Este documento describe varias medidas de seguridad perimetral y personal para proteger redes informáticas. Explica elementos como cortafuegos, sistemas de detección de intrusos, pasarelas antivirus, y redes privadas virtuales para la seguridad perimetral. También cubre medidas de seguridad personal como el uso de contraseñas seguras, copias de seguridad, y actualizaciones de software. Finalmente, recomienda pasos específicos para asegurar redes inalámbricas como el uso de encriptación WEP y la mod

1. SEGURIDAD INFORMÁTICA
Administración de redes
INTEGRANTE:
Hernandez Dominguez Sara Maria
INSTITUTO TECNOLOGICO DE CIUDAD MADERO

2. SEGURIDAD PERIMETRAL:
Arquitecturayelementosderedqueproveendeseguridadalperímetrodeunaredinternafrenteaotrasquegeneralmenteesinternet.
•1. Cortafuegos.

3. •2. Sistemas de Detección y prevención de intrusos.
•3. Pasarelas antivirus y spam.

4. •4. Honeypots.
1.Cortafuegos(Firewalls).-Elementosdereddondesedefinenlaspolíticasdeacceso,permitiendoodenegandoeltráficodeacuerdoalasreglas
Tiposdecortafuegos:
•Circuitoaniveldepasarela:funcionaparaaplicacionesespecíficas.
•Cortafuegosdecapadered:filtraencapadered(IPorigen/destino)odetransporte(puertoorigen/destino).
•Cortafuegosdecapadeaplicación:funcionasegúnelprotocoloafiltrar.(ejemplo: HTTPoSQL)
•Cortafuegopersonal:aplicaciónparasistemaspersonalescomoPCsomóviles.

5. •Ejemplos de reglas de cortafuegos.

6. ZONA DESMILITARIZADA (DMZ)
•Diseñodeunaredlocalubicadaentreredinternayredexterna(p.ej.Internet).
•Utilizadaparaserviciospúblicos: correoelectrónico,DNS,web,ftp, queseránexpuestosalosriesgosdeseguridad.
•Creadamedianteunoodoscortafuegosquerestringeeltráficoentrelastresredes.
•DesdelaDMZnosepermitenconexionesalaredinterna.

7. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSOS (IDS/IDPS).
•Dispositivos que monitoriza y genera alarmas si se producen alertas de seguridad.
•Los IDPS (Intrusión Detetionand PreventionSystems) bloquea el ataque evitando que tenga efecto.
•Sus principales funciones :

8. Dos tipos de IDS:
•HIDS: Host IDS, monitoriza cambios en el sistema operativo y Aplicaciones.
•NIDS: Network IDS, monitoriza el tráfico de la red.
Dos métodos de detección:
•Firmas.
•Patrones de comportamiento.

9. HONEYPOTS:
Sistemaconfiguradoconvulnerabilidadesusadopararecogerataquesyestudiarnuevastécnicas.
Dostiposprincipalesdehoneypots:
•Debajainteracción:aplicaciónquesimulavulnerabilidadysistemaoperativo.
•Dealtainteracción:elsistemaoperativonoessimulado.Tambiénseusanpararecogermuestrasdevirusospam.Handepermanecerespecialmentecontroladosydesconectadosdecualquierred.

10. PASARELAS ANTIVIRUS Y ANTISPAM:
•Sistemasintermediosquefiltrancontenidomaliciosoencanalesdeentradaalared.
•Deteccióndemalwareenpasarelaswebyservidoresdecorreo.

11. REDES VIRTUALES PRIVADAS (VPN):
•Esuntipoderedqueutilizaunainfraestructurapública(yporlotantonosegura)paraaccederaunaredprivadadeformaconfiable.
•Escomúnmenteutilizadaparaconectarusuariosremotos,sucursalesuoficinasconsuintranet(puntoapunto).

12. GESTIÓN UNIFICADA DE AMENAZAS / UTM.
Equiposqueintegranenunúnicodispositivounconjuntodesolucionesdeseguridadperimetral:
–Cortafuegos.
–Sistemasdedetecciónyprevencióndeintrusos.
–Pasarelasantivirus/antispam.
–Redesprivadasvirtuales.

13. EJEMPLO DE ARQUITECTURA CON SEGURIDAD PERIMETRAL.
•Instalación de cortafuegos.
-DMZ y Red Interna
-Política restrictiva
•Instalación de antispamy antivirus.
•Instalación de NIDS en las tres interfaces.
•Segmentación de servicios públicos: web y pasarela antivirus/antispam.
•Servicios internos movidos: base de datos y correo.
•Clientes remotos usan VPN

14. 2. SEGURIDAD PERSONAL.
Elactivomásimportantequeseposeeeslainformacióny,porlotanto,debenexistirtécnicasquelaaseguren,másalládelaseguridadfísicaqueseestablezcasobrelosequiposenloscualessealmacena.
Estastécnicaslasbrindalaseguridadlógicaqueconsisteenlaaplicacióndebarrerasyprocedimientosqueresguardanelaccesoalosdatosysolopermitenaccederaellosalaspersonasautorizadasparahacerlo.

