Академический Документы
Профессиональный Документы
Культура Документы
TESIS
Para obtener el titulo de:
Licenciado en Computación
Presenta:
Asesor:
L.C. Tito Mundo Nájera
Capítulo 2. Seguridad 9
2.1 Esquema de Seguridad 10
2.2 Políticas y Procedimientos De Seguridad. 10
2.3 Propuesta de un sistema de seguridad 18
Anexo “A”
Anexo “B”
Glosario
Bibliografía
Hipótesis
“Es necesario contar con un conjunto de políticas de seguridad para las redes de
cómputo de la Universidad Juárez Autónoma de Tabasco, que brinden las bases de una
correcta operación, funcionamiento e integridad de sus sistemas e infraestructura”.
Capítulo 1
Introducción
El uso creciente de la tecnología de la información en la actividad económica, ha dado
lugar al incremento sustancial en el número de puestos de trabajos relacionados con los
sistemas de cómputo, con una relación de computadoras personales y estaciones de trabajo
por empleado que aumenta constantemente en todos los sectores industriales. Esto proviene
de la importancia que la información y su administración posee en la actividad de cualquier
empresa.
El crecimiento de las redes locales a mediados de los años ochenta hizo que cambiará
nuestra manera de comunicarnos con las computadoras y la forma en que las computadoras
se comunican entre sí. La importancia de las redes reside en que en un principio se puede
conectar un número pequeño de computadoras que puede ser ampliado a medida que crecen
las necesidades.
Las redes constan de dos o más computadoras conectadas entre sí y permiten compartir
recursos e información. La información para compartir suele consistir en archivos y datos.
Los recursos son los dispositivos o las áreas de almacenamiento de datos de una
computadora compartida por otra computadora mediante la red. La más simple de las redes
conecta dos computadoras, permitiéndoles compartir archivos e impresoras. Una red
mucho más compleja conecta todas las computadoras de una empresa o compañía en el
mundo.
Así pues, las redes de comunicación, no son más que la posibilidad de compartir con
carácter universal la información entre grupos de computadoras y sus usuarios; es un
componente vital de la era de la información. La generalización de una computadora
personal y de las redes ha dado lugar a la posibilidad de acceder a información en bases de
datos remotas, cargar aplicaciones desde diferentes puntos, enviar mensajes a otros países y
compartir archivos, todo ello desde una computadora personal.
Las redes que permiten todo esto son equipos avanzados y complejos. Su eficacia se basa
en la unión de diversos componentes. El diseño e implantación de una red mundial de
computadoras es uno de los grandes milagros tecnológicos de las últimas décadas. Dentro
de esta era de información se encuentran los “sitios”, los cuales son cualquier organización,
ya sea militar, gubernamental, comercial, académica, etc., que posea recursos relativos a
redes y computadoras.
En este ámbito la labor más importante dentro de cualquier organización o sitio, la tiene el
administrador; ya que es la persona responsable de mantener en operación continua los
recursos de cómputo con los que cuenta un sitio. El administrador será también el
encargado de la realización de cambios en el sistema; cualquier cambio deberá ser
cuidadosamente planificado y probado en un entorno controlado antes de ser implantado en
producción.
Un administrador debe ser el que provea las soluciones. Si alguna actividad genera
problemas, debe tener previsto como restaurar una condición estable en el mínimo lapso de
tiempo. No solo debe pensar como implementar un nuevo cambio, sino además debe tener
previsto un plan de recuperación de emergencia, por si algo sale mal.
También debe plantear gradualmente las mejoras en el sistema, controlar los cambios
menores de los mayores y cuando cambie de golpe un gran número de cosas, de lo
contrario no sabrá que fue lo que falló ni porque hizo todos los cambios a la vez. Así podrá
diagnosticar un problema si sólo tocó un par de cosas y comprobar el funcionamiento antes
de seguir adelante y así no afectar a gran parte del equipo. Cada cambio que efectúe debe
ser anunciado con suficiente anticipación, cuando este afecte a los usuarios, de manera que
sepan como comportarse ante la novedad. El mejor sistema, funciona correctamente de lo
contrario puede ocasionar una pequeña revuelta si los usuarios ven afectado su trabajo,
aunque solo sean cambios de forma.
Pero ¿qué es un usuario?, un usuario es cualquier persona que hace uso de los recursos de
cómputo con los que cuenta un sitio u organización. La gestión de los usuarios es uno de
los aspectos más importantes de comprender; cada usuario debe de contar con su propia
cuenta que el sistema identificará permitiéndole acceder a el, y de este modo el sistema
controlará las tareas que pueda realizar.
Capítulo 1. Introducción 3
Por ejemplo, la información que un sistema Unix mantiene acerca de cada usuario es la
siguiente:
• Nombre del usuario: El cual es el identificador único dado a cada usuario del
sistema
• Identificación de grupo (ID): Esta identificación de grupo del usuario se da por
defecto.
