UNIVERSIDAD POLITÉCNICA SALESIANA SEDE CUENCA

Transcripción

1 UNIVERSIDAD POLITÉCNICA SALESIANA SEDE CUENCA CARRERA DE INGENIERÍA DE SISTEMAS Tesis previa a la obtención del título de: Ingeniero de Sistemas TÍTULO Anàlisis de Soluciones de Acceso Seguro a la Red, e Implementación de un Proyecto Piloto para la Unidad Educativa "Técnico Salesiano" AUTORAS Julia Targelia Jiménez Orellana Blanca Inés Rumipulla Castillo DIRECTOR: Ing. Byron Carrión Cuenca, 05 de octubre del 2012

2 CERTIFICACIÓN Certifico que el presente trabajo de tesis previo a la obtención del Título Ingeniero de Sistemas fue desarrollado por las alumnas: Julia Targelia Jiménez Orellana y Blanca Inés Rumipulla Castillo bajo mi supervisión. Atentamente. Ing.Byron Carrión DIRECTOR DE TESIS Página 2

3 Página 3

4 Página 4

5 DECLARATORIA Nosotras: Julia Targelia Jiménez Orellana con CI y Blanca Inés Rumipulla Castillo CI estudiantes de Ingenieria de Sistemas, declaramos que el trabajo aqui descrito es de nuestra autoría; que no ha sido previamente presentado por ningún grado o calificación personal y que hemos consultado de referencias bibliográficas que se incluyen en este documento, todo el análisis, desarrollo del sistema y toda la información aqui vertida son de exclusiva responsabilidad de los autores. Autorizo a la Universidad Politécnica Salesiana el uso de esta información con fines académicos. Atentamente. Julia Jiménez Orellana Estudiante Blanca Rumipulla Castillo Estudiante Página 5

6 Página 6

7 DEDICATORIA. Dedico este proyecto de tesis, en primer lugar a Dios por haberme brindado salud y perseverancia para lograr mis objetivos propuestos, a mi esposo e hijo por su amor, paciencia y por haber creído en mí, a mis padres y a toda mi familia por haber depositado su entera confianza en cada reto que se me presentaba sin dudar ni un solo momento de mi inteligencia y capacidades por ellos que logre mi meta con mucho amor y cariño Julia Jiménez Orellana. Página 7

8 DEDICATORIA Al cumplir una de las metas que me he propuesto, me siento muy motivada, muy feliz y muy agradecida, mi mente hace un retroceso de todo lo que ha quedado atrás, momentos alegres, momentos tristes, momentos difíciles, momentos de triunfo, momentos que siendo buenos o malos nos han permitido aprender y a descubrir que en cada persona existe un potencial infinito capaz de conseguir todo lo que se proponga, somos dueños de nuestro destino y todas las tareas que se nos han impuesto no son superiores a nuestra fuerza, todas las dificultades y problemas nunca estarán por encimas de lo que somos capaces de soportar Esta meta cumplida en primer lugar se la dedico a Dios que me ha regalo, la sabiduría, la perseverancia, la fortaleza, la paciencia y me ha rodeado de personas maravillosas: mi madre que me ha apoyado en cada momento, cuya motivación fue mi inspiración, mis hermanas(os) en especial Galo y Juan siempre brindándome su ayuda incondicional, mis amigas(os), mis maestros, mi amiga y compañera de tesis con la que pasamos momentos difíciles, sin embargo el impulso mutuo nos ayudo a hoy cumplir nuestra meta. También dedico a todas las personas que me motivaron, me aconsejaron, me ayudaron y han confiado en mi de tal manera que han dejado huellas en mi mente y en especial en mi corazón por ello mi dedicación con todo respeto y afecto. Blanca Rumipulla Castillo Página 8

9 AGRADECIMIENTO. Los resultados de este proyecto, quiero agradecer al Ing. Byron Carrión tutor por habernos apoyado en la dirección de la tesis por guiarnos en todo el trayecto aportando sus conocimientos. Al Ing. Marco Timbi quien con su ayuda desinteresada compartió sus conocimientos. Al Ing. Pablo Durazno por permitirnos implementar el proyecto en la Institución. A mi esposo por su comprensión, paciencia, apoyo económico y sobre todo por su amor. A mis padres por su apoyo económico, sentimental, moral por haberme apoyado a estudiar la Universidad y por confiar en mí hasta el final. Julia Jiménez Orellana. Página 9

10 AGRADECIMIENTO Mi especial y mas emotivo agradecimiento a Dios por ser mi guía en este largo camino A mi madre por estar en todo momento apoyándome, y a toda mi familia en especial mis hermanos Juan y Galo que con su cariño, consejos, confianza y ayuda me motivaron a continuar hasta llegar a la meta Al Ing. Byron Carrión director de tesis por guiarnos con sus grandes conocimientos y experiencias,además por su verdadero interés y consideración Al Ing. Marco Timbi, Ing. Juan Rodríguez, Ing. David Mogrovejo por compartir desinteresadamente sus conocimientos, Al Ing. Pablo Durazno Director del Departamento de Sistemas de la Unidad Educativa Técnico Salesiano quien nos permitió realizar la implementación del proyecto en la institución Un especial agradecimiento a todos mis amigos, amigas y para aquella personita especial que estuvo siempre apoyándome, motivándome con sus consejos y optimismo y sobre todo por su entera confianza. Gracias de corazón A mi amiga y compañera de tesis Julia por todos los momentos compartidos Blanca Rumipulla Castillo Página 10

11 ÍNDICE Contenido 1. SEGURIDAD Introducción Objetivos de la Seguridad Definición Tipos de Seguridad Principales Servicios de Seguridad Servicio de Autenticación Servicio de Confidencialidad de los datos Servicio de Integridad de los datos Servicio de no Repudio Servicio de control de acceso Servicio de Anonimato Gestión de Riesgos Definición Fases de la Gestión de Riesgos Vulnerabilidad Tipos de vulnerabilidades Amenazas Fuentes de amenaza Mecanismos de Seguridad Tipos de Mecanismos Firma Digital Tráfico de relleno ISO/IEC Introducción Página 11

12 2.2. Objetivos: Seguridad de la información Importancia de la Seguridad de la Información Requerimientos de Seguridad Evaluación de los Riesgos Definición Ventajas y Desventajas ISO Ventajas: Desventajas Control de Acceso Introducción: Definición Control de Acceso por Identificación Control de acceso por autenticación Control de Acceso Criptográfico Modelos de control de acceso Requisitos previos para el control de acceso Gestión de acceso de usuario Responsabilidad del usuario Control de Acceso a las Redes (NAC) Control del Acceso al Sistema Operativo Control de acceso a la aplicación y la información Computación y Tele-Trabajo Móvil SOLUCIONES DE CONTROL DE ACCESOS A LA RED Introducción Soluciones NAC Solución Protección de Acceso a la Red (NAP) Introducción Características Aspectos importantes de NAP Escenarios para Protección de Acceso a la Red (NAP) Infraestructura de la red Componentes NAP Seguridad del protocolo de internet (IPsec) IEEE 802.1X Página 12

13 3.4 Solución Cisco NAC Introducción Definición Características y beneficios Beneficios para El Negocio Protocolo de autenticación extensible (EAP) Descripción de la Arquitectura Soluciones Open Source Solución Freenac Características Ventajas a implementar freenac Modos de operación: Requisitos del Sistema Operativo Requerimientos de hardware Conexión entre diferentes Sistemas Operativos Configuración de la Base de Datos Mysql Asignación de direcciones IP Portal web Freenac Ingreso a la interfaz de usuario PACKETFENCE Introducción: Definición Características Requisitos del Sistema Requerimientos de hardware Requisitos del sistema operativo Administración Packetfence CAPITULO IV ESTUDIO DE LA EMPRESA Introducción Misión Visión Estructura organizacional Departamentos Servicios implementados sobre la red de datos Página 13

14 4.7. Medios de transmisión Identificación de dispositivos de conexión de la empresa Estructura de la red LAN Descripción de la VLAN implementadas Tipos de seguridad actualmente implementadas IMPLEMENTACIÓN DE PACKETFENCE COMO UNA SOLUCIÓN NAC Objetivos de la institución Análisis de la seguridad en la institución Descripción de la Infraestructura de la Solución NAC Análisis de requerimientos de hardware Análisis de requerimientos de software Implementación Anexos MANUAL DE USUARIO MANUAL TÉCNICO CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones Bibliografía..225 Página 14

15 CAPITULO I Página 10

16 Capítulo 1 1. Seguridad 1.1. Introducción. En la actualidad, la seguridad informática ha adquirido gran incremento, por las cambiantes condiciones y las nuevas plataformas de computación que se dispone. La posibilidad de interconectarse a través de redes, ha abierto nuevos espacios que permiten investigar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados como son que las organizaciones dependen de la presencia de internet, que es uno de los principales motivos que provocan riesgos de seguridad, porque permite acceder a la información y a los recursos de manera no autorizada. Al analizar esta vulnerabilidad es necesario implementar medidas y técnicas de seguridad en redes para proteger la información y recursos, estas deben ser proporcionales a lo que se intenta proteger como son: servidores web, servidores de correo, FTP, base de datos o cualquier tipo de red también se pretende crear manuales que dirigen al uso adecuado de estas nuevas tecnologías, con recomendaciones para obtener las mejores ventajas y no realizar un mal uso de las nuevas tecnologías que se dispone Objetivos de la Seguridad. a. Mantener la disponibilidad de los datos. b. Mantener la integridad de los datos. c. Mantener la confidencialidad de los datos, contra infracciones. d. Asegurar la identidad de origen y destino 1.3. Definición Es un conjunto de métodos y herramientas destinados a proteger la información y sistemas informáticos contra las perdidas y modificaciones. Ante cualquier amenaza. Es un proceso mediante el cual se pretende minimizar la vulnerabilidad de los sistemas Página 11

17 La seguridad se basa en cinco pilares muy importantes que son 1 : Evaluación Prevención Detección Reacción Recuperación Seguridad en Redes. Seguridad en redes es mantener bajo protección los recursos y la información con la que cuenta la red a través de procedimientos basados en políticas de seguridad de control de acceso para tener un control adecuado de acceso a la red 2. Seguridad de la red se inicia con la autenticación del usuario, generalmente con un nombre de usuario y una contraseña para mantener bajo protección los recursos y la información con que se cuenta en la red, a través de una serie de procedimientos basados en una política de seguridad que permitan el control. Cabe recalcar que no existe una seguridad absoluta, lo que se intenta es minimizar el riesgo. Las tecnologías de seguridad de red protegen su red contra el robo y el uso incorrecto de información confidencial de la empresa y ofrecen protección. Sin ningún tipo de seguridad en red, la organización se enfrenta a accesos no autorizados que provocara periodos de inactividad de red, interrupción del servicio, incumplimiento de las normativas e incluso a acciones legales. 1 CARRACEÑO GALLARDO Justo. Redes Telemáticas p 18 2 Manual de Seguridad en Redes página 13, Coordinación de emergencia en redes telemáticas Página 12

18 Debemos tener en cuenta que seguridad comienza y termina con las personas es por esto que debemos lograr de los usuarios concientización de conceptos, usos y costumbres Tipos de Seguridad 3 La seguridad informática se plantea desde dos enfoques distintos aunque complementarios: La Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas mediante la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas ante amenazas ante recursos e información confidencial. La Seguridad Lógica: consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de criptografía. Aplicación de barreras para resguardar el acceso a los datos y solo puedan acceder a ellas personas autorizadas. Técnicas de Seguridad Lógica. Control de acceso Autenticación. Encriptación. Firewall Antivirus Principales Servicios de Seguridad 4. Los principales servicios básicos de seguridad son: a. Autenticación b. Confidencialidad c. Integridad 3 RAMIO AGUIRRE Jorge Madrid España edición 2006 capitulo 3 Introducción a la seguridad Informática página 61 4 Madjid Nakhjiri and Nahsa Nakhjiri, AAA and Network Security for Mobile Access : Radius, Diameter,EAP,PKI and IP Mobility.Edición 2005 Página 13

19 d. Control de acceso e. No repudio f. Anonimato recalcar Servicio de Autenticación 5 Son medidas dirigidas a garantizar que la persona o la maquina es quien dice ser. Por medio de este servicio se protege contra el ataque de suplantación de personalidad donde una entidad remota se hace pasar por alguien que no es. Debemos recalcar las distintas situaciones de autenticación: a. Autenticación de Entidad.-cuando una entidad se conecta al sistema debe demostrar su identidad ante el sistema. b. Autenticación de Origen de Datos.-se da cuando en una transferencia de datos como por ejemplo en correo electrónico solamente se requiere demostrar que los datos han sido originados por una determinada entidad. Autenticación de Entidad. Se puede llevar a cabo basándose en diferentes características que son: a) Por algo que solo conoce la entidad o persona que trata de comunicarse y la entidad que verifica la autenticación puede darse por medio de una clave, palabra b) Por algo que solo quien trata de comunicarse posee, puede ser por un dispositivo físico, clave secretar c) Por algo que una persona sabe hacer, podría ser una habilidad que la persona posea para autenticarse. d) Por cómo es la persona exhibiendo características biométricas que podría ser: huella digital, iris del ojo. La autenticación se basa en dos esquemas de autenticación: a. Autenticación simple. b. Autenticación fuerte. 5 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 27 Página 14

20 Autenticación Simple Solo uno de los participantes en la comunicación está obligado a demostrar su identidad, se basa en contraseñas o palabra de paso más o menos protegida. Ejemplo.- la entidad A trata de probar su identidad, envía a la entidad B su nombre significativo y un testigo de autenticación T este testigo se construye a través de un nombre y una contraseña pass-a todo protegido mediante una función unidireccional f1. Para que el esquema funcione el nombre significativo debe ser claro y la entidad B conozca y tenga almacenada la contraseña de A en la base de datos. Para que la contraseña sea almacenada con seguridad se debe proteger con una función unidireccional que lo que almacene sea una función del testigo de autenticación, es decir mientras no se comprueba que el valor recibido coincide con el valor almacenado no se dará valido el proceso de autenticación. El problema de este proceso de autenticación es la vulnerabilidad de ingreso y ataque de terceras personas. Autenticación Mediante Desafío. Se basa en que la entidad A que trata de autenticarse comparte la información secreta con la entidad B que verifica la autenticación. La entidad A envía a la entidad B una petición de autenticación la entidad B le responde con un reto o desafío que puede ser una pregunta que la respuesta solo la Página 15

21 entidad A conoce, esta no ofrece un nivel de seguridad aceptable, por tanto se ve la necesidad de implementar la autenticación fuerte. Autenticación fuerte.- se basa en que cada una de las entidades participantes en el escenario de autenticación está en posición de una clave privada que se mantiene en secreto para este fin. Se puede diferenciar los siguientes casos de autenticación fuerte. Autenticación unidireccional. Autenticación Mutua o bidireccional Autenticación tridimensional. a) Autenticación unidireccional.-que consiste en que solo uno de los participantes que forman parte de la comunicación deben demostrar su identidad, comporta una sola transferencia de información entre la entidad A que trata de autenticarse con la entidad B que verifica la autenticación. b) Autenticación bidireccional o mutua.- los participantes deben demostrar su identidad en ambos sentidos de la comunicación es decir consiste en añadir una respuesta de la entidad B al proceso de autenticación. c) Autenticación Tridimensional.- ayuda a reforzar la autenticación bidireccional, se añade una tercera transferencia de datos entre las entidades A y B Autenticación de Origen de Datos. Se basa en los siguientes métodos. Página 16

22 a. MAC (Código de autenticación de mensaje).- es una pieza de información de tamaño fijo que se genera mediante un criptosistema de clave secreta b. Firma digital.- un determinado mensaje constituye un testigo autenticador de extraordinaria fortaleza. c. Valor hash.- es una pieza de información de tamaño fijo que se genera mediante una función unidireccional, que puede servir como valor autenticador de mensajes, son parte fundamental de los algoritmos de firma digital Servicio de Confidencialidad de los datos 6. Proporciona protección para evitar que los datos sean revelados a usuarios no autorizados, garantiza que los datos sean entendido solo por destinatarios autorizados es decir si la información es robada no sea posible entender su significado. Con este servicio se puede garantizar que la información que circula a través de las redes esté disponible para usuarios legítimos Servicio de Integridad de los datos. 7 Este servicio garantiza que los datos recibidos por el receptor coincidan exactamente con los enviados por el emisor, garantiza que la información no sea modificada, añadida, sustraída es decir el receptor detectara si se ha producido un ataque a la información y podrá aceptar los datos recibidos o rechazarlos. Debe garantizar que la información es fiable y que no se ha modificado es decir que la información no ha sido copiada, modificada, borrado en su origen o durante su trayecto. Debemos tener en cuenta que es necesario proteger la información contra la modificación sin el permiso del dueño. La información a ser protegida no sólo debe estar almacenada en la computadora sino que se debe considerar elementos menos obvios como respaldos, documentación. Esto comprende cualquier tipo de modificaciones: Causadas por errores de hardware y/o software. Causadas de forma intencional. 6 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 28, CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 29 Página 17

23 Causadas de forma accidental Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados durante su transferencia Servicio de no Repudio 8 No repudio.- proporciona garantías respecto a la emisión y recepción de la información, sirve para evitar que algún participante niegue haber formado parte de ella Casos de no repudio. a). No repudio con prueba de origen.-el receptor que envía el mensaje adquiere una prueba del origen de la información recibido por tanto el emisor no puede negar que envío información porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío esto evita que el emisor niegue el envío. b). No repudio con prueba de envío.-el receptor o emisor adquiere una prueba que no podrá negar que recibió el mensaje con la fecha y hora. Este servicio proporciona al emisor la prueba de que el destinatario del envío, realmente lo recibió, evitando que el receptor lo niegue. 8 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 29, 30,31 Página 18

24 c). No repudio con prueba de entrega.- el emisor adquiere una prueba demostrando a terceras personas que el receptor adecuado recibió el mensaje sin inconvenientes Servicio de control de acceso. 9 Sirve para evitar el uso no autorizado de los recursos de la red es decir permite que solo personas autorizadas puedan tener acceso a una maquina cada usuario tenga los permisos de acuerdo a sus funciones. Permiso.- se refiere a que un usuario pueda hacer determinadas operaciones de acuerdo a sus funciones. Este servicio se implementa bajo la autenticación en la que el usuario demuestra quien dice ser para poder acceder a los privilegios y restricciones correspondientes. En el control de acceso se presenta dos servicios que son; El acceso a servidores de todo tipo base de datos, impresoras, servidores es decir el usuario accede de forma cliente- servidor deben identificarse para acceder de acuerdo a los servicios que requiera. El acceso a terminales desde lo que el usuario se conecta a la red En algunos casos estos servicios se conecta utilizando el servicio de autenticación, porque al comprobar que el usuario es quien dice ser se le aplican los privilegios que tienen y las restricciones. Otros casos puede ser por medio de credenciales que consiste en asignar privilegios independientes de la identidad. 9 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 31 Página 19

25 Servicio de Anonimato 10. Se encarga de ocultar la identidad de la persona ante actores que forma parte de dichas operaciones. Se trata de emular en la red situaciones de la vida real en la que es conveniente mantener el anonimato Gestión de Riesgos Definición. 11 Son métodos, mecanismos de protección para reducir los riesgos a un nivel apropiado, es un aspecto más básico y difícil de construir ya que se requiere amplios conocimientos de riesgos, ámbitos de riesgo y métodos de mitigación. Es un procedimiento que se diseña para implantar y mantener en el tiempo las contramedidas establecidas en el análisis de riesgos para conseguir seguridad implementando mecanismos para controlar el riesgo y un adecuado funcionamiento del sistema. Al aplicar la gestión de riesgos queremos proteger: La información Los procesos. Las aplicaciones El sistema operativo El hardware Las comunicaciones Los soportes de información Las instalaciones Fases de la Gestión de Riesgos. Contiene cuatro fases: Análisis.-establece los componentes de un sistema que necesitan protección, analizan sus vulnerabilidades lo que debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo 10 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p MAÑAS José Antonio. Gestión de Riesgos p4 Página 20

26 Clasificación.- determina si los riesgos encontrados y los riesgos restantes son aceptables. Reducción.-define e implementa las medidas de protección, sensibilizando y capacitando a los usuarios conforme a las medidas Control.- realiza un análisis del funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y concertar las medidas deficientes y sancionar el incumplimiento Vulnerabilidad Es un elemento de un sistema informático que puede ser víctima por un atacante para violar la seguridad y puede causar algún daño. La vulnerabilidad se considera como un elemento interno del sistema, por tanto los administradores y usuarios deben detectarlos, valorarlos y reducirlos Tipos de vulnerabilidades Las vulnerabilidades se producen por errores en el sistema, fallos en el diseño del sistema, limitaciones tecnológicas etc. Las vulnerabilidades se clasifican en: Física o Ambiental. Hardware. Software. Red. Factor humano. Física.- se relaciona con el acceso físico al sistema, se refiere a las instalaciones de los equipo de cómputo que forman parte del sistema. La vulnerabilidad se presenta en las malas prácticas de las políticas de acceso del personal a los sistemas, usan medio de almacenamiento para extraer información. Natural.- se refiere al grado que el sistema se puede ver afectado por este tipo de desastres, la vulnerabilidad se presenta por deficiencias de medidas para afrontar los desastres. Ejemplo.- baja ventilación calefacción., Página 21

27 Hardware.-presenta la probabilidad de que las piezas del sistema fallen, dejando el sistema inoperable, trata de cómo las personas pueden utilizar el hardware para atacar. Software.- esto puede ocurrir por errores en la programación, o en el diseño Red.- son muy vulnerables al tener equipos conectados entre sí compartiendo recursos, es posible atacar a toda la red, al inicio ataca solo un equipo y luego expandirse. La vulnerabilidad se basa en la intercepción de la información por personas no autorizadas con fallas en la disponibilidad de servicios. Factor humano.- son la parte más vulnerable del sistema son los más difíciles de controlar, se origina por la falta de capacitación y concienciación provocando negligencia en las políticas de seguridad y mal uso de los equipos 1.8. Amenazas. El control de acceso se encarga de contrarrestar la amenaza que sufre alguna entidad sobre operaciones no autorizadas en los recursos de la red. Las amenazas pueden ser 12 : Utilización indebida de los recursos de la red podría ser por suplantación de personalidad. Divulgación o repetición de contenido y dirigirlo a un destinatario no autorizado. Modificación, alteración, destrucción del contenido del mensaje o información contenida en el sistema. 12 CCNA Security Página 22

28 Denegación de servicio a causa de alguien que acceda de manera indebida al sistema Para proteger la información es necesario: Emplear mecanismo de seguridad específicos. La cooperación con otros servicios de seguridad. Puede originarse en cualquier lugar o momento, aprovechándose de las diferentes vulnerabilidades que se pueda dar como; Sistema operativo, de las aplicaciones, protocolos, psicológicas o de algún método de ingreso al sistema. Considerando los riesgos. En internet existen muchas personas que se dedican a robar información, pueden ser personas de la misma organización o externa, estas pueden robar información y los administradores pueden quizá darse cuenta luego de semanas o meses, esto trae como consecuencia perdidas de dinero, clientes Fuentes de amenaza. Las amenazas pueden tener diferentes orígenes, se las puede dividir en cinco tipos Amenazas humanas.- las personas son la fuente principal de amenaza en las que se invierte más recursos para controlarlos y equilibrar sus consecuencias. Implica actos males intencionados, incumplimiento de medidas de seguridad. Tipos de amenazas humanas. Curiosos.- ingresan al sistema sin autorización motivados por aprender, curiosidad, desafío a personal, se debe tener bastante cuidado porque pueden causar daño no intencional incluso perdidas económicas. Intrusos.- se encarga de ingresar al sistema con un objetivo fijo, se debe tener precaución porque estas personas tienen la experiencia. Capacidad y herramientas para ingresar al sistema sin importar el nivel de seguridad que posea 13 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 35,36 Página 23

29 Personal enterado.-personal que tiene acceso autorizado puede ser personal que labora en la actualidad o ex empleados que lo pueden hacer por revanchas personales o motivados por el dinero. Terrorista causar daño para diferentes fines. Robo.-extraer información en algún unidad de almacenamiento, robo físico de hardware para otros fines. Sabotaje.-consiste en reducir la funcionalidad del sistema por medio de acciones que impidan el normal funcionamiento por tanto daño de los equipos, interrupción de los servicios, en algunos casos provocando la destrucción completa del sistema. Fraude.-actividad que tiene como fin aprovechar los recursos para obtener beneficios ajenos a la organización. Ingeniería social.- obtener información social a través de la manipulación a los usuarios legítimos impulsándolos a revelar información sensible. De esta manera los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra antes que aprovechar de los agujeros de seguridad de los sistemas Amenazas de hardware.-las amenazas se da por las fallas físicas del hardware ya sea defectos de fabricación o mal diseño de hardware que forma parte del sistema de cómputo Tipos de amenazas de hardware. Mal diseño.-cuando los componentes de hardware del sistema no cumple con los requerimientos necesarios. Errores de fabricación.-cuando el hardware tienen desperfecciones de fabricación y fallan en el momento de usarse. Esto trae consecuencias negativas a la organización que a los fabricantes. Suministro de energía.- las variaciones de voltaje provocan daños en los dispositivos, es por esto que debemos revisar las instalaciones de energía, que proporcionen el voltaje que se requiere de acuerdo al hardware caso contrario se acortara su vida útil. Desgaste.- al usar el hardware se da un desgaste de este hasta que no se pueda utilizar. Página 24

30 Descuido y mal uso.-los componentes de hardware deben ser usados tomando en cuenta los parámetros establecidos de los fabricantes como son: Tiempo de uso, periodos y procedimientos de mantenimiento, no tomar en cuenta esto provoca un mayor desgaste y reduce la vida útil de los recursos de hardware Amenazas de red.- se presenta cuando la red no está disponible para su uso, esto puede ocurrir por un ataque o por un error físico o lógico del sistema. Las principales amenazas que se dan en la red son: No disponibilidad de la red. Extracción lógica de la información. Tipos de amenazas en la red. Topología seleccionada.- la topología es la disposición física que se conecta los nodos de una red ordenadores o servidores, cada uno con sus ventajas y desventajas. Dependiendo del alcance se puede implementar una topología sobre otra pero debemos tener en cuenta que se puede limitar la comunicación hasta dejar la red fuera de servicio Sistema operativo.- cada sistema operativo tiene diferente nivel de protección que los hace susceptibles a ataques, a partir de esto los atacantes pueden tomar acciones contra los sistemas operativos con mayor seguridad Incumplimiento de las normas de instalación de la red.- las instalaciones se deben seguir ciertas normas y estándares que se conoce como cableado estructurado. Cableado estructurado.- son normas y estándares que consiste en un tendido de cables en el interior de un edificio con el propósito de implantar una red, utiliza una serie de cables, canalizaciones, conectores, etiquetas y demás dispositivos que se necesitan para establecer una infraestructura de telecomunicación en un edificio, se debe tener limitaciones dependiendo de lo que se vaya a implementar. Debemos considerar los siguientes puntos para tener éxito al implementar para evitar fallas o problemas de transmisión, operatividad y disponibilidad de recursos en la red. Segmentación del tráfico de red Longitud máxima de cada segmento de red Página 25

