se encuentra recopilada la inormacion necesaria para que tanto el usuario como el administrador tegan los parametros necesarios para la seguridad en su red.
con enfasis en el uso y su mantenimiento
Paso a paso:guia básica para lograr un sistema de seguridad en redes LAN
1. PASO A PASO
UN SISTEMA DE SEGURIDAD EN UNA RED LAN
INTRODUCCIÓN 2
LA SEGURIDAD 3
HARDWARE 4
PROBLEMAS FRECUENTES 5
INSTALACIÓN 6
EQUIPOS 7
CABLEADO 8
MANTENIMIENTO 9
COMPONENTES 10
LOS SERVIDORESESTACIONES DE TRABAJO DE RED 11
ESTACIONES DE TRABAJO GRÁFICO 11
TARJETAS DE INTERFACE O ADAPTADORES DE RED 12
CABLEADO 12
RACK 15
TOPOLOGIAS DE RED 16
SOFTWARE 18
PROBLEMAS FRECUANTES 19
POSIBLES SOLUCIONES 20
2. INTRODUCCIÓN
Un sistema de seguridad básico para redes LAN es una agrupación propia de un
conjunto de pautas, consejos, indicaciones, herramientas e información para crear una
red LAN sólida y duradera, además de facilitar su mantenimiento y disminuir su costo
directo y a largo plazo. Educar en conceptos básicos a los usuarios de las redes, los
cuales aumentan en la actualidad, significa la base para la seguridad en las redes de
información que manejan el mundo.
Ante la problemática de la inseguridad en las redes LAN, un factor infalible por
infinidad de razones, el investigador presenta a continuación una recopilación de
pautas para la seguridad en redes de computadores que conforman un sistema básico
para la instalación y mantenimiento de una red LAN, ya sea por parte de un técnico o
de una persona cualquiera que este involucrada con el manejo de la red.
Se pueden encontrar infinidad de manuales para la solución y la prevención de
problemas en las redes LAN pero es claro que no todas las personas pueden acceder a
ellos y mucho menos entenderlos, las personas necesitan algo que parta de lo básico y
que evite las contantes y caras inversiones en una red LAN.
2
3. LA SEGURIDAD
La seguridad es un sistema que cumple una serie de características:
• Comportarse de igual manera siempre
• Los datos, instrucciones y espacio de memoria de un programa no deben
interferir ni ser interferidos por otros.
• Los datos y las acciones de un usuario no deben ser visibles o modificables por
otros, y no deben tener efecto para otros.
• El sistema debe poseer los mecanismos necesarios para asegurarse que un
usuario es realmente quien dice ser.
• El administrador del sistema, así como cada usuario, deben poder controlar
regularmente los permisos de acceso a su información, es decir a los recursos.
• El sistema debe asegurarse de que los usuarios no se brinquen estas
restricciones.
• El sistema debe ser capaz de registrar, así como de notificar al administrador (y
opcionalmente a los usuarios), de cualquier anormalidad.
Alcanzar un nivel completo de seguridad es algo imposible, por el simple error
humano que lo precede; entre otras razones: la complejidad de los programas, la
constante interacción que se da en la red LAN y nuevas clases de errores o amenazas.
Aun así un sistema de fácil acceso para todos puede significar la diferencia.
3
4. HARDWARE
Un sistema de seguridad para redes LAN debe empezar con lo físico, desde la
instalación hasta el mantenimiento se requiere examinar cada uno de los problemas
más comunes y los dispositivos que se ven afectados (Tarjetas de red, routers, switch,
etc.)
4
5. PROBLEMAS MÁS FRECUENTES
• Insuficiente control de acceso al terreno o el lugar
• Cableado mal instalado
Cableado no entubado
Puntos de red en lugares impensables
• Red Inalámbrica no cifrada o demasiado débil
• Facilidad de conexión sin trámites
• Mal manejo de la red
En ocasiones en una red LAN nos encontraremos con problemas para conectar unos
ordenadores con otros, conectar a Internet o acceder al servidor de datos. No sería lo
más adecuado ponernos a realizar cambios sin antes haber hecho unas mínimas
comprobaciones, que nos permitan evaluar el problema, y seguramente nos ahorren
tiempo en nuestras reparaciones.
En este curso podrás diagnosticar los problemas de red que te aparezcan en tu
ordenador utilizando las herramientas y software incluidos en los ordenadores.
El procedimiento es el siguiente:
• Comprobar.
• Hacer un diagnostico a partir de las pruebas.
• Hacer las modificaciones necesarias.
• Reestablecer el funcionamiento.
