control de Acceso a la red” en base a este estándar y

evaluación se logró cumplir las necesidades de un acceso seguro a la red de la

Unidad Educativa Técnico Salesiano. Una vez realizada las respectivas

configuraciones, pruebas se implementara este proyecto de tesis de manera principal

para la red inalámbrica porque personas ajenas a la institución usan este servicio,

para la red cableada se implementará en el ámbito administrativo con los privilegios

necesarios para los usuarios.

7.2.Recomendaciones.

Al haber finalizado el proyecto de tesis titulada “Análisis de Soluciones de Acceso

Seguro a la Red, e Implementación de un Proyecto Piloto para la Unidad

Educativa Técnico Salesiano" queremos aportar con algunas recomendaciones para

el correcto funcionamiento de la aplicación

Es importante resaltar que Packetfence es una herramienta actual, cuya

última versión instalada es la 3.5.1, sin embargo sabemos que dichas

herramientas se actualizan constantemente brindando mayores beneficios en

cada nueva actualización,

Packetfence es una solución de código abierto,es una distribución de Linux

basada en CentOS 6, por lo que se recomienda sea instalada ya sea en Centos

o Red Hat, puesto que la instalación para otras distribuciones de Linux tiene

un mayor grado de dificultad

Página 223

Es importante ejecutar todos los componentes y dependencias necesarias

antes de la instalación de packetfence para evitar posibles errores

Recuerde que PacketFence se integra perfectamente con las redes

inalámbricas a través de un módulo de FreeRADIUS, esto le permite

asegurar sus redes alámbricas e inalámbricas, así como también con la base

de datos de usuario o puede usar el portal cautivo de la misma herramienta,

Usted podría activar el módulo Snort para detectar Actividades anormales de

la red como: virus informáticos, gusanos, software espía, accesos denegados,

etc.

PacketFence puede realizar una evaluación completa del estado de salud del

dispositivo de conexión con el uso del protocolo de la Salud TNC. Por

ejemplo, PacketFence puede verificar si los antivirus están instalado y

actualizado, si hay parches que se aplican al Sistema Operativo y mucho

más todo esto sin ningún agente instalado en el dispositivo de punto final.

PacketFence es compatible con varias técnicas de aislamiento, como el

aislamiento VLAN con soporte para VoIP (incluso en entornos

heterogéneos) para múltiples fabricantes de conmutadores, dependiendo de

las técnicas de aislamiento que tenga la organización usted podría hacerlo

compatible con la herramienta packetfence

La mayoría de las organizaciones hacen frente a una gran cantidad de

consultores de diversas empresas en el terreno que requieren acceso a

Internet para su trabajo. En la mayoría de los casos, un acceso a la red

corporativa se da con poca o ninguna auditoría de la persona o dispositivo,

para evitar estos inconvenientes usted puede usar configurar una Vlan de

invitados dentro del portal cautivo de packetfence y configurar su red para

que la VLAN invitada sólo sale a la Internet

Para el ingreso de los usuarios se recomienda crear un modulo para la

migración de los datos, ya que es tedioso ingresar muchos usuarios a mano,

se pueden usar los campos usuario y contraseña que tengan almacenados en

una base de datos como por ejemplo los usuarios y contraseñas almacenados

para el correo electrónico institucional.

Para el ingreso de datos de usuarios se implemento un herramienta de

ingreso de datos que se puede acceder desde la web.

Página 224

Para la aplicación del proyecto se debe capacitar a los estudiantes y personal

administrativo y al personal que dará soporte técnico que forman parte de la

institución sobre la configuración para activar la autenticación de 802.1x de

sus máquinas sobre todo en el ámbito inalámbrico.

BIBLIOGRAFÍA

Página 225

[1] CARRACEDO GALLARDO, Justo, Seguridad en Redes Telemáticas, 1ra.Edición,

Editorial McGraw-Hill/Interamericana, España, 2004.

[2] BELLO, Claudia, Manual de Seguridad en Redes, 1ra Edición, Editorial Arcert,

Argentina 2002.

[3] AGUIRRE RAMIO, Jorge, Seguridad Informatica y Criptografia Versión 4.1 , 6ta

Edición, Editorial Departamento de Publicaciones de la Escuela Universitaria de Informática

de la Universidad Politécnica de Madrid, España, 2006.

[4] NAKHJIRI Madjid and NAKHJIRI Nahsa, AAA and Network Security for Mobile

Access : Radius, Diameter, EAP, PKI and IP Mobility, 1ra Edición, Syngress, USA

2005.

[5] KNIPP Eric,BROWNE Brian y otros , Cisco Network Security, 2da Edicion, Editorial

Syngress, Estados Unidos de America 2002

[6] ISO 27002, Norma Técnica ntc-iso/iec 27002 Tecnologías de la información, Técnicas de

Seguridad, Código de práctica para la gestión de la seguridad de la información, 1ra

Edición, Colombia 2007.

[7] Introduccion a la Norma ISO (recuperado en Noviembre 2011),

“http://trace.wisc.edu/docs/taacmtg_sep96/iso.htm”

[8] Control de Acceso “(recuperado en Diciembre 2011),

http://www.mindtools.com/CXCtour/PDCA.php”

[9] Control de acceso en sistemas informaticos (recuperado en Diciembre 2011),

http://www.subinet.es/guias-y-tips/guias-tips-internet/%C2%BFque-es-el-control-de-

acceso-en-sistemas-informaticos/”

[10] Administracion y Seguridad en Redes (recuperado en Diciembre 2011),

http://yoalo.wikispaces.com/4.4+Control+de+acceso+criptogr%C3%A1fico”

[11] Control de acceso en sistemas informaticos, (recuperado en Enero 2012),

http://www.subinet.es/guias-y-tips/guias-y-tips-seguridad/%C2%BFcuales-son-los-

modelos-de-control-de-acceso/”

[12] Network Access Proteccion Platform Architecture (recuperado en Enero 2012),

http://www.microsoft.com/en-us/download/details.aspx?id=8415

[13] Network Access Proteccion Platform Architecture, (recuperado en Febrero 2012),

”http://www.microsoft.com/nap”,

[14] Cisco System and Microsoft Corporation , Cisco Network Admission Control and

Microsoft Network Access Proteccion Interoperability Architecture, Editorial Cisco Press,

Indianapolis Septiembre 2006.

[15] Cisco System, Network Admission Control, Editorial Cisco Press , USA Agosto 2007

[16] Cisco System, Network Admission Control Framework, Editorial Cisco Press, USA

Febrero 2008.

[17] FreeNac is an OpenSource Solution for LAN, (recuperado en Marzo 2012)

http://www.freenac.net

[18] Cisco System, Catalys 2950 Desktop Switch Software Configuration Guide, Editorial

Cisco Press, USA 2002

[19] Packetfence Solution, (recuperado en Julio 2012)

http://www.packetfence.org,

[20] Cisco System, Configuring 802.1x Port-Based Autenticathion,Editorial Cisco Press,

Editorial Cisco Press, USA Marzo 2002.