31 La presencia de interferencias electromagnéticas Redes locales virtuales Amenazas de Software.-fallas dentro del software dentro del sistema operativo, puede ser por software mal desarrollado, diseñado, implantado Tipos Software de desarrollo.- es personalizado, puede ser creado para atacar un sistema completo, aprovechando las características de violar la seguridad. Software de aplicación.- fue creado especialmente para realizar ataques, tiene características que pueden ser usadas para atacar un sistema. Código malicioso.- el software que ingresa al sistema e intenta romper las reglas son; caballos de Troya, virus gusanos y otras amenazas programadas Amenazas de desastres naturales.- eventos que tienen origen por la fuerzas de la naturaleza, estas afectan a la información de los sistemas y a la amenaza de integridad del sistema completo, trae como consecuencia un sistema inoperable. Tipos de desastres naturales. Entre los diferentes desastres naturales que afectan al sistema son: inundaciones, terremotos, incendios, huracanes, tormentas eléctricas, por esta razón debemos tener en cuenta la importancia de un cableado de red de datos, redes de energía, suministro de agua ya que una falla de estos puede dañar la información de la organización Amenazas de seguridad. El propósito de esta sección es realizar un análisis de cada uno de las posibles amenazas que puede ingresar o interrumpir los sistemas. Entre las amenazas tenemos. Virus.-programas maliciosos que se propagan mediante código ejecutable, modifican otros programas insertando copias del mismo para propagarse a través de la red. Los virus no pueden ejecutarse como un programa independiente necesitan un programa anfitrión que los inicialice Página 26

32 Recomendaciones para proteger un sistema de virus. Centralizar la responsabilidad de mover un cualquier archivo entre subsistemas Implementar una política de respaldos completos del sistema Mantener los archivos temporales fuera del directorio del sistema operativo y de los que soportan productos de software a terceros. Gusanos (worms).-paquetes que se transmiten por la red y aprovechan la vulnerabilidad del sistema operativo Trampas.- son programas o parte de programas que permite el acceso no autorizado al sistema, permite a los usuarios a entrar en programas para realizar evaluación, depuración, mantenimiento y monitoreo en el proceso de desarrollo de sistemas Caballo de Troya.- son amenazas fáciles y comunes de implantar, son programas que imitan a un programa que quieren implantar pero son diferentes, se utiliza para capturar passwords, cambiar permisos, crear programas Bacterias.-son programas que existen para recuperarse a sí mismo, afecta a un sistema porque consumen recursos computacionales que le pertenece a ese sistema, estas bacterias no destruyen archivos ni alteran datos, su propósito es degradar todo el servicio del sistema provocando que se detenga. Huecos de seguridad.- son imperfecciones del diseño de software que otorgan privilegios a usuarios comunes Los huecos de seguridad se dan en cuatro clases. 1. Huecos de seguridad físicos.-permiten el acceso físico al equipo a personas no autorizadas 2. Huecos de seguridad de software.-el problema se da al otorgar mal los privilegios de usuarios 3. Huecos de seguridad de uso incompatible.- el administrador del sistema ensambla una combinación de software y hardware el mismo que es usado como un sistema dañado desde un punto de vista de seguridad. 4. Selección de una filosofía de seguridad y mantenimiento.-está basado en la percepción y entendimiento, es decir si tenemos un software Página 27

33 perfecto un hardware bien protegido, compatibilidad entre componentes pero no concientizamos a los usuarios esto de nada nos servirá. Insectos (bugs).- defecto de un programa que provoca que este realice algo inesperados Phishing.-es una táctica mediante la cual el usuario hace clic en un enlace falso el cual lo lleva a un sitio web donde le roban información personal. Spyware.-es un sitio web que supervisa el comportamiento del usuario, transmite la información a un hacker para robar información. Tipos de Amenazas. Las diferentes fuentes de amenazas a las cuales se expone a un computador a conectar a internet son: Vulnerabilidad de información.- mediante firewalls se puede dar una incorrecta configuración o poseer una tecnología de firewalls muy antigua. Vulnerabilidad de software.- permite controlar las computadoras, robar información, acceder indebidamente a los sistemas. o Debilidades del sistema físico. o Transmisión de debilidades. Los diferentes ataques que puede sufrir al conectarse a internet en redes corporativas son; Ataques basados en passwords Ataques en base de escuchar el tráfico de la red Ataques que explotan los accesos confiables Basados en direcciones IP Introducir información sin darse cuenta Predicción de números secuenciales Secuestrando sesiones Ataques a las debilidades de la tecnología Explotando el sistema de librerías compartidas. DNS Keyloggers Ingeniería social. Página 28

34 1.9.Mecanismos de Seguridad 14 Es una técnica para implementar los servicios está diseñado para detectar, prevenir y recuperarse de un ataque de seguridad. Los mecanismos de seguridad se basan en tres componentes principales que son: a. Información secreta como claves, contraseñas, conocidas por las entidades certificadoras b. Algoritmos para llevar a cabo el cifrado, descifrado y generación números aleatorios c. Procedimientos para definir como usaron los algoritmos es decir quien envía, a quien y cuando Tipos de Mecanismos Mecanismos de seguridad generalizados Están relacionados con la administración de seguridad, permiten determinar el grado de seguridad del sistema ya que la aplican para cumplir la política general Etiquetas de seguridad Está relacionado con números para medir el nivel de seguridad de la información clasificándola como información secreta, confidencial, no clasificada Detección de eventos Detecta movimientos peligrosos dentro del sistema utilizando auditorias de seguridad para así conocer las políticas establecidas y los procedimientos operacionales Recuperación de seguridad Realiza la recuperación de la información basada en reglas, las acciones de recuperación pueden ser inmediatas como desconexión, invalidación temporal de una entidad o de largo plaza intercambio de clave Mecanismos de seguridad específicos Definen la implementación de servicios concretos, los más importantes son los siguientes: Intercambio de Autenticación.-verifica la entidad de quienes envían los mensajes y datos, se clasifica en mecanismos fuertes y débiles. 14 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 135 Página 29

35 Fuertes.-utiliza técnicas criptográficas propiedades de los sistemas criptográficos de clave pública para proteger los mensajes que se van a intercambiar, el proceso es el siguiente. El usuario se autentica mediante un identificador y contraseña o clave privada, en la que el interlocutor verifica que las claves, también lo realiza por certificados que es un documento firmado por una autoridad certificadora válido hasta un periodo determinado de tiempo y que se asocia con la clave del usuario Débiles.- está basado en técnicas de control de acceso, el emisor envía su identificador y una contraseña al receptor el cual la comprueba. Integridad de datos.-garantiza que los datos no sean alterados o destruidos Firma Digital Se define como un conjunto de datos códigos y claves criptográficas privadas que se añaden a la unidad de datos para proteger contra cualquier falsificación, permitiendo al receptor verificar el origen y la integridad de los datos. Es una pieza de información añadida a una entidad de datos, que es el resultado de una transformación criptográfica de esta en la que se ha usado una información privada del signatario, que permite a una entidad receptora probar la autenticidad del origen y la integridad de los datos recibidos 15 Ventajas de la Firma Digital. La firma es autentica La firma no puede ser violada El documento firmado no puede ser alterado La firma no es reutilizable Tráfico de relleno Es un mecanismo que provee una generación de tráfico falso, generan eventos de comunicación, unidades de datos y datos falsos e forma aleatoria para confundir a un analizador de tráfico. 15 CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 343,344 Página 30

36 CAPITULO II Página 31

37 Capítulo 2 2. ISO/IEC Introducción Actualmente las tendencias que han ido adquiriendo la gran mayoría de las empresas dedicadas o relacionadas con las tecnologías de información, es permitir que cada uno de sus procesos se orienten a operaciones y servicios en red de manera distribuida, con el objetivo de que todos los miembros (clientes, empleados, proveedores) de una organización tengan conectividad desde una gran variedad de dispositivos y plataformas, sin embargo el creciente aumento de los puntos de acceso expondrá aún más la infraestructura y los activos digitales de las empresas, surge entonces la necesidad de contar con buenos mecanismos de seguridad para riesgos y amenazas, los mismos que no solamente consiste en robos de información inducido por personal dentro de la misma área geográfica donde estén las computadores, sino también existen riesgos de robos o accesos no autorizados a la información mediante las diferentes redes que interconectan a las computadoras o a cualquier equipo tecnológico utilizado para transmitir información digital. La réplica elemental frente a este entorno de conectividad más exigente, consiste entonces en un conjunto de decisiones tecnológicas orientadas a la seguridad, tecnología que permita a las empresas garantizar la imposición de las políticas de seguridad corporativas a los puntos finales conectados a sus redes. Por ejemplo, que los terminales tengan completamente actualizados las herramientas antivirus o los parches de seguridad, es muy importante considerar los estándares internacionales, los mismos que han sido muy bien aceptados, porque proporcionan mecanismos de seguridad que han sido estudiados detenidamente y cuyas pruebas han sido exitosas, concluyendo que los resultados que ofrecen son los ideales y que deberían ser implementados por todas las organizaciones relacionadas a las tecnologías de la información, dicho estándar internacional es ISO/IEC 27002, el cual trata específicamente sobre aspectos de seguridad en las tecnologías de información. Página 32

38 2.2. Objetivos: 1. Gestionar y proteger los activos de información de una organización 2. Aplicar habilidades prácticas para ayudar a concientizar a la organización sobre la seguridad 3. Permite supervisar continuamente el rendimiento y la mejora. 4. Ayuda a demostrar independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. 5. Permite verificar independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que determina unos procesos, procedimientos y documentación de protección de la información. 2.3.Seguridad de la información La seguridad de la información es la protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades de negocio La seguridad de la información se puede conseguir mediante la implementación de un conjunto apropiado de controles incluyendo políticas procesos, procedimientos, estructuras organizacionales y funciones de software y hardware, estos controles necesitan ser, establecidos, implementados, monitoreados, revisados y mejorados, donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y del negocio de la organización Importancia de la Seguridad de la Información La información y los procesos, sistemas y redes de apoyo son activos comerciales importantes. Definir, lograr, mantener y mejorar la seguridad de la información 16 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 7 Página 33

39 puede ser esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial. Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude por computadora, espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de daño como código malicioso, pirateo computarizado o negación de ataques de servicio se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas. La seguridad de la información es importante tanto para negocios del sector público como privado, y para proteger las infraestructuras críticas. En ambos sectores, la seguridad de la información funcionará como un facilitador; por ejemplo para evitar o reducir los riesgos relevantes. La interconexión de redes públicas y privadas y el intercambio de fuentes de información incrementan la dificultad de lograr un control del acceso. La tendencia a la computación distribuida también ha debilitado la efectividad de un control central y especializado Requerimientos de Seguridad Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos de seguridad. Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial Evaluación de los Riesgos Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. El gasto en controles debiera ser equilibrado con el daño comercial probable resultado de fallas en la seguridad NORMA TÉCNICA NTC-ISO/IEC Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 9 Página 34

40 Los resultados de la evaluación del riesgo ayudarán a guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgos de seguridad de la información, e implementar los controles seleccionados para protegerse contra esos riesgos. La evaluación del riesgo se debiera repetir periódicamente para tratar cualquier cambio que podría influir en los resultados de la evaluación del riesgo. 2.7.Definición ISO ISO es el acrónimo de International Organization for Standardization y se deriva del griego "isos", que significa "igual". Se trata de la organización desarrolladora y publicadora de Estándares Internacionales más grande en el mundo. ISO es una red de instituciones de estándares nacionales de 157 países, donde hay un miembro por país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema La misión de la ISO es promover el desarrollo de las actividades de normalización y afines en el mundo con el fin de facilitar el intercambio internacional de bienes y servicios, para desarrollar la cooperación en la actividad intelectual, la actividad científica, tecnológica y económica. 19 La ISO es un órgano consultivo de la Organización de las Naciones Unidas. Coopera estrechamente con la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC) que es responsable de la normalización de equipos eléctricos. IEC 19 Página 35

41 Fundada en 1906, la IEC (International ElectrotechnicalCommission) es la organización líder en el mundo para la preparación y publicación de normas internacionales para todas las tecnologías eléctricas, electrónicas y relacionadas. Éstos se conocen colectivamente como "electrotécnica". 20 ISO/IEC JTC1 ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC JointTechnicalCommittee). Este comité trata con todos los asuntos de tecnología de la información, este se encarga de las técnicas de seguridad de las tecnologías de información. Dicho subcomité ha venido desarrollando una familia de Estándares Internacionales para el Sistema Gestión y Seguridad de la Información. La familia incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de numeración utilizando las series del número en secuencia. ISO 27002: ISO / IEC 27002, es la última versión de la "tecnología de la información, es definida como técnicas de seguridad o como el Código de buenas prácticas para la gestión de seguridad de la información, dirigida a los responsables de implementar o mantener activa la seguridad de la información, esta norma es aceptada internacionalmente, por lo que decenas o cientos de miles de organizaciones en todo el mundo siguen la norma ISO / IEC PDCA El "Plan-Do-Check-Act" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua: Página 36

42 Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados. Do (hacer): es una fase que envuelve la implantación y operación de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento. PDCA permite seguir un proceso cuando se necesita hacer un cambio o resolver un problema, un proceso que asegure planificar, probar e incorporar retroalimentación antes de comprometerse con la implementación Ventajas y Desventajas ISO Ventajas: Es importante considerar que una seguridad al 100% no existe, sin embargo esta norma establece una metodología y una serie de medidas que al menos busca una mejora continua y que, sin lugar a dudas, aumentará el porcentaje actual de cualquier empresa, entre estas ventajas tenemos: 22 Página 37

43 Competitividad: es un factor que le interesa a cualquier empresa., por lo que poco a poco las grandes empresas, emprenderán una búsqueda de dicha certificación para abrir y compartir sus sistemas con cualquier empresa. Calidad a la seguridad, transformando a la seguridad en una actividad de gestión, es decir se convierte en un ciclo de vida sistemático y controlado, que se busca y exige hoy en toda empresa. Reduce riesgos, partiendo de un Análisis de Riesgos, que impone la norma, hasta la implementación de los controles, entonces este conjunto de acciones adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano (intencionado o no), mal uso de instalaciones y equipo a los cuales está expuesto el manejo de información. Concienciación y compromiso: El estándar crea conciencia y compromiso de seguridad en todos los niveles de la empresa, no sólo al implantarla, sino que será permanente Visión externa y ordenada del sistema donde implica rigidez y responsabilidad que impone al personal de la empresa, para que aporten con elementos de juicio y acciones de mejora. Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. Los riesgos y sus respectivos controles son revisados constantemente. Garantiza el cumplimiento de las leyes y reglamentos establecidos en materia de gestión de la información. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática, además de proporciona confianza y reglas clara al personal de la empresa. Página 38

44 Desventajas Tal vez la mayor problemática es el poder convencer a la alta dirección la importancia que reviste todo el proceso para la implementación de esta norma. El conjunto de tareas, que se deben realizar, será una sobrecarga al ritmo habitual de trabajo que tiene la organización, entonces es importante ser consciente de que habrá una mayor exigencia en el esfuerzo, o esfuerzos adicionales. No tiene retorno, Una vez que se ha empezado el camino de implementación de la norma no hay retorno por lo que se deberán cumplir con mantenimiento y mejora continua, sin dejar a un lado el Sistema de Gestión de la Seguridad de la Información Requiere esfuerzo continuo, se requerirá infaliblemente un esfuerzo continuado de toda la organización. 2.9.Control de Acceso Introducción: Lo fundamental es poder contar con una política para el control de acceso con el objetivo de evitar o minimizar todos aquellos accesos que no son autorizados, por lo que se puede controlar mediante: Registros de usuarios Gestión de privilegios Autenticación por contraseñas o usuarios, etc. Página 39

45 Además de la autenticación es necesario poder asegurar a los equipos que son descuidados por un lapso de tiempo determinado, es decir se podría realizar una activación automática de un protector de pantalla después de cierto tiempo de inactividad, el mismo que impedirá el acceso mientras no se introduzca una contraseña autorizada. Así mismo son de vital importancia los controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información, para ello deben existir registros y bitácoras de acceso. Para el caso de existir comunicación móvil, redes inalámbricas, ordenadores portátiles, etc. también es necesario implementar políticas que contemplen cada uno de estos aspectos Definición El control de acceso es el proceso de conceder permisos a usuarios o grupos y poder conocer quienes están autorizados para acceder a los sistemas de información y recursos. Su concepto se resume en tres pasos que son: identificación, autenticación y autorización, gracias a estos principios y con el buen uso de los mismos el administrador del sistema puede controlar que recursos están disponibles para los usuarios de un sistema. Se debe establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la organización. Las reglas para el control del acceso deberían tener en cuenta las políticas de distribución y autorización de la información, es decir establecer una serie de controles referidos a: Control de acceso a la información, análisis de requisitos necesarios para el control de acceso o Crear una Política de control de accesos. Control de accesos, únicamente a usuarios autorizados o Registro de usuario, gestión de privilegios, gestión de contraseñas de usuarios. Control de accesos a usuarios no autorizados, contribución y responsabilidad por parte de los usuarios o Uso de contraseña, equipo de usuario desatendido, Política de puesto despejado y mesa limpia. Control de acceso no autorizado a la red Página 40

46 o Política de uso de los servicios en la red, autenticación de los usuarios para conexiones externas, identificación de los equipos en las redes, segregación de las redes. Control de acceso no autorizados al sistema operativo o Procedimiento seguro de inicio de sesión, identificar y autentificación de usuarios, sistemas de gestión de contraseñas, desconexión automática de sesión, limitación del tiempo de conexión. Control de acceso a las aplicaciones y a la información para evitar accesos no autorizados. o Restricciones de acceso a la información, aislamientos de sistemas sencillos. Ordenadores portátiles, garantizando la información de los ordenadores portátiles. o Política formal de ordenadores portátiles y comunicaciones móviles Control de Acceso por Identificación Es una acción que el sistema realiza para reconocer la identidad de los usuarios, habitualmente se usa un identificador de usuarios, todas las acciones que se llevan a cabo en el sistema son de responsabilidad de los usuarios, entonces hablamos de la necesidad de registros de auditorías que permiten guardar las acciones realizadas dentro del sistema y rastrearlas hasta el usuario autenticado, es decir es el medio por el cual los usuarios del sistema se identifica quiénes son sistemas-informaticos/ Página 41

47 Control de acceso por autenticación Autenticación es verificar que el usuario que trata de identificarse es válido, por lo general se implementa con una contraseña en el momento de iniciar una sección, es el segundo paso del proceso de control de acceso. Existen 4 tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas: 1. Algo que solamente el individuo conoce: ejemplo una contraseña. 2. Algo que una persona posee: ejemplo un tarjeta magnética, tarjeta con circuito integrado 3. Algo que el individuo es y que lo identifica de manera única : ejemplo las huellas digitales, reconocimiento de voz 4. Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de escritura Características de la Autenticación Cualquier sistema de identificación ha de poseer unas determinadas características para ser asequibles: Que cumpla su función bajo condiciones fijadas y durante un período determinado, es decir que sea fiable. En lo económico deberá ser asequible para la organización por ejemplo si el costo es superior al valor de lo que se intenta proteger, el sistema es incorrecto Sobrellevar con éxito cuando se den algún tipo de ataques. Ser admisible para los usuarios, pues ellos serán quienes lo utilicen. Página 42

48 AUTORIZACIÓN La autorización se origina después de que un usuario del sistema se autentica y luego es autorizado a utilizar el sistema. Por lo general un usuario es autorizado a usar únicamente una parte de los recursos del sistema, lo que esto significa es que un usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo, sin embargo esto dependerá de la función que cumple en la organización. Por ejemplo el personal de finanzas o contabilidad tiene menos accesos a diferentes aplicaciones y archivos con respecto al personal de ingeniería. Además del principio de menor privilegio, es importante considerar los accesos en tiempo permitidos, Por, ejemplo, a veces, puede no ser aconsejable permitir el acceso a los registros financieros a horas en las cuales las instalaciones deberían estar cerradas. Existen diferentes modos para hacer cumplir el acceso además del uso de software, gracias al control de acceso se puede mantener con algo tan simple como una puerta cerrada, es decir solo, los usuarios con su clave correcta, o con el uso de su tarjeta se les admitirá ingresar Control de Acceso Criptográfico Existen mecanismos de control de acceso criptográfico donde se combina algunas técnicas de la criptografía para desarrollar protocolos, modelos y mecanismos de autenticación para el control de acceso Página 43

49 Kerberos Es un protocolo de autentificación de red. Está diseñado para suministrar una autentificación poderosa para aplicaciones cliente/servidor usando criptografía secret-key. Una versión libre de este protocolo Internet es un lugar inseguro. Muchos de los protocolos usados en internet no proporcionan seguridad. Herramientas para "rastrear" contraseñas fuera de la red son usadas comúnmente por piratas informáticos maliciosos. Por lo tanto, aplicaciones que envían una contraseña no encriptado sobre la red son sumamente vulnerables. Peor aún, otras aplicaciones de cliente/servidor dependen de la honestidad sobre la identidad del usuario que lo está usando. 25 Algunos sitios intentan que cortafuegos (Firewall) solucionen sus problemas de seguridad de la red. Desafortunadamente, los cortafuegos suponen que "los villanos" están en el exterior, que es a menudo una suposición muy mala. La mayoría de los incidentes muy perjudiciales del delito informático son llevados por miembros. Los cortafuegos también tienen una desventaja importante, restringen cómo pueden usar Internet por sus usuarios.después de todo, los cortafuegos son sólo un ejemplo menos extremista del dictamen de que no hay nada más seguro que una computadora que está desconectada de la red. En muchos lugares, estas restricciones son sólo irrealistas e inaceptables. Kerberos fue creado por MIT como una solución para estos problemas de seguridad de la red. El protocolo de Kerberos usa criptografía fuerte con el propósito de que un cliente pueda demostrar su identidad a un servidor (y viceversa) al otro lado de una conexión de red insegura. Después de que un cliente/servidor ha conseguido que Kerberos demuestre su identidad, también pueden cifrar todas sus comunicaciones para garantizar la privacidad y la integridad de los datos cuando continúa en su empresa. Kerberos está disponible libremente en MIT, bajo los permisos de derecho de autor muy similares a aquellos que usaron para el sistema operativo de BSD y el 25 Página 44

50 X WindowSystem. MIT provee el código fuente de Kerberos con el propósito de que alguien que desea usarlo pueda estudiar el código y así asegurarse que el código es digno de confianza. Además, para aquellos que prefieren depender de un producto soportado de manera profesional, Kerberos está disponible como un producto de muchos distribuidores diferentes. 26 El protocolo de autenticación de Kerberos es un proceso en el que diferentes elementos colaboran para conseguir identificar a un cliente que solicita un servicio ante un servidor que lo ofrece; este proceso se realiza en tres grandes etapas que a continuación se describen. C : Cliente que solicita un servicio S : Servidor que ofrece dicho servicio A : Servidor de autenticación T : Servidor de tickets K : Clave secreta del cliente trasferencia K : Clave secreta del servidor K : Clave secreta del servidor de tickets K : Clave de sesión entre el cliente y el servidor de tickets K : Clave de sesión entre cliente y servidor Modelos de control de acceso Un modelo de control de acceso es un conjunto definido de criterios que un administrador del sistema utiliza para definir derechos/permisos de los usuarios del/al sistema control-de-acceso/ Página 45

51 Los modelos principales de control de acceso son : Control de Acceso Obligatorio (Mandatory Access Control) (MAC), Control de Acceso Discrecional (Discretionary Access Control) (DAC) Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC) Control de acceso obligatorio (Mandatory Access Control) (MAC) En este modelo se determinan cada una de las funciones asignadas a los usuarios, los mismos que son rigurosamente ajustados a las pretensiones del administrador del sistema, siguiendo el principio de mínimos privilegios, este método de control de acceso es considerado como el más restrictivo ya que los usuarios finales no pueden establecer controles de acceso en los archivos. Generalmente los controles de accesos obligatorios son implementados en instalaciones altamente secretas, es decir donde la pérdida o robo de archivos pueden afectar la seguridad nacional Control de Acceso Discrecional (Discretionary Access Control) (DAC) El modelo de control de acceso discrecional es el menos restrictivo de los otros modelos, está definido de acuerdo a los criterios de evaluación de un sistema, en este modelo el usuario final tiene una libertad integral para asignar los derechos de los objetos que desea, por lo que este nivel de control completo sobre los archivos puede 28 control-de-acceso/ Página 46

52 ser peligroso a causa de que si un atacante o algún Malware compromete la cuenta a continuación, el usuario malicioso o código tendrá un control completo también Controles de Acceso Basado en Roles (Rule Based Access Control) (Rbac) Por lo general todas las aplicaciones empresariales necesitan contar con buenos niveles de control de acceso con el objetivo de restringir diferentes acciones u operaciones que puede realizar un usuario, entonces uno de los esquemas más comunes es el control de accesos basado en roles, conocido también como RBAC (Role Based Access Control), por sus siglas en inglés 30 Las principales características que un sistema de control de acceso basado en roles debe cumplir: Funcionalidad. Un sistema RBAC debe cumplir como mínimo los niveles de funcionalidad de: autenticación, autorización y auditoria. o Autenticación. Capacidad de validar la identidad de un usuario. Típicamente se realiza por medio de nombres de usuario y contraseña. o Autorización. Es la definición de qué es lo que un usuario específico puede hacer dentro de una aplicación, es decir a qué información y operaciones tiene acceso. o Auditoría. Se refiere a la capacidad de mantener un registro de las transacciones sensitivas de una aplicación. La auditoría permite saber Página 47

53 quién hizo qué, cuando lo hizo, y quién le dio los permisos necesarios a ese usuario. Componentes o Repositorio. Se requiere de un lugar seguro para almacenar los usuarios, contraseñas, roles y permisos. o Interfaz entre aplicación y repositorio. Este es el componente intermedio que sirve de interfaz entre una aplicación y el repositorio de seguridad. o Consola de administración. La consola que permite administrar las cuentas de usuario, roles y permisos. Debe ser sencilla de usar, de forma que gente no técnica pueda realizar estas tareas. o Documentación. Un elemento comúnmente olvidado, que sin embargo es necesario para tener un proceso de seguridad confiable y que no dependa de personas específicas Requisitos previos para el control de acceso Objetivo Controlar los accesos a la información. 31 Principios Los accesos a la información, así como a cada uno de los servicios de procesamiento de información y a los procesos de negocio, deben ser controlados con base a los requisitos, obligaciones y necesidades de seguridad y de negocio que requiera la organización Para el control de acceso las pautas deberían políticas de distribución y autorización tener en cuenta todas las Tanto las reglas de control de acceso como otros controles de seguridad, deberían ser definidas y aprobadas por los propietarios de activos de información los mismos que son responsables ante la dirección 31 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 72 Página 48

54 Asegúrese también de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes Política de Control de Accesos Control La política definida para el control de acceso debe quedar basada en los requerimientos de seguridad además de ser implantada, documentada y revisada Guía Para Su Implementación En una política de accesos se debe establecer de manera detallada y clara las reglas y los derechos que son asignados a cada usuario o grupo de usuarios. Es importante que se considere de manera conjunta los controles de acceso lógicos y físicos. También es primordial dar a los usuarios y proveedores de servicios una explicación detallada y clara de cada uno de los requisitos de negocio protegidos por los controles de accesos. La política debería contemplar lo siguiente: 1. Requerimientos de seguridad que serán analizados de manera individual para cada aplicación de negocio 2. Recopilación e identificación de la información con referencia a las aplicaciones y riesgos que la información está afrontando. 3. Políticas para la distribución de la información y las autorizaciones (niveles de seguridad para la clasificación de la información) 4. Coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes; 5. Reglamentación aplicable y las obligaciones establecidas con respecto a la protección del acceso a los datos o servicios 6. Perfiles de acceso de usuarios estandarizados según las categorías comunes de trabajos 7. Administración de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión; 8. Segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos; 9. Requerimientos para la autorización formal de los pedidos de acceso 10. Requerimientos para la revisión periódica de controles de acceso 11. Retiro de los derechos de acceso Página 49

