resumen del capitulo 3
Post on 06-Apr-2016
227 Views
Preview:
TRANSCRIPT
Resumen del Capítulo 3. Como Diseñar una Política de Red.
Por: Lic. Juan Daniel Mitre Gil
Una política de red es un documento que describe las normas o estrategias en cuanto a
Seguridad de Redes con las que debe contar una organización.
Planeación de la Política de Red.
Al hacer una política de red es necesario que quien la planifique se haga algunas
preguntas básicas como que recursos desea proteger y a cuales les puede dar acceso a
los usuarios. Es por ello que implantar seguridad en una red por medio de barreras debe
ser algo consensuado con los usuarios y administradores ya que podría causar algunas
molestias en las organizaciones.
Política de Seguridad del Sitio.
Si una organización posee varios sitios, los cuales no están interconectados entre sí, cada
sitio puede crear sus propias políticas de red basados en sus objetivos y necesidad; sin
embargo, si los sitios están interconectados por una red interna, quien planea la política
de seguridad debe tomar en cuenta todos los objetivos de los diferentes sitios y tomarlos
en cuenta a la hora de establecer una política de red. Se deben tomar en cuenta los
equipos de red y de informática conectados a la misma, así como las necesidades y
requerimientos del equipo humano y físico.
Planteamiento de una Política de Seguridad.
Al momento de implantar una política de Seguridad se deben tomar en cuenta algunos
parámetros importantes como recursos a proteger, personas de quien protegerse,
amenazas reales, importancia del recurso, medidas de protección que se pueden utilizar y
el monitoreo constante de los recursos.
Se puede confeccionar una tabla y tomar en cuenta algunos ítems importantes como son
los recursos que se desean proteger, la cantidad de esos recursos y determinar las
posibles amenazas hacia ellos.
Adicionalmente se debe tomar en cuenta al recurso humano necesario para el
planteamiento de la política de seguridad y en muchas ocasiones se deben usar recursos
externos para ello.
Aseguramiento de la Seguridad de una Política de Red.
Todos los entes involucrados en el uso de los recursos de una red deben ser capaces de
salvaguardar los intereses de la organización. Adicionalmente se debe dialogar homologar
respecto a este tema a fin de que cada parte involucrada dentro de una empresa cumpla
con sus obligaciones de acceso a la red.
Análisis de Riesgos.
Qué proteger, de quién proteger y cómo protegerlo son las preguntas que debo hacer al
realizar un análisis de riesgos en una red. Datos importantes indican que la mayor parte
de las fugas de información provienen de dentro de las organizaciones y no de afuera.
Por lo que quizá nuestro análisis deba ir encaminado hacia los agentes internos que
podrían causar pérdidas o daños en la red. En el análisis del riesgo se debe tomar en
cuenta la importancia del recurso y el riesgo de su pérdida.
De esta forma entonces se podría obtener una ecuación en donde se pondere el la
importancia y la posibilidad del riesgo en relación a su valor dentro de la organización
dando como resultado una proporción directa que nos indica que la posibilidad del riesgo
depende directamente de la importancia del recurso y viceversa.
Disponibilidad, integridad y carácter confidencial son algunos de los otros parámetros que
se deben considerar en el análisis de riesgos.
Identificar Recursos.
El análisis de red debe permitirle a usted poder identificar los recursos que están
involucrados en una red. Como es bien sabido, el recurso hardware es lo primero que
observamos al tratar de realizar un análisis de riesgos. Pero el recurso humano muchas
veces es obviado.
El documento RCF1244 nos listas algunos recursos que debemos tomar en cuenta en el
análisis de riesgos como son: Hardware, Software, Datos, Gente, Documentación,
Accesorios.
Cómo Identificar amenazas.
1. Definición de Acceso no Autorizado.
El uso del recurso de red sin el permiso indicado se considera acceso no autorizado.
Este puede darse ya sea utilizando la contraseña de otro usuario o tratando de entrar
a la red por medio de un software malicioso.
2. Riesgo de Divulgar la Información.
Es otro factor que debe ser tomado en cuenta en la evaluación del riesgo y establecer
las políticas de confidencialidad esperadas.