5
6. INSTALACIÓN
Hay que tener en cuenta una red LAN como parte interior del sistema de seguridad,
que en parte la protege de lo exterior, que son las redes universales; esto mediante
medidas de seguridad, como una de las patas o tarjetas de red del firewall, un router
con ACL's, un proxy con ACL's, etc.
En este contexto se debe tener en cuenta lo siguiente:
• Cada ordenador que se conecta a la red debe disponer de una tarjeta Ethernet.
Esta tarjeta puede ser interna (tipo PCI), externa (USB) o para portátil
(PCMCIA), aunque los ordenadores portátiles suelen incorporar la tarjeta de
red desde hace unos años. También la mayoría de los ordenadores de
sobremesa incorporan ya de serie la tarjeta de red Ethernet.
• En ocasiones la tarjeta interna puede estropearse, en algunos casos podrá
sustituirse, en otros deberá deshabilitarse e instalar una tarjeta adicional.
• Si sólo son dos equipos, bastará con poner un cable RJ-45 cruzado conectando
los dos ordenadores.
• Si hay entre tres y quince equipos, necesitará un hub o concentrador desde
donde sale un cable RJ-45 a cada ordenador. Cada vez que un equipo transmite
información, lo envía al hub y éste la reenvía a su vez a todos los equipos
conectados a este.
• Si dispone de más de quince equipos, es recomendable actuar en función de las
necesidades, diseñar la red como primer paso, con todos los dispositivos.
Además será importante definir cómo se comparten los directorios, dando
distintos niveles de acceso a los usuarios según sus funciones, departamentos,
etc. También se definirán las políticas de seguridad, incluyendo las copias de
respaldo, para recuperar los datos en caso de borrado accidental, ataque de
virus y el mantenimiento y las políticas para el buen uso de la red LAN.
Por ejemplo: una red típica, con ocho o más ordenadores, dispondrá también de
• Un ordenador servidor (de ficheros, de bases de datos, de aplicaciones, de
comunicaciones).
• Una o más impresoras en red, una impresora puede llevar el adaptador de red
incorporado, o puede añadirse uno externo, como el HP JetDirect.
• Un enrutador (router), para conectarse a internet, generalmente con alguna
protección (de tipo cortafuegos o firewall).
6
7. EQUIPOS
Actualmente están surgiendo equipos que reúnen varias funcionalidades en un sólo
dispositivo, con el consiguiente ahorro en costes, espacio y complejidad. Así, la
mayoría de los router ADSL ya incluyen varios puertos Ethernet (red local), y algunos
ofrecen ya un firewall y un servidor de impresoras integrado, pero atención, la
configuración de fábrica no siempre es la más adecuada desde el punto de vista de la
seguridad.
• También empiezan a ser habituales los 'discos de red', también conocidos por
su nombre en inglés, NAS - Network Attached Storage-, un dispositivo que se
conecta a la red local y ofrece espacio en disco, generalmente, también incluye
un servidor de impresoras.
•
7
8. CABLEADO
• Para conectar los equipos hace falta cablear las instalaciones o instalar una red
inalámbrica (WiFi). Las redes inalámbricas plantean problemas de mayor
vulnerabilidad disminución de la seguridad, al estar expuestas a conexiones
ajenas que, en principio, no podemos controlar.
• Se denomina cableado estructurado al que utiliza un par de cables de tipo
datos para conectar cada puesto de trabajo con un panel distribuidor, donde se
conectan a los concentradores (los que se usan para datos) o a la centralita (los
de voz).
• El cableado de nivel 5 garantiza el funcionamiento correcto a 100 Mbps.
• El coste del cableado es muy variable, depende de la distribución de la oficina,
distancias, paredes, canaletas, existencia de falso suelo, etc. Habitualmente se
montan unas cajas que disponen de tomas eléctricas de dos circuitos
separados (informática y usos varios), y 2 rosetas (voz y datos).
• Al utilizar cableado eléctrico en dos circuitos separados se puede sacar mayor
partido de sistemas de alimentación interrumpida (S.A.I. o U.P.S.). En este
caso conviene instalar en el circuito de informática sólo ordenadores y
monitores (incluyendo servidores y electrónica de red)
• El consumo de las impresoras en este circuito es muy elevado y normalmente
la interrupción de una impresión puede ser constante.
• Una vez realizado el cableado, es costoso ampliarlo, sobre todo si se han hecho
rozas o canaletas. Por este motivo conviene planificar las posibles
ampliaciones con antelación. No siempre se deben a nuevos puestos de
trabajo, a veces es para incorporar nuevos dispositivos, como un servidor de
impresión.
