sábado, 18 de junio de 2016

1.2 Seguridad en TIC


Lista de control de acceso (ACL)

   Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

     Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.



    En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos.





Existen dos tipos de listas de control de acceso: listas fijas y listas variables.


INSPECT

                                                                                    
    FireWall-1 es la solución firewall de la empresa CheckPoint. Provee herramientas para la administración de aspectos de seguridad distribuida sobre una red.

   FireWall-1 permite definir una política de seguridad de forma central utilizando una herramienta gráfica, y una vez que se ha definido una regla o conjunto de reglas, el sistema provee la habilidad de definir sobre que puntos de la red serán aplicadas.

  El lenguaje utilizado por FireWall-1 para la definición de políticas de seguridad, llamado INSPECT  permite incorporar aspectos de reglas de seguridad, conocimiento particular de las aplicaciones, información de contexto, y datos de comunicación en un solo sistema. Es un lenguaje script de alto nivel, orientado a objetos que provee a su Modulo de Inspección un medio de implementar la política de seguridad diseñada para la red completa.




   En la mayoría de los casos, la política es definida usando la interfaz gráfica de FireWall-1. A partir de la política de seguridad, se genera un script de inspección, escrito en código INSPECT. Luego se genera un código de inspección del script y es cargado en los puntos de aplicación del firewall, donde reside en Modulo de Inspección (encargado de aplicar la política correspondiente). Los scripts son archivos en código ASCII por lo que son fácilmente editables para facilitar tareas de depuración o cubrir requerimientos especializados.

  INSPECT provee extensibilidad del sistema, permitiendo a una organización incorporar nuevas aplicaciones, servicios y protocolos, simplemente modificando una de las plantillas de scripts propias de FireWall-1 usando la interfaz gráfica.



Protocolo SNMP



      El Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network Management Protocol) es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.






     SNMP es un componente de la suite de protocolo de Internet como se define por el IETF. Se compone de un conjunto de normas para la gestión de la red, incluyendo una capa de aplicación del protocolo , una base de datos de esquema , y un conjunto de objetos de datos . Las versiones de SNMP más utilizadas son SNMP versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2).

    SNMP en su última versión (SNMPv3) posee cambios significativos con relación a sus predecesores, sobre todo en aspectos de seguridad; sin embargo no ha sido mayoritariamente aceptado en la industria.


Función de Protocolo SNMP


      En usos típicos SNMP, uno o más equipos administrativos, llamados gerentes, tienen la tarea de supervisión o la gestión de un grupo de hosts o dispositivos de una red informática. En cada sistema gestionado se ejecuta, en todo momento, un componente de software llamado agente que reporta la información a través de SNMP con el gerente. 






     Los agentes SNMP exponen los datos de gestión en los sistemas administrados como variables. El protocolo también permite realizar tareas de gestión de activos, tales como la modificación y la aplicación de una nueva configuración a través de la modificación remota de estas variables. Las variables accesibles a través de SNMP están organizadas en jerarquías. Estas jerarquías, y otros metadatos (tales como el tipo y la descripción de la variable), se describen por Bases de Información de Gestión (MIB).


Comandos básicos

   Los dispositivos administrados son supervisados y controlados usando cuatro comandos SNMP básicos: lectura, escritura, notificación y operaciones transversales.

    El comando de lectura es usado por un NMS para supervisar elementos de red. El NMS examina diferentes variables que son mantenidas por los dispositivos administrados.

El comando de escritura es usado por un NMS para controlar elementos de red. El NMS cambia los valores de las variables almacenadas dentro de los dispositivos administrados.

      El comando de notificación es usado por los dispositivos administrados para reportar eventos en forma asíncrona a un NMS. Cuando cierto tipo de evento ocurre, un dispositivo administrado envía una notificación al NMS.


    Las operaciones transversales son usadas por el NMS para determinar qué variables soporta un dispositivo administrado y para recoger secuencialmente información en tablas de variables, como por ejemplo, una tabla de rutas.