3. Servicio Denegado.
Un problema que pueden tener las redes es la negación de un servicio. Esta negación
puede ser originada de diferentes formas: red inservible por flujo de tráfico, por
paquetes extraviados, inhabilitación de componentes críticos, virus que causen daños
o inversión de funciones de la red por protección.
Cómo identificar a quien se le permite usar los recursos de la red.
Se debe crear una lista de posibles usuarios internos de la red, así como usuarios
externos.
1. Identifique el Uso correcto de los recursos.
Se deben crear las guías para el buen uso de la red. Para cada tipo de usuario se
determinará la guía a utilizar. Deberá determinarse en ella las responsabilidades de cada
usuario en la red. Se debe dejar establecido en el documento que no se está permitido
ignorar la seguridad a fin de evitar conflictos legales.
Cómo determinar quien está autorizado a otorgar acceso y aprobar el uso.
El administrador de la red debe ser el responsable de otorgar los permisos necesarios
para cada usuario.
Cómo determinar las responsabilidades del usuario.
Se deben tomar en cuenta factores como:
- Guía para el usuario en caso de estar restringidos y sus restricciones.
- El abuso en términos de red.
La Asociación de Correo Electrónico considera que cada organización debe tener su
propia política con respecto a la privacidad del empleado. Considera algunos aspectos
como: cumplimiento de la política, compromiso del empleado frente a la política, la
política enmarca las normas de comunicación y si se ha divulgado la política y los
involucrados están de acuerdo con la misma.
Cómo determinar las responsabilidades de los Administradores del Sistema.
En muchas ocasiones es necesario que los administradores invadan el espacio de los
usuarios a fin de garantizar algunos procedimientos o normas que garanticen la
funcionalidad de la red. Sin embargo, también es necesario mantener la privacidad de los
usuarios. Por estas razones debemos entonces garantizar dentro de las normas hasta
donde pueden los administradores invadir el espacio del usuario y en qué momento
hacerlo. Para ello debo formular algunas preguntas como: puede el administrador revisar
los archivos del usuario, tiene derecho a analizar el tráfico, cuales son las contingencias
necesarias para usuarios, administradores y organizaciones.
Qué hacer con la Información delicada.
Existen datos dentro de la organización que deben ser restringidos para todos los
usuarios, que solo deben ser manejados por algunos directivos, por esta razón deben
entonces establecerse algunas normas de seguridad que incluyan este tipo de
restricciones para los administradores de red en donde no puedan invadir esta privacidad.
Plan de Acción cuando una Política de Seguridad es violada.
Cuando la seguridad ha sido violada la política deberá ser cambiada. Cuando se detecte
una violación deberá ser clasificada en: negligencia, accidente o error, ignorancia de la
política o ignorancia deliberada. En caso de ser ignorancia deliberada puede que no
solamente un individuo haya realizado esta violación. Se debe realizar una investigación
inmediata.
Cómo responder a las violaciones.
Dependiendo si se han establecido o no las responsabilidades de cada usuario ante las
políticas de seguridad entonces se deben también establecer respuestas para las
violaciones que deberán ir desde una amonestación verbal hasta sanciones severas
dependiendo del tipo de violación y de la información que haya sido extraviada.
Como Interpretar y Publicar una política de seguridad.
Es importante identificar a los individuos que interpretarán una política. Debe tratar de
crearse un comité, pero tampoco es bueno tener tantos miembros.
Se debe asegurar que sea diseminada y discutida con amplitud.
Para identificar y prevenir problemas de seguridad.
Muchas veces la política define conceptos en general, pero no hace referencia a la forma
como se deben guardar los archivos para prevenir pérdidas.
Además de realizar un análisis se debe identificar puntos débiles. Mencionaremos
algunos puntos débiles o problemas comunes:
a. Puntos de acceso: son puntos de entrada para usuarios autorizados. Tener muchos
aumenta los riesgos.
b. Sistemas mal configurados: el anfitrión debe estar bien configurado para responder a
ataques de intrusos, de no hacerlo podrá ser objeto de pérdidas de la información.
c. Problemas de software: entre mas complejo sea el software mayores y mas complejos
problemas traerá a la organización.
d. Amenazas de usuarios de confianza: es más fácil recibir ataques desde dentro que
desde fuera, esto quiere decir que el sistema debe prever estos ataques.
e. Seguridad Física: si la computadora, por sí misma no tiene seguridad física, los
mecanismos de seguridad del software pueden ser ignorados con facilidad.
