Diseño de Arquitectura de Red

Diseño de políticas de seguridad

DRY7111
 Introducción a la clase

En esta presentación se detallará los conceptos necesarios para desarrollar el Caso 9

Diseño de
Seguridad para la Clínica - Caso 9
políticas de
seguridad
 Seguridad en la red

Esta presentación describe las características de las diferentes políticas de

seguridad en la empresa y las herramientas que permiten obtener datos
sobre su implementación, con el propósito de que se integran en la
estructura de red de la clínica.

Deberás tomar en consideración, para tu diseño e informe estos conceptos,

dado que el CEO de las clínicas ha decidido incorporar una serie de
métodos y planificación para proteger los activos de la empresa sean,
tangible e intangible.

No olvides tomar en cuenta para este caso el contenido de tu propuesta,

junto con la determinación de las mejores técnicas que se implementarán
y correspondiente al caso 9.
 Enfoque sobre la seguridad en redes

Se debe entender que la mitigación de ataques de red requiere de un

enfoque integral de extremo a extremo, incluyendo la creación y el
mantenimiento de las políticas de seguridad basadas en las necesidades
de seguridad de una organización.
Ya que después de que la red esté diseñada, la seguridad de las operaciones
implica prácticas del día a día necesarias para su implementación
inmediata y luego mantener el sistema seguro a través de pruebas de
seguridad con el fin de asegurarse de que todas las instalaciones de
seguridad estén funcionando como se espera para establecer planes de
continuidad y documentos que deberán ser actualizados continuamente
en función de las necesidades cambiantes de la organización.
 Normas y control definidos

Debe existir una vez diseñada la red y luego de haber iniciado su

funcionamiento, políticas y mecanismos de pruebas de seguridad con el
fin de asegurarse de que todas las implementaciones de seguridad están
funcionando como se espera, y que deben mantenerse permanentemente
con el fin de asegurar la continuidad de las operaciones de la empresa,
logrando así un sistema controlado y seguro, frente a cualquier anomalía
que podría ocurrir en el sistema complejo de la corporación.
 Operaciones de seguridad
La seguridad de las operaciones se refiere a las prácticas diarias necesarias para implementar
primero y posteriormente mantener un sistema seguro.
Todas las redes son vulnerables a ataques si la planificación, la implementación, las operaciones y el
mantenimiento de la red no se ajustan a las prácticas operativas de seguridad.
La seguridad operacional comienza con el proceso de planificación e implementación de una red.
Durante estas fases, el equipo de operaciones analiza diseños, identifica riesgos y vulnerabilidades y
realiza las adaptaciones necesarias.
Las tareas operativas reales comienzan después de que la red está configurada e incluyen el
mantenimiento continuo del entorno. Estas actividades permiten que el entorno, los sistemas y las
aplicaciones sigan funcionando correcta y seguramente.
Independientemente del tipo de prueba, el personal que establece y lleva a cabo las pruebas de
seguridad debe tener conocimientos de seguridad y redes importantes en estas áreas:
-Reforzamiento de la seguridad del dispositivo.
-Cortafuegos.
-IPSs.
-Sistemas operativos.
-Programación básica.
-Los protocolos de red, como TCP/IP.
-Vulnerabilidades de red y mitigación de riesgos.
 Aplicación de los resultados de las
pruebas de red

Los resultados de las pruebas de seguridad de red pueden utilizarse de

varias maneras:

-Definir actividades de mitigación para abordar vulnerabilidades

identificadas
-Establecer punto de referencia para rastrear el progreso de una
organización en el cumplimiento de los requisitos de seguridad
-Evaluar el estado de la implementación de los requisitos de seguridad del
sistema
-Realizar análisis de costos y beneficios para mejorar la seguridad de la red
-Establecer punto de referencia para la acción correctiva.
 Herramientas de prueba de red
Hay muchas herramientas disponibles para probar la seguridad de sistemas y redes. Algunas de estas
herramientas son de código abierto, mientras que otras son herramientas comerciales que requieren
licencias. Se pueden usar varias herramientas de software para realizar pruebas de red, incluyendo:
-Nmap / Zenmap: Descubre computadoras y servicios en una red informática, creando así un mapa de la
red.
-SuperScan: Software de exploración de puertos diseñado para detectar puertos TCP y UDP abiertos,
determinar qué servicios se ejecutan en esos puertos y ejecutar consultas, como whois, ping,
traceroute y búsqueda de nombres de host.
-SIEM (Gestión de eventos de información de seguridad): tecnología utilizada en organizaciones
empresariales para proporcionar informes en tiempo real y análisis a largo plazo de eventos de
seguridad.
-GFI LANguard: Escáner de red y seguridad que detecta vulnerabilidades.
-Tripwire: evalúa y valida las configuraciones de TI contra las políticas internas, los estándares de
cumplimiento y las mejores prácticas de seguridad.
-Nessus: Software de escaneo de vulnerabilidades, centrado en el acceso remoto, configuraciones
erróneas y DoS contra la pila de los protocolos TCP/IP.
-L0phtCrack: Auditoría de Contraseña y recuperación de aplicaciones dañadas.
-Metasploit: Proporciona información sobre vulnerabilidades y ayuda en pruebas de penetración y
desarrollo de firmas IDS.
Nota: Las herramientas de pruebas de red evolucionan a un ritmo rápido. La lista anterior incluye
herramientas heredadas, y su intención es dar a conocer los diferentes tipos de herramientas
disponibles.
 Características de NMAP
Nmap es un escáner de bajo nivel de uso común que está disponible para el público.
Tiene una serie de excelentes características que se pueden utilizar para la
asignación de redes y reconocimiento. La funcionalidad básica de Nmap permite al
usuario realizar varias tareas, como por ejemplo:
-Exploración clásica de puertos TCP y UDP y busqueda diferentes servicios en un host.
-Barrido clásico de puertos TCP y UDP y busqueda del mismo servicio en varios hosts.
-Escaneo y barrido de puertos TCP y UDP Stealth, es decir, similar a los escaneos
clásicos y barridos, pero más difícil de detectar por el host de destino o IPS.
-Identificación remota del sistema operativo, esto también se conoce como huellas
dactilares del sistema operativo.
-Las funciones avanzadas de Nmap y Zenmap incluyen el escaneado de protocolos,
conocido como escaneo de puertos de Capa 3, esta característica identifica el
soporte de protocolo de capa 3 en un host.
Aunque Nmap se puede utilizar para realizar pruebas de seguridad, también se puede
utilizar con fines maliciosos. Nmap tiene una característica adicional que le permite
usar hosts señuelo en la misma LAN que el host de destino, para enmascarar el
origen de la exploración.
 Características de SuperScan
SuperScan es una herramienta de exploración de puertos de Microsoft Windows,
que se ejecuta en la mayoría de las versiones de Windows y requiere privilegios
de administrador. SuperScan tiene una serie de características útiles:
-Velocidad de escaneado ajustable.
-Compatibilidad con rangos de IP ilimitados.
-Mejora de la detección de host utilizando múltiples métodos ICMP.
-Exploración TCP SYN.
-Exploración UDP.
-Generación sencilla de informes HTML.
-Exploración de puerto de origen.
-Resolución rápida de nombre de host.
-Amplias funciones de captura de banners.
-Base de datos masiva de descripción de lista de puertos.
-Ordenación de direcciones IP y puerto.
-Una selección de herramientas útiles, como ping, traceroute y whois.
-Amplia capacidad de enumeración de host de Windows.
 Características de SIEM
SIEM o Información de Seguridad Event Management, es una tecnología utilizada en
organizaciones empresariales para proporcionar informes en tiempo real y análisis
a largo plazo de eventos de seguridad.
SIEM evolucionó a partir de dos productos previamente separados: Administración
de Información de Seguridad (SIM) y Gestión de Eventos de Seguridad (SEM).
-SIEM se puede implementar como software, integrado con Cisco Identity Services
Engine (ISE) o como un servicio gestionado.
SIEM combina las funciones esenciales de SIM y SEM para proporcionar:
-Análisis forense, es decir, la capacidad de buscar registros y registros de eventos de
fuentes en toda la organización proporciona información más completa para el
análisis forense.
-Correlación, es decir, Examina registros y eventos de sistemas o aplicaciones
dispares, acelerando la detección y reacción ante amenazas de seguridad.
-Agregación, es decir, la agregación reduce el volumen de datos de eventos mediante
la consolidación de registros de eventos duplicados.
-Retention, es decir, presenta los datos de eventos correlacionados y agregados en
un informe de monitoreo en tiempo real y resúmenes a largo plazo.
 Características de SIEM
SIEM proporciona detalles sobre la fuente de la actividad sospechosa, incluyendo:
-Información del usuario (nombre, estado de autenticación, ubicación, grupo de autorización,
estado de cuarentena).
-Información del dispositivo (fabricante, modelo, versión del sistema operativo, dirección MAC,
método de conexión de red, ubicación).
-Postura de información (cumplimiento del dispositivo con la política de seguridad corporativa,
versión antivirus, parches del sistema operativo, cumplimiento de la política de gestión de
dispositivos móviles).