1.1Seguridad en TIC



SEGURIDAD EN TIC


  El Programa de Seguridad en TIC tiene por objetivo fortalecer las capacidades del sistema científico local en todo lo referido a seguridad informática, así como las capacidades tecnológicas de las empresas y del Estado en lo referido a esa temática, fomentando la mayor interacción entre el ámbito académico y el sector productivo.

Zone Firewall:

    Un firewall es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad.

     La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.



 También es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

 Si está correctamente configurado, un firewall añade protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

   También puede ofrecer control de acceso a los sistemas de un sitio. Por ejemplo, algunos servidores pueden ponerse al alcance de redes externas, mientras que otros pueden cerrarse de una manera efectiva al acceso no deseado.



    Un firewall para una organización en que la mayoría del software modificado y el software de seguridad adicional puede localizarse en el sistema de firewall puede resultar menos costoso que si se distribuye en cada servidor o máquina. En particular, los sistemas de contraseña desechables y otro software de autenticación agregado puede localizarse en el firewall en lugar de en cada sistema al cual se necesita tener acceso desde Internet.





Adaptive Security Algorithm (ASA) :

     Es un dispositivo de  seguridad para la red, ademas posee otras características tales como soporte  a VPN y redes LAN, diferentes opciones de conexión de red  de alta velocidad etc.

   El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de estado de la conexión (PIX es stateful) en memoria; para ello, a cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna).



      Los sistemas ASA-5500® Series son una fácil solución de implementar que integra un Firewall de clase mundial, Seguridad enfocada para comunicaciones unificadas (Voz y Video), enlaces de VPN SSL y IPsec, Prevención de intrusos y servicios de seguridad en contenidos, y todo en un flexible y modular producto.

     Diseñado como un componente básico para una implementación de una red auto defendible, los sistemas Cisco® ASA-5505® proveen de una inteligente protección de amenazas y proporciona servicios seguros de comunicación, que previene ataques, antes de que impacten en la operación de las empresas.

    Los sistemas Cisco® ASA-5500® Series están diseñados para su implementación desde una Pequeña empresa u oficina remota, hasta un gran corporativo, gracias a sus diferentes modelos y versiones escalables que se pueden ir armando de acuerdo a las necesidades del cliente al momento del diseño de la red, lo que ayuda a todo tipo de organizaciones, a tener una conexión segura al Internet, proteger la información de su red, y cuidando el presupuesto, obteniendo un equipo de precio competitivo que ofrezca servicios de seguridad extrema.

Entre sus beneficios, el software Cisco ASA :

  • Ofrece capacidades integradas de IPS, VPN y Comunicaciones unificadas
  • Ayuda a las organizaciones a aumentar su capacidad y mejorar el rendimiento mediante la agrupación
  • Proporciona alta disponibilidad para aplicaciones con gran capacidad de recuperación
  • Ofrece sensibilidad al contexto mediante etiquetes grupales de seguridad Cisco TrustSec y firewall basado en identidad
  • Facilita el routing dinámico y las redes VPN de sitio a sitio según el contexto





VPN


   Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.



   Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.



     La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la designación "virtual private network"




1.2 Servicios Locales





Correo Electronico E-mail


    Correo electrónico (en inglés: e-mail), es un servicio de red que permite a los usuarios enviar y recibir mensajes (también denominados mensajes electrónicos o cartas digitales) mediante sistemas de comunicación electrónica. Para denominar al sistema que provee este servicio en Internet, mediante el protocolo SMTP, aunque por extensión también puede verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de mensajes de correo electrónico se puede enviar, no solamente texto, sino todo tipo de documentos digitales dependiendo del sistema que se use.