• Contraseña: Es una clave encriptada que el sistema almacena del usuario
• Nombre completo: El nombre real o nombre completo del usuario
• Directorio Personal: Es el directorio en el que se coloca al usuario al acceder a el
sistema. Cada usuario debe tener su propio directorio personal
• Interprete de comandos: Este intérprete de comandos es arrancado para el usuario al
acceder al sistema
Internet
Internet es otro concepto muy importante en estos tiempos. Es una red de computadoras
que conecta a otras entre sí a menudo se le denomina “red de redes”. Sirve de puente entre
otras redes de computadoras, en institutos académicos y gubernamentales, escuelas,
bibliotecas, corporaciones y también redes que brindan servicios a comunidades de
organizaciones no gubernamentales. El protocolo Internet es una norma de software
utilizada para interconectar estas redes une redes muy diversas e independientes de manera
que aparecen ante el usuario como si fueran una sola red.
Internet ofrece:
Ante el ambiente que predominaba en el pasado, en el que los sistemas operaban de manera
aislada o en redes propietarias, ha sido sustituido por las computadoras personales que cada
4 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Hoy en día los participantes se encuentran cada vez más interconectados y estas conexiones
se extienden más allá de las fronteras nacionales. Al mismo tiempo, el Internet forma parte
de la infraestructura de operación de sectores estratégicos como los de energía, transporte y
finanzas y desempaña un papel muy importante en la forma en cómo las compañías hacen
sus negocios, cómo los gobiernos proporcionan sus servicios a los ciudadanos y a las
empresas y cómo los ciudadanos se comunican e intercambian información de manera
individual. La naturaleza y el tipo de tecnologías que constituyen la infraestructura de
información y comunicaciones también han cambiado de manera significativa.
La seguridad en cómputo
Todo esto nos lleva a dos conceptos importantes relacionados con las redes de cómputo y
el tráfico de información, los cuales son: los incidentes de seguridad, que son eventos que
ponen en riesgo la seguridad en un sistema de cómputo. Y el otro concepto son los ataques
de red, los cuales son eventos cuyo objetivo es causar daño a un sistema, robar información
del mismo, o utilizar recursos de forma no autorizada [1].
Ejemplo: El gusano Blaster tuvo parte de la culpa por el gran apagón el 14 de agosto del
2003
Después de todo, el Blaster (Lovsan), ayudó a provocar el efecto cascada que el pasado 14
de agosto dejó a oscuras durante varias horas, a varios estados norteamericanos y parte de
Canadá, además de entorpecer las tareas para restaurar la electricidad en la región de Nueva
York. El Blaster finalmente podría haber contribuido en aumentar el "efecto cascada" que
provocó el gran apagón del pasado 14 de agosto en los Estados Unidos.
El día del apagón, el Blaster disminuyó el desempeño de varias líneas de comunicaciones,
entorpeciendo el flujo de datos entre los centros claves utilizados por las compañías de
servicio público para manejar la distribución de la energía, según confirmaron las fuentes.
"No afectó el control de los sistemas internamente, pero si afectó el tiempo de transferencia
de los datos que se reciben de otras redes", dijo Gary Seifert, un investigador del
departamento de Energía del gobierno de los Estados Unidos, refiriéndose al flujo de los
datos de control usados para equilibrar las cargas, los que se transmiten por las redes
públicas de telecomunicaciones. "Ciertamente fue parte de los problemas", estando
relacionado con la congestión de las conexiones claves utilizadas por los servicios para
coordinar las acciones tomadas durante esta contingencia, agregó Seifert. La incapacidad de
Capítulo 1. Introducción 5
En otro caso similar de gusanos, un servidor de una red de control que ejecuta SQL Server
de Microsoft, se infectó por no estar parchado (como en el caso del Blaster, el parche para
la vulnerabilidad que facilitó la distribución del Slammer, estaba disponible desde mucho
tiempo antes). El gusano aparentemente se distribuyó por las redes corporativas, hasta
alcanzar la crítica red de control y adquisición de datos (SCADA), desde una computadora
remota conectada a través de una conexión VPN. VPN es una red privada que protege,
mediante un proceso de encapsulación y en ocasiones de encriptación, los paquetes de
datos enviados a distintos puntos remotos mediante el uso de unas infraestructuras públicas
de transporte. Las VPN pueden enlazar oficinas corporativas entre ellas, con usuarios
móviles, etc.
En México
Las empresas implementan muchos programas contra los virus para evitar pérdidas
millonarias [4]. La inversión en sistemas de seguridad informáticos por parte de las
compañías se situará este año en 70.000 millones de dólares, una cifra que aumentará hasta
los 116.000 millones en 2007 para cortar el avance de los virus (Ver anexo “B”).