55 Precauciones: Al especificar las reglas de los controles de acceso se debe considerar: La distinción entre reglas a cumplir siempre y reglas adicionales o condicionales El establecimiento de las reglas basándose en la premisa está prohibido todo lo que no esté permitido explícitamente, considerada más débil o más permisiva Los cambios en las etiquetas de información iniciadas automáticamente por los recursos de tratamiento de la información y las que inicia el usuario manualmente Los cambios en las autorizaciones al usuario realizados automáticamente por el sistema de información y los que realiza un administrador La distancia entre reglas que requieren o no la aprobación del administrador o de otra autoridad antes de su promulgación Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidades claramente definidos Gestión de acceso de usuario Objetivo Asegurar el acceso de usuarios autorizados e impedir el acceso de usuarios no autorizados a los sistemas de información. 32 Principios Es importante definir procedimientos con el objetivo de poder controlar la asignación de los derechos de accesos tanto a los sistemas como a los servicios de información. Todas las fases del ciclo de vida del acceso del usuario deben estar comprendidas dentro de los procedimientos, desde el registro inicial para 32 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 74 Página 50

56 usuarios nuevos hasta la cancelación final del registro, es decir usuarios que ya no requieren acceso a los servicios y sistemas de información. Además es primordial controlar a los usuarios que se les permite o se les otorga el privilegio de anular los controles del sistema, es decir poder controlar la asignación de derechos y así obtener eficacia de los mismos Registro de usuario. Control Se debería determinar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario Guía De Implementación Se debería controlar el acceso a los servicios de información multiusuario mediante un proceso formal de registro que debería incluir: a) La utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; b) La comprobación de la autorización del usuario por el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso c) Verificación de la adecuación del nivel de acceso asignado al propósito del negocio y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas d) La entrega a los usuarios de una relación escrita de sus derechos de acceso; e) La petición a los usuarios para que reconozcan con su firma la comprensión de las condiciones de acceso; f) La garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización; g) El mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; Página 51

57 h) La eliminación inmediata de las autorizaciones de acceso a los usuarios que dejan la organización o cambien de trabajo en ella; i) La revisión periódica y eliminación de identificadores y cuentas de usuario redundantes j) La garantía de no reasignación a otros usuarios de los identificadores de usuario redundantes Otra Información Se debería considerar el establecimiento de roles de acceso a usuario basado en requisitos de negocio que resuman un numero de derechos de acceso en un expediente típico de acceso de usuario. Los pedidos y revisiones de acceso son manejadas más fácilmente al nivel de dichos roles que los niveles de derechos particulares. Se debería considerar la inclusión de cláusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados Gestión de Privilegios. Control Debería restringirse y controlarse el uso y asignación de privilegios. Guía De Implementación Se debería controlar la asignación de privilegios por un proceso formal de autorización en los sistemas multiusuario. Se deberían considerar los pasos siguientes: a) Identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos; b) Asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso, por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite; Página 52

58 c) Mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido d) Promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) Promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; f) Asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Otra información Un uso inapropiado de los privilegios de la administración del sistema (cualquier característica o facilidad de un sistema de información que habilite al usuario sobrescribir los controles del sistema o de la aplicación) pueden ser un gran factor contribuidor de fallas o aberturas en los sistemas Gestión de contraseñas de usuario. Control Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal. Guía de Implementación El proceso debe incluir los siguientes requisitos: a) Requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y las compartidas por un grupo sólo entre los miembros de ese grupo (compromiso que podría incluirse en los términos y condiciones del contrato de empleo); b) Proporcionar inicialmente una contraseña temporal segura que forzosamente deben cambiar inmediatamente después c) Establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal d) Establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico Página 53

59 e) Las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias f) Los usuarios deberían remitir acuse de recibo de sus contraseñas g) Las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos h) Las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software. Otra Información Las contraseñas son un medio común de verificar la identidad del usuario antes de que el acceso a un sistema de información o servicio sea dado de acuerdo a la autorización del usuario. Se deben considerar, si son apropiadas, otras tecnologías para identificación y autentificación de usuario como las biométricas (como la verificación de huellas, la verificación de la firma) o el uso de dispositivos hardware (como las tarjetas inteligentes) Revisión de los derechos de acceso de los usuarios. CONTROL La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. Guía de Implementación La revisión de los derechos de acceso de usuario debería considerar las siguientes pautas: a) Revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares(se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo b) Los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; c) Revisar más frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales. Página 54

60 d) Comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; e) Los cambios en las cuentas privilegiadas deben ser registradas para una revisión periódica. Otra Información Es necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de información Responsabilidad del usuario Objetivos: Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la información y de las instalaciones de procesamiento de información Una protección eficaz necesita la cooperación de los usuarios autorizados. Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseñas y a la seguridad del material puesto a su disposición Un escritorio limpio, así como una política de pantalla clara debe ser implementado con el fin de reducir el riesgo de acceso no autorizado o de daño a los papeles, medios e instalaciones del procesamiento de información Uso de contraseñas Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. Guía de Implementación Todos los usuarios deberían ser informados acerca de: a. Mantener la confidencialidad de las contraseñas; 33 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 77 Página 55

61 b. Evitar guardar registros (papel, archivos de software o dispositivos) de las contraseñas, salvo si existe una forma segura de hacerlo y el método de almacenamiento ha sido aprobado; c. Cambiar las contraseñas si se tiene algún indicio de su vulnerabilidad o de la del sistema; d. Seleccionar contraseñas de buena calidad, con una longitud mínima caracteres, que sean: 1. fáciles de recordar; 2. No estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, números de teléfono, etc. 3. No sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4. Estén carentes de caracteres consecutivos repetidos o que sean todos números o todas letras; e. Cambiar las contraseñas a intervalos de tiempo regulares o en proporción al número de accesos (las contraseñas de las cuentas con privilegios especiales deberían cambiarse con más frecuencia que las normales), evitando utilizar contraseñas antiguas cíclicas; f. Cambiar las contraseñas temporales asignadas para inicio, la primera vez que se ingrese al sistema; g. No incluir contraseñas en ningún procedimiento automático de conexión, que, las deje almacenadas permanentemente; h. No compartir contraseñas de usuario individuales i. No utilizar la misma contraseña para propósitos personales o de negocio. Si los usuarios necesitan acceder a múltiples servicios o plataformas y se les pide que mantengan contraseñas múltiples, deberían ser aconsejados sobre la posibilidad de usar una sola contraseña de calidad para todos los servicios, que brinde un nivel razonable de protección para la contraseña almacenada. Otra Información La gestión de los sistemas de ayuda que tratan con problemas de perdida u olvido de contraseña necesitan un cuidado especial ya que esto también significa medios de ataque al sistema de contraseñas Página 56

62 Equipo informático de usuarios desatendidos Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de Implementación Todos los usuarios y proveedores de servicios deberían conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. Se les debería recomendar: a. Cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla; b. Desconectar (log-off)los servidores o los computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal); c. Proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contraseña de acceso Otra Información El equipo instalado en áreas de usuarios, como las estaciones de trabajo o los servidores de archivo, pueden requerir protección específica para un acceso no autorizado cuando se desatienda por un periodo extenso Política de pantalla y escritorio limpio control Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información. Guía de Implementación La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y Página 57

63 los aspectos culturales de la organización. Las siguientes pautas deben ser consideradas: a. La información crítica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía; b. Los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de control cuando no sean utilizados; c. Los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos; d. Debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales; e. Los documentos que contienen información sensible y clasificada deben ser removidos de las impresoras de inmediato. Otra Información Una política de pantalla y escritorio limpio reduce los riegos de un acceso no autorizado y de la pérdida o daño de la información durante horas de trabajo no establecidas. Las cajas fuerte su otras formas de instalaciones de almacenamiento pueden también proteger información almacenada contra desastres como incendio, terremotos, inundación u explosión. Considere el uso de impresoras con código pin de modo tal que los creadores sean los únicos que puedan sacar sus impresiones y solo cuando se encuentren al costado de la impresora Control de Acceso a las Redes (NAC) Objetivo Evitar el acceso no autorizado a los servicios de la red NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 80 Página 58

64 Se debiera controlar el acceso a los servicios de redes internas y externas. El acceso del usuario a las redes y servicios de las redes no debieran comprometer la seguridad de los servicios de la red asegurando: a. Que existan las interfaces apropiadas entre la red de la organización y las redes de otras organizaciones, y redes públicas; b. Que se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo; c. Que el control del acceso del usuario a la información sea obligatorio Otra información Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a toda la organización. Este control es particularmente importante para las conexiones de la red con aplicaciones comerciales confidenciales o críticas o con usuarios en ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de la gestión y control de seguridad de la organización Política sobre el Uso de los Servicios de la Red Control Los usuarios sólo debieran tener acceso a los servicios para los cuales hayan sido específicamente autorizados. Guía de implementación Se debiera formular una política relacionada con el uso de las redes y los servicios de la red. Esta política debiera abarcar: a) Las redes y servicios de la red a las cuales se tiene acceso; b) Los procedimientos de autorización para determinar quién está autorizado a tener acceso a cuáles redes y servicios en red; c) Controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red; d) Los medios utilizados para tener acceso a las redes y los servicios de la red (por ejemplo, las condiciones para permitir acceso vía discado a un proveedor del servicios de Internet o sistema remoto) Página 59

65 Otra información Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a toda la organización. Este control es particularmente importante para las conexiones de la red con aplicaciones comerciales confidenciales o críticas o con usuarios en ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de la gestión y control de seguridad de la organización Autenticación del usuario para las conexiones externas Control Se debieran utilizar métodos de autenticación apropiados para controlar el acceso de usuarios remotos. Guía de implementación La autenticación de los usuarios remotos se puede lograr utilizando, por ejemplo, una técnica basada en criptografía, dispositivos de hardware o un protocolo de desafío/respuesta. Las posibles implementaciones de tales técnicas se pueden encontrar en varias soluciones de la red privada virtual (VPN). También se pueden utilizar las líneas privadas dedicadas para proporcionar la seguridad de la fuente de conexiones. Los procedimientos y controles de discado; por ejemplo, utilizando módems de discado; pueden proporcionar protección contra conexiones no autorizadas e indeseadas a los medios de procesamiento de la información de una organización. Este tipo de control ayuda a autenticar a los usuarios que tratan de establecer una conexión con la red de la organización desde ubicaciones remotas. Cuando se utiliza este control, una organización no debiera utilizar los servicios de red, los cuales incluyen reenvío de llamadas, y si lo hacen, debieran deshabilitar el uso de tales dispositivos para evitar las debilidades asociadas con el reenvío de llamadas. El proceso de llamada de verificación debería asegurar que ocurra una desconexión real en el lado de la organización. De otra manera, el usuario remoto podría tomar la línea abierta pretendiendo que ha ocurrido la llamada de verificación. Los procedimientos y controles de la llamada de verificación debieran ser comprobados concienzudamente para evitar esta posibilidad. Página 60

66 La autenticación del nodo puede servir como un medio alternativo para la autenticación de los grupos de usuarios remotos, cuando están conectados a un medio de cómputo seguro y compartido. Se pueden utilizar técnicas criptográficas; por ejemplo, basadas en los certificados de las máquinas; para la autenticación del nodo. Otra información Las conexiones externas proporcionan un potencial para el acceso no autorizado a la información comercial; por ejemplo, acceso mediante métodos de discado. Existen diferentes tipos de métodos de autenticación, algunos de estos proporcionan un mayor nivel de protección que otros; por ejemplo, los métodos basados en el uso de las técnicas criptográficas pueden proporcionar una autenticación sólida. Es importante determinar el nivel de protección requerido mediante una evaluación del riesgo. Esto es necesario ara la selección apropiada de un método de autenticación. Un medio para la conexión automática con una computadora remota podría proporcionar una manera de obtener acceso no autorizado a la aplicación comercial. Esto es especialmente importante si la conexión utiliza una red que esté fuera del control de la gestión de seguridad de la organización Identificación del equipo en las redes Control La identificación automática del equipo se debiera considerar como un medio para autenticar las conexiones de ubicaciones y equipos específicos. Guía de implementación La identificación del equipo se puede utilizar si es importante que la comunicación sólo sea iniciada desde una ubicación o equipo específico. Se puede utilizar un identificador dentro o incorporado en el equipo para indicar si este equipo está autorizado a conectarse a la red. Estos identificadores debieran indicar claramente a cuál red está autorizado a conectarse el equipo, si existe más de una red y particularmente si estas redes tienen diferentes grados de confidencialidad. Puede ser necesario considerar la protección física del equipo para mantener la seguridad del identificador del equipo. Página 61

67 Protección del puerto de diagnóstico y configuración remoto Control Se debiera controlar el acceso físico y lógico a los puertos de diagnóstico y configuración. Guía de implementación Los controles potenciales para el acceso a los puertos de diagnóstico y configuración incluyen el uso de un seguro y procedimientos de soporte para controlar el acceso físico al puerto. Un ejemplo de un procedimiento de soporte es asegurar que los puertos de diagnóstico y configuración sólo sean accesibles a través de un acuerdo entre el gerente del servicio de cómputo y el personal de soporte de hardware/software que requiere acceso. Los puertos, servicios y medios similares instalados en una computadora o red, que no son requeridos específicamente por funcionalidad comercial, debieran ser desactivados o removidos. Otra información Muchos sistemas de cómputo, sistemas de redes y sistemas de comunicaciones están instalados con un medio de diagnóstico o configuración remoto para ser utilizado por los ingenieros de mantenimiento. Si no están protegidos, estos puertos de diagnóstico proporcionan un medio de acceso no autorizado Segregación en Redes Control Los grupos de servicios de información, usuarios y sistemas de información debieran ser segregados en redes. Guía de implementación Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados; por ejemplo, dominios de red internos y dominios de red externos de una organización; cada uno protegido por un perímetro de seguridad definido. Se puede aplicar un conjunto de controles graduados en dominios de red Página 62

68 lógicos diferentes para segregar aún más los ambientes de seguridad de la red; por ejemplo, sistemas de acceso público, redes internas y activos críticos. Los dominios debieran ser definidos en base a una evaluación del riesgo los requerimientos de seguridad diferentes dentro de cada uno de los dominios. Este tipo de perímetro de red se puede implementar instalando un gateway seguro entre dos redes para mantenerlas interconectadas y controlar el acceso y el flujo de información entre los dos dominios. Este gateway debiera estar configurado para filtrar el tráfico entre estos dominios y para bloquear el acceso no-autorizado en concordancia con la política de control de acceso de la organización. Un ejemplo de este tipo de Gateway es lo que comúnmente se conoce como un firewall. Otro método para segregar dominios lógicos separados es restringir el acceso a la red utilizando redes privadas virtuales para grupos de usuarios dentro de la organización. Las redes también pueden ser segregadas utilizando la funcionalidad del dispositivo de red; por ejemplo, IP switching. Los dominios separados también se pueden implementar controlando los flujos de data a la red utilizando capacidades routing/switching, como listas de control de acceso. El criterio de segregación de las redes en dominios se debiera basar en la política de control de acceso y los requerimientos de acceso, y también debiera tomar en cuenta el costo relativo y el impacto en el desempeño al incorporar una adecuada tecnología de routing o gateway de red. Además, la segregación de las redes se debiera basar en el valor y la clasificación de la información almacenada o procesada en la red, niveles de confianza o líneas comerciales; para así reducir el impacto total de una interrupción del servicio. Se debiera tener en consideración la segregación de las redes inalámbricas de las redes internas y privadas. Como los perímetros de las redes inalámbricas no están bien definidos, se debiera llevar a cabo una evaluación del riesgo para identificar los controles (por ejemplo, autenticación sólida, métodos criptográficos y selección de frecuencia) para mantener la segregación de la red. Otra información Las redes se están extendiendo cada vez más allá de los límites organizacionales tradicionales, conforme se forman sociedades comerciales que puedan requerir la Página 63

69 interconexión o intercambio de medios de procesamiento de la información y redes. Estas extensiones podrían incrementar el riesgo de un acceso no-autorizado a los sistemas de información existentes que utilizan la red, algunos de los cuales pueden requerir protección de otros usuarios de la red debido a la confidencialidad o grado crítico Control de conexión a la red Control Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales. Guía de implementación Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso. Se puede restringir la capacidad de conexión de los usuarios a través de gateways de la red que filtran el tráfico por medio de tablas o reglas predefinidas. Los ejemplos de aplicaciones a las cuales se pueden aplicar las restricciones son: a) Mensajes; por ejemplo, correo electrónico, b) Transferencia de archivos, c) Acceso interactivo, d) Acceso a una aplicación. Se debieran considerar vincular los derechos de acceso a la red con ciertos días u horas. Otra información La política de control de acceso puede requerir la incorporación de los controles para restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites o fronteras organizacionales. Página 64

70 Control de Routing de la Red Control Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales. Si se emplean tecnologías proxy (en inglés, representante o apoderado) y/o de traducción de direcciones de la red, se pueden utilizar los gateways de seguridad para validar las direcciones de la fuente y el destino en los puntos de control de las redes internas y externas. Los encargados de la implementación debieran estar al tanto de las fuerzas y debilidades decualquier mecanismo empleado. Los requerimientos para el control del routing de la red se debieran basar en la política de control de acceso Otra información Las redes compartidas, especialmente aquellas que se extienden a través de las fronteras organizacionales, pueden requerir controles de routing adicionales. Esto se aplica particularmente cuando las redes son compartidas con terceros (noorganización) Control del Acceso al Sistema Operativo Objetivos: Evitar el acceso no autorizado a los sistemas operativos. Se debieran utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios autorizados. Los medios debieran tener la capacidad para a) Autenticar a los usuarios autorizados, en concordancia con una política de control de acceso definida; b) Registrar los intentos exitosos y fallidos de autenticación del sistema; c) Registrar el uso de los privilegios especiales del sistema; d) Emitir alarmas cuando se violan las políticas de seguridad del sistema; e) Proporcionar los medios de autenticación apropiados; f) Cuando sea apropiado, restringir el tiempo de conexión de los usuarios. Página 65

71 Procedimientos para un Registro Seguro Control El acceso a los sistemas operativos debiera ser controlado mediante un procedimiento de registro seguro. Guía de implementación: El procedimiento para registrarse en un sistema de operación debiera ser diseñado de manera que minimice la oportunidad de un acceso no autorizado. Por lo tanto, el procedimiento para registrarse debiera divulgar el mínimo de información acerca del sistema para evitar proporcionar al usuario no-autorizado ninguna ayuda innecesaria. Un buen procedimiento de registro: a) No debiera mostrar identificadores del sistema o aplicación hasta que se haya completado satisfactoriamente el proceso de registro; b) Debiera mostrar la advertencia general que a la computadora sólo pueden tener acceso los usuarios autorizados; c) No debiera proporcionar mensajes de ayuda durante el procedimiento de registro que ayuden al usuario no-autorizado; d) Sólo debiera validar la información del registro después de completar todo el input de data. Si surge una condición de error, el sistema debiera indicar qué parte de la data es correcta o incorrecta; e) Debiera limitar el número de intentos de registro infructuosos permitidos; por ejemplo, tres intentos; y debiera considerar: 1. registrar los intentos exitosos y fallidos; 2. forzar un tiempo de espera antes de permitir más intentos de registro o rechazar cualquier otro intento sin una autorización específica; 3. desconectar las conexiones de vínculo a la data; 4. establecer el número de re-intentos de clave secreta en conjunción con el largo mínimo de la clave secreta y el valor del sistema que se está protegiendo; f) Debiera limitar el tiempo máximo y mínimo permitido para el procedimiento de registro. Si se excede este tiempo, el sistema debiera terminar el registro; Página 66

72 g) Debiera mostrar la siguiente información a la culminación de un registro satisfactorio: 1. fecha y hora del registro satisfactorio previo; 2. detalles de cualquier intento infructuoso desde el último registro satisfactorio; h) No debiera mostrar la clave secreta que se está ingresando o considerar esconder los caracteres de la clave secreta mediante símbolos; i) No debiera transmitir claves secretas en un texto abierto a través de la red. Otra información Si las claves secretas se transmiten a través de la red en un texto abierto durante la sesión, estas pueden ser capturadas por un programa espía en la red Identificación y autenticación del usuario Control Todos los usuarios tienen un identificador único (ID de usuario) para su uso personal, y se debiera escoger una técnica de autenticación adecuada para sustanciar la identidad de un usuario. Guía de implementación Se debiera aplicar este control a todos los tipos de usuarios (incluyendo el personal de soporte técnico, operadores, administradores de redes, programadores de sistemas y administradores de bases de datos).se debieran utilizar los IDs de usuarios para rastrear las actividades hasta la persona responsable. Las actividades de usuarios regulares no debieran realizarse desde cuentas privilegiadas. En circunstancias individuales, cuando existe un beneficio comercial claro, se puede utilizar un ID de usuario compartido para un grupo de usuarios o un trabajo específico. Para tales casos la aprobación de la gerencia debiera estar documentada. Se pueden requerir controles adicionales para mantener la responsabilidad. Sólo se debiera permitir el uso de IDs genéricos para una persona cuando las funciones accesibles o acciones llevadas a cabo por el ID no necesitan ser rastreadas (por ejemplo, sólo acceso de lectura), o cuando existen otros controles establecidos (por ejemplo, la clave secreta para un ID genérico sólo es emitido para una persona a Página 67

73 la vez y se registra dicha instancia).cuando se requiere autenticación y verificación de identidad sólidas, se debieran utilizar métodos de autenticación alternativos para las claves secretas, como los medios criptográficos, tarjetas inteligentes, dispositivos o medios biométricos. Otra información Las claves secretas son una manera muy común para proporcionar identificación y autenticación en base a un secreto que sólo conoce el usuario. Se puede lograr lo mismo con medios criptográficos y protocolos de autenticación. La fuerza de la identificación y autenticación del usuario debiera ser la adecuada para la confidencialidad de la información a la cual se va a tener acceso. Los objetos como los dispositivos de memoria o tarjetas inteligentes que poseen los usuarios también pueden ser utilizados para la identificación y autenticación. También se pueden utilizar tecnologías de autenticación biométrica que utilizan las características o atributos singulares de una persona para autenticar su identidad. Una combinación de tecnologías y mecanismos vinculados de manera segura proporcionarán una autenticación más sólida Sistema de Gestión de Claves Secretas Control Los sistemas para el manejo de claves secretas debieran ser interactivos y debieran asegurar claves secretas adecuadas. Guía de implementación Un sistema de gestión de claves secretas: a) Aplicar el uso de IDs de usuarios individuales y claves secretas para mantener la responsabilidad; b) Permitir a los usuarios seleccionar y cambiar sus propias claves secretas e incluir un procedimiento de confirmación para permitir errores de input; c) Aplicar la elección de claves secretas adecuadas d) Aplicar los cambios de claves secretas Página 68

74 e) Obligar a los usuarios a cambiar las claves secretas temporales en su primer ingreso o registro f) Mantener un registro de claves de usuario previas y evitar el re-uso; g) No mostrar las claves secretas en la pantalla en el momento de ingresarlas; h) Almacenar los archivos de claves secretas separadamente de la data del sistema de aplicación; i) Almacenar y transmitir las claves secretas en un formato protegido (por ejemplo, codificado o indexado). Otra información Las claves secretas son uno de los principales medios para validar la autoridad del usuario para tener acceso a un servicio de cómputo. Algunas aplicaciones requieren que una autoridad independiente asigne claves secretas de usuario; en tales casos, no se aplican los puntos b), d) y e) del lineamiento anterior. En la mayoría de los casos, las claves secretas son seleccionadas y mantenidas por los usuarios Uso de las Utilidades del Sistema Control Se debiera restringir y controlar estrechamente el uso de los programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación. Guía de implementación Se debieran considerar los siguientes lineamientos para el uso de las utilidades del sistema: a) Uso de los procedimientos de identificación, autenticación y autorización para las utilidades del sistema; b) Segregación de las utilidades del sistema del software de la aplicación; c) Limitar el uso de las utilidades del sistema a un número práctico mínimo de usuarios autorizados y confiables d) Autorización para el uso ad hoc de las utilidades del sistema; e) Limitación de la disponibilidad de las utilidades del sistema; por ejemplo, por la duración de un cambio autorizado; f) Registro de todo uso de las utilidades del sistema; Página 69

75 g) Definir y documentar los niveles de autorización de las utilidades del sistema; h) Eliminación o inutilizar todas las utilidades innecesarias basadas en software, así como los software del sistema que sean innecesarios; i) No poner las utilidades a disposición de los usuarios que tienen acceso a las aplicaciones en los sistemas donde se requiere la segregación Otra Información La mayoría de las instalaciones de cómputo tienen uno o más programas de utilidades del sistema que podrían superar los controles del sistema y la aplicación Cierre de una Sesión por Inactividad Control Las sesiones inactivas debieran ser cerradas después de un período de inactividad definido. Guía de implementación Un dispositivo de cierre debiera borrar la pantalla de la sesión y también, posiblemente más adelante, cerrar la aplicación y las sesiones en red después de un período de inactividad definido. El tiempo de espera antes del cierre debiera reflejar los riesgos de seguridad del área, la clasificación de la información que está siendo manejada y la aplicación siendo utilizada, y los riesgos relacionados con los usuarios del equipo. Una forma limita del dispositivo de cierre puede ser provista para algunos sistemas, este dispositivo borra la pantalla y evita el acceso no autorizado pero no cierra las sesiones de la aplicación o la red. Otra información Este control es particularmente importante en las ubicaciones de alto riesgo, las cuales incluyen áreas públicas o externas fuera de la gestión de seguridad de la organización. Se debieran cerrar las sesiones para evitar el acceso no autorizado de personas y la negación de ataques del servicio Limitación del tiempo de conexión Control Página 70

76 Se debieran utilizar restricciones sobre los tiempos de conexión para proporcionar seguridad adicional para las aplicaciones de alto riesgo. Guía de implementación Se debieran considerar controles sobre el tiempo de conexión para las aplicaciones de cómputo sensibles, especialmente desde ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de la gestión de seguridad de la organización. Los ejemplos de tales restricciones incluyen: a) Utilizar espacios de tiempo predeterminados; por ejemplo, para transmisiones de archivos en lotes, o sesiones interactivas regulares de corta duración; b) Restringir los tiempos de conexión a los horarios laborales normales, si no existe ningún requerimiento para sobre-tiempo o una operación de horario extendido; c) Considerar la re-autenticación cada cierto intervalo de tiempo. Otra información Limitar el período permitido para las conexiones con los servicios de cómputo reduce la ventana de oportunidad para el acceso no autorizado. Limitar la duración de las sesiones activas evita que los usuarios mantengan sesiones abiertas para evitar la re-autenticación Control de acceso a la aplicación y la información Objetivo: Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación. Se debieran utilizar medios de seguridad para restringir el acceso a y dentro de los sistemas de aplicación. El acceso lógico al software de la aplicación y la información se debiera limitar a los usuarios autorizados. Los sistemas de aplicación debieran: a) Controlar el acceso del usuario a la información y las funciones del sistema de aplicación, en concordancia con una política de control de acceso definida; Página 71

77 b) Proporcionar protección contra un acceso no autorizado de cualquier utilidad, software del sistema de operación y software malicioso que sea capaz de superar o pasar los controles del sistema o la aplicación; c) No comprometer a otros sistemas con los cuales se comparten recursos de información Restricción del acceso a la información Control El acceso de los usuarios y el personal de soporte a la información y las funciones del sistema de la aplicación debiera limitarse en concordancia con la política de control de acceso definida. Guía de implementación Las restricciones para el acceso se debieran basar en los requerimientos de las aplicaciones comerciales individuales. La política de control de acceso también debiera ser consistente con la política de acceso organizacional. Se debiera considerar aplicar los siguientes lineamientos para reforzar los requerimientos de restricción del acceso: a) Proporcionar menús para controlar el acceso a las funciones del sistema de aplicación; b) Controlar los derechos de acceso de los usuarios; por ejemplo, lectura, escritura, eliminar y ejecutar; c) Controlar los derechos de acceso de otras aplicaciones; d) Asegurar que los outputs de los sistemas de aplicación que manejan información confidencial sólo contengan la información relevante para el uso del output y sólo sea enviada a las terminales y ubicaciones autorizadas; esto debiera incluir revisiones periódicas de dichos outputs para asegurar que se descarte la información redundante 35 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 90 Página 72