CONFIDENCIALIDAD.
La confidencialidad puede definirse como el acto de mantener las cosas en secreto.
La información puede perderse en tres situaciones: cuando se guarda en el sistema,
cuando se transfiere por la red, cuando se guarda en dispositivos.
El acceso a la información puede controlarse con Listas de control y otros mecanismos.
Los datos en tránsito pueden protegerse con encriptación. En caso de tener unidades de
almacenamiento externas deben guardarse en lugares seguros.
IMPLANTACIÓN DE CONTROLES COSTEABLES A LA POLÍTICA.
No es necesario gastar grandes sumas de dinero para proteger o restringir el uso de un
recurso.
Como utilizar estrategias de reserva.
Si el análisis de riesgo le indica que resulta crítico entonces deben utilizarse estrategias
múltiples para proteger los recursos.
Un ejemplo de controles simples son los módems para volver a llamar que pueden
utilizarse junto con los mecanismos tradicionales de registro. Estos pueden
incrementarse con tarjetas inteligentes o autenticadores manuales de un paso.
Como vigilar los mecanismos de control.
El administrador del sistema deberá verificar los archivos de registro que guarda el
sistema de forma regular para tratar de detectar el uso no autorizado del sistema. Algunos
métodos que puede utilizar para esto son:
- Vigilar las entradas y salidos de usuarios en hora no comunes.
- Verificar patrones inusuales de las cuentas.
- Verificar archivos de registros de errores o de ingresos fallidos, ya que podría ser un
intruso que trata de adivinar las contraseñas del sistema.
- Algunos sistemas operativos guardan registro de los archivos que se ejecutan en el
sistema. Debe verificarse los programas a los cuales tienen acceso los usuarios.
Horario de Vigilancia.
Los administradores deben hacer una vigilancia a lo largo del día, pero no en el mismo
horario porque puede resultar tedioso. Sí se deben ejecutar los archivos y comandos en
horas de descanso del personal. Al ejecutar de forma constante las herramientas de
seguridad detectará patrones que le permitirán detectar alguna anomalía.
Se deben alternar las horas en que se vigilar el sistema, y realizarlo varias veces al día de
forma tal que los usuarios no pueden detectar las horas en que se vigila en sistema, ya
que si se establece una hora constante se detectará.
Procedimientos para Informar.
En caso de detectar accesos no autorizados deberá documentarse y además deberá
determinarse a quien informar en caso de estas intromisiones. Por otro lado, dicho
documento deberá incluir.
- Procedimientos para el manejo de cuentas.
- Configuración de procedimientos de administración.
- Procedimientos de recuperación.
- Procedimientos para informar problemas de administradores de la red.
CÓMO PROTEGER LAS CONEXIONES DE RED.
Si Usted posee una red, lo más probable es que reciba ataques por medio de una red
externa como internet. Entonces usted deberá protegerse de estas amenazas. Si utiliza
protocolos diferentes al utilizado por internet de igual forma se verá amenazado por la
técnica conocida como túneles IP.
Se deben eliminar los accesos a puntos de red. Deben evitarse las conexiones a través
de anfitriones que guarden material delicado.
Si necesita conectarse a internet deberá considerar conectarse a través de un solo
anfitrión, para que este funcione como una barrera entre usted y los intrusos, de modo
que se pueda crear algún tipo de filtro.
Cómo utilizar la encriptación para proteger la red.
La encriptación es el proceso que se utiliza para convertir un archivo en un formato que
otros puedan leer. La desencriptación es el proceso contrario, es decir, convertir el archivo
en algo legible. Este proceso sirve para proteger archivos ya sea en tránsito o guardados
que sólo puedan ser desencriptados por alguien que conozca la forma en que se encriptó.
La encriptación de extremo a extremo ocurre en paquetes en tránsito.
Quizá todos los algoritmos de cifrado simétrico descritos hasta la actualidad poseen la
estructura de bloque, incluida en el algoritmo DES (Data Escryption Standard) descrita en
el año 1973 por Hort Feistel de IBM. La Figura No 1 muestra la red clásica de Fiestel.