15. Cadatipodeataqueycadasistemarequieredeunmediodeprotecciónomás(enlamayoríadeloscasosesunacombinacióndevariosdeellos)
Acontinuaciónseenumeranunaseriedemedidasqueseconsideranbásicasparaasegurarunsistematipo,sibienparanecesidadesespecíficasserequierenmedidasextraordinariasydemayorprofundidad:

16. •Utilizartécnicasdedesarrolloquecumplanconloscriteriosdeseguridadalusoparatodoelsoftwarequeseimplanteenlossistemas,partiendodeestándaresydepersonalsuficientementeformadoyconcienciadoconlaseguridad.
•Implantarmedidasdeseguridadfísicas:sistemasantiincendios,vigilanciadeloscentrosdeprocesodedatos,sistemasdeproteccióncontrainundaciones,proteccioneseléctricascontraapagonesysobretensiones, sistemasdecontroldeaccesos,etc.

17. •Codificarlainformación:criptología,criptografíaycriptociencia.
Estosedeberealizarentodosaquellostrayectosporlosquecirculelainformaciónquesequiereproteger,nosoloenaquellosmásvulnerables.
Porejemplo,silosdatosdeunabasemuyconfidencialsehanprotegidocondosnivelesdefirewall,sehacifradotodoeltrayectoentrelosclientesylosservidoresyentrelospropiosservidores,seutilizancertificadosysinembargosedejansincifrarlasimpresionesenviadasalaimpresoradered,tendríamosunpuntodevulnerabilidad.

18. •Contraseñasdifícilesdeaveriguarque,porejemplo,nopuedanserdeducidasapartirdelosdatospersonalesdelindividuooporcomparaciónconundiccionario, yquesecambienconlasuficienteperiodicidad.
•Lascontraseñas,además,debentenerlasuficientecomplejidadcomoparaqueunatacantenopuedadeducirlapormediodeprogramasinformáticos

19. •Vigilanciadered.Lasredestransportantodalainformación,porloqueademásdeserelmediohabitualdeaccesodelosatacantes,tambiénsonunbuenlugarparaobtenerlainformaciónsintenerqueaccederalasfuentesdelamisma.
•Porlarednosolocirculalainformacióndeficherosinformáticoscomotal, tambiénsetransportanporella:correoelectrónico,conversacionestelefónica,mensajeríainstantánea,navegaciónInternet,lecturasyescriturasabasesdedatos,etc.Portodoello,protegerlaredesunadelasprincipalestareasparaevitarrobodeinformación.

20. •Tecnologíasrepelentesoprotectoras:cortafuegos,sistemadedeteccióndeintrusos-antispyware,antivirus,llavesparaproteccióndesoftware,etc.
•Mantenerlossistemasdeinformaciónconlasactualizacionesquemásimpactenenlaseguridad.
•Copiasdeseguridade,incluso,sistemasderespaldoremotoquepermitenmantenerlainformaciónendosubicacionesdeformaasíncrona.

21. ALGUNAS AFIRMACIONES ERRÓNEAS COMUNES ACERCA DE LA SEGURIDAD.
•«Mi sistema no es importante para unhacker»
•Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues «¿quién va a querer obtener información mía?».
•Sin embargo, dado que los métodos de contagio se realizan por medio de programasautomáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus y de posibles atacantes. Otra consideración respecto a esta afirmación que la llevan a ser falsa es que muchos ataques no tienen otro fin que el destruir por destruir sin evaluar la importancia.

22. •«Estoyprotegidopuesnoabroarchivosquenoconozco»
•Estoesfalso,puesexistenmúltiplesformasdecontagio,ademáslosprogramasrealizanaccionessinlasupervisióndelusuarioponiendoenriesgolossistemas,sibienlamedidaesensíacertadayrecomendable.

23. •«Comotengoantivirusestoyprotegido»
•Engenerallosprogramasantivirusnosoncapacesdedetectartodaslasposiblesformasdecontagioexistentes,nilasnuevasquepudieranaparecerconformelosordenadoresaumentenlascapacidadesdecomunicación, ademáslosantivirussonvulnerablesadesbordamientosdebúferquehacenquelaseguridaddelsistemaoperativoseveamásafectadaaún,aunqueseconsideracomounadelasmedidaspreventivasindispensable.

24. •«Comodispongodeunfirewallnomecontagio»
•Estoúnicamenteproporcionaunalimitadacapacidadderespuesta.Lasformasdeinfectarseenunaredsonmúltiples.Unasprovienendirectamentedeaccesosalsistema(deloqueprotegeunfirewall)yotrasdeconexionesqueserealizan(delasquenomeprotege).
•Emplearusuariosconaltosprivilegiospararealizarconexionespuedeentrañarriesgos, ademáslosfirewallsdeaplicación(losmásusados)nobrindanprotecciónsuficientecontraelspoofing.Entodocaso,elusodecortafuegosdelequipoydelaredseconsideraaltamenterecomendables.