78 Aislar el sistema confidencial Control Los sistemas confidenciales debieran tener un ambiente de cómputo dedicado (aislado). Guía de implementación Se debieran considerar los siguientes lineamientos para aislar el sistema sensible o confidencial: a) El propietario de la aplicación debiera identificar y documentar explícitamente la sensibilidad o confidencialidad del sistema de aplicación; b) Cuando una aplicación confidencial va a correr en un ambiente compartido, el propietario de la aplicación confidencial debiera identificar y aceptar los sistemas de aplicación con los cuales va a compartir recursos y los riesgos correspondientes Computación y Tele-Trabajo Móvil Objetivos: Asegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móvil. La protección requerida se debiera conmensurar con los riesgos que causan estas maneras de trabajo específicas. Cuando se utiliza computación móvil, se debieran considerar los riesgos de trabajar en un ambiente desprotegido y se debiera aplicar la protección apropiada. En el caso del tele-trabajo, la organización debiera aplicar protección al lugar del tele-trabajo y asegurar que se establezcan los arreglos adecuados para esta manera de trabajar Computación y comunicaciones Móviles Control 36 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la información Pág. 92 Página 73

79 Se debiera establecer una política y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computación y comunicación móvil. Guía de implementación Cuando se utiliza medios de computación y comunicación móvil; por ejemplo, notebooks, laptops, tarjetas inteligentes y teléfonos móviles; se debiera tener especial cuidado en asegurar que no se comprometa la información comercial. La política de computación móvil debiera tomar en cuenta los riesgos de trabajar con equipo de computación móvil en ambientes desprotegidos. La política de computación móvil debiera incluir los requerimientos de protección física, controles de acceso, técnicas criptográficas, respaldos (back-up) y protección contra virus. Esta política también debiera incluir reglas y consejos para la conexión de medios móviles con las redes y lineamientos para el uso de estos medios en lugares públicos. Se debiera tener cuidado cuando se utiliza medios de computación móvil en lugares públicos, salas de reuniones y otras áreas desprotegidas fuera de los locales de la organización. Se debiera establecer la protección para evitar el acceso no autorizado o divulgación de la información almacenada y procesada por estos medios; por ejemplo, utilizando técnicas criptográficas Los usuarios de los medios de computación móvil que se encuentran en lugares públicos debieran tener cuidado en evitar que personas no autorizadas vean su trabajo. Se debiera establecer procedimientos contra los software maliciosos y se debieran mantener actualizados Los respaldos (back-up) de la información comercial crítica se debieran realizar con regularidad. Debiera estar disponible el equipo para permitir realizar un respaldo rápido y fácil de la información. Se debiera dar a estos respaldos la protección adecuada; por ejemplo, contra el robo o pérdida de información. Se debiera dar la protección adecuada al uso de medios móviles conectados a las redes. El acceso remoto a la información comercial a través de una red pública utilizando medios de computación móvil sólo debiera realizarse después de una satisfactoria identificación y autenticación, y con los controles de acceso adecuados en funcionamiento. Los medios de computación móvil también debieran estar físicamente protegidos contra robo especialmente cuando se les deja en, por ejemplo, autos y otros medios Página 74

80 de transporte, cuartos de hotel, centros de conferencias y lugares de reunión. Se debiera establecer un procedimiento específico tomando en cuenta los requerimientos legales, de seguros y otros requerimientos de seguridad de la organización para casos de robo o pérdida de los medios móviles. El equipo que contiene información comercial importante, confidencial y/o crítica no se debiera dejar desatendido y, cuando sea posible, debiera estar asegurado físicamente, o se pueden utilizar seguros para proteger el equipo Se debiera planear capacitación para el personal que utiliza computación móvil para elevar el nivel de conciencia sobre los riesgos adicionales resultantes de esta forma de trabajo y los controles que se debieran implementar. Otra información Las conexiones inalámbricas a la red móvil son similares a otros tipos de conexión en red, pero tienen diferencias importantes que se debieran considerar cuando se identifican los controles. Las diferencias típicas son: a) Algunos protocolos de seguridad inalámbricos aún son inmaduros y tienen debilidades conocidas b) La información almacenada en las computadoras móviles tal vez no tiene respaldo (back-up) debido a la banda ancha limitada de la red y/o porque el equipo móvil puede no estar conectado en las horas en que se realizan los respaldos Tele-Trabajo Control Se debiera desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de tele-trabajo. Guía de implementación Las organizaciones sólo debieran autorizar las actividades de tele-trabajo si están seguros que se cuenta con los arreglos y controles de seguridad apropiados, y que estos cumplen con la política de seguridad de la organización. El lugar del tele-trabajo debiera contar con una protección adecuada contra; por ejemplo, el robo de equipo e información, la divulgación no autorizada de información, acceso remoto no autorizado a los sistemas internos de la organización o el mal uso de los medios. Las actividades de tele-trabajo debieran ser autorizadas y Página 75

81 controladas por la gerencia, y se debiera asegurar que se hayan establecido los arreglos adecuados para esta forma de trabajo. Se debieran considerar los siguientes puntos: a) La seguridad física existente en el lugar del tele-trabajo, tomando en cuenta la seguridad física del edificio y el ambiente del local: b) El ambiente de tele-trabajo físico propuesto; c) Los requerimientos de seguridad de las comunicaciones, tomando en cuenta la necesidad de acceso remoto a los sistemas internos de la organización, la confidencialidad de la información a la cual se tendrá acceso y el vínculo de comunicación y confidencialidad del sistema interno; d) La amenaza de acceso no autorizado a la información o recursos por parte de otras personas que utilizan el medio; por ejemplo, familia y amigos; e) El uso de redes en casa y los requerimientos o restricciones en la configuración de los servicios de la red inalámbrica; f) las políticas y procedimientos para evitar las disputas relacionadas con los derechos de propiedad intelectual desarrollados en equipo de propiedad privada; g) acceso a equipo de propiedad privada (para chequear la seguridad de la máquina o durante una investigación), el cual puede ser evitado por la legislación h) contratos de licencias de software que hacen que las organizaciones sea responsables por las licencias del software del cliente en las estaciones de trabajo de propiedad de los empleados, contratistas y terceros; i) requerimientos de protección anti-virus y firewall. Los lineamientos y arreglos a considerarse debieran incluir: a) la provisión de equipo y muebles de almacenaje adecuados para las actividades de tele-trabajo, donde no está permitido el uso del equipo de propiedad privada que no esté bajo el control de la organización; b) una definición del trabajo permitido, el horario de trabajo, la clasificación de la información que se puede mantener y los sistemas y servicios internos a los cuales tiene autorización de acceso la persona que realiza el tele-trabajo; c) la provisión de un equipo de comunicación adecuado, incluyendo métodos para asegurar el acceso remoto; Página 76

82 d) seguridad física; e) reglas y lineamientos sobre el acceso de la familia y amigos al equipo y la información; f) la provisión de soporte y mantenimiento de hardware y software; la provisión de un seguro; los procedimientos para el respaldo (back-up) y la continuidad del negocio; monitoreo de la auditoría y la seguridad; g) revocación de los derechos de autoridad y acceso, y la devolución del equipo cuando terminan las actividades de tele-trabajo. Otra información El tele-trabajo utiliza tecnología de comunicaciones que permite al personal trabajar remotamente desde un lugar fijo fuera de su organización. Página 77

83 CAPITULO III Página 78

84 Capítulo 3 3. Soluciones de Control de Accesos a la red 3.1 Introducción Actualmente las empresas disponen de estructuras de redes cada vez más distribuidas, tanto sus oficinas como los centros de negocio están ubicados en diferentes lugares, todos con las mismas necesidades de acceder a la red y a cada uno de los sistemas de la empresa desde cualquier dispositivo y ubicación, utilizando tecnologías inalámbricas, internet, VPN, etc., donde dichos accesos no deberían comprometer la integridad y confidencialidad de la información, sin embargo la aparición de puntos débiles en los accesos se hacen presentes, provocando circunstancias que implican nuevos riesgos y amenazas, por lo tanto las empresas buscan dar soluciones para solventarlas, en se respuestas a esta demanda surgen iniciativas, tecnologías y estándares que permiten encontrar soluciones, englobándose en lo que se conoce como Control de Acceso a la Red, el mismo que es un enfoque de seguridad en redes de computación que permiten unificar tecnologías de seguridad en los equipos finales, en usuarios o sistemas de autenticación y permite implementar seguridad en el acceso a la red, es decir permite controlar a quien se permite el acceso a la red, ya sea bloqueando a los usuarios no autorizados, controlando a los ordenadores que entran ocasionalmente y garantizando que se cumplan las políticas de seguridad, con esto obtenemos una reducción de los riesgos que la red pueda ser afectada ya sean estos ordenadores no autorizados, conexiones ocasionales, ordenadores que no cumplan la política de seguridad, pudiendo ser ordenadores que se conecten a la red con cable o inalámbrica, la solución NAC nos permite garantizar que únicamente los ordenadores autorizados obtengan el acceso a la red. Página 79

85 3.2 Soluciones NAC Las soluciones NAC son diferentes pero pueden ser clasificadas en dos grupos: Clienless no necesita de ningún software instalado en los dispositivos Client-based un componente de software es preinstalado en los dispositivos para poder asistir al proceso de NAC Pre admisión NAC Determina que un dispositivo cumpla con ciertos criterios predeterminados antes de permitirle el acceso a la red. Si esos criterios no se cumplen, no permite que el dispositivo se conecte a la red, o le asigna un acceso restringido. La Pre-Admisión en NAC se encuentra en las siguientes soluciones: Microsoft NAP Cisco NAC Open Source NAC o Freenac o PacketFence 3.3 Solución Protección de Acceso a la Red (NAP) Introducción Network Access Protection(NAP) es una herramienta incorporada al sistema operativo de Windows Server 2008, Windows Vista y Windows XP Service Pack 3, proporciona una serie de componentes tanto en el cliente como el servidor para aplicar los requisitos de mantenimiento, inspeccionar y evaluar el estado de los equipos cliente, limitar el acceso a la red cuando se considera que los equipos cliente no cumplen los requisitos y soluciona este incumplimiento enviando a los equipos Página 80

86 cliente para que tengan un acceso a la red ilimitada hasta que cumplan las políticas de salud. Es una gran alternativa para los administradores de la red ya que les ayuda a hacer un mantenimiento de salud del equipo y de esta forma mantener la integridad de la red, con esta alternativa los desarrolladores y los administradores pueden crear soluciones para la validación de equipos que se conectan a sus redes, proporcionan actualizaciones necesarias o el acceso a los recursos necesarios de actualización, y limitar el acceso o la comunicación de los equipos que no cumplen Características. Conjunto de componentes del sistema operativo que proporcionan una plataforma para proteger el acceso a las redes privadas Proporciona una manera integrada de detectar el estado de un cliente de red que esté intentando conectarse o comunicarse con una red Aislar a ese cliente de red hasta que cumpla los requisitos de salud supervisa y determina el estado de los equipos cliente cuando intentan conectarse a una red o comunicarse a través de ella Aspectos importantes de NAP. 1. Validación del estado de salud.- un equipo intenta conectarse a la red se realiza un análisis del estado de salud del equipo basándose en las políticas de salud definidos como requisito por el administrador. En un entorno de acceso limitado, los equipos que cumplan con las políticas de salud se permiten el acceso ilimitado a la red caso contrario sucede con los equipos que no cumplan con las políticas requisito de salud pueden tener un acceso limitado la red. 2. Cumplimiento de las políticas de salud.- los administradores puede ayudar a garantizar el cumplimiento de las políticas mediante la elección requisito para actualizar automáticamente los equipos que no cumplen con las actualizaciones de software que faltan o los cambios de configuración a través de software de gestión, tales como Microsoft System Management Server. 3. Acceso limitado a la red.- los administradores de la red puede limitar el acceso y proteger las redes a computadores que no cumplan las normas para tener acceso. Página 81

87 Definen una red restringida que contiene los recursos de salud de actualización y el acceso limitado durará hasta que el equipo que no cumplen las normas se ponga en conformidad. Los administradores también pueden configurar las excepciones para que los equipos que no son compatibles no tengan acceso limitado a la red Escenarios para Protección de Acceso a la Red (NAP) Verificación el estado de salud de las computadoras portátiles. La portabilidad y la flexibilidad son dos ventajas principales de computadoras portátiles, pero estas características también presentan una amenaza para la salud. Portátiles de la empresa con frecuencia salir y entrar a la red de la empresa. Mientras que los portátiles están fuera de la empresa, no puede recibir las actualizaciones de software más recientes o los cambios de configuración. Computadoras portátiles pueden ser infectados, mientras que vienen están expuestos a redes como Internet. Mediante el uso de NAP, los administradores de red pueden verificar el estado de salud de cualquier ordenador portátil cuando se conecte a la red de la empresa, ya sea mediante la creación de una conexión VPN a la red de la empresa o físicamente a regresar a la oficina Verificación del estado de salud de las computadoras de escritorio Las computadoras de escritorio pueden presentar una amenaza es por esta razón que se debe minimizarla los equipos deben tener actualizaciones y el software requerido. Ya que se corre el riesgo de infección de sitios web, correo electrónico, archivos de carpeta compartidas y otros recursos de acceso público. Al implementar el uso de la herramienta NAP, los administradores de red pueden automatizar los controles de salud de los equipos para verificar el cumplimiento de cada uno de acuerdo con las políticas de requisitos de salud, caso contrario los administradores pueden comprobar los archivos de registro para determinar qué equipos no cumplen. En el caso de no cumplir las políticas se puede generar informes automáticos y actualizar los equipos que no cumplan Verificación del estado de salud de las computadoras visitantes. 37 Network Access Protection Platform Architecture p 4 Página 82

88 Las organizaciones permiten a los consultores, socios e invitados para conectarse a sus redes privadas. Las maquinas portátiles pueden presentar algún riesgo porque no cumpla con los requisitos y políticas de salud. Al implementar NAP los administradores pueden limitar el acceso a las computadoras que no pertenezcan a la red de la empresa. Verificar el estado de salud de los ordenadores no administrados Ordenadores no administrados que no es miembro de Active Directory de la empresa Servicios de dominio puede conectarse a una red a través de una conexión VPN. Estos ordenadores ofrecen un reto adicional para los administradores, ya que no tienen acceso físico a estos equipos. La falta de acceso físico hace exigir el cumplimiento de los requisitos de salud, tales como el uso de software antivirus. Sin embargo, con el NAP, los administradores de red pueden verificar el estado de salud de una computadora en casa cada vez que se establece una conexión VPN a la red de la empresa y limitar el acceso a una red restringida hasta que los requisitos del sistema de salud se cumplan. Dependiendo de sus necesidades, los administradores pueden configurar una solución para hacer frente a cualquiera o todos estos escenarios para sus redes Infraestructura de la red. Para validar el acceso a una red basada en sistema de salud, una infraestructura de red tiene que proporcionar las siguientes áreas de funcionalidad: Validación del estado de salud.- determina si las computadoras cumplen con los requisitos de la política de salud. Limitación de acceso a la red.- Limita el acceso a equipos que no cumplen. Limpieza Automática.-proporciona las actualizaciones necesarias para permitir que un equipo que no cumpla las normas las puedan llegar a cumplir sin intervención de un usuario. Página 83

89 El cumplimiento continuo.- se actualiza automáticamente los equipos compatibles para que se adhieran a los continuos cambios en los requisitos de la política de salud Componentes NAP Protección de acceso a redes (NAP) incluye varios componentes de cliente y servidor dependiendo de la implementación que se va a realizar 39 La plataforma NAP es extensible proporciona componentes de infraestructura y una interfaz de programación de aplicaciones de Windows para poder agregar componentes, modificar y verificar la salud de las computadoras y para que se cumpla los distintos tipos de acceso a la red Agentes del Sistema de Salud (SHA) y validadores del Sistema de Salud (SHV) Componentes de la infraestructura NAP su función principal es realizar un seguimiento del estado de salud y validación. NAP está diseñado para ser flexible y 38 Microsoft Network Access Protection Web page at 39 Network Access Protection Platform Architecture p 5 Página 84

90 extensible, se puede interactuar con el software de cualquier fabricante que proporciona SHA y SHV que utilizan la API NAP. Componentes de la aplicación y métodos. Componentes de la infraestructura del NAP conocida como clientes de cumplimiento (EC) y servidores de aplicación (ESS) requieren la validación de salud y forzar un acceso limitado a la red de equipos que no cumplen para tipos específicos de acceso a la red o la comunicación. Tipos De Acceso A La Red o la Comunicación 40 Seguridad del protocolo Internet (IPsec), IEEE 802.1X con autenticación de conexiones de red El acceso remoto VPN conexiones Dynamic Host Configuration Protocol (DHCP) de configuraciones de direcciones Terminal Server (TS) las conexiones de puerta de enlace Seguridad del protocolo de internet (IPsec) 41 Es un conjunto de protocolos, su función principal es asegurar la comunicación sobre el protocolo de internet, autenticando y cifrando cada paquete en un flujo de datos, se encarga también de incluir protocolos para establecer claves de cifrado. Características. IPsec actúa en la capa de red del modelo OSI. Es más flexible que otros protocolos ya que se lo puede utilizar para proteger otros protocolos de la capa de transporte (capa 4) Para implementar IPsec en capas superiores no es necesario realizar ningún cambio en su código. Estándar está diseñado para ser indiferente a las versiones de IP Arquitectura de seguridad IPsec 40 Network Access Protection Platform Architecture p 4 41 Introduction to Network Access Protection at Página 85

91 IPsec utiliza un conjunto de protocolos criptográficos para: Asegurar el tráfico de la red Garantizar la autenticación mutua Establecer parámetros criptográficos. La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad como base para construir funciones de seguridad en protocolo de internet (IP). Asociación de seguridad.-es un paquete de algoritmos y parámetros que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto la decisión final de los algoritmos de cifrado y autenticación le corresponde al administrador de IPsec. Para disponer qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SABD), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad. En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes IP, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo Propósito de diseño IPsec IPsec fue implementado para proporcionar seguridad en el modo de transporte del tráfico de paquetes en el que las computadoras de los extremos finales realizan el procesado de seguridad o en el modo túnel en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas por un único nodo Cumple con los siguientes servicios de seguridad como son: Cifrar el tráfico. Validación de integridad Autenticar a los extremos Página 86

92 Anti-repetición. Protocolos IPsec Consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6: AuthenticationHeader (AH) proporciona integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados. Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción altamente recomendable de autenticación y protección de integridad. Cumplimiento NAP para comunicaciones IPsec 42 El cumplimiento NAP para el tráfico protegido mediante IPsec se implementa con un servidor de certificados de mantenimiento, un servidor HRA, un servidor NPS y un cliente de cumplimiento IPsec. El servidor de certificados de mantenimiento emite certificados X.509 para clientes NAP cuando éstos son compatibles con los requisitos de mantenimiento del sistema. Estos certificados se usan entonces para autenticar clientes NAP cuando inician comunicaciones protegidas mediante IPsec con otros clientes NAP en una intranet. El cumplimiento IPsec limita la comunicación en la red a los clientes compatibles y ofrece la forma de implementación más segura de NAP IEEE 802.1X 43 Es una norma para el control de acceso a la red basada en puertos 42 Network Access Protection Platform Architecture p Network Access Protection Platform Architecture p 25 Página 87

93 Con la aplicación de 802.1X, un equipo debe ser compatible para obtener acceso a la red sin límite a través de una conexión de red 802.1X con autenticación, tales como la autenticación de un conmutador Ethernet o IEEE punto de acceso inalámbrico (AP). Los equipos que no cumplen, acceder a la red se restringe a través de un perfil de acceso restringido puesto en la conexión por el conmutador Ethernet o punto de acceso inalámbrico. El perfil de acceso restringido puede especificar filtros de paquetes IP o una LAN virtual (VLAN) identificador (ID) que corresponde a la red restringida. Aplicación de 802.1X debe cumplir los requisitos de las políticas de salud cada vez que un equipo intenta una conexión de red 802.1X con autenticación, también vigila activamente el estado de salud del cliente NAP conectado y se aplica el perfil de acceso restringido a la conexión si el cliente no cumplen las normas. Aplicación VPN Con la aplicación de VPN, un equipo debe ser compatible para obtener acceso a la red sin límite a través de una conexión de acceso remoto VPN. Para equipos que no cumplen, acceder a la red se limita a través de un conjunto de filtros de paquetes IP que se aplican a la conexión VPN por el servidor VPN. Cumplimiento NAP para VPN El cumplimiento NAP para VPN se implementa con un componente de servidor y un componente de cliente para la aplicación de VPN. Al usar el cumplimiento NAP para VPN, los servidores VPN pueden aplicar directivas de mantenimiento cuando los equipos cliente intentan conectarse a la red a través de una conexión VPN de acceso remoto. La aplicación de VPN proporciona acceso de red limitado seguro a todos los equipos que obtienen acceso a la red por medio de una conexión VPN de acceso remoto. Cumplimiento NAP para DHCP El cumplimiento DHCP se implementa con un componente de servidor de cumplimiento NAP para DHCP, un componente cliente de cumplimiento DHCP y NPS. Con el cumplimiento DHCP, los servidores DHCP y NPS pueden aplicar Página 88

94 directivas de mantenimiento cuando un equipo intente conceder o renovar una dirección IP versión 4 (IPv4). El servidor NPS limita el acceso a red del cliente a la red restringida indicándole al servidor DHCP que asigne una configuración de dirección IP limitada. No obstante, si los equipos cliente se configuran con una dirección IP estática o se configuran para evitar la configuración de direcciones IP limitada, el cumplimiento DHCP no es efectivo. Cumplimiento NAP para Puerta de enlace de TS El cumplimiento NAP para Puerta de enlace de TS se implementa con un componente de servidor de cumplimiento de Puerta de enlace de TS y un componente cliente de cumplimiento de Puerta de enlace de TS. Con el cumplimiento NAP para Puerta de enlace de TS, el servidor Puerta de enlace de TS puede aplicar la directiva de mantenimiento en equipos cliente que intenten conectarse a los recursos corporativos internos a través del servidor Puerta de enlace de TS. El cumplimiento de Puerta de enlace de TS ofrece acceso limitado seguro a todos los equipos que obtengan acceso a la red a través de un servidor Puerta de enlace de TS. NPS Servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a la red en toda la organización con fines de mantenimiento de clientes, autenticación de solicitudes de conexión y autorización de solicitudes de conexión. Además, puede usar NPS como un proxy RADIUS (Servicio de autenticación remota telefónica de usuario) para reenviar solicitudes de conexión a un servidor que ejecute NPS u otros servidores RADIUS que configure en grupos de servidores RADIUS remotos. Para la autenticación y autorización, utiliza Active Directory para verificar el usuario olas credenciales del equipo y obtenerlas propiedades del usuario de un equipo cuando el equipo intenta realizar una conexión802.1x autenticado una conexión VPN. NPS también actúa como un servidor NAP política de salud. Los administradores pueden definirlos requisitos del sistema de salud en forma de políticas de salud en el servidor. Página 89

95 Servidores NPS evaluar la información del estado de salud proporcionado por los clientes NAP para determinar el cumplimiento de la salud, y en caso de incumplimiento, el conjunto de acciones de remediación que se debe hacer por el cliente NAP para llegar a cumplir. Servidor de Actualización. Son servidores que se encargan de verificar que un computador no cumple las normas que se ha colocado en la red restringida. Estos recursos pueden realizar la resolución de nombre o almacenar las actualizaciones de software más recientes o los componentes necesarios para hacer que un equipo no compatible cumplir con los requisitos del sistema de salud Arquitectura de la Plataforma NAP Los componentes que forman parte de esta arquitectura son: 44 Clientes NAP.- equipos que soportan la plataforma NAP para validar el sistema de salud de acceso a la red o la comunicación. Puntos de aplicación NAP.- son equipos de acceso a la red que pueden utilizar NAP para exigir una evaluación del estado de salud de las computadores y de esta manera permitir el acceso a la red, para implementar NAP utiliza el servidor de 44 Network Access Protection Platform Architecture p 5,6,7,8 Página 90

96 directivas de redes (NPS) que está relacionado con el servidor de políticas NAP para evaluar el estado de salud de los clientes de esta manera permitir o no el acceso Autoridad de registro de salud (HRA).- una computadora que Windows Server 2008 e Internet Information Services (IIS) que obtiene los certificados de salud de una autoridad de certificación (CA) para las computadoras compatibles. Servidor VPN.-un equipo ejecuta Windows Server 2008, routing, acceso remoto que permite las conexiones VPN a internet Servidor DHCP.- un equipo ejecuta Windows Server 2008 y el servicio de servidor DHCP que proporciona automáticamente direcciones IP para la configuración de la intranet de DHCP cliente. Dispositivos de acceso a la red.-conmutadores Ethernet, acceso inalámbrico que soportan la autenticación IEEE 802.1X Servidores de políticas de salud 45.-equipos que ejecutan Windows Server 2008 y el servidor de NPS que almacenan las políticas de salud y proporcionar la validación de requisitos de salud del estado para el NAP. NPS es el reemplazo para el servicio de autenticación de Internet (IAS), usa Servicio (RADIUS) y el proxy se proporciona con Windows Server NPS también puede actuar como la autenticación, autorización y contabilidad (AAA) del servidor de acceso a la red. Al actuar como un servidor AAA o el servidor de políticas de salud NAP, NPS normalmente se ejecuta en un servidor independiente para la configuración centralizada de acceso a la red y las políticas de requisitos de salud. Servidores de requerimientos de salud.-equipos que proporcionan el estado actual del sistema de salud para los servidores de políticas de salud NAP Active directory.- servidor de dominio, donde almacena las credenciales de cuentas, sus propiedades y la configuración de directiva de grupo. Active Directory es necesario para las comunicaciones protegidas por IPsec, las conexiones autenticadas por 802.1X, y las conexiones remotas de acceso a la VPN. 45 Network Access Protection Platform Architecture p 27,28,29 Página 91

97 Restricción de la red.-red independiente separada la red física de la lógica. Remediación de equipos. Clientes NAP con límites de acceso. 3.4 Solución Cisco NAC Introducción Cisco NAC es una solución para el control de acceso a la red, cuya arquitectura es propietaria, que permite autenticar, autorizar, evaluar y remediar posible vulnerabilidades, antes de permitir que los usuarios se conecten en la red, conexiones que pueden ser alámbricas, inalámbricas, accesos remotos, etc., decir se identifica a los dispositivos, ordenadores portátiles, ordenadores de sobremesa y otros activos que sean autorizados, compatibles y que cumplan con la política, antes de permitir el acceso. El primer paso se produce en el punto de autenticación, antes de que el código malicioso pueda causar daños, entonces su tarea es evaluar si las máquinas cumplen con las políticas de seguridad. Las políticas de seguridad pueden variar por el tipo de usuario, el tipo de dispositivo o sistema operativo, es así que cuando no se cumple la política se toman las acciones de bloquear, aislar o reparar maquinas que no cumplan. Las máquinas son redirigidas a un área de cuarentena, donde se produce la remediación Definición Cisco define a NAC como: El control de la admisión de la red de Cisco (NAC) es una solución que utiliza la infraestructura en red para hacer cumplir políticas de seguridad en todos los dispositivos que intentan tener acceso a recursos de computación de la red NAC ayuda a asegurar que todos los hosts cumplan con las últimas políticas de seguridad corporativa, tales como antivirus, software de la Página 92