El sistema operativo UNIX usa el comando Crytpt, el cual está basado en el dispositivo
llamado enigma de la 2da. Guerra Mundial, se considera muy inseguro.
El correo electrónico es mas complicado de encriptar ya que el protocolo SMTP no acepta
la conversión de datos de texto en datos binarios, por lo cual es necesario utilizar otro tipo
de enfoques. El PEM es un método que utiliza un sistema de encriptación de correos
electrónicos que ha tenido gran aceptación.
Autenticación del Origen.
Se refiere en corroborar de manera oportuna que la persona que le está enviando a usted
un correo electrónico sea quien dice ser. Ya que en muchas ocasiones se podrá suplantar
el nombre de quien envía el correo electrónico y sea un intruso.
Esta autenticación del origen la realiza un criptosistema de clave pública, el cual utiliza
dos contraseñas. Una pública que puede ser descubierta fácilmente y otra privada que
sólo la conoce el grupo que la creó.
Integridad de la Información.
Cuando un documento es enviado en la red, se debe verificar que el archivo no haya sido
alterado. Esto se llama integridad y se refiere al proceso que verifica que la información
haya sido enviada y completa sin cambios.
La encriptación es la forma de guardar o mantener la integridad de la información si esta
es transmitida por internet.
Cómo usar las sumas de la verificación.
La suma de verificación es un mecanismo simple y efectivo para verificar la integridad. Se
hace comparando el valor original de un archivo con su valor previo. Si las sumas de
verificación son iguales el archivo no ha sido cambiado. Muchos programas de
descompresión de usan para transmitir los rachivos y evitar el uso de grandes espacios
en disco.
La suma de verificación criptográfica.
Conocida también como criptosellado. En ella los datos se dividen en grupos más
pequeños y se calcula una soma de verificación para cada grupo de datos. Entonces las
sumas de verificación se verificacn de todos los grupos de datos y se mezclan.
Otro método llamado codigo de detección de manipulación o función desmenuzadora de
una vía, puede usarse para detectar modificaciones a un archivo.
Cómo usar sistemas de autentificación.
Autenticación se define como el proceso de proporcionar una identidad declarada a la
satisfacción de alguna autoridad que otorgue permisos.
En la mayoria de los sistemas el usuario debe especificar una contraseña para su nombre
de usuario, el prooposito es verificar que el usuario es quien dice ser. El password es el
mecanismo de autenticación.
Los mecanismos de autenticación son una combinación de hardware, software y
procedimientos que permiten al usuario tener acceso a una computadora. Todo sitio debe
tener políticas para adoptar la autenticación.
Cómo utilizar tarjetas inteligentes.
Una tarjeta inteligente es un dispositivo portátil manual que tiene un microprocesador,
puertos de entrada y salida y algunos kilobytes de memoria no volátil. El usuario debe
poseer uno de estos dispositovs para poder registrarse en el sistema.
La computadora anfitrión le indica al usuario que muestre un valor obtenido de una tarjeta
inteligente cuando la computadora le pida la contraseña. A veces la maquina anfitrión le
da al usuaruo alguna información que el usuario deberá introducir en la tarjeta inteligente.
Cómo utilizar Kerberos.
Kerberos es una conexión de software de red que se emplea para establecer la identidad
de un usuario.
Utiliza una combinación de encriptación y bases de datos distribuidas de forma tal que un
usuario pueda conectarse desde cualquier punto a través de un usuario y contraseña.
Listas de Correo.
Las listas de correo se manteienen por servidores de listas de Internet. Cuando se una a
una lista de correo, podrá comunicarse con usuarios en esta lista por correo electrónico.
Para enviar su respuesta o puntos de vista sobre un tema, pocrá enviar un correo a una
lista de correo. Todos los que estén en esta lista recibirán su mensaje.
Equipos de respueta de Seguridad.
Algunas organizaciones han formado un grupo de expertos en seguridad que tienene que
ver con problemas de seguridad en las computadoras. Estos grupos recaban información
sobre posibles lagunas de seguridad de los sistemas, diseminan esta información y la
remiten a la gente apropiada. Pueden ayudar a localizar intrusos y brindan ayuda y guía
para recuperarse de villaciones a la seguridad. Los grupos pueden tener listas de
distribución de correo electrónico y números de teléfono especiales donde llamar para la
información o avisar de un problema.
top related