• Dejando por ejemplo 3 conexiones para dos puntos.
• Mantener un inventario u otro sistema de vigilancia constante.
8
9. MANTENIMIENTO
El mantenimiento es sin duda la herramienta que culmina un sistema de seguridad con
eficacia y precisión, a nivel de hardware este mantenimiento se puede dar de dos
maneras:
Mantenimiento preventivo y correctivo de redes:
El óptimo desempeño del transito de información en la red LAN. Es muy importante
por esta razón es necesario mantener en perfectas condiciones los recursos y
componentes de la red, monitorización constante de servidores y equipos, entre las
actividades de Mantenimiento y Evaluación, tenemos:
• Levantamiento de información de infraestructura física (cableado) y lógica
(Protocolos y Normas).
• Ampliación y Chequeo de los puntos de Red sobre par Trenzado.
• Limpieza de conexiones de Fibra.
• Cambio de Plugs en cables dañados.
• Verificación y Corrección de IP o según la plataforma utilizada.
• Verificación del equipo sobre la Red LAN.
• Rendimiento.
• Asesoría o Recomendaciones para Aprovechar su infraestructura.
• Suministro de materiales y costos previos a solicitar mayor información.
• Identificación y análisis de problemas.
• Diagnóstico de redes.
• Niveles y tipo de tráfico.
• Documentación de la red.
• Planificación de crecimiento.
Mantenimiento ético y humano de redes:
El investigador, en su experiencia de campo logró identificar un importante factor en
el cual hizo énfasis y base del proyecto.
El mantenimiento de las redes LAN se ve afectado directamente por los usuarios que
operan en ella, la incompetencia, la falta de solidaridad, recompromiso, de sentido de
pertenecía, la falta de educación y de ética; son factores muy importantes a la hora de
hablar de sistemas de seguridad y mantenimiento de redes.
El uso incorrecto de la red, el daño directo de los componentes de esta, el robo, el
deterioro a largo y corto plazo; son consecuencias directas de la actitud y aptitud de
los usuarios y afecta directamente el estado de la red LAN.
Es de vital importancia crear e implementar sistemas de control y administración
como:
• Inventarios
• Registros de uso
9
10. COMPONENTES
A continuación vamos a definir una serie de dispositivos (Hardware) que constituyen
componentes de una Red LAN
Dentro del Hardware Entre los componentes que se tienen para la implementación de
una red LAN tenemos:
LOS SERVIDORES
Los definimos como Equipos de Procesamiento, de capacidad multiusuario, con
memoria compartida, que ofrecen servicios apropiados de cómputo, conectividad y
acceso a Base de Datos. Este concepto nos plantea que existen varios tipos de
Servidores y que éstos, se clasifican por el tipo de servicio que proveen, como son:
• Servidores de Aplicaciones. Aquellos que proveen acceso a las aplicaciones que
procesan datos.
• Servidores de Datos. Proveen acceso a los datos, textos, voz, imagen y
gráficos.
• Servidor de Comunicaciones. Son aquellos que proveen acceso a servicios de
comunicación externos.
• Servidores de Impresión. Aquellos que proveen acceso a equipo de impresoras.
10
11. ESTACIONES DE TRABAJO DE RED
Son aquellas estaciones de red que se conectan a la Red Institucional, llevan adelante
tareas dentro del proceso cooperativo de la institución, demanda y obtiene servicios
de procesamiento, de acceso a datos, impresiones y a quien envía determinada
información o tareas.
ESTACIONES DE TRABAJO GRÁFICO
Son estaciones de trabajo que llevan adelante tareas muy especializadas y demandan
de una configuración especial del equipo, por ejemplo: Sistemas Multimedia, Diseño
Asistido por Computadora, Sistemas de Información Geográfica. Muchas veces estos
equipos operan dentro de una red Informática y constituyen terminales de trabajo en
el marco de la red. En la actualidad, ya se dispone de Sistemas de Información
Multimedia y de Sistemas de Gestión de Bases de Datos Gráficas y Multimedia, que
permiten el establecimiento de Estaciones Gráficas en Red.
11
12. TARJETAS DE INTERFACE O ADAPTADORES DE RED
Es un dispositivo digital (a modo de tarjeta o pastilla), que convierte el flujo serial de
alto poder de datos del cable de la red a un flujo de datos paralelos. No son los únicos
servicios, pero sí, los más conocidos, pueden y deben existir otros.