98 seguridad, y patch (remiendo) del sistema operativo, antes de obtener el acceso de red normal Características y beneficios Impide el acceso no autorizado a redes para proteger sus activos de información Ayuda a mitigar proactivamente las amenazas de red tales como virus, gusanos y software espía Identifica las vulnerabilidades en los equipos de los usuarios mediante la evaluación periódica y la remediación Permite reducir costos mediante el seguimiento automático, reparación y actualización de equipos cliente Reconoce y clasifica a los usuarios y sus dispositivos antes de que el código malicioso puede causar daños Evalúa el cumplimiento de la política de seguridad basada en el tipo de usuario, tipo de dispositivo y sistema operativo Aplica las políticas de seguridad mediante el bloqueo, aislamiento y reparación de máquinas no compatibles en un área de cuarentena sin necesidad de la atención del administrador Aplica el servicio de evaluación y remediación a una variedad de dispositivos, sistemas operativos, dispositivos y métodos de acceso incluyendo LAN, WLAN, WAN y VPN Aplica las políticas de todos los posibles escenarios de funcionamiento sin necesidad de productos independientes o módulos adicionales Compatible con el inicio de sesión único sin fisuras a través de un agente con la reparación automatizada Beneficios para El Negocio Período completo de control mediante la evaluación de todos los puntos finales a través de todos los métodos de acceso, incluyendo LAN, conectividad inalámbrica, acceso remoto y WAN 46 Página 93

99 La visibilidad y el control de punto final para ayudar a garantizar que logró, no administrado, invitados y dispositivos no autorizados cumplir con las políticas corporativas de seguridad Apoyo del ciclo de vida para el control de punto final que automatiza la evaluación, la autenticación, autorización y remediación de los criterios de valoración La admisión granular de control de gestión mediante la combinación de la gestión central de la política, los dispositivos de red inteligente y servicios de red con soluciones de docenas de los principales antivirus, seguridad y gestión de proveedores Protocolo de autenticación extensible (EAP) El Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) es una extensión del Protocolo punto a punto (PPP) que admite métodos de autenticación arbitrarios que utilizan intercambios de credenciales e información de longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda de métodos de autenticación que utilizan dispositivos de seguridad, como las tarjetas inteligentes, tarjetas de identificación y calculadoras de cifrado. EAP proporciona una arquitectura estándar para aceptar métodos de autenticación adicionales junto con PPP. Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas, que otros métodos de autenticación basados en contraseña, como CHAP o MS- CHAP. Página 94

100 Soporte 802.1X Cisco NAC ayuda a reducir la pérdida potencial de información sensible permitiendo a las organizaciones verificar el nivel de privilegios de un usuario antes de conceder el acceso a la red. Esto ayuda a prevenir el acceso no autorizado a través del cable, inalámbrica o red de acceso remoto. Cisco NAC proporciona una integración completa con la tecnología inalámbrica, VPN y 802.1X, y puede ser implementado en un single-sign-on (SSO) de manera de maximizar los beneficios y minimizar el impacto de seguridad del usuario. 47 El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalámbrica). Esto se hace a través del uso de un servidor de autenticación. El 802.1x se basa en el protocolo EAP (Protocolo de autenticación extensible), definido por el IETF. Este protocolo se usa para transportar la información de identificación del usuario Descripción de la Arquitectura Se trata de la solución de control de acceso a redes de Cisco. Es una arquitectura propietaria, que en el lado del cliente se compone de un agente denominado Cisco Trust Agent cuya función es la de recibir la información del estado de la seguridad del equipo a conectar a la red proporcionando toda la información recogida, para recopilar esta información pueden usarse aplicaciones de distintos fabricantes o una 47 te_paper0900aecd html Página 95

101 propietaria de Cisco, el CiscoSecure Access. Para el Trust Agent Cisco ha desarrollado un protocolo propietario el EAP, en dos versiones: una sobre UDP y otra sobre 802.1X. La diferencia entre ambas es que sobre UDP se hace solo validación y en 802.1X se hace validación y autenticación. Además no todos los equipos Cisco soportan todos los escenarios posibles a través del protocolo EAP, muchos switches y routers requieren de una actualización. En cuanto a servidores Cisco la implementa en base al Access Control Server que ha desarrollado para tal fin, completando con interfaces de verificación, auditoria y autenticación de otros fabricantes. Cisco también ofrece una solución basada en appliances permitiendo una más rápida implementación Cisco define a NAC como: El control de la admisión de la red de Cisco (NAC) es una solución que utiliza la infraestructura en red para hacer cumplir políticas de seguridad en todos los dispositivos que intentan tener acceso a recursos de computación de la red NAC ayuda a asegurar que todos los hosts cumplan con las últimas políticas de seguridad corporativa, tales como antivirus, software de la seguridad, y patch (remiendo) del sistema operativo, antes de obtener el acceso de red normal. 48 Cisco NAC está presente a través de todos los métodos de acceso a la red. La información de la situación puede ser recogida y la política de acceso aplicadas para los host que tratan de acceder a la red a través de routers, switches, puntos de acceso inalámbricos, concentradores VPN, etc. Los procesos en el escenario de validación de cisco NAC incluyen los siguientes componentes arquitectónicos COMPONENTES: Host: Máquina de acceso a la red en la que se aplicanac Compostura del Plugins (PP). Un Cisco o la tercera parte de un DLL que reside en un host y proporciona la situación de las identificaciones o credenciales de un agente y este que reside en el mismo dispositivo. 48 Libro Cisco System NAC Network Admission control. Deployment guide Página 96

102 Agente de Postura (PA). Agente host de software que actúa como un intermediario en el host para la agregación de credenciales potenciales de múltiples situaciones, plugins y la comunicación con la red. Remediación del cliente: Un componente de una solución de gestión de recuperación que funciona en combinación con un servidor de recuperación para actualización de software cliente específico, tales como parches del sistema operativo. CUMPLIMIENTO: Dispositivo de acceso a la red (NAD) dispositivo de red que actúa como un punto de aplicación NAC. Estos pueden incluir routers de acceso Cisco ( ), puertas de enlace VPN (VPN3000 serie), Catalyst Capa 2 y Capa 3, switches y puntos de acceso inalámbricos. Decisión y Remediación Servidor AAA(servidor de autenticación, autorización y contabilidad)-el servidor de políticas central que agrega una o más autenticaciones y/o autorizaciones en una decisión del sistema único de autorización y de los mapas de decisión a un perfil de acceso a la red cumplimiento por el NAD. Cisco Secure Access Control Server (ACS) es producto de servidor AAA de Cisco que soporta NAC. Servidor de Directorios, un servidor de directorio centralizado para la creación de usuario y/o autenticación de la máquina. Los posibles Servidores de directorios son: Lightweight Directory Access Protocol (LDAP), Microsoft Active Directory (AD), Novell DirectoryServices (NDS), y al mismo tiempo Servidor de contraseñas (OTP). Servidor de validación situación (PVS)- Un servidor de validación actúa como una política específica de la aplicación, es decir como punto de decisión en el NAC para la autorización de un conjunto de credenciales de la postura de uno o más plugins validada frente a un conjunto de políticas. Los ejemplos incluyen servidores de antivirus o servidores de seguridad de las aplicaciones. Página 97

103 Servidor de Remediación. Una solución de gestión utilizada para llevar el cumplimiento de la normas. Esto podría ser un parche especializado gestión de aplicaciones, o tan simple como un sitio Web para la distribución de software. cuando mejor y más eficiente es el anfitrión de parches y remediación, menor será el riesgo La siguiente figura muestra los principales componentes de NAC y proporciona una visión general del proceso de autorización utilizados para conceder o denegar acceso a la red. 1. La validación de postura ocurre cuando un dispositivo de acceso a la red detecta que un host se quiere conectar o usar los recursos de la red 2. Una vez detectado el nuevo dispositivo el NAD (dispositivo de acceso a la red) habilita una conexión entre el AAA server )servidor de autorización autenticación y auditoria y el access control server ACS o server de control de acceso, una vez establecida el Server AAA requiere las credenciales de postura al host desde uno o más plugins de posturas 3. El host responde a la petición con sus credenciales de postura desde los software compatibles con NAC 4. El server AAA valida la información de las posturas localmente, o puede delegar esta decisión a otros servers de validación de posturas Página 98

104 5. El server AAA agrega los resultados individuales de la postura, o símbolo (tokens)de postura, de todos los servers para determinar la conformidad total del host, o del símbolo de postura del sistema 6. La autenticación de identidad y el token de postura del sistema son luego chequeadas por una red de autorización, que puede consistir en : server Radius, asignación de VLANs o listas de acceso descargables 7. Estas cualidades del Radius se envían al NAD para la aplicación en el host 8. El CTA en el host envía el estado de su postura para notificar los plugins respectivos de su postura individual del uso así como la postura entera del sistema 9. Se puede enviar opcionalmente un mensaje al usuario final usando el diálogo de la notificación de CTA's notificando el estado actual del anfitrión en la red. FIREWALL, IPS E IDS PREVIENEN DE ATAQUES DE HACKERS. En muchas de las compañías no se tiene un control de sus propias pc`s, laptops del personal que accede desde afuera, oficinas remotas de la organización. Página 99

105 Y no podríamos saber si todos ellos cumplen con las políticas de seguridad en todos los puntos de acceso a la red, quizás en un primer momento en su implementación pero hace falta una política global para todos aquellos que usan nuestra red, esto es una política de control de admisión de acceso 49 Qué y quien se conecta y por cuánto tiempo? Cuáles son los requerimientos para garantizar un acceso seguro a la red? Qué pasos se deben seguir para conseguir que se cumpla este acceso seguro? Cuáles son los requerimientos creados y cuáles modificaremos? Cisco introduce el concepto de NAC o Control de Admisión a la red NAC permite la seguridad entre los puntos finales y la red Una verdadera solución de NAC debe: o Autenticar e identificar accesos o Hacer cumplir la política de accesos, impidiendo aquellos no permitidos o Identificar e impedir el acceso a usuarios que no cumplan con la política de seguridad establecida Eliminar o en su defecto mitigar la vulnerabilidades El control de acceso a la red se define como una tecnología o arquitectura que permite controlar el acceso de los usuarios a la red en un punto de acceso verificando además de su identidad el cumplimiento de todas las políticas se seguridad establecidas por la organización, es decir que el equipo que trate de conectarse este actualizado, tenga todas las herramientas de seguridad exigidas por la empresa, etc. se incluye además el control sobre lo que pueden hacer, a que contenidos e información pueden acceder estos usuarios y que sistemas o recursos son accesibles una vez admitidos en la red Un usuario se conecta a la red corporativa con su laptop, pero su sistema operativo es vulnerable 49 smoris.pdf Página 100

106 Su autenticación es validada El sistema de control de admisión a la red escanea el dispositivo que se quiere conectar y encuentra que el sistema operativo de esa laptop es vulnerable a un nuevo gusano que acaba de aparecer Esta vulnerabilidad es chequeada por el o los servers de políticas de validación Página 101

107 Si no cumple con lo estipulado sus credenciales no son aceptadas Por tal motivo su acceso no es otorgado El sistema redirección la conexión a un server llamado server de remediación, el cual actualiza el sistema operativo con los últimos fixes haciendo que el dispositivo cumpla con las normas de seguridad establecidas por la organización Página 102

108 El dispositivo es nuevamente chequeado y ya remediado se le otorgan las credenciales de acceso La siguiente figura muestra los principales componentes de NAC y proporciona una visión general del proceso de remediación utilizado para mover una gran cantidad de host que están en cuarentena a un estado saludable. Estado: Saludable ahora el Antivirus está al día. También puede comprobar el nivel de ruta, la política de actualización, etc. El filtro puede ser aplicado para facilitar el acceso del grupo (invitado, administrador de recursos humanos) pero es opcional Libro Cisco System NAC Network Admission control. Deployment guide Página 103

109 Consulte los números en la figura anterior por cada paso adelante que describe el proceso de remediación NAC. 1. Un host que ha sido colocado en el estado de cuarentena está dirigida a un servidor de remediación tercero a fin de actualizar su software AV. 2. Las encuestas de Cisco Trust Agent del plug-in para el software de la postura AV, descubre que ha habido un cambio, y desencadena una revalidación desde el NAD. El NAD establece una ruta de comunicación entre el servidor AAA (AEC) y el agente de la postura. Después de que la vía de comunicación se ha establecido, el servidor AAA pide al extremo de las credenciales de la postura de una o más posturas plugins. 3. El host responde a la solicitud con sus credenciales de la postura de los plugins disponibles postura de software compatible con NAC componentes en el host 4. El servidor AAA valida la información de la postura localmente o que a su vez puede delegar partes a la decisión de la postura externa servidores de validación 5. Los agregados de servidor AAA de los resultados individuales, la postura o posturas, fichas de todos los servidores de delegados para determinar el host de cumplimiento general de la postura o ficha sistema. 6. La autenticación de la identidad y el símbolo de sistema de posturas se asignan a una autorización de la red en el perfil de acceso a la red que consisten en los atributos de RADIUS de los temporizadores, las asignaciones de VLAN, o descargar las listas de control de acceso(acl). 7. Estos atributos de RADIUS se envían a la NAD para la aplicación en el host. 8. La CTA en el host se envía su condición de postura para notificar a los respectivos plugins de su postura de aplicación individual, así como la postura sistema entero. 9. Un mensaje puede, opcionalmente, se envía al usuario de la máquina usando el diálogo de la CTA de notificación para que sepan su estado en la red. 10. Software antivirus El anfitrión es ahora hasta la fecha y ha sido verificado por el servidor AV validación de postura. Como resultado de ACS se ha movido el anfitrión de un estado de cuarentena a un estado saludable. Página 104

110 Todos los puntos de decisión son considerados si el servidor AAA o PVS, evalúa uno o más conjuntos de credenciales de host en los motores de políticas basadas en reglas, con resultados en una o más tokens de aplicación (APT). Un APT representa un control de cumplimiento de las aplicaciones en el host dados a un proveedor El servidor AAA a continuación, combina todos los APTs con los PVs delegados en su propio motor de políticas dentro de un único token de sistema de la postura (SPT) que representa el cumplimiento general del host. Por lo tanto, si uno de los APTs que componen el SPT en general, no pasa la prueba de conformidad, el SPT general refleja esto. Tanto APTs y SPTs se representan mediante las siguientes fichas predefinidas: Saludable- El Host es compatible, no tiene restricciones sobre el acceso a la red. Chequeo- El Host está dentro de la política, pero hay una actualización disponible. Este chequeo se utiliza para remediar de forma proactiva el estado de salud. Transición. El Host de postura es un proceso, para facilitar el acceso provisional en espera de la validación de la postura completa. Este estado es aplicable durante el arranque del host, cuando todas las aplicaciones NAC no se están ejecutando o durante una auditoria cuando la información de la postura aún no se ha obtenido a partir del host. Cuarentena. El host no cumple las políticas de control; restringir el acceso a la red, colocando en una red de cuarentena para la remediación. El host no es una amenaza activa pero es vulnerable a un ataque conocido o infección. Infectado Host es una amenaza activa a otras máquinas, acceso a la red debe ser severamente restringido o totalmente negado todo acceso a la red. Desconocido. La postura de un host no se puede determinar. se debe poner en un estado de cuarentena el host, auditoría o remediación hasta que se puede determinar una postura definitiva. Página 105

111 COMPONENTES DE CISCO NAC CISCO TRUST AGENT (CTA) El software Cisco Trust Agent, es un sistema, instalado en los dispositivos de sobremesa y en los servidores situados en los extremos de la red, obtiene información sobre el nivel de seguridad en cada punto por medio de múltiples aplicaciones, como el software antivirus. Una vez obtenida la información, Trust Agent la transmite a la red de Cisco, donde se toman y se hacen cumplir las decisiones relativas al control de acceso a la red. Para facilitar el despliegue, este software puede integrarse con Cisco Security Agent, una solución de seguridad para los extremos de la red que la protege contra ataques por virus desconocidos (dayzeroattacks) y otras amenazas diseñada con el propósito de asegurar una total compatibilidad de los parches con los sistemas operativos de los dispositivos finales. 51 CARACTERÍSTICAS Y BENEFICIOS Permite la NAC para validar la postura de las aplicaciones en activos administrados Funciona en redes cableadas, inalámbricas, de acceso remoto, y los entornos de oficinas remotas Está respaldada por una amplia gama de proveedores Está disponible en sistemas operativos Windows y Red Hat Linux Es fácil de instalar, ligero para correr Actúa como un componente de middleware que toma la información de la política de acogida y con seguridad se comunica la información a la html Página 106

112 autenticación, autorización y contabilidad (AAA) del servidor de políticas. Cisco Trust Agent se comunica con las aplicaciones habilitados con NAC a través de los canales de comunicación integrados por los participantes del NAC en sus aplicaciones Incluye un suplicante 802.1x para las comunicaciones de Capa 2 en entornos cableados. Autentica el servidor AAA. Cisco Trust Agent valida el solicitante a través de comunicaciones cifradas con el servidor AAA. Permite a los clientes para crear secuencias de comandos para la recopilación de información personalizada. CTA suplicante El suplicante CTA es un NAC - suplicante 802.1x habilitada. NAC- habilitada, significa que el solicitante es capaz de utilizar el protocolo EAP-FAST al llevar a la identidad y la información postura en el transporte 802.1x. Esto permite al solicitante proporcionar no sólo la identidad del usuario y de la máquina, sino también la información de la postura de la maquina En la actualidad, el suplicante CTA soporta interfaces cableadas. Si la tecnología inalámbrica de Cisco NAC es necesaria, un suplicante que soporta tanto por cable e inalámbrica puede ser obtenido a partir de uno de los socios de Cisco NAC. SERVIDOR DE CONTROL DE ACCESO El Cisco ACS es un servidor AAA (autenticación, autorización y contabilidad) servidor RADIUS con capacidades que van más allá de la autenticación de la identidad para el manejo de la autorización de las credenciales de la postura de un host. El servidor ACS continuación, asigna la política resultante de decisión de un perfil de acceso a la red que se proporciona en el NAD para su ejecución. El servidor ACS puede ser configurado para delegar las decisiones de autorización a uno o más servidores de validación de posturas externas. Esto se puede realizar para mejorar la escalabilidad, delegar la decisión de un dominio de políticas específicas, o manejar los atributos de propiedad. Página 107

113 El servidor ACS mantiene un registro de bases de datos de políticas locales y externos utilizando el tipo de proveedor y la aplicación de los atributos como un dominio o espacio de nombres. El Servidor ACS multiplex y de-multiplex requieren solicitudes y respuestas hacia y desde las bases de datos. Cada base de datos tiene una política o varias políticas, cada uno con un conjunto de reglas definidas por el administrador. Cada política evalúa un conjunto de credenciales postura (por proveedor y tipo de aplicación) para crear una postura aplicación token (APT), que define el nivel de cumplimiento de dicho componente. El servidor ACS luego consolida todos los APTs en una evaluación de la postura final llamado postura token(spt) que es el APT que representa la mayor cantidad de incumplimientos. El SPT es entonces asignado a un perfil de acceso que se proporciona a la NAD para la aplicación en el host. Los APTs, SPT y cualquier usuario configurado opcionalmente o notificaciones de acción también se envían a la PA para completar el ciclo de autorización. 52 SERVIDOR DE REMEDIACIÓN Un servidor de remediación es un repositorio de actualizaciones de software de host que se ponen a disposición para un host o cliente para satisfacer las conformidades políticas dentro de una organización. El servidor puede albergar elementos tales como actualizaciones del sistema operativo, parches de seguridad, software de agente de host y otros componentes de software. Cuando un host determina que un estado no es compatible con la postura basada en la información actual, el usuario puede ser reenviado a un servidor de recuperación a través de la redirección de URL. Allí, el proceso de reparación puede comenzar por encaminar a los usuarios para descargarse los software necesarios que cumpla con la política de seguridad. Un servidor de recuperación es a menudo parte de una solución de recuperación más amplio que incluye tanto el servidor como parte cliente. 52 Libro Cisco System NAC Network Admission control. Deployment guide Página 108

114 SERVIDOR DE VALIDACIÓN DE POSTURA El servidor de validación de postura se utiliza para determinar si un host permite el acceso a un dispositivo. Un servidor de validación de postura (PVS) es cualquier servidor que autoriza a los conjuntos de credenciales de la postura en una o más APT. Mientras que el servidor ACS es una instancia de un EVP, el término se utiliza normalmente para describir a un servidor delegado para asistir en la autorización del dominio específico de la postura credencial. Por ejemplo, un Servidor de anti-virus- (AV) puede actuar como un EVP para hacer AV de decisiones específicas de la postura desde el servidor AV sabe el último motor de exploración y las versiones de archivos de firmas. Un PVS se espera poner en práctica las siguientes funciones utilizando el protocolo de autorización de credenciales de host (HCAP) para la comunicación entre el servidor AAA y las PVS: Aceptar una solicitud de credencial postura de un servidor AAA o PVS Autorizar las credenciales frente a una política de cumplimiento o más delegarlas a otros PVS Responder a las que el servidor AAA con lo siguiente: o Aplicación de Postura Tokens (APT), el resultado de la validación de las credenciales de la postura o (Opcional) Notificaciones postura para ayudar en el dominio específico de la rehabilitación de la máquina. Los ejemplos incluyen las acciones a ejecutar, la URL de servidor de actualizaciones, etc. Servidor de auditoria El último componente de la solución NAC es el servidor de auditoría, que se aplica para la evaluación de vulnerabilidades (VA) tecnologías para determinar el nivel de confianza o de riesgo de un host antes de la admisión a la red. VA usa técnicas tales como el escaneo en red, acceso remoto, o basada en requisitos Los agentes se suelen utilizar para recopilar la información que normalmente se proporcionan por el solicitante IEEE 802.1X o CTA. El servidor de auditoría Página 109

115 componente es suministrada por ciertos proveedores en el Programa Cisco NAC para dar a los clientes la posibilidad de elegir un proveedor de VA y la tecnología que mejor se adapte a sus necesidades políticas y los requisitos de implementación. El servidor de auditoría utiliza el mensaje genérico Protocolo de autorización de Exchange para comunicarse con la información de auditoría de la AEC. ACS es responsable de desencadenar el proceso de auditoría para las máquinas sin agente con el servidor de auditoría. Mientras que el servidor de auditoría está realizando el proceso de auditoría, ACS sondea periódicamente el servidor de auditoría para una decisión de la auditoría. Cuando el servidor de auditoría completa el proceso de auditoría se informa sobre el estado de la postura de la sede de ACS. REPORTE La información sobre los eventos relacionados con NAC, como autenticaciones fallidas y pasado y las razones de cada uno se pueden ver en los informes de la AEC. Los campos que se muestran en cada informe se pueden personalizar para que la información relevante o adicional se puede ver si es necesario. Los informes en ACS es el principal medio para solucionar problemas de autenticación NAC. Además, la información de la NAC en pacientes con SCA se puede exportar a la de Cisco CS-MARS (Análisis de Vigilancia y Respuesta de Cisco SecureSystem) aparato. El aparato MARS ofrece tanto la correlación de eventos, así como un conocimiento visual en la red para los eventos de NAC. Existen varias opciones de presentación de informes por defecto están disponibles para la NAC en el aparato MARS. Un administrador puede optar por ver una de las NAC informes predeterminados, como el número total de los actuales anfitriones de cuarentena, así como crear informes personalizados. MARS también permite al administrador ver rápidamente un incidente relacionado con NAC y determinar dónde el cliente se encuentra físicamente dentro de la red al nivel del interruptor específico y switchport. Página 110

116 3.4.Soluciones Open Source Solución Freenac Es una solución para el control de acceso a la red detectando dispositivos que tratan de obtener acceso, negando su acceso y registrando el evento ocurrido, en los dispositivos que forman parte de la red son registrados y colocados en una red virtual. Esta solución utiliza un conjunto de protocolos para lograr la protección de acceso a la red, con FreeNAC, tan pronto como un nuevo dispositivo es conectado al puerto del switch, su dirección MAC se pasa al servidor, donde será almacenada y comprobada para determinar si este dispositivo tiene acceso a la red. Si el dispositivo está autorizado a tener acceso, el servidor le regresará al switch la red virtual a la que este dispositivo pertenece. Si este dispositivo todavía no está registrado, su acceso es bloqueado o se coloca en una red virtual limitada, dependiendo en la política Página 111

117 Características. Freenac versión comunitaria. Asignación dinámica de redes virtuales Control de acceso a redes Flexibilidad en mecanismos de autentificación para redes: 802.1x, VMPS, Cisco Mac-Auth-Bypass Altamente automatizado Redundancia y repartición de carga de red para una mejor disponibilidad Inventario en tiempo real de los aparatos conectados a la red Documentación del cableado de la red Reportes flexibles Comparación entre Freenac versión comunitaria y versión Empresarial La versión empresarial provee características adicionales, como se detalla a continuación: Comparación de características Autentificación basada en dirección MAC (VMPS mac-auth-bypass) Autentificación 802.1x Interfaz de usuario Windows Interfaz de usuario basada en Web Integración con Active Directory Integración inteligente de hubs Comprobación de puertos abiertos e identificación del sistema operativo en los dispositivos Documentación de cableado Inventario automatizado de nombres de computadoras Comunitaria Empresarial Página 112

118 Establecer una fecha de validez para cada dirección MAC (para permitir el acceso a los visitantes por un día por ejemplo) Soporte para el manejo de máquinas virtuales Asignación de redes virtuales dependiendo de la localización del switch Scripts para ayudar en la importación inicial de sistemas desde un archivo CSV Alertas de eventos claves del sistema Detección automática de dispositivos no manejados activamente por NAC, para proporcionar un inventario completo de los dispositivos en la red Integración con servidores de antivirus McAfee EPO Integración con servidores SMS de Microsoft (Software package/gestión del sistema) Herramienta web para ayudar en documentar la localización de cables/puertos de switches Herramienta de "paro" de emergencia la cual puede desactivar NAC y rápidamente configurar redes virtuales estáticas en los puertos del switch (recuperación en un desastre o en una situación extrema) Módulos personalizados para entornos de clientes específicos (por ejemplo, interfaces a sistemas corporativos "estáticos" de inventario) Soporte prioritario de parte del equipo FreeNAC X X X X X X X Ventajas a implementar FreeNac Página 113

119 Una red dinámica le permite un mejor uso de los puertos de switches disponibles, lo cual reduce costos y aumenta la eficiencia. Facilita la configuración de los switches y hace posible tener menos cambios en el cableado durante reorganizaciones. No requiere software instalado en los dispositivos en modo VMPS. En modo '802.1x', un software 'suplicante' necesita ser instalado. Clientes que ya usan "acceso manual basado en puerto" ahorrarán tiempo y ganarán efectividad. Funciona con antiguos switches Cisco, no es necesario adquirir nuevo hardware Cisco. Inventario automatizado de la red. Permite que el cableado de red sea más dinámico y eficiente. Altamente automatizado y fácil de usar, lo que reduce costos por soporte. Extensible permite agregar sus propios módulos o interfaces a sus sistemas NAC corre sobre hardware y sistemas operativos estándar (Linux/Unix). Más eficiente que "acceso manual basado en puerto" o VMPS clásico Modos de operación: VMPS 802.1X VMPS (VLAN Management Policy Server).- es un método para asignar puertos de un switch a redes virtuales específicas de acuerdo a la dirección MAC del dispositivo que busca acceso a la red. En modo VMPS, un switch compatible con VMPS detecta una nueva PC y crea una petición VMPS pidiendo autorización de FreeNAC, el cual revisa en su base de datos ypermite o niega el acceso a la red basándose en la dirección MAC. El switch se encarga de respaldar la decisión tomada por FreeNAC y niega acceso o en caso contrario, coloca el dispositivo de manera dinámica en su red virtual por defecto X.- es un estándar creado por la IEEE para el control de acceso a redes basándose en el puerto del switch. Proporciona autentificación a dispositivos conectados a un Página 114