La calidad de un sistema de información no sólo se logra con un buen diseño del sistema o
con un bajo nivel de riesgo. Para asegurar la calidad es necesario además, revisar la
documentación asociada al software con el objetivo de verificar su cobertura, corrección,
confiabilidad y facilidad de mantenimiento.
Niveles de Seguridad
Debe agregarse también, que el sistema debe cumplir las especificaciones y requerimientos
para su uso y desempeño deseados. Para obtener la calidad mencionada anteriormente, en el
análisis y diseño de los sistemas debe contemplarse los siguientes niveles:
Por esta razón, debe promoverse una cultura de seguridad que requiera tanto de un
liderazgo fuerte como de una participación amplia para garantizar que se le otorgue un
carácter prioritario a la planeación y administración de la seguridad, así como el
entendimiento de la necesidad de seguridad para todos los participantes.
Capítulo 2
Seguridad
El impresionante desarrollo y masificación de la tecnología durante los últimos años ha
propiciado la introducción a nuestro lenguaje cotidiano de frases y palabras que antes eran
sólo parte de una trama de película hollywoodense: hackers, ciberterroristas, fraudes
electrónicos, ciberbandidos, crimen digital, etc. Y es que el surgimiento y explosión de los
negocios basados en el Internet han traído a muchas compañías la oportunidad de tocar
nuevos mercados y de establecer procesos logísticos complejos que mejoran su
productividad y sus ganancias.
Desde 1992 cuando la organización para la cooperación del desarrollo económico (OCDE)
desarrolló por primera vez las Guías de Seguridad de los Sistemas de Información a la
fecha, se ha presentado un cambio muy dramático en el ambiente general de la tecnología
de la información y las comunicaciones, así como en el uso de los sistemas de información
y redes.
Estos cambios continuos ofrecen grandes ventajas, pero hacen necesario que los gobiernos,
los negocios, otras organizaciones y los usuarios que desarrollan, poseen, proporcionan,
administran estos servicios y usan sistemas de información y redes. Pongan mayor
atención en los aspectos relacionados con la seguridad.
Como resultado de la creciente conectividad, los sistemas de información y las redes son
más vulnerables ya que están expuestos a un número creciente así como una variedad
mayor de amenazas y vulnerabilidades. Esto hace que surjan nuevos retos que deben
abordarse en el tema de seguridad. Por estas razones, los participantes de la nueva sociedad
de la información deben hacer conciencia de tener un mayor entendimiento en los aspectos
de seguridad, así como el desarrollar una cultura de seguridad [6].
Las políticas de seguridad son los documentos que describen, principalmente, la forma
adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y
derechos que tanto usuarios como administradores tienen y que hacer ante un incidente de
seguridad.
Capítulo 2. Seguridad 11
Mientras las políticas indican el “que”, los procedimientos indican el “cómo”. Los
procedimientos son los que nos permiten llevar a cabo las políticas.
Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Como
administradores, nos aminoran los riesgos, y nos permiten actuar de manera rápida y
acertada en caso de haber una emergencia de cómputo.
Como usuarios, nos indican la manera adecuada de usar un sistema, indicando lo que puede
hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos
“malos vecinos” de la red sin saberlo. El tener un esquema de políticas facilita grandemente
la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación;
dan una imagen profesional a la organización y facilitan una auditoria.
12 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Los principales puntos que deben contener las políticas de seguridad son:
• Ámbito de aplicación
• Análisis de riesgos
• Enunciados de políticas
• Sanciones
• Sección de uso ético de los recursos de cómputo
• Sección de procedimientos para el manejo de incidentes
Políticas de contraseñas: Son una de las políticas más importantes, ya que por lo general,
las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto,
la única línea de defensa contra ataques. Éstas establecen quién asignará la contraseña, que
longitud debe tener, a qué formato deberá apegarse, como será comunicada, etc. Ejemplos:
Políticas de control de acceso: Especifican cómo deben los usuarios acceder al sistema,
desde dónde y de qué manera deben autentificarse. Ejemplos:
• Todos los usuarios deberán acceder al sistema utilizando algún programa que
permita una comunicación segura y cifrada
• Está prohibido acceder al sistema con una cuenta diferente de la propia, aún con la
autorización del dueño de dicha cuenta
• Si un usuario está fuera del sitio de trabajo, debe conectarse a una máquina pública
del sitio y, únicamente desde ésta, hacer la conexión a la computadora deseada
• Al momento de ingresar al sistema, cada usuario deberá ser notificado de la fecha,
hora y dirección desde la que se conectó al sistema por última vez, lo cual permitirá
detectar fácilmente el uso no autorizado del sistema
Antes de diseñar el esquema de políticas de uso adecuado, conviene hacerse las siguientes
preguntas:
La respuesta a todas estas preguntas debe ser negativa. Ya que existen dos enfoques: El
permisivo en el cual todo lo que no esté explícitamente prohibido está permitido y el
paranoico donde todo lo que no esté explícitamente permitido está prohibido. Cuál de las
dos elegir dependerá del tipo de organización y el nivel de seguridad que esta requiera.