El símbolo arroba forma parte de todos los correos electrónicos


Funcionamiento

    No se pueden mandar mensajes entre computadores personales o entre dos terminales de una computadora central. Los mensajes se archivan en un buzón (una manera rápida de mandar mensajes). Cuando una persona decide escribir un correo electrónico, su programa (o correo web) le pedirá como mínimo tres cosas:

  • Destinatario: una o varias direcciones de correo a las que ha de llegar el mensaje
  • Asunto: una descripción corta que verá la persona que lo reciba antes de abrir el correo
  • El propio mensaje. Puede ser sólo texto, o incluir formato, y no hay límite de tamaño
  •  
     Además, se suele dar la opción de incluir archivos adjuntos al mensaje. Esto permite traspasar datos informáticos de cualquier tipo mediante el correo electrónico.

   Para especificar el destinatario del mensaje, se escribe su dirección de correo en el campo llamado Para dentro de la interfaz (ver imagen de arriba). Si el destino son varias personas, normalmente se puede usar una lista con todas las direcciones, separadas por comas o punto y coma.
  
    Además del campo Para existen los campos CC y CCO, que son opcionales y sirven para hacer llegar copias del mensaje a otras personas:

  • Campo CC (Copia de Carbón): quienes estén en esta lista recibirán también el mensaje, pero verán que no va dirigido a ellos, sino a quien esté puesto en el campo Para. Como el campo CC lo ven todos los que reciben el mensaje, tanto el destinatario principal como los del campo CC pueden ver la lista completa.

  • Campo CCO (Copia de Carbón Oculta): una variante del CC, que hace que los destinatarios reciban el mensaje sin aparecer en ninguna lista. Por tanto, el campo CCO nunca lo ve ningún destinatario.
  
   Un ejemplo: Ana escribe un correo electrónico a Beatriz (su profesora), para enviarle un trabajo. Sus compañeros de grupo, Carlos y David, quieren recibir una copia del mensaje como comprobante de que se ha enviado correctamente, así que les incluye en el campo CC. Por último, sabe que a su hermano Esteban también le gustaría ver este trabajo aunque no forma parte del grupo, así que le incluye en el campoCCO para que reciba una copia sin que los demás se enteren.

Entonces:
  • Beatriz recibe el mensaje dirigido a ella (sale en el campo Para), y ve que Carlos y David también lo han recibido
  • Carlos recibe un mensaje que no va dirigido a él, pero ve que aparece en el campo CC, y por eso lo recibe. En el campo Para sigue viendo a Beatriz
  • David, igual que Carlos, ya que estaban en la misma lista (CC)
  • Esteban recibe el correo de Ana, que está dirigido a Beatriz. Ve que Carlos y David también lo han recibido (ya que salen en el CC), pero no se puede ver a él mismo en ninguna lista, cosa que le extraña. Al final, supone que es que Ana le incluyó en el campo CCO.
  • Campo Reply-To (responder) Dirección dónde el emisor quiere que se le conteste. Muy útil si el emisor dispone de varias cuentas.
  • Campo Date (fecha, y hora, del mensaje) Fecha y hora de cuando se envió del mensaje. Si el sistema que envía el mensaje tiene la fecha y/u hora equivocadas, puede generar confusión.

Esquema de funcionamiento del correo electrónico



Secure Shell

   SSH (Secure SHell, en español: intérprete de órdenes seguro) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X (Sistema de Ventanas X) para poder ejecutar programas gráficos si tenemos ejecutando un Servidor X (en sistemas Unix y Windows).

    Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto archivos sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.




Voz sobre protocolo de internet(VOIP)


    Voz sobre protocolo de internet o Voz por protocolo de internet, también llamado voz sobre IP, voz IP, vozIP o VoIP (siglas en inglés de voice over IP: ‘voz por IP’), es un conjunto de recursos que hacen posible que la señal de voz viaje a través de Internet empleando el protocolo IP (Protocolo de Internet). Esto significa que se envía la señal de voz en forma digital, en paquetes de datos, en lugar de enviarla en forma analógica a través de circuitos utilizables sólo por telefonía convencional, como las redes PSTN (siglas de Public Switched Telephone Network, red telefónica pública conmutada).

     Los protocolos de internet que se usan para enviar las señales de voz sobre la red IP se conocen como protocolos de voz sobre IP o protocolos IP. Estos pueden verse como aplicaciones comerciales de la «red experimental de protocolo de voz» (1973), inventada por ARPANET.