120 puerto de la red, estableciendo una conexión punto a punto o restringiendo el acceso en caso de que la autentificación falle x está disponible en algunos modelos recientes de switches y puede ser configurado para autentificar equipos los cuales cuenten con un software suplicante, no permitiendo accesos no autorizados a la red en la capa de enlace. En modo 802.1x, FreeNACverifica las credenciales de los usuariosa través del uso de un servidor de autentificación externo y usa la dirección MAC del dispositivo que se conecta para asignarlo a una red virtual. Esto crea un par nombre de usuario/dispositivo que es único para cada cliente que se conecta Arquitectura FreeNac Página 115

121 Componentes FreeNac Para implementar debemos tener en cuenta los siguientes componentes: 1. Autenticación de direcciones MAC 2. GUI de Windows 3. Interfaz Web 4. Active Directory. 5. La detección automática y el inventario de los dispositivos finales no gestionados activamente por NAC, para garantizar un inventario completo de los dispositivos finales de la red 6. Escaneo de puertos abiertos y la identificación del sistema operativo en dispositivos finales 7. Emergencia 'stop' herramienta que puede desactivar NAC y rápidamente configurar VLAN estáticas en los puertos del switch 8. Autenticación de usuario 802.1x 9. McAfee Anti-Virus Epo consultas de servidor 10. Microsoft SMS paquete de software / sistema de gestión de las consultas del servidor 11. Microsoft WSUS (Windows Update) consultas de servidor. Página 116

122 Requisitos del Sistema Operativo Freenac soporta los siguientes sistemas operativos en las arquitecturas i386: Ubuntu servidor SUSE Requisitos de la herramienta freenac Freenac necesita los siguientes componentes previos a la instalación Mysql Apache. Freeradius Php5 libxml FreeTDS Requerimientos de hardware A continuación se proporciona una lista de recomendaciones de hardware del servidor: CPU Intel o AMD a 3 GHz 2GB de RAM 40 GB de espacio en disco (RAID 1 se recomienda) 1 Tarjeta de red 1 para alta disponibilidad 1 para detección de intrusos Conexión entre diferentes Sistemas Operativos FreeNac está configurado para utilizar el modo bridge para activar la red y recibir paquetes en una dirección IP dedicada En el momento de instalar la aplicación podemos tener acceso a la interfaz web Página 117

123 En la cual podemos visualizar los dispositivos con el cual trabajara el servidor, revisar los dispositivos, direcciones permitidas Configuración de la Base de Datos Mysql Debemos configurar que la base de datos inicie de forma automática, lo podemos hacer mediante la siguiente línea de comandos. Update rc.dmysql defaults Debemos configurar el archivo my.cnf En este archivo podemos configurar para que inicie la base de datos, el nombre de la base, los usuarios que pueden acceder, el puerto que va a escuchar. A continuación se muestra los parámetros de configuración del archivo my.cnf El parámetro server-id indica el número de servidor maestro y tiene el nombre vmps1, tenemos que agregar el tiempo de espera para evitar desconexiones con las siguientes líneas de comando. Página 118

124 El puerto por defecto de Mysql es Asignación de direcciones IP Portal web Freenac. El dispositivo de control de acceso en este caso el switch detecta el nuevo pc y solicita la autorización de la herramienta freenac que utiliza el servidor de autenticación freeradius, este verifica en la base de datos y concede o niega el acceso a la red, basándose en la dirección mac. También lo podemos hacer con el mecanismo de control de acceso 802.1x para esto utilizamos un usuario y contraseña los cuales ya están registrados en la base de datos con el mismo procedimiento de verificación de datos concede o niega el acceso. Edición de archivos: Página 119

125 Para realizar la autenticación freeradius cuenta con diversos archivos que deben configurarse los siguientes archivos, los principales son: radiusd.conf /etc/freeradius/radiusd.conf eap.conf /etc/freeradius/eap.conf users /etc/freeradius/users Este archivo es el que contiene la información de los usuarios que pueden acceder a la red, en caso de que no se use otro método. En nuestro caso, este archivo no tiene mucho uso, puesto que se usará un directorio ldap. Lo que si hay que modificar en este fichero "/etc/freeradius/users" es "System" por "LDAP"por lo que debería quedar algo asi:defaultframed-protocol == PPP. default /etc/freeradius/sites-enabled/default ->../sites-available/default clients.conf /etc/freeradius/clients.conf Configuramos clients.conf que indica los hosts desde los que se aceptan las peticiones.aquí se especifican los IPs o subredes desde las cuales se aceptarán peticiones. Si llegauna petición de acceso desde un IP que no esté registrada, el servidor RADIUSsimplemente la ignora, negándole el acceso. sql.conf /etc/freeradius/sql.conf ldap /etc/freeradius/modules/ldap Ingreso a la interfaz de usuario. Aquí podemos ingresar verificar los switch conectados, crear usuarios, dar privilegios a los usuarios, verificar los accesos a la red por la dirección mac, generar reportes, crear vlans. Es una herramienta de gran ayuda y sobre todo es de código abierto, en la que el administrador podrá manejarlo de acuerdo a las necesidades de la organización. Página 120

126 3.5.PACKETFENCE Introducción: PacketFence que actualmente está en su versión 3.5 es una solución de código abierto (Open Source) preparada para instalar un Sistema de Control de Acceso a la Red, es decir un NAC (Network Access Control). Es una distribución Linux basada en Centos diseñada especialmente para proporcionar un completo sistema de control de acceso a las redes. PacketFence es totalmente compatible, de confianza, es un sistema libre y de fuente abierta para el Control de Acceso a la Red. Permite impulsar un impresionante conjunto de características, incluyendo un portal para el registro y remediación, administración centralizada con cable e inalámbrica, soporta 802.1x, permite el aislamiento de los dispositivos problemáticos, integración con Snort, escaneo de vulnerabilidades. Packetfence se puede utilizar de manera efectiva para la seguridad en las redes, desde redes pequeñas hasta redes heterogenias de gran tamaño Definición PacketFence es un código abierto para el Control de Acceso a la Red, sistema que proporciona las siguientes funciones: registro, detección de actividades de la red anormales a partir de sensores remotos de Snort, exploraciones preventivas de vulnerabilidad, aislamiento de los dispositivos problemáticos, reparación a través de un portal cautivo (vigila e intercepta el trafico http), 802.1X, integración inalámbrica y Agente-Usuario/DHCP que toma huellas dactilares Características. 1) Sitio web cautivo para autenticación y registro de dispositivos que solicitan el acceso a la red. 2) Detección de actividades de la red anormales 54 Página 121

127 3) Exploraciones preventivas de vulnerabilidades 4) Aislamiento de los dispositivos problemáticos 5) Servicio de DHCP 6) Control de acceso basado en roles 7) Integración con escáneres de vulnerabilidades diferentes y soluciones de detección de intrusos 8) Ancho de banda controlada para cada dispositivo 9) Soporte 802.1x con FreeRadius incluido 10) Gestión centralizada de las redes tanto cableada como inalámbrica. 11) Integración con el sistema para la detección de intrusos SNORT y NESSUS. 12) Soporte VLAN y aislamiento de redes. 13) Autenticación, PacketFence tiene soporte para: Microsoft Active Directory, Novell e Directory, OpenLDAP, Cisco ACS, RADIUS (FreeRADIUS, Radiator, etc.) y local user file). 55 En linea Seguridad cuello de botella o Inmune a la subversión Cierre por falla o Ejecución de cuello de botella Punto único de fallo 55 Página 122

128 Pasivo Falla a abrir la solución o Preferiblemente en el ambiente académico No hay cuellos de botella en el ancho de banda Visibilidad de la red o Hub, puerto de monitor, conectar Fácil integración - no hay cambios en la infraestructura o Conexión/ejecución Manipula el cliente de caché ARP o "Virtualmente" en línea Arquitectura pasiva Integra ción de la red La aplicación de la VLAN se representa en el diagrama anterior. La aplicación en línea debe ser visto como un simple plano de red en donde PacketFence actúa como un firewall / gateway. Página 123

129 Componentes. Página 124

130 Requisitos del Sistema PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto, requiere los siguientes: Base de datos del servidor (MySQL) Servidor web (Apache) Dependiendo de su configuración puede que tenga que instalar componentes adicionales como: Servidor DHCP (ISC DHCP) Servidor DNS (BIND) Servidor RADIUS (FreeRADIUS) NIDS (Snort / Suricata) En esta guía, se supone que todos esos componentes se están ejecutando en el mismo servidor (es decir, "localhost" o" ") que PacketFence se instalará en el. El buen entendimiento de los componentes subyacente y GNU / Linux es necesario para instalar PacketFence. La siguiente tabla proporciona recomendaciones para los componentes necesarios, junto con la versión necesaria 56 MySQL server MySQL 4.1 or 5.1 Web server Apache 2.2 DHCP server DHCP 3 DNS server BIND 9 RADIUS FreeRADIUS server Snort Snort 2.8 or 2.9 Suricata Suricata 1.x Se recomienda utilizar las versiones más recientes del software mencionado en la tabla anterior pdf Página 125

131 Requerimientos de hardware A continuación se proporciona una lista de recomendaciones de hardware del servidor: CPU Intel o AMD a 3 GHz 2GB de RAM 20 GB de espacio en disco (RAID 1 se recomienda) 1 Tarjeta de red 1 para alta disponibilidad 1 para detección de intrusos Requisitos del sistema operativo PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y x86_64: Red Hat Enterprise Linux 5.x/6.x servidor Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x Asegúrese de que usted puede instalar paquetes adicionales de su distribución estándar. Por ejemplo, si está usando Red Hat Enterprise Linux, tienes que estar suscrito a la Red Hat Network antes de continuaron la instalación del software PacketFence. Otras distribuciones como Debian, Fedora se sabe que funcionan Servicios Activos Servidor web (httpd) Servidor DHCP (dhcpd) Servidor DNS (nombre) FreeRADIUS servidor (radiusd) Snort / Suricata IDS de red (snort / suricata) Firewall (iptables) Asegúrese de que todos los demás servicios se inician automáticamente por el Sistema Operativo Página 126

132 Ejecución. Distribución fuera banda Operación de PacketFence es completamente fuera de banda que permite la solución a escala geográfica y es muy resistente a los fallos. Un servidor PacketFence puede ser usado para asegurar cientos de switch y muchos miles de nodos conectados a ellos. Despliegue en línea Mientras quela opción fuera de la banda es la forma preferida de la implementación de PacketFence, un modo en línea también es compatible con equipos inmanejables por cable o inalámbricos. La implementación PacketFence usando el modo en línea también puede llevarse a cabo en cuestión de minutos. AUTENTICACIÓN Y REGISTRO Soporte 802.1x 802.1X inalámbrico y por cable se apoya por un FreeRADIUS módulo que se incluye en PacketFence. Voz Sobre Ip (Voip) Apoyo También se llama telefonía IP (IPT), voz sobre IP es totalmente compatible (incluso en entornos heterogéneos) para los fabricantes de conmutadores múltiples (Cisco, Edge- Core, HP, Linksys, Nortel Networks y muchos más). Página 127

133 Integración Wireless PacketFence se integra perfectamente con las redes inalámbricas a través de un módulo FreeRADIUS. Esto le permite asegurar sus redes alámbricas e inalámbricas de la misma manera puede set usando la base de datos de usuario y la misma base del portal cautivo, proporcionando una experiencia de usuario consistente. 57 Registro de Dispositivos PacketFence cuenta con un mecanismo de registro opcional similares a "soluciones de portales cautivos". Contrariamente a la mayoría de soluciones de portal cautivo, PacketFence recuerda a los usuarios que previamente registrados y automáticamente les dará acceso sin otra autenticación. Por supuesto, esto es configurable. Una política de uso aceptable se puede especificar de forma que los usuarios no pueden permitir el acceso de la red sin haberlo aceptado. Conformidad. Detección de Actividades anormales en la red Actividades anormales de la red (virus informáticos, gusanos, software espía, el tráfico denegado por la política de establecimiento) pueden ser detectados local o remotamente utilizando sensores Snort. Más allá de la simple detección, Las propias capas 57 Página 128

134 PacketFence presentan mecanismos de alerta y supervisión en cada tipo de alerta Un conjunto de acciones configurables para cada violación está disponible para los administradores. Estado de Salud Mientras que hace una autenticación de usuario 802.1x, PacketFence puede realizar una evaluación completa de la ubicación del dispositivo de conexión con la Declaración del protocolo de la Salud TNC. Por ejemplo, PacketFence puede verificar si los antivirus están instalado y actualizado, si hay parches que se aplican al Sistema Operativo y mucho más todo sin ningún agente instalado en el dispositivo de punto final. Proactivos de vulnerabilidad NessusoOpenVAS análisis de vulnerabilidad se puede realizar en el registro, programado o sobre una base ad-hoc. PacketFence correlaciona el Nessus / OpenVAS ID de la vulnerabilidad de cada exploración a la configuración de violación, volviendo Página 129

135 las páginas de contenido web específicas sobre las que la vulnerabilidad del huésped pueda tener. Remediación a través de un portal cautivo Una vez atrapado, todo el tráfico de la red se termina mediante el sistema de PacketFence. Con base en el estado actual de los nodos (violación no registrado, abierto, etc.), se redirige al usuario a la URL correspondiente. En el caso de una violación, el usuario será presentado con las instrucciones para la situación particular que él / ella se encuentra, la reducción de la intervención costosa mesa de ayuda. Aislamiento de los dispositivos problemáticos PacketFence compatible con varias técnicas de aislamiento, como el aislamiento VLAN con soporte para VoIP (incluso en entornos heterogéneos) para múltiples fabricantes de conmutadores Administración Packetfence Gestión desde línea de comandos y en la Web Página 130

136 Basada en Web y las interfaces de línea de comandos para todas las tareas de gestión. Administración basada en Web compatible con diferentes niveles de permisos para los usuarios y la autenticación de usuarios contra LDAP o Microsoft Active Directory. Funciones avanzada En el texto siguiente, el nodo se utiliza para referirse a un dispositivo de red, considere que es controlado y monitoreado por PacketFence, y puede ser una PC, un ordenador portátil, una impresora, un teléfono IP, etc. 58 Flexible VLAN de administración y basado en el rol de control de acceso La solución se basa en el concepto de aislamiento de la red a través de la asignación de VLAN. Debido a su larga experiencia y los despliegues de varios, la gestión de VLAN de PacketFence llegó a ser muy flexible con los años. Su configuración VLAN pueden ser lo que es y sólo dos nuevos VLAN tendrá que ser añadido en toda la red: el registro de VLAN y VLAN aislada. Por otra parte, PacketFence también pueden hacer uso de las funciones de apoyo de muchos proveedores de equipos. VLAN y roles pueden ser asignados utilizando diversos medios: Por switch (por defecto para la VLAN) 58 Página 131

137 Por categoría de cliente (por defecto para los roles) Por cliente El uso decisión arbitraria (si utiliza nuestros puntos de extensión de perl) Además, el método por el switchse puede combinar con los otros. Por ejemplo, con una configuración por defecto PacketFence, una VLAN o una función puede ser asignada a las impresoras y los ordenadores (si se clasifican correctamente) sobre la base de los equipos que están conectados. Esto implica que usted puede fácilmente tener por cada dispositivo de creación de un tipo de VLAN Acceso de invitados Hoy en día, la mayoría de las organizaciones hacen frente a una gran cantidad de consultores de diversas empresas en el terreno que requieren acceso a Internet para su trabajo. En la mayoría de los casos, un acceso a la red corporativa se da con poca o ninguna auditoría de la persona o dispositivo. Además, rara vez se requiere que tengan acceso a la infraestructura corporativa interna, y evitar una carga administrativa (por puerto VLAN de administración). PacketFence es compatible con una VLAN de invitada especial, VLAN o el papel de la caja. Si utiliza una VLAN de invitados, a configurar su red para que la VLAN invitada sólo sale a la Internet y el registro de VLAN y el portal cautivo son los componentes que se utilizan para explicar al cliente cómo registrarse para tener acceso y cómo funciona su acceso. Esto generalmente se marca por la organización que ofrece el acceso. Varios medios de registro de los huéspedes son posibles: El registro manual de los invitados (por adelantado o por) Contraseña del día Auto-registro (con o sin credenciales) El acceso de invitados patrocinar (empleado que dé fe de un invitado) El acceso de invitado activada por correo electrónico de confirmación El acceso de invitado activada por la confirmación de teléfono móvil (mediante SMS) Página 132

138 PacketFence también soporta los huéspedes creaciones a granel de acceso y las importaciones. PacketFence también se integra con la solución de facturación en línea, como Authorize.net.Utilizando esta integración, que puede manejar los pagos en línea, necesarios para obtener acceso a la red correcta. Registro Automático Debido a que la mayoría de las redes de producción son ya muy grande y complejo, PacketFence ofrece varios medios para registrar de forma automática a un cliente o dispositivo. Al dispositivo de red. Un dispositivo de red (Switch, AP, WirelessController) se puede configurar para registrar automáticamente todas las direcciones MAC que solicite acceso a la red. Muy útil para una transición a la producción. Por las huellas dactilares de DHCP Toma de huellas dactilares de DHCP se puede utilizar para registrar automáticamente los tipos específicos de dispositivos (ej. teléfonos VoIP, impresoras). Al proveedor de direcciones MAC La parte vendedora de una dirección MAC se puede utilizar para registrar automáticamente los dispositivos de un proveedor. Por ejemplo, todos los productos de Apple podría ser automáticamente registrados con dicha regla. Y más Snort, Nessus, OpenVAS, navegador de agente de usuario e incluso las técnicas más también podría ser utilizado para registrar automáticamente los dispositivos. Página 133

139 Vencimiento del tiempo de acceso a la red La duración de acceso a la red se puede controlar con los parámetros de configuración. Se puede ser una fecha absoluta (por ejemplo, "Jue Ene 20 20:00:00 EST 2011"), una ventana (por ejemplo, "cuatro semanas a partir de primer acceso de red") o tan pronto como el dispositivo se vuelve inactiva. En la expiración dispositivos registrados quedado registrada. Con poco de personalización también es posible hacer esto sobre una base categoría de dispositivos. Vencimiento también puede ser editado manualmente en función de cada nodo. Administración de Ancho de banda PacketFence puede seguir automáticamente la cantidad de consumo de ancho de banda de los dispositivos de en la red. Gracias a su compatibilidad integrada con violaciones, se puede poner en cuarentena o el cambiar el nivel de acceso de los dispositivos que están consumiendo ancho de banda en exceso durante un tiempo en particular. PacketFence también presenta informes sobre el consumo de ancho de banda. Los dispositivos flotantes en la red Un dispositivo de red flotante es un punto de cambio o de acceso (AP) que se puede mover alrededor de su red y que está conectado a los puertos de acceso. Una vez configurado correctamente, PacketFence reconocerá los dispositivos de red flotante y configurar los puertos de acceso se suele permitir varias VLAN y más direcciones MAC. En este punto, el dispositivo de red flotante también puede realizar acceso a la red a través de PacketFence o no. Una vez que el dispositivo está desconectado PacketFence entonces volver a configurar de nuevo a su configuración original. Autenticación flexible PacketFence puede autenticar a los usuarios que utilizan varios protocolos y normas. Esto le permite integrar PacketFence en su entorno sin necesidad de que los usuarios recuerden otro nombre de usuario y contraseña. Se sabe que funcionan las fuentes de autenticación son los siguientes: Página 134

140 Microsoft Active Directory Novell e Directory OpenLDAP Cisco ACS RADIUS (FreeRADIUS, radiador, etc) Archivo de usuario local Redes enrutadas La arquitectura de PacketFence le permite trabajar en redes enrutadas. El servidor puede estar ubicado en el centro de datos y todavía se puede conseguir con eficacia las sucursales. Implementación gradual Debido a la naturaleza intrusiva de control de acceso a la red, PacketFence viene con controles de grano fino a la hora de la implementación. Como se describe en otro lugar, automáticamente se puede pre-registrarse nodos, pero también se puede controlar el nivel de un carnero por interruptor y por puerto-o no debería PacketFence cumplimiento de sus funciones. Esto le permite desplegar en la velocidad que desee, por el interruptor, por piso, por ubicación, etc. El mismo nivel de control está también disponible en las características de aislamiento. Al principio, sólo se puede iniciar sesión en los eventos de violación. Entonces, como usted se siente más familiarizado con lo que se puede aislar y validado frente a falsos positivos, se puede habilitar el aislamiento de la VLAN. Juntas, estas dos características hace que el despliegue de una PacketFence tan fácil como podría ser. Pass-Through PacketFence puede ser configurado para permitir el acceso a los recursos especificados incluso cuando el nodo está en el aislamiento. Esto le permite dar acceso a herramientas específicas o parches a través del portal cautivo. Página 135

141 De alta disponibilidad PacketFence se desarrolla con una alta disponibilidad en mente. Todos los despliegues se realizan utilizando activo-pasivo de alta disponibilidad así que la solución se ha demostrado en ese sentido. La información sobre cómo configurar PacketFence en ese modo de operación se encuentra disponible en nuestra Guía de administración. Hardware soportado PacketFence compatible con hardware de red de los proveedores de varias de ellas en una forma integrada. Ver los parámetros admitidos y la AP de página para la lista completa. Si usted es un vendedor y que le gustaría ver a su hardware soportado en contacto con nosotros. Basado en estándares PacketFence está construido utilizando estándares abiertos para evitar la dependencia de un proveedor. Entre las normas que apoyamos y el uso, se encuentran: 802.1X Simple Network Management Protocol (SNMP) La gestión estándar de SNMP base de información (MIB), como BRIDGE-MIB, Q-BRIDGE-MIB, IF-MIB, IEEE8021-PAE-MIB RADIUS Netflow / IPFIX Wireless ISP Roaming (WISPr) Wired: 802.1X + eludir la autenticación MAC (MAB) 802.1X proporciona autenticación basada en puerto, lo que implica la comunicación entre un suplicante, autenticador (conocido como NAS), y el servidor de autenticación (conocida como AAA). El suplicante es a menudo el software en un dispositivo cliente, como un ordenador portátil, el autenticador es un conmutador Ethernet con cable o punto de acceso inalámbrico y el servidor de autenticación es en general una base de datos RADIUS. Página 136

142 El solicitante (es decir, el dispositivo cliente) no se permite el acceso a través de la autentificación de la red hasta que la identidad del solicitante está autorizado. Con 802.1X autenticación basada en puerto, el solicitante proporciona las credenciales, como el nombre de usuario / contraseña o certificado digital, para el autenticador, y el autenticador reenvía las credenciales para el servidor de autenticación para su verificación. Si las credenciales son válidas (en la base de datos de servidor de autenticación), el solicitante (dispositivo cliente) se le permite acceder a la red. El protocolo para la autenticación se llama Extensible AuthenticationProtocol (EAP), que tiene muchas variantes. Tanto el solicitante y servidores de autenticación deben hablar el mismo protocolo EAP. Entre los más populares son EAP-MD5, PEAP MSCHAPv2 (utilizado por Windows para la autenticación en Active Directory) o EAP-TLS En este contexto, PacketFence ejecuta el servidor de autenticación (una instancia de FreeRADIUS) y volverá la VLAN adecuada en el interruptor. Un módulo que se integra en FreeRADIUS hace una llamada remota en el servidor PacketFence para obtener esa información. Más y más dispositivos tienen suplicante 802.1X, que hace que este enfoque cada vez más popular. Derivación de autenticación MAC (MAB) es un nuevo mecanismo introducido por algunos proveedores de conmutadores para manejar los casos en que un suplicante 802.1X no existe. Después de un período de tiempo de espera, el cambio dejará de intentar llevar a cabo 802.1X y reserva voluntad de MAB. Tiene la ventaja de utilizar el mismo enfoque que 802.1X, salvo que la dirección MAC se envía en lugar del nombre de usuario y que no hay extremo a terminar la conversación EAP (sin autenticación fuerte). Usando el MAB, los dispositivos como impresora de red o no 802.1X teléfonos IP capaces (IPT) todavía puede tener acceso a la red y el derecho de VLAN. En este momento esta integración no es agradable, ya que podría ser la participación de la modificación manual de nuestro módulo de FreeRADIUS pero nuestro último código inédito que ya se encarga de 802.1X + MAB integrado en la configuración PacketFence principal. Si usted es aventurero no dude en probarlo. Página 137

143 Integración Inalámbrica Inalámbricas 802.1X funciona muy parecido a la autenticación por cable 802.1X y MAC es como el MAB. Cuando las cosas cambian es que el 802.1X se utiliza para configurar las claves de seguridad para la comunicación encriptada (WPA2-Enterprise), mientras que la autenticación de MAC sólo se utiliza para autorizar a permitir o no un MAC en la red inalámbrica. Compatibilidad de dispositivos de red Soporte de conexión cableada 59 Switch SNMP MAC Authentication 802.1X 3COM NJ220 3COM SS4200 3COM SS4500 3COM 4200G 3COM E4800G 3COM E5500G Accton ES3526XA Accton ES3528M AlliedTelisis AT8000GS Amer SS2R24i Avaya (seenortels) Brocade ICX64XX Brocade ICX66XX BrocadeFastIron 4802 Brocade FCXXXXX Brocade FI-SXXXX 59 Página 138

144 Cisco 2900XL Cisco 2900XL Cisco 2950 Cisco 2960 / 2970 Cisco 3500XL Series Cisco 3550 Cisco 3560 Cisco 3750 Cisco 4500 Cisco 6500 Cisco ISR 1800 Series Dell PowerConnect 3424 D-Link DES3526 D-Link DES3550 D-Link DGS3100 D-Link DGS3200 Enterasys D2 EnterasysMatrix N3 EnterasysSecureStac k C2 EnterasysSecureStac k C3 Extreme Networks Summit (XOS) Extreme Networks EAS HP E4800G Página 139

145 HP E5500G HP Procurve 2500 Series HP Procurve 2600 Series HP Procurve 3400cl Series HP Procurve 4100 Series HP Procurve 5300 Series HP Procurve 5400 Series HP/H3C S5120 Intel Express 460 Intel Express 530 Juniper Networks EX Series LG ipecs Series Linksys SRW224G4 Netgear FGS Series Nortel BayStack 470 Nortel BayStack 4550 Nortel BayStack 5500 Series Nortel ERS 2500 Series Nortel ERS 4500 Página 140

146 Series Nortel ERS 5500 Series Nortel ES325 Nortel BPS2000 SMC TS6128L2 SMC TS6224M SMC SMC8824M - SMC8848M Soporte inalámbrico Hay dos enfoques para redes inalámbricas. Un controlador que se encarga de los puntos de acceso (AP) y un AP para funcionar individual. PacketFence apoya ambos enfoques. Los controladores inalámbricos Cuando se utiliza un controlador, no importa lo que PacketFence AP individuales son compatibles o no. Mientras que la propia AP es compatible con el controlador y que el controlador es compatible con PacketFence que funciona bien. PacketFence compatible con los mandos inalámbricos siguientes: Aerohive Serie AP Aruba Networks (200, serie 600, 800, 2400, 3000, 6000) AvayaWireless controladores BrocadeMobility controladores de LAN inalámbrica Cisco Wireless Services Module (WiSM, WiSM2) Cisco WLC (2100, 2500, 4400, 5500) D-Link DWS 3026 Extricom EXSW WirelessSwitches (controladores) HP ProCurve MSM710 el controlador de movilidad Meru Networks Wireless controladores Página 141

147 Motorola RF Interruptores (controladores) RuckusWireless controladores Los controladores inalámbricos de Trapeze XirrusWi-Fi matrices Puntos de acceso Algunos puntos de acceso se comportan de la misma, si están unidos a un controlador o no. Debido a que es posible que desee probar un módulo de controlador si un controlador del mismo proveedor se apoya en la lista anterior. PacketFence apoya los puntos de acceso siguientes: Aerohive Serie AP Cisco 1130AG Cisco 1240AG Cisco 1250 D-Link DWL Puntos de Acceso HP ProCurve XirrusWi-Fi matrices Página 142