CABLEADO
El Cableado es el medio físico por el que transcurren las señales digitales. Está
compuesto por varios elementos, entre los que tenemos:
- El Cable
- Los Conectores
- Los Concentradores
- Los Racks
- Los Swicths
- Los Routers
- Bridges
- Gateways
12
13. • El Cable
Se define como el conducto por el cual se transmite las señales eléctricas o luminosas,
pueden ser de cobre (las más comunes) o fibra óptica (para trasmitir señales
luminosas).
• Conectores
Son dispositivos físicos de empalme entre cables, (para el uso de redes de tipo Bus), el
cable y la tarjeta o adaptador de red, el cable y los concentradores, el Swiching,
Routers o Brigdes, son de diversos tipos siendo los más comunes los BNC, RJ-45 y AUI.
FC, que se usa en la transmisión
de datos y en las
telecomunicaciones.
FDDI, se usa para redes de fibra
óptica.
LC y MT-Array que se utilizan en
transmisiones de alta densidad de
datos.
SC y SC-Dúplex se utilizan para la
transmisión de datos.
ST se usa en redes de edificios y en
sistemas de seguridad.
Como recomendaciones:
13
14. La fibra óptica porque
1. Su ancho de banda es muy grande (teóricamente de hasta 1THz), mediante
técnicas de multiplexación por división de frecuencias (WDM/DWDM), que
permiten enviar hasta 100 haces de luz (cada uno con una longitud de onda
diferente) a una velocidad de 10Gb/s cada uno por una misma fibra, se llegan a
obtener velocidades de transmisión totales de 10Tb/s.
2. Es inmune totalmente a las interferencias electromagnéticas.
Pero
1. La alta fragilidad de las fibras.
2. Necesidad de usar transmisores y receptores más caros
3. Los empalmes entre fibras son difíciles de realizar, especialmente en el
campo, lo que dificulta las reparaciones en caso de rotura del cable.
4. No puede transmitir electricidad para alimentar repetidores intermedios.
5. La necesidad de efectuar, en muchos casos, procesos de conversión eléctrica-
óptica.
6. La fibra óptica convencional no puede transmitir potencias elevadas.
7. No existen memorias ópticas.
Hacen de este cableado insuficiente ate los demás tipos. Se recomienda utilizar par
trenzado (UTP) o coaxial pues son el Standard si se busca economizar, pero no cabe
duda que si se cuenta con el dinero un sistema de seguridad es más competente con
cable de fibra óptica
• Concentradores
Los concentradores o hubs (centrales de cableado), se conectan a grupos dentro de
los nodos de redes, aislando cada nodo de cualquier problema. Los Grupos varían
según el concentrador, pudiendo ser de 8, 12, 16, 32 puertos del tipo RJ 45, más una
salida AUI y BNC. Cada uno de estos concentradores se encadenan a otros en la red,
agregando capacidad hub por hub.
Como recomendaciones:
3COM OFFICE CONNECT 8 RJ45
3COM OFFICE CONNECT 8 RJ45 + 1BNC
3COM SUPERSTACK II 12 RJ45 a 10 Mbps
3COM SUPERSTACK II 24 RJ45 a 10 Mbps
Modulo de gestión SNMP para Superstack II
3COM SUPERSTACK II 12 RJ45 a 100 Mbps
3COM SUPERSTACK II Switch 1000 12 RJ45-10
3COM SUPERSTACK II Switch 1000 24 RJ45-10
3COM SUPERSTACK II Port Switch Hub 40 12sal
3COM SUPERSTACK II Port Switch Hub 40 24sal
14
15. GENIUS GH4080 8 UTP 10 base T
GENIUS GH4160 16 UTP 10 base T
GENIUS GH4160/R 16 UTP RACK 10 base T
GENIUS GF4080/R 8 UTP 100 base - TX RACK
GENIUS GF4120/R 12 UTP 100 base - TX RACK
KTI KH5M 10 base T 5 STP
KTI KH5MB 10 base T 4 STP + 1 BNC
KTI KH10M 10 base T 8 STP + 1 BNC + 1 AUI
KTI KH18M 10 base T 16 STP + 1 BNC + 1 AUI
KTI KF1008 100 base TX 8 puertos apilable
KTI KF1008 100 base TX 16 puertos apilable
KTI KR5M repetidor 2 BNC + 2 STP + 1 AUI
KTI KR10C repetidor 1 BNC+2 UTP+ 1ST(fibra óptica)
• RACK
•
Para su estructuración se implementa un Rack, que en realidad no es más que un
"Mueble", el cual permite agrupar en un determinado número de Concentradores o
Hubs. A este "mueble", se adiciona salidas para el cableado.
TOPOLOGIAS DE RED
15
16. La topología o forma lógica de una red se define como la forma de tender el cable a
estaciones de trabajo individuales; por muros, suelos y techos del edificio. Existe un
número de factores a considerar para determinar cual topología es la más apropiada
para una situación dada.