Utilizando esta información, los ingenieros de seguridad de red pueden evaluar de forma
rápida y precisa la importancia de cualquier evento de seguridad y responder a las preguntas
críticas:
-¿Quién está asociado con este evento?
-¿Es un usuario importante con acceso a la propiedad intelectual o información sensible?
-¿Está el usuario autorizado para acceder a ese recurso?
-¿Tiene el usuario acceso a otros recursos sensibles?
-¿Qué tipo de dispositivo se está utilizando?
-¿Este evento representa un posible problema de cumplimiento?
 Ciclo de vida de la red
El ciclo de vida de la red segura es un proceso de evaluación y reevaluación de los
equipos y las necesidades de seguridad a medida que la red cambia.
Un aspecto importante de esta evaluación continua es entender qué activos una
organización debe proteger, incluso cuando estos activos están cambiando.
Determinar cuáles son los activos de una organización haciendo preguntas:
-¿Qué tiene la organización que otros quieren?
-¿Qué procesos, datos o sistemas de información son críticos para la organización?
-¿Qué impediría a la organización hacer negocios o cumplir su misión?
-Las respuestas podrían identificar activos tales como bases de datos críticas,
aplicaciones vitales, información importante de clientes y empleados, información
comercial clasificada, unidades compartidas, servidores de correo electrónico y
servidores web.
-Los sistemas de seguridad de red ayudan a proteger estos activos, pero un sistema de
seguridad por sí solo no puede impedir que los activos sean vulnerables a las
amenazas.
Los sistemas de seguridad técnica, administrativa y física pueden ser derrotados si la
comunidad de usuarios finales no se adhiere a las políticas y procedimientos de
seguridad.
 Jerarquía de la política de seguridad
La mayoría de las corporaciones usan una serie de documentos de política
para satisfacer sus diversas necesidades. Estos documentos suelen estar
divididos en una estructura jerárquica, tales como:
-Política de gobierno - Tratamiento de alto nivel de las directrices de
seguridad que son importantes para toda la empresa. Los directivos y el
personal técnico son la audiencia deseada. La política de gobierno
controla todas las interacciones relacionadas con la seguridad entre las
unidades de negocio y los departamentos de apoyo de la empresa.
-Política técnica - Utilizado por los miembros del personal de seguridad
cuando cumplen con las responsabilidades de seguridad del sistema. Estas
políticas son más detalladas que la política de gobierno y son específicas
del sistema o específicas de cada problema. Por ejemplo, el control de
acceso y los problemas de seguridad física se describen en una directiva
técnica.
-Política de usuario final: cubre todos los temas de seguridad que son
importantes para los usuarios finales. Los usuarios finales pueden incluir
empleados, clientes y cualquier otro usuario individual de la red.
 Políticas del gobierno