148 TABLA DE COMPARACIÓN ENTRE SOLUCIONES DE CONTROL DE ACCESO A LA RED NAC PARAMETROS SOLUCIONES PROPIETARIO SOLUCIONES OPEN SOURCE Política de control de acceso CISCO NAC MICROSOFT NAP FREENAC PACKETFENSE REQUERIMIENTO DEL NEGOCIO PARA EL CONTROL DE ACCES Cisco Clean Manager para Servidor de políticas NAP para Son políticas definidas por la Se debe cumplir una política de crear políticas de seguridad y evaluar el estado de salud de los institución una de ellas seria que uso aceptable, los usuarios no gestionar los usuarios clientes de esta manera permitir o mientras un usuario no este pueden habilitar el acceso a la conectados, puede hacer la no el acceso SHVs viene registrado en la base de datos no red, sin antes haberse función de servidor de incorporado dentro de las políticas puede tener acceso a la red. autenticado autenticación Proxy hacia los de red, y determina la acción a servidores de autenticación del tomar basándose en el estado de back end. Este dispositivo salud del equipo que se conecta gestiona y se comunica con el servidor Cisco Clean Access que es el dispositivo que se encarga de permitir o no el acceso desde la red Página 143

149 GESTIÓN DE ACCESO AL USUARIO Freenac permite realizar Packetfence permite un registro Servidor de Directorio. Un servidor de directorio centralizado para registro de un registro de usuarios en la base de datos mysql. de usuario y un registro de dispositivos conectados a la red, tanto un registro de archivos usuario y / o autenticación. Los Active directory planos como un registro de Registro de usuario servicios de directorio posibles usuarios en la base de datos son: LightweightDirectory OpenLdap, para dicho registro se Access Protocol(LDAP), ha creado una aplicación amigable Microsoft ActiveDirectory para ingresar los datos de los (AD), Novell DirectoryServices usuarios, así como sus (NDS), y por una sola vez respectivas contraseñas servidores de tokens OTP (contraseña). Servidor RADIUS sobre el Permite determinar Todos los usuarios que tenga los Gestión de privilegios protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta WSv Protege a las VM del sistema operativo host y viceversa, al permitir que las VM se ejecuten en privilegios el momento de crear los usuarios. privilegios para acceder a la red serán registrados en OpenLdap, usuario que no esté registrado no utilizando esquemas de una cuenta de servicio sólo con los podrá acceder a la red, a los autenticación como EAP sobre privilegios necesarios usuarios se les asigna el privilegio 802.1X como Administrador o invitado Página 144

150 Cisco TrustSec ofrece controles El momento de crear los Se registrará un usuario y una de acceso a la red basados en una política uniforme para los usuarios (incluidos empleados, contratistas o usuarios Mediante la herramienta IPsec está implementado por un conjunto usuarios se utiliza mecanismos criptográficos de autenticación como peap. Eap. contraseña, dichos usuarios serán almacenados en OpenLdap, donde las contraseñas de cada uno de los usuarios serán almacenas de Gestión de claves secretas temporales), los dispositivos de protocolos criptográficos para manera segura, es decir cifradas- de los usuarios terminales (equipos portátiles, asegurar el flujo de paquetes, teléfonos IP, impresoras) y los garantizar la autenticación dispositivos de red (switches, mutua y establecer parámetros routers, etc.). Cisco TrustSec es criptográficos capaz de controlar el modo en que se le otorga acceso a un usuario o dispositivo, las políticas de seguridad que deben cumplir los dispositivos terminales, como el cumplimiento de una postura, y los recursos de red que un usuario está autorizado a usar dentro de la red Página 145

151 Freenac emite informes Para la revisión de los derechos de Revisión de los derechos Cisco TrustSec protege el acceso a la red y los recursos, así sea una red cableada, inalámbrica o VPN, y se NPS como un servidor RADIUS para procesar solicitudes de conexión, así como para realizar la autenticación, la autorización y la detallados de los usuarios que acceden a la red acceso de los usuarios al intentar conectarse a la red se revisará en la base de datos que el usuario suplicante está registrado, caso de acceso del usuarios asegura de que los dispositivos administración de cuentas para contrario el usuario no puede terminales conexiones inalámbricas ingresar a la red tengan autorización y se mantengan en buen estado RESPONSABILIDADES DEL USUARIO Uso de claves secretas Equipo de usuario desatendido Se debería concientizar a Se debe recomendar a los usuarios Active directory los clientes sobre el uso el cumplimiento de buenas Servidor de directorios Combinación de Kerberos, LDAP, de las claves secretar su prácticas de seguridad en la Samba importancia etc. selección y el uso de las NIS(YP) and NIS+ para autenticar contraseñas, sin embargo al usuarios en la red ingresar los usuarios a la base de datos las contraseñas están validadas para que las mismas cumplan con un cierto grado de seguridad. No cumple No cumple No cumple Una vez que el usuario se autentique, si este deja a su equipo desatendido por un lapso Página 146

152 de tiempo determinado el acceso será bloqueado y le pedirán nuevamente autenticarse. Política de escritorio y pantallas limpios No cumple No Cumple No cumple No cumple CONTROL DE ACCESO A LA RED Políticas sobre el uso de Configuración en los servidores de políticas, de puntos de decisión y de Auditoria NPS permite crear y aplicar políticas de acceso a la red para toda la organización referidas al estado de salud de los equipos clientes, y los requisitos de autenticación y Los usuarios deberían basarse en las políticas de control de acceso Los usuarios deberán cumplir con la política de acceso a la red, es decir todos los usuarios necesitan autenticarse. los servicios de red autorización para la conexión. Se usan políticas (orientada a objetos), con funciones pre y post conexión. Con Freenac se Establecen una fecha de validez para cada dirección MAC Autenticación del usuario Cisco dispone de un servidor de Switches con autenticación No cumple para las conexiones autenticación propio basada en protocolo 802.1x externas denominado Cisco Security NPS para habilitar el proceso de Access que soporta tanto autenticación segura de passwords Página 147

153 RADIUS como TACACS con protocolo PEAP Protected Extensible AuthenticationProtocol (PEAP)- MS-CHAP v2 para conexiones inalámbricas servicio Routing and Remote Access Service (RRAS) disponen de los servicios de enrutamiento para red de área local (LAN) y redes de área extensa (WAN) utilizados para conectar segmentos de red en entornos de conexión remota o infraestruturas de redes de oficina certificados X.509 Servidor de autorización SHVs (SystemHealthValidators) El momento que una maquina Todos los equipos una vez Identificación del equipo en las redes autenticación y auditoria Servidor de control de acceso para analizar el estado de salud del equiposhaservidor de cumplimiento NAP accede se registra la dirección MAC de la maquina por tanto se tiene un registro de acceso a autenticados serán identificados por su dirección MAC la red Protección del puerto de Secure Sockets Layer (SSL) No cumple No cumple diagnostico y Basado en una autenticación 802.1X podemos hablar de ports configuración remota controlados y ports no controlados. Un port controlado es aquel que nos Página 148

154 habilita a ciertas direcciones de red. Un port no controlado nos permite un acceso irrestricto a la red. PacketFence es el servidor que Se puede crear bosques mediante el asigna la VLAN a un dispositivo. No cumple active directory Un bosque de Active Directory tiene Permite crear vlan. Esta VLAN puede ser una de sus VLAN o puede ser una VLAN Segregación de redes el esquema ampliado con las especial donde PacketFence actúa extensiones de esquema del como un servidor DHCP / DNS / Administrador de configuración, y HTTP en el que se ejecuta el se dotará de un contenedor de portal cautivo. Vlans, permiten administración del sistema en al crear redes lógicamente menos un dominio. independientes dentro de una misma red física lo que permiten una administración de la red separando segmentos lógicos de una red de área local Control de conexión a la Una vez detectado el nuevo PacketFence es completamente red dispositivo el NAD (dispositivo Permitir el acceso a la red compatible, confiable de código de acceso a la red) habilita una Permitir el acceso a la red por abierto, sistema de control de conexión entre el Servidor tiempo limitado acceso( a la red NAC), basados en AAA, el servidor de Permitir el acceso limitado la norma 802.1x que permiten autorización autenticación y Si un servidor que ejecuta NPS es la autenticación de dispositivos Página 149

155 auditoria y el access control server ACS o server de control de acceso, una vez establecida la conexión con el Server AAA se requiere las credenciales para la respectiva conexión miembro de un dominio de Active Directory, NPS usa el servicio de directorio como su base de datos de cuentas de usuario y forma parte de una solución de inicio de sesión único. El mismo conjunto de credenciales se usa para controlar de acceso a la red (autenticación y autorización del acceso a una red) y para iniciar sesión en un dominio de Active Directory. Debido a esto, se recomienda usar NPS con los Servicios de dominio de Active Directory (AD DS) conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla Control de enrutamiento a la red No cumple No cumple No cumple No cumple CONTROL DE ACCESO AL SISTEMA OPERATIVO Procedimiento para un registro seguro WSv Protege a las VM del sistema operativo host y viceversa, al No Cumple Página 150

156 permitir que las VM se ejecuten en una cuenta de servicio sólo con los privilegios necesarios. Los servicios de directorio Active directory Se realiza la autenticación por Todos los usuarios tendrán un Identificación autenticación del usuario y posibles LightweightDirectory Protocol(LDAP), son: Access Microsoft NPS como un servidor RADIUS para procesar la autenticación, la autorización y la administración de medio de protocolo de autenticación 802.1x identificador único, para poder ingresar a la red, es decir cada usuario tendrá que autenticarse ActiveDirectory (AD), Novell cuentas inalámbricas, alambricas, antes de ingresar a la red DirectoryServices (NDS), VPN usando servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como EAP sobre 802.1X R Sistema de gestión de Configuración dentro del Las contraseñas al momento de contraseñas servidor de control de acceso, Active directory ser almacenadas en OpenLdap políticas de control de acceso serán validadas para que las mismas sean de calidad, es decir cumplan con ciertas condiciones de seguridad, además dichas contraseñas serán almacenadas en Página 151

157 Uso de las utilidades del Servidor de Control de Acceso sistema usando servidores Radius Cierre de una sesión por inactividad Limitación del tiempo de conexión CONTROL DE ACCESO A LA APLICACIÓN Y A LA INFORMACIÓN formatos protegidos(encriptación) X X X Packetfence permite limitar los tiempos de conexión, es decir asignar un tiempo especifico para su conexión. Restricción de acceso a la información Aislar el sistema confidencial Trabajo remoto El papel de NAC Appliance 4.0 de Cisco Systems responde al acceso a la red en todos los segmentos de la misma de una empresa: alámbricos, inalámbricos y conexiones remotas; Trafico protegido mediante (IPsec) Secure Sockets Layer (SSL) X Página 152

158 CAPITULO IV Página 153

159 Capítulo 4 4. Estudio de la Empresa 4.1. Introducción. La Unidad Educativa Técnico Salesiano, de la ciudad de Cuenca, se encuentra ubicado en la Av. Felipe II y Don Bosco, al ser una institución que alberga a una gran cantidad de alumnos tanto en horarios matutino como vespertino, así como también personal docente y administrativo, tienen que estar a la par con las tecnologías necesarias para mantener segura la información, especialmente por la gran cantidad de personal en la institución, es por ello que día a día se mantienen actualizando y buscando maneras de mejorar la seguridad y automatización se sus sistemas. 4.2.Misión. La misión del Colegio Técnico Salesiano es educar evangelizando y evangelizar educando con excelencia humana y académica a los adolescentes y jóvenes de la región. Fieles al ideal de Don Bosco, formamos buenos cristianos y honrados ciudadanos, actores sociales responsables con visión crítica de la realidad 4.3.Visión. El Colegio Técnico Salesiano es un centro educativo líder en la excelencia académica y humana que estimula la creatividad y la investigación. Bajo los principios de reciprocidad y solidaridad desarrolla procesos educativo-pastorales integrales, significativos y de calidad gracias a la corresponsabilidad de los actores sociales de la Comunidad Educativo Pastoral y del protagonismo juvenil. Página 154

160 La visión tiene las siguientes implicaciones: Fortalece la identidad carismática mediante la formación permanente y conjunta de SDB y Seglares. Hace de la escuela salesiana un contexto de crecimiento humano y realización profesional. Vivencia el Sistema Preventivo manifiesto en un clima de familiaridad y solidaridad. Cultiva la dimensión asociativa y la ciudadanía para asumir opciones transformadoras en la sociedad y en la Iglesia. Aplica una gerencia y gestión educativa participativa, eficiente y eficaz. Mejora su capacidad de sostenibilidad para mantenerse al servicio de los destinatarios preferenciales. Desarrolla un currículo integral, actualizado y articulado en sus distintos niveles educativos. Incorpora dimensiones humanistas: educación para la paz y no violencia; educación al amor y la sexualidad, equidad de género, formación ciudadana, interculturalidad, ecología, educación en y para el mundo del trabajo 4.4.Estructura organizacional Página 155

161 4.5.Departamentos. Departamentos de campo Yanuncay Departamento psicopedagógico Departamento de bienestar estudiantil Secretaria Departamento Financiero Biblioteca Departamento de Pastoral Departamento de Asistencia Departamento de Sistemas Informáticos Departamento de Talento Humano Departamento de Construcción. Departamento de Comunicación. Departamento de Trabajo Social 4.6.Servicios implementados sobre la red de datos. Seguridad del puerto Vlan especifica Subredes por departamento ACL VPN configuradas Seguridad del puerto en switch de acceso Asignación de un puerto a una determinada VLAN 4.7.Medios de transmisión. Medio de transmisión Velocidad (bps) Ancho de banda (Hz) Par trenzado 100 Mbps, 1 Gbps Cable coaxial Xxx Fibra óptica 1 Gbps Inalámbrica 54bps 4.8.Identificación de dispositivos de conexión de la empresa NOMBRE CISCO CATALYST 3560 Puertos 24 x Ethernet 10Base-T, Ethernet Página 156

162 100Base-TX, Ethernet 1000Base-T Protocolo de gestión. SNMP 1, RMON 1, RMON 2, RMON 3, RMON 9, Telnet, SNMP 3, SNMP 2c, HTTP, SSH-2 Protocolo de Transmisión de datos Ethernet, Fast Ethernet, Gigabit Ethernet Nombre Cisco Catalyst 2960G (24,48) Puertos 24 puertos 10BASE-T/100BASE-T con auto negociación. Dos puertos gigabit de uso dual para poder habilitar 10/100/1000 Protocolos de gestión telnet, RMON 1, RMON 2, SNMP 1, SNMP 3, SNMP 2C, TFTP, SSH Protocolo de Transmisión de Datos Ethernet, Fast Ethernet, Gigabit Ethernet 4.9.Estructura de la red LAN Página 157

163 4.10. Descripción de la VLAN implementadas. Se ha implementado una Vlan para cada uno de los departamentos y laboratorios de cómputo Vlan de administrativos Vlan de profesores Vlan inalámbrica Vlan Colegio Mario Rizzini Vlan aulas Vlan profesores laboratorios Vlan laboratorios Tipos de seguridad actualmente implementadas A través de shorewall A través de firewall Cisco Claves para accesos a sistemas, desde la propia Base de Datos Página 158

164 Resultados de la obtención de la información previo a la implementación al proyecto. Control de título Control de la descripción Aplicabilidad Política de Seguridad Politicas de control de acceso Políticas de control de acceso a la red Gestión de Usuarios Registro de usuarios Registro de usuarios Gestión de privilegios identificación de usuarios asignación de p rivile gios Control implementado / s Comentarios Evidencia Comentarios de Auditoría Interna Se debe establecer, documentar y revisar las políticas de control de acceso en base a los requisitos del negocio y a la seguridad para el acceso Una política de control de acceso se ha establecido, documentado y revisado sobre la base de los negocios y los requisitos de seguridad para el acceso SI SI Seguridad de puerto Vlan Especifica Debe existir un procedimiento formal para el registro y cancelación de los usuarios para autorizar y denegar acceso a los sistemas El administrador otorgara un identificador único para cada usuario, los mismos que deben estar NO NO aprobados y documentados Se debe restringir y controlar la asignación y el uso de privilegios a través de un proceso formal de autorización Se asignará los respectivos privilegios de acuerdo a las funciones de los usuarios y basándonos en las políticas de por SI SI control de acceso nto Página 159

165 Gestión de contraseñas para usuarios Los acuerdos de confidencialidad de contraseñas Revisión de derechos de acceso de los usuarios revisión de derechos de acceso de los usuarios Responsabilidad de los usuarios Uso de contraseñas Uso de contraseñas Se debe crear un proceso de gestión para la asignación de contraseñas Los requisitos para los acuerdos de confidencialidad o no divulgación Todos tienen de contraseñas ya sean individuales contraseñas o de grupo para la protección de la información., considerando los parámetros y normas de seguridad para crear y definir contraseñas SI NO pero NO bajo políticas predeterminadas Se debe establecer un revisión periódica de los derechos de acceso de los usuarios Los derechos de usuarios se debe revisar en intervalos regulares de tiempo, o cuando se da algún cambio, términos de contrato se recomienda realizarlo en caso de usuarios privilegiados cada 3 meses y en otros usuarios se lo realizar cada 6 meses SI SI Se tienen distribuidos los derechos de usuario pero no se realizan revisiones periódicas Exigir a los usuarios el uso de buenas prácticas de seguridad en el uso de contraseñas los usuarios deberán aplicar las reglas de seguridad para crear No se aplican contraseñas seguras es decir que no reglas para la sean fáciles de deducir como fecha SI NO revisión de de cumpleaños, nombre, caracteres claves consecutivos Accesos a sistemas y a la red(no documentados Página 160

166 concientizar a los usuarios sobre las No existen medidas de seguridad a seguir políticas equipo y usuario desatendido cuando los equipos están SI NO definidas solo desatendidos es decir cierre de se realizan sesiones, apagar el computador verbalmente Se debería informar a los usuarios No existen sobre los riesgos de pérdida de políticas Política de escritorio despejado y información, copias no autorizadas, SI NO definidas solo de pantalla despejada o robos, considerando la se realizan importancia de la información que verbalmente maneje cada uno de ellos. Control de acceso a las redes tanto externos como internos Política sobre el uso de los Los usuarios deberán tener acceso únicamente a los servicios autorizados servicios de red Políticas de control de acceso a la red Autenticación de usuarios para conexiones externas Identificación de los equipos en las redes Los usuarios podrán tener acceso solo a los servicios de red autorizados. Las políticas de uso de los servicios de red deberían ser consistentes con las políticas de control de acceso de la organización. autenticación utilizando métodos apropiados para controlar el acceso de usuarios remotos se debe considerar la autenticación de equipos desde un lugar específico con el objetivo de saber a qué red está permitido conectarse dicho equipo SI SI SI SI SI SI Creación ACL s VPN Configurado Creación ACL s de de Página 161

167 protección de los puertos de configuración y diagnostico remoto controlar los puertos acceso de manera física y lógica ya que son medios vulnerables para el acceso no autorizado SI SI en switch de acceso Se debería separar los grupos de servicios de información, usuarios, sistemas de información es decir dividirla en dominios lógicos de red separación de las redes separados. Para separar las redes se SI SI subredes Vlans debe considerar las políticas de control de acceso, teniendo en cuenta los costos y el impacto que puede causar en la organización Para redes grandes que se extiende más allá de las fronteras se debe restringir el acceso a los usuarios control de conexión de la red para conectarse a la red de acuerdo SI SI Acl 's con la política de control de acceso ya establecidas con anterioridad y de los requisitos de la institución. control de enrutamiento de la red Se debe implementar controles de enrutamiento para asegurar que las computadoras y los flujos de información no incumplan con las políticas de control de acceso a las políticas del negocio. Las redes que van más allá de la organización requieren controles adicionales de enrutamiento. Seguridad puerto Inter. VLAN Routing SI SI Routing con OSPF ACL's de Página 162

168 Control de Acceso al Sistema Operativo. Procedimiento de registro de Controlar el acceso al sistema operativo de manera seguro inicio seguro Está diseñado para minimizar el acceso al sistema operativo a usuarios no autorizados, por tanto se No existen Procedimiento de registro de debe tener cuidado en la no SI NO registros de inicio seguro divulgación de la información, accesos registrar los acceso exitosos y fallidos, no mostrar contraseñas esconderla mediante símbolo Se tiene Cada usuario debería tener un implementados Identificación y autenticación de identificador para uso personal, se SI NO pero no en usuarios debe implementar técnicas para todos los comprobar la identidad usuarios Deben ser interactivas y debe Sistema de gestión de contraseñas asegurar la calidad de las SI NO Uso de utilidades del sistemas contraseñas Se debe restringir y controlar el uso de programas utilitarios que puedan anular los controles del sistema y de la aplicación, se recomienda utilizar procedimientos de identificación, autorización, autorización para las utilidades del sistema SI NO Tiempo de inactividad de sesión las sesiones inactivas se deben desactivar después de un periodo indefinido de inactividad SI NO Página 163

169 limitación del tiempo de conexión Control de acceso a las aplicaciones de la información Restricción de acceso a la información aislamiento de los sistemas sensibles Computación móvil y trabajo remoto Se debe establecer restricciones del tiempo de conexión para brindar seguridad a las aplicaciones de alto riesgo Se debe establecer una política formal que deben adoptar las medidas de seguridad apropiadas Computación y comunicaciones con la protección bajo riesgo por el móviles uso de dispositivos de computación y comunicaciones móviles porque la información se puede poner en peligro desarrollar e implementar, planes Trabajo Remoto operativos y procedimientos para las SI actividades de trabajo remoto SI Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación y dentro de ellos Restringir el acceso y las funciones de aplicación por parte de los usuarios y personal de soporte de acuerdo con las políticas definidas en el control de acceso a la red Los sistemas sensibles tendrán un canal aislado al entorno informático SI SI NO NO Control de acceso definido asignación de un puerto a una SI SI en los SGBD determinada pero no están VLAN documentados Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de teletrabajo NO NO Página 164

170 CAPITULO V Página 165

171 C Capitulo 5 5. Implementación de Packetfence como una solución NAC 5.1 Objetivos de la institución. Controlar el acceso a la red de la institución. Generar reportes de las conexiones a la red Limitar el acceso a usuarios no registrados que no pertenecen a la institución. Establecer un tiempo de conexión de acuerdo a las políticas de seguridad. 5.2 Análisis de la seguridad en la institución La Unidad Educativa Técnico Salesiano cuenta con una infraestructura de red de un tamaño considerable tanto por el espacio físico, así como por el ambiente dinámico principalmente por las actividades y por la gran cantidad de usuarios que se tiene, en dicha institución tanto los estudiantes, docentes, personal administrativo entre otros, tienen acceso a la red y a conexiones externa como es el Internet, para la conexión externa los usuarios pueden usar los puntos de red o de manera inalámbrica usando una clave que es general para toda la institución, en definitiva el control de acceso a la red no está controlado, por este motivo es necesario e importante un control de seguridad en la red, como tal la institución ha implementado: seguridades en los puertos, existen subredes por cada departamento, se han creado Acl`s, existen VPN configuradas, entre otros, sin embargo surge la necesidad de una mayor seguridad en el acceso a la red, se requiere que los usuarios antes de ingresar a la red se autentiquen, es decir el administrador asignará un identificador único para cada usuario antes de acceder a la red, tanto para una conexión por cable como para conexiones inalámbrica, con esto se consigue que solamente usuarios registrados puedan acceder a la red, además de poder realizar reportes sobre las diferentes conexiones realizadas, en las que se registra;la dirección Mac del dispositivo conectado, fecha y hora de conexióny así como el nombre usuario conectado, con esto conseguimos accesos únicamente autorizados impidiendo conexiones de terceras personas ajenas a la institución. Página 166

172 5.3 Descripción de la Infraestructura de la Solución NAC En base al análisis de la situación actual de la institución y sobre todo a las necesidades de un control de acceso a la red, planteamos la siguiente estructura de seguridad, que consta de un servidor de autenticación que se agregaría a la estructura de red actual, este servidor permite una autenticación 802.1x vía PEAP, es decir acceder a la red siempre y cuando sea un usuario autorizado, dicho usuario será registrado con sus datos y su contraseña las mismas que serán almacenadas en OpenLdap y en la base de datos Mysql, se contará con una aplicación para el registro de usuarios nuevos,además en el servidor Packetfense se registra la dirección Mac, la hora de conexión de cada usuario que accede a la red. 5.4 Análisis de requerimientos de hardware. Página 167

173 Para la implementación de este proyecto se utilizó un computador con las siguientes características. Procesador Intel core duo 3ghz Memoria RAM 2gb Disco duro 80 gb 2 tarjetas de red Switch Cisco Catalyst 2950, Análisis de requerimientos de software Centos 6x de 32 bits Packetfence v3.5.1 Dhcp server Radius Server Freeradius DNS server Servidor de Base de datos mysql Openldap Web Server Apache Servidor de aplicaciones Glash Fish JDK Implementación Introducción El Anàlisis de soluciones de acceso seguro a la red, nos han permitido indagar sobre una herramienta que nos permita un control de acceso, y para implemantar como un proyecto piloto en el Colegio Tècncio Salesiano, con el fin de restringir los accesos, identificar a los usaurios, registrar horas y tiempos de conexiòn, asignaciòn de privilegios necesarios, etc, todas estas opciones y muchas màs alternativas nos permite la herramienta Packetfense, la cual ha sido diseñada para proporcionar un completo Sistema de Control de Acceso a la Red, es una distribución libre basada en Centos, es totalmente compatible, libre, de confianza y estable. Por lo tanto es necesario, e importante conocer el procedimeitno para la intalaciòn, manejo y mantenimiento del servidor y otros dispositivos, con el objetivo de garantizar su buen funcionamiento y eficacia. Página 168

174 Descripción del Esquema de Red Para el planteamiento del esquema de red, nos basamos en el esquema de red que nos aporto el adminsitrador de red a efímeros rasgos, cuya estructura es cliente servidor a nivel de 3 capss, es por ello que el switch central se conectarà a nuestro servidor Packetfence que usa muchos componentes en su infraestructura como: base de datos (Mysql), servidor apache, dependiendo de la configuración necesitará componentes adicionales, este servidor se conectará a una base de datos OpenLDAP que almacenará los usuarios y las contraseñas para su respectiva validación, tiene dos interfaces de red: una interfaz eth1 para conexiones externas como por ejemplo Internet y una interfaz eth0 para la administración del packetfence, desde esta interfaz nos conectamos hacia el switch Cisco 2960, este switch tendrá habilitados sus puertos para autenticación 802.1x/PEAP vía Packetfence, donde a este switch se conectarán los usuarios, en el instante que el usuario quiera acceder a la red se le notificará que necesita Página 169

175 proporcionar información adicional ( usuario y contraseña) antes de acceder a la red, una vez digitado correctamente los datos solicitados, el usuario tiene acceso a la red, el mismo caso se daría para la conexión inalámbrica ya que el Access Point 1130 estará conectado a al swich que solicita autenticación antes del ingreso Instalación Requisitos del Sistema PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto, requiere los siguientes: Base de datos del servidor (MySQL) Servidor web (Apache) Dependiendo de su configuración pueden ser necesarios componentes adicionales como: Servidor DHCP (ISC DHCP) Servidor DNS (BIND) Servidor RADIUS (FreeRADIUS) NIDS (Snort / Suricata) Todos los componentes se ejecutan en un mismo servidor (es decir, "localhost" o " ") y PacketFence se instalará en el. La siguiente tabla proporciona recomendaciones para los componentes necesarios, junto con la versión necesaria para una correcta instalación de packetfense MySQL server MySQL 4.1 or 5.1 Web server Apache 2.2 DHCP server DHCP 3 DNS server BIND 9 RADIUS server FreeRADIUS Snort Snort 2.8 or 2.9 Suricata Suricata 1.x Nota: Se recomienda instalar las versiones más recientes del software mencionado en la tabla anterior Requerimientos de Hardware Página 170