25. SEGURIDAD EN REDES INALAMBRICAS:
•Laseguridadesunodelostemasmásimportantescuandosehabladeredesinalámbricas.Desdeelnacimientodeéstas,sehaintentadoeldisponerdeprotocolosquegaranticenlascomunicaciones,perohansufridodeescasoéxito.
•Porelloesconvenienteelseguirpuntualyescrupulosamenteunaseriedepasosquenospermitandisponerdelgradomáximodeseguridaddelqueseamoscapacesdeasegurar.

26. 1. Consideraciones previas:
•Los paquetes de información en las redes inalámbricas viajan en forma de ondas de radio. Las ondas de radio -en principio-pueden viajar más allá de las paredes y filtrarse en habitaciones/casas/oficinas contiguas o llegar hasta la calle.
•Si nuestra instalación estáabierta, una persona con el equipo adecuado y conocimientos básicos podría no sólo utilizar nuestra conexión a Internet, sino también acceder a nuestra red interna o a nuestro equipo -donde podríamos tener carpetas compartidas-o analizar toda la información que viaja por nuestra red -mediantesniffers-y obtener así contraseñas de nuestras cuentas de correo, el contenido de nuestras conversaciones por MSN, etc.

27. •Silainfiltraciónnoautorizadaenredesinalámbricasdeporsíyaesgraveenunainstalaciónresidencial(encasa),muchomáspeligrosoesenunainstalacióncorporativa.Ydesgraciadamente,cuandoanalizamoselentornocorporativonosdamoscuentadequelasredescerradassonmásbienescasas.
•2.Objetivo:conseguirunaredWi-Fimássegura
•Elprotocolo802.11implementaencriptaciónWEP,peronopodemosmantenerWEPcomoúnicaestrategiadeseguridadyaquenoesdeltodoseguro.ExistenaplicacionesparaLinuxyWindowsque,escaneandoelsuficientenúmerodepaquetesdeinformacióndeunaredWi-Fi,soncapacesdeobtenerlasclavesWEPutilizadasypermitirelaccesodeintrusosanuestrared.

28. •4.-Pasos para asegurar una red inalámbrica:
•En primer lugar hay que situarse dentro de lo que seguridad significa en el mundo informático. Se dice que una red es segura cuando casi nadie puede entrar la misma o los métodos de entrada son tan costosos que casi nadie puede llevarlos a cabo. Casi nadie puede significar que es segura en un 99.99%, por ello debemos desechar la idea de que los sistemas informáticos son seguros al 100%.
•Un sistema es seguro cuando tiene la protección adecuada al valor de la información que contiene o que puede llegar a contener.

29. •Unavezsituadosvamosaverlospasosquepodemosseguirparaintroducirunaseguridadrazonablementealtaanuestraredwireless.Debemostenerencuentaquecuandotrabajamosconunaredconvencionalcableadadisponemosdeunextradeseguridad,puesparaconectarsealamismanormalmentehayqueaccederalcableporelquecirculalaredoalosdispositivosfísicosdecomunicacióndelamisma.
•Paso1.DebemosactivarelWEP.Pareceobvio,peronoloes,muchasredesinalámbricas,bienpordesconocimientodelosencargadosopordesidiadelosmismosnotienenelWEPactivado.Estovieneasercomosiel/lacajero/adenuestrobancosededicaseadifundirporlaradiolosdatosdenuestrascuentascuandovamosahacerunaoperaciónenelmismo.WEPnoescompletamenteseguro,peroesmejorquenada.

30. •Paso2.DebemosseleccionarunaclavedecifradoparaelWEPlosuficientementedifícilcomoparaquenadieseacapazdeadivinarla.Nodebemosusarfechasdecumpleañosninúmerosdeteléfono,obienhacerlocambiando(porejemplo)losceros.
•Paso3.UsodelOSA.EstoesdebidoaqueenlaautenticaciónmedianteelSKA,sepuedecomprometerlaclaveWEP,quenosexpondríaamayoresamenazas.AdemáselusodelSKAnosobligaaaccederfísicamentealosdispositivosparapoderintroducirensuconfiguraciónlaclave.
•Paso4.DesactivarelDHCPyactivarelACL.DebemosasignarlasdireccionesIPmanualmenteysóloalasdireccionesMACconocidas.Deestaformanopermitiremosqueseincluyannuevosdispositivosanuestrared.

31. •Paso5.CambiarelSSIDymodificarsuintervalodedifusión.Cadacasacomercialreconfiguraelsuyoensusdispositivos,porelloesmuyfácildescubrirlo.Debemoscambiarloporunolosuficientementegrandeydifícilcomoparaquenadieloadivine.AsímismodebemosmodificaralabajalafrecuenciadebroadcastdelSSID,deteniendosudifusiónaserposible.
•Paso6.HacerusodeVPNs.LasRedesPrivadasVirtualesnosdanunextradeseguridadquenosvaapermitirlacomunicaciónentrenuestrosdispositivosconunagranseguridad.SiesposibleañadirelprotocoloIPSec.
•Paso7.Aislarelsegmentoderedformadoporlosdispositivosinalámbricosdenuestraredconvencional.Esaconsejablemontarunfirewallquefiltreeltráficoentrelosdossegmentosdered.