La política de gobierno esboza las metas globales de seguridad de la

compañía para los gerentes y el personal técnico. Cubre todas las
interacciones relacionadas con la seguridad entre las unidades de negocio
y los departamentos de apoyo de la empresa.
-La política de gobierno se alinea estrechamente con las políticas existentes
de la empresa y se coloca en el mismo nivel de importancia que estas
otras políticas. Esto incluye políticas de recursos humanos y otras políticas
que mencionan cuestiones relacionadas con la seguridad, como correo
electrónico, uso de computadores o temas de TI relacionados.
Una política de gobierno incluye varias áreas:
-Declaración del problema que la política aborda.
-Cómo se aplica la política en el medio ambiente.
-Roles y responsabilidades de los afectados por la política.
-Acciones, actividades y procesos permitidos (y no permitidos).
-Consecuencias del incumplimiento.
 Políticas técnicas
Las políticas técnicas son documentos detallados que son utilizados por el personal técnico al llevar a cabo
sus responsabilidades diarias de seguridad. Son esencialmente manuales de seguridad que describen lo
que hace el personal técnico, pero no cómo realizan las funciones.
Las políticas técnicas se desglosan en componentes técnicos especificados, incluyendo:
-Políticas generales: Incluye el AUP, es decir, la política de solicitud de acceso a la cuenta, la política de
evaluación de adquisiciones, la política de auditoría, la política de sensibilidad de la información, la
política de evaluación de riesgos y la política global del servidor web.
-Política de telefonía: Define la política de uso del teléfono corporativo y las líneas de fax o analoga.
-Política de correo electrónico y comunicaciones: Incluye una política de correo electrónico genérica y
una política de correo electrónico reenviada automáticamente.
-Política de acceso remoto: Incluye una política de VPN y puede incluir una política de acceso telefónico si
la organización todavía lo admite.
-Política de red: Incluye una política de extranet, requisitos mínimos para la política de acceso a la red,
normas de acceso a la red, directiva de seguridad de enrutador y conmutador y directiva de seguridad
del servidor.
-Política de aplicación: Incluye una política de cifrado aceptable, una política de proveedor de servicios de
aplicación, una política de codificación de credenciales de base de datos, una política de
comunicaciones entre procesos, una política de seguridad del proyecto y una política de protección de
código fuente.
-También puede incluir una Política de Comunicación Inalámbrica que define estándares para sistemas
inalámbricos que se utilizan para conectarse a la red.
 Normas y control definidos

Las políticas de usuario final cubren todas las reglas relativas a la seguridad
de la información que los usuarios finales deben conocer y seguir. Estas
políticas generalmente se agrupan en un único documento para facilitar
su uso. Las políticas de usuario final pueden coincidir con las políticas
técnicas, pero también pueden incluir:
-Política de identidad: Define reglas y prácticas para proteger la red de la
organización contra el acceso no autorizado. Estas prácticas ayudan a
reducir el potencial de que la información de identidad entre en las manos
equivocadas.
-Política de contraseñas: Las contraseñas son un aspecto importante de la
seguridad informática. Una directiva de contraseña define las reglas que
todos los usuarios deben seguir al crear y proteger sus contraseñas.
-Política de antivirus: Esta política define estándares para proteger la red de
una organización de cualquier amenaza relacionada con virus, gusanos o
caballos de Troya.
 Referencias bibliográficas

Bruno, A. Anthony. (2017). CCDA 200-310 : Official Cert Guide. Indianapolis: Cisco Press.

Recordar que desde la biblioteca DUOC online se pueden usar libros de lectura online