176 A continuación se proporciona una lista de recomendaciones de hardware del servidor: CPU Intel o AMD a 3 GHz 2GB de RAM 20 GB de espacio en disco (RAID 1 se recomienda) 2 Tarjeta de red 1 para alta disponibilidad a) para detección de intrusos Requisitos del Sistema Operativo PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y x86_64: Red Hat Enterprise Linux 5.x/6.x servidor Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x Es importante considerar que se pueda instalar paquetes adicionales de su distribución estándar. Por ejemplo, cuando se usa Red Hat Enterprise Linux, tiene que estar suscrito a Red Hat Network antes de continuarcon la instalación del software PacketFence.Otras distribuciones como Debian, Fedora y Gentoo funcionan de manera correcta Servicios Activos Es importante tener los siguientes servicios activos para su correcto funcionamiento: Servidor web (httpd) Servidor DHCP (dhcpd) Servidor DNS (nombre) FreeRADIUS servidor (radiusd) Snort / Suricata IDS de red (snort / suricata) Firewall (iptables) Página 171

177 Asegúrese de que todos los demás servicios se inician automáticamente por el Sistema Operativo Instalación de Packetfence La última versión de PacketFence es 3.5.1, la misma que ha sido puesta a disposición el 05/09/2012. Esta versión es estable y se puede utilizar en un entorno de producción.. Estas son las diferentes formas de obtener PacketFence: A través del yum repositorio es una de las formas más fácil de instalar PacketFence si utiliza RedHat Enterprise Linux (o un equivalente como distribución CentOS) se puede utilizar el repositorio de yum. Para ello, basta con crear un archivo llamado / etc / yum.repos.d / PacketFence.repo con el siguiente contenido: [PacketFence] name=packetfencerepository baseurl= gpgcheck=0 Para RHEL / CentOS 5 y 6 Hay varios repositorios que usted necesita instalar, son depacketfence: dependencias propios Repoforge, también conocido anteriormente como rpmforge. Instale el paquete rpmforge-release para su respectiva distribución y arquitectura Repositorio EPEL Repositorio OpenFusion También es necesario instalar los siguientes componentes adicionales: MySQL server MySQL 4.1 or 5.1 Web server Apache 2.2 DHCP server DHCP 3 DNS server BIND 9 RADIUS server FreeRADIUS Snort Snort 2.8 or 2.9 Suricata Suricata 1.x Página 172

178 Es importante actualizar los repositorios para una correcta instalación: yum update apt-get update apt-get upgrade Usted pude instalar packetfence, con los repositorios necesarios de la siguiente manera: packetfence yum install --enablerepo=packetfence,rpmforge,of,epel packetfencecomplete O, si lo prefiere, puede instalar sólo el núcleo PacketFence sin todos los servicios externos, puede utilizar: yum install --enablerepo=packetfence,rpmforge,of,epel packetfence Una vez definido los repositorios usted puede instalar packetfense con todas las dependencias y servicios externos requeridos(servidor DNS, Servidor de Base de datos, servidor DHCP, servidor Radius) usando: sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4 sudo apt-get update sudo apt-get install packetfence Configuración En esta sección, usted aprenderá cómo configurar PacketFence. PacketFence usa MySQL, Apache, Servidor DHCP, Servidor DNS y FreeRADIUS. Donde todos los componentes se ejecutan enel mismo servidor en el que PacketFence se está instalando. El primer paso después de instalar los paquetes necesarios es la configuración. De PacketFence, que nos proporciona una útil y detallado configuración web. Página 173

179 Después de la instalación de paquetes, packetfense se abre desde el la dirección web allí, el proceso de configuración se basa en diferentes pasos desde la web. Paso 1.- Selección de la aplicación Se puede seleccionar entre: una aplicación Vlan, una aplicación en línea o amabas. Para este caso seleccionamos una aplicación en línea Paso 2.-Configuraciónde la red. En este paso configuramos las interfaces de red del sistema, nuestro servidor packetfence tiene dos interfaces: Interfaz eth0 con dirección IP estática /24 para la administración del Packetfence Interfaz eth1 con asignación de IP Dinámica para conexión externa Internet Página 174

180 Paso 3.- Configuración de base de datos. Este paso va a crear la base de datos PacketFence y administrar con el estructura correcta. Usted necesita crear un usuario de MySQL y asignarlo a la base de datos recién creada;para la configuración lo editamos el archivo /usr/local/pf/conf/pf.conf Página 175

181 Paso 4.-Configuración General. Usted tendrá realizar una configuración básica PacketFence colocando los parámetros; necesarios como: dominio, el hostname, y Servidor DHCP Paso 5: Usuario administrativo. En este paso se le pedirá que cree un usuario administrativo, el mismo que podráacceder a la interfaz de administración basada en la web una vez que los servicios son funcionales; Página 176

182 Paso 6.- Inicio de Servicios Consulte el estado de su configuración, es decir que los servicios hayan iniciado y estén corriendo Revisión de Opciones Una vez configurados todos los pasos iníciales podemos acceder desde la interfaz web en donde podemos observar el ESTADO donde usted puede ver, la cantidad de disco usado, la memoria usada, las consultas SQL que se han realizado, intento de violaciones recientes, registros recientes, entre otras opciones: Página 177

183 En la pestaña USUARIO podemos ver los usuarios registrados, agregar un nuevo usuario, buscar, y una gestión para invitados En la siguiente pestaña NODO usted podrá la dirección MAC de la PC, el nombre del dispositivo conectado, la categoría, el estado, el estado(registrado, no registrado), la descripción del sistema operativo que se intenta conectar, aquí encontrará las opciones de Ver, buscar, adicionar e importar. Página 178

184 A continuación en la pestaña siguiente podemos observar los intentos de acceso fallidos, o de usuarios que no han sido registrados, se registra la dirección MAC del dispositivo que intenta conectarse, así como el nombre del computador, el estado, descripción y fecha. En la pestaña administración encontraremos los servicios que hemos instalado, podremos observar que los servicios que esta ejecutándose y los servicios que están parados, podemos ver los servicios, los registros, adicionar un administrador, entre otras opciones. Página 179

185 En la siguiente pestaña tenemos varias opciones para ser configuradas dentro de esta opción podemos modificar las interfaces de red, los switch, categorías de los nodos, dispositivos flotantes de red, violaciones de restricciones, etc. Tenemos la opción AVANZADOque se usa para controles de accesos avanzado Página 180

186 Configuracion del Switch Para nuestra implementacion del proyecto usamos el switch Catalyst 2950, donde para su respectiva configuración realizamos los siguientes pasos: Paso 1 Para ingresar al switch necesitamos instalar en nuestro computador el programa Putty o desde Telnet Paso 2 Luego de su instalaciòn ingresamos en este caso al Putty Paso 3. Digitamos la dirección IP del switch /24 usando el puertgo 23, Via Telnet y elegimo Open Paso 4. Se le solicita que ingrese su usuario y clave respectiva del switch Página 181

187 Paso5. Una vez ingresado al switch para la configuracion 802.1x desde packetfence digitamos Switch> enable Switch# configure terminal Switch(config)# aaa new model Switch(config)# aaa group server radius packetfence Switch(config-sg-radius)# server auth port 1812 acc-port 1813 Switch(config-sg-radius)# end Switch(config)# aaa authentication login default local Switch(config)# aaa authentication dot1x default group packetfence Switch(config)# authorization network default group packetfence Switch(config)# interface fastethernet 0/21 Switch(config-if)# switch port model access Switch(config-if)# dot1x port-control auto Página 182

188 Paso 6. En el cliente nos vamos a configuración de red, clic en propiedades de área local, en la pestaña Autenticación Habilitamos la autenticacion 802.1x en modo protegido PEAP, presionamos aceptar Página 183

189 Paso 7. Inmediatamente podemos observar que se presenta un mensaje de que necesitamos información adicional para acceder a la red. Paso 8. Se le presentará una ventana apra que ingrese su usuario y contraseña, usted solo pordrá tener acceso a la red siempre y cuando este regisrado en la base de datos Página 184

190 Ingreso de Usuarios a la Base de Datos Para el ingreso a la base de datos diseñamos una aplicación web para la misma usamos: Servidor Glassfich, Netbeans java 5 OpenLDAP, Apache directory estudio, Base de datos mysql y postgres Paso 1 Para entrar a la aplicación ingresamos desde un navegador Web (firefox, google chroom, etc) y digitamos :8080/GestionUsuariosLDAP/, aquí se nos solicita un usuario y contraseña, donde root es el usuario y admin la clave Página 185

191 Paso 2 Inmediatamente ingresamos a la administración de usuarios donde podemos observar los usuarios registrados, podemos crear, modificar y borrar usuarios Paso 3. En caso que necesitemos ingresar un nuevo usuario, presionamos la opcion Nuevo usuario y llenamos los campos solicitados Para el ingreso de usuario podemos seleccionar el grupo al que pertenece este usuario que puede ser Administrador, o general,para ello seleccionamos en el campo grupo y posteriormente ingresamos los datos del nuevo usuario. Para el ingreso de la contraseña esta esta valida para que cumpla con las normas de contraseñas seguras como por ejemplo el número de caracteres que debe tener las contraseñas es de 8 caracteres, con una convinación de letras y números. Página 186

192 Podremos observar el nuevo usuario registrado al listar los usuarios Paso 4. Podemos editar los campos de los usuarios registrados en caso que sea necesario Se cambiarà los datos necesarios y se presiona GUARDAR Página 187

193 ANEXOS Página 188

194 6. Anexos MANUAL DE USUARIO. 1. Introducción. Por medio de este documento se describirá los objetivos y la información detallada de cómo los usuarios pueden autenticarse para acceder a la red de la institución. Para la autenticación se utiliza una herramienta Packetfence es una herramienta de código abierto para el Control de Acceso a la Red que se implementó en el colegio Técnico Salesiano con el objetivo de mejorar la seguridad de la red mediante políticas de seguridad, utilizando claves como usuario y contraseña y de esta manera poseer un control de acceso ya sea en la red LAN o inalámbrica. 2. Objetivos. Se desarrolló este manual para ayudar a los usuarios a utilizar la herramienta de Control de Acceso a la red Packetfence, de esta manera ayudarles a un correcto manejo de manera rápida, eficiente y así despejar las dudas que posean planteándonos los siguientes objetivos: Enseñar cómo configurar los equipos para usar la herramienta packetfence Guiar como realizar la autenticación. Guiar como realizar un registro de usuarios en la base de datos. 3. Dirigido a: Este manual está dirigido a al personal administrativo, profesores, alumnos en general que van a interactuar con la red. 4. Especificaciones técnicos Para la implementación de la herramienta de control de acceso a la red packetfence se necesita lo siguiente. Clientes. Habilitar 802.1x para redes cableadas. La configuración en los clientes requiere seguir los siguientes pasos: Página 189

195 Para realizarlo debemos iniciar sesión como administrador. Paso 1.-haga clic en botón inicio, escriba services.msc presione enter A continuación se apareces una lista de servicios locales, debemos habilitar el servicio Configuración automática de redes cableadas y a continuación hacemos clic en iniciar, el tipo de inicio lo ponemos en automático Página 190

196 Aceptamos los cambios. Para abrir las conexiones de red, hago clic en el botón inicio y a continuación haga clic en el panel de control. Vamos a redes e internet, conexiones de red,cambiar la configuración del adaptador, identificamos conexión de área local, damos clic derecho en propiedades y aparece la pestaña adicional de autenticación Página 191

197 En la pestaña de autenticación habilitamos la casilla habilitar autenticación de IEEE 802.1X, en el método de autenticación de red elegimos Microsoft EAP protegido (PEAP) Página 192

198 Para habilitar opciones adicionales damos clic en configuración adicional, habilitamos la casilla especificar modo de autenticación elegimos autenticación de usuario y aceptamos los cambios. Habilitar 802.1x en una red inalámbrica. Para acceder a la configuración de redes inalámbricas, damos clic en inicio, panel de control. Nos aparece un listado en el cual escogemos redes e internet, damos clic en ver el estado de y las tareas de red. Página 193

199 Nos aparece un listado en la parte derecha escogemos inalámbricas y a continuación, haga clic en Administrar redes inalámbricas.luego damos clic sobre la red en este caso upsnet Hacemos clic derecho en la red que queremos habilitar la autenticación 802.1x y a continuación hacemos clic en propiedades. Página 194

200 Aparece una ventana y escogemos la pestaña seguridad y en tipo de seguridad tenemos una lista y escogemos 802.1x Hacemos clic en configuración avanzada, habilitamos la casilla en especificar modo de autenticación escogemos autenticación de usuarios, aceptamos los cambios y podemos ver que la red upsnet está habilitada con la seguridad de autenticación 802.1x Página 195

201 Habilitar 802.1x en Windows xp para habilitar 802.1x en los clientes con Sistema Operativo Windows xp, hacemos clic en inicio, ejecutar digitamos services.msc Aparece un listado de los servicios locales del sistema, buscamos configuración automática de redes cableado damos doble clic y en la pestaña de tipo de inicio cambiamos a automático, aplicamos los cambios y guardamos. Página 196

202 Luego de aceptar los cambios vamos inicio, mis sitios de red. Damos doble clic y escogemos la opción ver conexiones de red Página 197

203 Damos clic derecho sobre conexiones de área local propiedades. Podemos visualizar la pestaña de autenticación. Página 198

204 Damos clic en habilitar la autenticación de IEEE802.1X, elegimos el tipo de autenticación EAP protegido PEAP. Luego de escoger el tipo de autenticación damos clic en configuración y deshabilitamos la casilla de validar un certificado del servidor, de esta manera habilitamos la autenticación. Página 199

205 6.2. MANUAL TÉCNICO. 1. INTRODUCCIÓN El Anàlisis de soluciones de acceso seguro a la red, nos han permitido indagar sobre una herramienta que nos permita un control de acceso, y para implemantar como un proyecto piloto en el Colegio Tècncio Salesiano, con el fin de restringir los accesos, identificar a los usaurios, registrar horas y tiempos de conexiòn, asignaciòn de privilegios necesarios, etc, todas estas opciones y muchas màs alternativas nos permite la herramienta Packetfense, la cual ha sido diseñada para proporcionar un completo Sistema de Control de Acceso a la Red, es una distribución libre basada en Centos, es totalmente compatible, libre, de confianza y estable. Por lo tanto es necesario, e importante conocer el procedimeitno para la intalaciòn, manejo y mantenimiento del servidor y otros dispositivos, con el objetivo de garantizar su buen funcionamiento y eficacia. 2. OBJETIVOS Y ALCANCE DE LA HERRAMIENTA 2.1 OBJETIVOS Autorizar únicamente accesos seguros a la red Identificar a los usuarios registrados Registro de hora y tiempos de conexión Asignación de privilegios 2.2 ALCANCE La implementación de la herramienta Packetfence se baso en un análisis previo de las diferentes soluciones de acceso seguro a la red, fundamentada en el estandar internacional ISO/IEC 27002, el cual se enfoca específicamente sobre aspectos de seguridad en las tecnologías de información, mediante la aplicación de 133 controles óptimos a las Página 200

206 necesidades de las organizaciones, para nuestra proyecto nos basamos unicamente en el control que nos confiere la guìa para la gestión de seguridad de la informaciòn dentro del control o dominio llamado Control de acceso a la red. La herramienta Packetfense permite cumplir gran parte de las clàusulas de control de acceso a la red, además de tener un correcto control de que computadoras o que usuarios tienen acceso a la red, ya sea a travès de switches, routers, u otros dispositivos, basandose en el estàndar de autenticaciòn ya sea para equipos portalites, o de escritorio, es decir podrán conectarse a la red sólo si sus credenciales han sido validadas por el servidor de autenticación, en donde las credenciales de usuario, se comprobarán mediante el uso de protocolos de autenticación especiales que pertenecen al estándar 802.1X. La solución requerida era poder controlar el acceso a la red, tanto para red cableada como para la red inalámbrica, solución que se ha cumplido cabalmente ya que herramienta cumple satisfactoriamente cada una de estas necesidades 3. DESCRIPCION DEL ESQUEMA DE RED Página 201

207 Para el planteamiento del esquema de red, nos basamos en el esquema de red que nos aporto el adminsitrador de red a efímeros rasgos, cuya estructura es cliente servidor a nivel de 3 capss, es por ello que el switch central se conectarà a nuestro servidor Packetfence que usa muchos componentes en su infraestructura como: base de datos (Mysql), servidor apache, dependiendo de la configuración necesitará componentes adicionales, este servidor se conectará a una base de datos OpenLDAP que almacenará los usuarios y las contraseñas para su respectiva validación, tiene dos interfaces de red: una interfaz eth1 para conexiones externas como por ejemplo Internet y una interfaz eth0 para la administración del packetfence, desde esta interfaz nos conectamos hacia el switch Cisco 2960, este switch tendrá habilitados sus puertos para autenticación 802.1x/PEAP vía Packetfence, donde a este switch se conectarán los usuarios, en el instante que el usuario quiera acceder a la red se le notificará que necesita proporcionar información adicional ( usuario y contraseña) antes de acceder a la red, una vez digitado correctamente los datos solicitados, el usuario tiene acceso a la red, el mismo caso se daría para la conexión inalámbrica ya que el Access Point 1130 estará conectado a al swich que solicita autenticación antes del ingreso. 4. INSTALACIÒN 4.1 REQUISITOS DEL SISTEMA PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto, requiere los siguientes: Base de datos del servidor (MySQL) Servidor web (Apache) Dependiendo de su configuración pueden ser necesarios componentes adicionales como: Servidor DHCP (ISC DHCP) Servidor DNS (BIND) Servidor RADIUS (FreeRADIUS) NIDS (Snort / Suricata) Todos los componentes se ejecutan en un mismo servidor (es decir, "localhost" o " ") y PacketFence se instalará en el. Página 202

208 La siguiente tabla proporciona recomendaciones para los componentes necesarios, junto con la versión necesaria para una correcta instalación de packetfense MySQL server MySQL 4.1 or 5.1 Web server Apache 2.2 DHCP server DHCP 3 DNS server BIND 9 RADIUS server FreeRADIUS Snort Snort 2.8 or 2.9 Suricata Suricata 1.x Nota: Se recomienda instalar las versiones más recientes del software mencionado en la tabla anterior 4.2 REQUERIMIENTOS DE HARDWARE A continuación se proporciona una lista de recomendaciones de hardware del servidor: CPU Intel o AMD a 3 GHz 2GB de RAM 20 GB de espacio en disco (RAID 1 se recomienda) 2 Tarjeta de red 1 para alta disponibilidad 1 para detección de intrusos 4.3 REQUISITOS DEL SISTEMA OPERATIVO PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y x86_64: Red Hat Enterprise Linux 5.x/6.x servidor Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x Es importante considerar que se pueda instalar paquetes adicionales de su distribución estándar. Por ejemplo, cuando se usa Red Hat Enterprise Linux, tiene que estar suscrito a Red Hat Network antes de continuar con la instalación del Página 203

209 software PacketFence. Otras distribuciones como Debian, Fedora y Gentoo funcionan de manera correcta 4.4 SERVICIOS ACTIVOS Es importante tener los siguientes servicios activos para su correcto funcionamiento: Servidor web (httpd) Servidor DHCP (dhcpd) Servidor DNS (nombre) FreeRADIUS servidor (radiusd) Snort / Suricata IDS de red (snort / suricata) Firewall (iptables) Asegúrese de que todos los demás servicios se inician automáticamente por el Sistema Operativo 4.5 INSTALACIÓN DE PACKETFENCE La última versión de PacketFence es 3.5.1, la misma que ha sido puesta a disposición el 05/09/2012. Esta versión es estable y se puede utilizar en un entorno de producción.. Estas son las diferentes formas de obtener PacketFence: A través del yum repositorio es una de las formas más fácil de instalar PacketFence si utiliza RedHat Enterprise Linux (o un equivalente como distribución CentOS) se puede utilizar el repositorio de yum. Para ello, basta con crear un archivo llamado / etc / yum.repos.d / PacketFence.repo con el siguiente contenido: [PacketFence] name=packetfencerepository baseurl= gpgcheck=0 Para RHEL / CentOS 5 y 6 Hay varios repositorios que usted necesita instalar, son depacketfence: dependencias propios Página 204

210 Repoforge, también conocido anteriormente como rpmforge. Instale el paquete rpmforge-release para su respectiva distribución y arquitectura Repositorio EPEL Repositorio OpenFusion También es necesario instalar los siguientes componentes adicionales: MySQL server MySQL 4.1 or 5.1 Web server Apache 2.2 DHCP server DHCP 3 DNS server BIND 9 RADIUS server FreeRADIUS Snort Snort 2.8 or 2.9 Suricata Suricata 1.x Es importante actualizar los repositorios para una correcta instalación: yum update apt-get update apt-get upgrade Usted pude instalar packetfence, con los repositorios necesarios de la siguiente manera: packetfence yum install --enablerepo=packetfence,rpmforge,of,epel packetfencecomplete O, si lo prefiere, puede instalar sólo el núcleo PacketFence sin todos los servicios externos, puede utilizar: yum install --enablerepo=packetfence,rpmforge,of,epel packetfence Página 205

211 Una vez definido los repositorios usted puede instalar packetfence con todas las dependencias y servicios externos requeridos(servidor DNS, Servidor de Base de datos, servidor DHCP, servidor Radius) usando: sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4 sudo apt-get update sudo apt-get install packetfence 4.6 CONFIGURACIÓN En esta sección, usted aprenderá cómo configurar PacketFence. PacketFence usa MySQL, Apache, Servidor DHCP, Servidor DNS y FreeRADIUS. Donde todos los componentes se ejecutan en el mismo servidor en el que PacketFence se está instalando. El primer paso después de instalar los paquetes necesarios es la configuración. De PacketFence, que nos proporciona una útil y detallado configuración web. Después de la instalación de paquetes, packetfense se abre desde el la dirección web allí, el proceso de configuración se basa en diferentes pasos desde la web. Paso 1.- Selección de la aplicación Se puede seleccionar entre: una aplicación Vlan, una aplicación en línea o amabas. Para este caso seleccionamos una aplicación en línea Página 206

212 Paso 2.-Configuraciónde la red. En este paso configuramos las interfaces de red del sistema, nuestro servidor packetfence tiene dos interfaces: Interfaz eth0 con dirección IP estática /24 para la administración del Packetfence Interfaz eth1 con asignación de IP Dinámica para conexión externa Internet Página 207

213 Paso 3.- Configuración de base de datos. Este paso va a crear la base de datos PacketFence y administrar con el estructura correcta. Usted necesita crear un usuario de MySQL y asignarlo a la base de datos recién creada. Para la configuración lo editamos el archivo /usr/local/pf/conf/pf.conf Página 208

214 Paso 4.-Configuración General. Usted tendrá realizar una configuración básica PacketFence colocando los parámetros; necesarios como: dominio, el hostname, y Servidor DHCP Paso 5: Usuario administrativo. En este paso se le pedirá que cree un usuario administrativo, el mismo que podrá acceder a la interfaz de administración basada en la web una vez que los servicios son funcionales; Página 209

215 Paso 6.- Inicio de Servicios Consulte el estado de su configuración, es decir que los servicios hayan iniciado y estén corriendo 4.7 REVISIÓN DE OPCIONES Una vez configurados todos los pasos iníciales podemos acceder desde la interfaz web en donde podemos observar el ESTADO donde usted puede ver, la cantidad de disco usado, la memoria usada, las consultas SQL que se han realizado, intento de violaciones recientes, registros recientes, entre otras opciones: Página 210

216 En la pestaña USUARIO podemos ver los usuarios registrados, agregar un nuevo usuario, buscar, y una gestión para invitados En la siguiente pestaña NODO usted podrá la dirección MAC de la PC, el nombre del dispositivo conectado, la categoría, el estado, el estado(registrado, no registrado), la descripción del sistema operativo que se intenta conectar, aquí encontrará las opciones de Ver, buscar, adicionar e importar. Página 211

217 A continuación en la pestaña siguiente podemos observar los intentos de acceso fallidos, o de usuarios que no han sido registrados, se registra la dirección MAC del dispositivo que intenta conectarse, así como el nombre del computador, el estado, descripción y fecha. En la pestaña administración encontraremos los servicios que hemos instalado, podremos observar que los servicios que esta ejecutándose y los servicios que están parados, podemos ver los servicios, los registros, adicionar un administrador, entre otras opciones. Página 212

218 En la siguiente pestaña tenemos varias opciones para ser configuradas dentro de esta opción podemos modificar las interfaces de red, los switch, categorías de los nodos, dispositivos flotantes de red, violaciones de restricciones, etc. Tenemos la opción AVANZADO que se usa para controles de accesos avanzado 4.8 Arrancar Packetfence Luego de iniciar nuestro servidor necesitamos arrancar el servicio con service packetfence start Usted puede verificar con el comando chkconfig que el servicio PacketFence para iniciar automáticamente cuando arranca Centos 4.9 CONFIGURACION DEL SWITCH Para nuestra implementación del proyecto usamos el switch Catalyst 2950, donde para su respectiva configuración realizamos los siguientes pasos: Paso 1 Para ingresar al switch necesitamos instalar en nuestro computador el programa Putty o desde Telnet Página 213

219 Paso 2 Luego de su instalación ingresamos en este caso al Putty Paso 3. Digitamos la dirección IP del switch /24 usando el puerto 23, Vía Telnet y elegimos Open Paso 4. Se le solicita que ingrese su usuario y clave respectiva del switch Página 214

220 Paso5. Una vez ingresado al switch para la configuración 802.1x desde packetfence digitamos Switch> enable Switch# configure terminal Switch(config)# aaa new model Switch(config)# aaa group server radius packetfence Switch(config-sg-radius)# server auth port 1812 acc-port 1813 Switch(config-sg-radius)# end Switch(config)# aaa authentication login default local Switch(config)# aaa authentication dot1x default group packetfence Switch(config)# authorization network default group packetfence Switch(config)# interface fastethernet 0/21 Switch(config-if)# switch port model access Switch(config-if)# dot1x port-control auto Página 215

221 Paso 6. En el cliente nos vamos a configuración de red, clic en propiedades de área local, en la pestaña Autenticación Habilitamos la autenticación 802.1x en modo protegido PEAP, presionamos aceptar Página 216

222 Paso 7. Inmediatamente podemos observar que se presenta un mensaje de que necesitamos información adicional para acceder a la red. Paso 8. Se le presentará una ventana para que ingrese su usuario y contraseña, usted solo podrá tener acceso a la red siempre y cuando este registrado en la base de datos Página 217

223 4.10 INGRESO DE USUARIOS A LA BASE DE DATOS Para el ingreso a la base de datos diseñamos una aplicación web para la misma usamos: Servidor Glassfich, Netbeans java 5 OpenLDAP, Apache directory estudio, Base de datos mysql y postgres Paso 1 Para entrar a la aplicación ingresamos desde un navegador Web (firefox, google chroom, etc. ) y digitamos :8080/GestionUsuariosLDAP/, aquí se nos solicita un usuario y contraseña, donde root es el usuario y admin la clave Página 218

224 Paso 2 Inmediatamente ingresamos a la administración de usuarios donde podemos observar los usuarios registrados, podemos crear, modificar y borrar usuarios Paso 3. En caso que necesitemos ingresar un nuevo usuario, presionamos la opción Nuevo usuario y llenamos los campos solicitados Para el ingreso de usuario podemos seleccionar el grupo al que pertenece este usuario que puede ser Administrador, o general,para ello seleccionamos en el campo grupo y posteriormente ingresamos los datos del nuevo usuario. Para el ingreso de la contraseña esta valida para que cumpla con las normas de contraseñas seguras como por ejemplo el número de caracteres que debe tener las contraseñas es de 8 caracteres, con una combinación de letras y números. Página 219

225 Podremos observar el nuevo usuario registrado al listar los usuarios Paso 4. Podemos editar los campos de los usuarios registrados en caso que sea necesario Se cambiarà los datos necesarios y se presiona GUARDAR Página 220