La topología en una red es la configuración adoptada por las estaciones de trabajo
para conectarse entre si, de ellas depende la seguridad en la red ya que conforman su
estructura básica.
A continuación encontramos los parámetros para fijar topologías según el terreno.
TOPOLOGÍA DE RED LONGITUD SEGMENTO
MÁXIMO
Ethernet de cable fino (BUS) 185 MST (607 pies)
Ethernet de par trenzado (Estrella/BUS) 100 Mts (607 pies)
Token Ring de par trenzado (Estrella/Anillo) 100 Mts (607 pies)
ARCNET Coaxial (Estrella) 609 Mts (2000 pies)
ARCNET Coaxial (BUS) 305 Mts (1000 pies)
ARCNET de par trenzado (Estrella) 122 Mts (400 pies)
ARCNET de par trenzado (BUS) 122 Mts (400 pies)
Es recomendable tener en cuenta los tres tipos de topologías de red más
recomendados a nivel de calidad y economía:
Red de Enlace Central: Se encuentra generalmente en los entornos de oficina o
campos, en los que las redes de los pisos de un edificio se interconectan sobre cables
centrales. Los Bridges y los Routers gestionan el tráfico entre segmentos de red
conectados. (Recomendada para LAN)
Red de Malla: Esta involucra o se efectúa a través de redes WAN, una red malla
contiene múltiples caminos, si un camino falla o está congestionado el tráfico, un
paquete puede utilizar un camino diferente hacia el destino. Los routers se utilizan
para interconectar las redes separadas.
Red de Estrella Jerárquica: Esta estructura de cableado se utiliza en la mayor parte de
las redes locales actuales, por medio de concentradores dispuestos en cascada para
formar una red jerárquica. (Recomendada para LAN)
16
18. SOFTWARE
Después de establecer las pautas físicas de un sistema de seguridad de redes,
conociendo su funcionamiento y sus componentes, se procede a la parte lógica y de
administración.
Para tratar un sistema de software de seguridad el investigador hace énfasis en la
administración de este software.
18
19. PROBLEMAS MÁS FRECUENTES
En sistemas operativos:
• Sistemas poco tolerantes a datos mal formados.
• Revisión no exhaustiva de posibles respuestas.
• Falta de una auditoria real y constante.
• APIs/ABIs cambiantes.
• Excesivo bagaje de compatibilidad.
En aplicaciones:
• Confianza ciega en los datos recibidos
Longitud de los datos, Tipo de los datos, Confianza en los datos originados
externamente.
• Uso de bibliotecas inestables.
• Uso de frameworks no comprendidos por el desarrollador
• Uso de protocolos de red obsoletos.
En usuarios
• Políticas de uso aceptable inexistentes, incompletas, no aplicables o carentes
de autoridad.
• Falta de conciencia.
• Capa 8 defectuosa.
• Errores de BIOS.
• Analogías como las contraseñas.
19
20. POSIBLES SOLUCIONES
Con respecto a los administradores:
• Pensar en los posibles futuros programadores y el mantenimiento del
software.
• Revisar siempre todo: Valores de retorno, resultado de la creación de objetos,
tipos de datos, contenido valido, manejo de excepciones.
• Desconfiar especialmente de los datos provenientes del usuario: Es más
importante escribir un programa correctamente que clavarnos en detalles.
• La optimización prematura es la fuente de todos los males.
• Llevar a cabo un buen análisis previo a comenzar a escribir código
• Utilizar estructuras de datos comprensibles y acordes a nuestro problema
• Documentar conforme programamos
• Escribir pruebas conforme documentamos, basándonos en la documentación y
no en nuestro otro código.
• Buscando la comodidad y la facilidad en el lugar correcto: Usar un sistema
operativo bien diseñado y simple de administrar, aunque tenga que aprender a
utilizarlo.
• Caracterizar las verdaderas necesidades de los usuarios, saber decirles que no,
ayudarles a ajustar lo que buscan.
• Mi usuario no es malicioso por naturaleza aunque tal vez si profundamente
ignorante
Con respecto a los usuarios:
• No confiar en que nadie atacará nuestro sistema únicamente por ser casero.
• Recuerden a los virus, troyanos, gusanos y demás. Y a las hordas de script
kiddies
• Spambots y similares: No importan los recursos de cada sistema atacado;
importa la cantidad total de sistemas más sencillos.
• Estar en constante actualización del sistema.
• No restar importancia a la solidez general del sistema
• Enviar bug reports
20