    El tráfico de voz sobre IP puede circular por cualquier red IP, incluyendo aquellas conectadas a Internet, como por ejemplo las LAN (local area network: redes de área local).

Es muy importante diferenciar entre voz sobre IP (VoIP) y telefonía sobre IP.

   VoIP es el conjunto de normas, dispositivos, protocolos ―en definitiva, la tecnología― que permite transmitir voz sobre el protocolo IP.

    La telefonía sobre IP es el servicio telefónico disponible al público, por tanto con numeración E.164, realizado con tecnología de VoIP.


Soluciones típicas basadas en VoIP.


Adaptador para conectar un teléfono analógico a una red VoIP.




Avaya 1140E VoIP Phone.




Protocolo de enrutamiento Static y Dynamic


      Los protocolos de enrutamiento se dividen por vector distancia y estado de enlace. El enrutamiento por vector-distancia determina la dirección y la distancia (vector).La distancia puede ser el número de saltos hasta el enlace. Entre sus desventajas tenemos la lenta convergencia, la vulnerabilidad a bucles de enrutamiento y además que no tienen en cuenta la velocidad ni la fiabilidad del enlace.

    Una red con un número pequeño de enrutadores puede ser configurada con enrutamiento estático. Para una red con un solo gateway, la mejor opción es el enrutamiento estático. Una tabla de enrutamiento estático se construye manualmente,  usando el comando ip route. Las tablas de enrutamiento estático no responden a los cambios de la red,  son adecuadas cuando las rutas no cambian.



Ventajas del enrutamiento estático:

- Puede realizar copias de seguridad de varias interfaces o redes en un router.
- Es fácil de configurar
- No se necesitan recursos adicionales
- Es más seguro

 Desventajas del enrutamiento estático:

- Los cambios de la red requieren re-configuraciones manuales.
- No permite una escalabilidad eficaz en topologías grandes



Protocolo de Enrutamiento Dinámico


     Los protocolos de enrutamiento dinámico generalmente se usan en redes de mayor tamaño para facilitar la sobrecarga administrativa y operativa que implica el uso de rutas estáticas únicamente. Normalmente, una red usa una combinación de un protocolo de enrutamiento dinámico y rutas estáticas. En la mayoría de las redes, se usa un único protocolo de enrutamiento dinámico; sin embargo, hay casos en que las distintas partes de la red pueden usar diferentes protocolos de enrutamiento.



 Funciones de enrutamiento Dinámico:

  • Compartir información de forma dinámica entre routers.
  • Actualizar las tablas de enrutamiento de forma automática cuando cambia la topología.
  • Determinar cuál es la mejor ruta a un destino
El objetivo de los protocolos de enrutamiento dinámico es:
  •  Descubrir redes remotas
  •  Mantener la información de enrutamiento actualizada
  •  Seleccionar la mejor ruta a las redes de destino
  •  Brindar la funcionalidad necesaria para encontrar una nueva mejor ruta si la actual deja de estar disponible

Componentes de los protocolos de enrutamiento dinámico:

Algoritmo

   En el contexto de los protocolos de enrutamiento, los algoritmos se usan para facilitar información de enrutamiento y determinar la mejor ruta.

Mensajes de los protocolos de enrutamiento

   Estos mensajes se utilizan para descubrir routers vecinos e intercambiar información de enrutamiento.

Clasificación de protocolos de enrutamiento

  Los protocolos de enrutamiento dinámico se agrupan según sus características. Por ejemplo:

  • IGRP
  • EIGRP
  • OSPF
  • IS-IS
  • BGP

 - RIP: El Protocolo de Información de Encaminamiento, Routing Information Protocol (RIP), es un protocolo de puerta de enlace interna o interior (Interior Gateway Protocol, IGP) utilizado por los routers o encaminadores para intercambiar información acerca de redes del Internet Protocol (IP) a las que se encuentran conectados.