Entonces tras haber aclarado estos últimos puntos, algunos ejemplos de este tipo de
políticas serían:
Políticas de correo electrónico: Establece tanto el uso adecuado como inadecuado del
servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y
cumplir al respecto. Ejemplos:
• El usuario es la única persona autorizada para leer su propio correo, a menos que él
mismo autorice explícitamente a otra persona para hacerlo, o bien, que su cuenta
esté involucrada en un incidente de seguridad de cómputo
• Está estrictamente prohibido usar la cuenta de correo electrónico proporcionada por
la organización para propósitos ajenos a sus actividades laborales
• No se permite el uso de la cuenta de correo electrónico para suscribirse a listas
electrónicas de discusión de interés personal. El usuario deberá limitarse a estar
subscrito a las listas indicadas y aprobadas por la organización
Políticas de contabilidad del sistema: Establecen los lineamientos bajo los cuales pueden
ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la
manera en que debe manejarse la contabilidad del sistema y el propósito de la misma.
Ejemplos:
Capítulo 2. Seguridad 15
• Deberán ser registrados en bitácoras todos los comandos emitidos por todos los
usuarios del sistema, para propósitos de contabilidad
• Cada semana deberá hacerse el corte de contabilidad del sistema, cifrándose y
respaldándose la información generada en un dispositivo de almacenamiento
permanente
Para desarrollar las políticas de seguridad se necesita hacer un análisis de riesgo, el cual va
a ser el resultado de responder las siguientes preguntas:
¿De quién necesito protegerlo? De cualquiera que constituya una amenaza, en cualquiera
de estos rubros:
¿Qué tantos recursos estoy dispuesto a invertir? Esto dependerá del presupuesto
disponible y de la importancia de la seguridad.
• ¿Quién debe poder usar los recursos? Sólo personal autorizado: Estudiantes,
profesores, usuarios externos, investigadores, etc.
• ¿Qué constituye un uso adecuado de los recursos?
• ¿Qué actividades están permitidas?
• ¿Qué actividades están prohibidas?
• ¿Quién debe poder proporcionar acceso al sistema? Ya que si no se tiene control
sobre quién está dando acceso al sistema, tampoco se podrá tener control sobre
quién lo utiliza
• ¿Quién debe tener privilegios de administrador? Aquí debe utilizarse el principio
del mínimo privilegio: Es decir, proporcionar sólo privilegios suficientes para
ejecutar las tareas necesarias.
• ¿Cuáles son los derechos y responsabilidades de los usuarios?
• ¿Existen restricciones en cuanto al consumo de recursos?
• ¿Cuáles son?
16 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
¿Cómo debe manejarse la información sensitiva? Es decir, debe evitarse que los
usuarios almacenen información valiosa en sistemas pocos seguros.
• Negligencia.
• Error accidental.
• Desconocimiento de la misma.
• Falta de entendimiento de la misma.
• Debe haber acciones a seguir bien definidas con respecto a los usuarios locales
Capítulo 2. Seguridad 17
• Debe estarse bien protegido en contra de posibles acciones desde el sitio remoto
Proteger y perseguir
o Se utiliza cuando:
Los activos están bien protegidos
Se correo un gran riesgo debido a la intrusión
No existe la posibilidad o disposición para enjuiciar
Se desconoce la base del intruso
Los usuarios son pocos sofisticados y su trabajo es vulnerable
Los recursos de los usuarios son minados
Perseguir y enjuiciar
o Su objetivo principal es permitir que los intrusos continúen con sus actividades
en el sistema hasta que pueda identificarse a los responsables.
o Se utiliza cuando:
Los recursos están bien protegidos
Se dispone de respaldos confiables
El riesgo para los activos es mayor que el daño de esta y futuras
intrusiones
El ataque proviene de un sitio con el que guardamos cierta relación,
y ocurre con cierta frecuencia e intensidad
El sitio posee cierta atracción para los intrusos
El sitio está dispuesto a correr el riesgo a que se exponen los activos
al permitir que el ataque continúe
Puede controlarse el acceso al intruso
Se cuenta con herramientas de seguridad confiables
El personal técnico conoce a profundidad el sistema operativo y sus
utilerías
Existe disposición para la persecución por parte de los directivos
Existen leyes al respecto
En el sitio existe alguien que conozca sobre cuestiones legales [8]
18 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Tal como puede visualizarse, en la figura 1, en el diagrama están plasmados todos los
elementos que intervienen para el estudio de una política de seguridad.
Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los
pasos a tomar para poder asegurar el umbral de seguridad que se desea. Luego, se pasa al
plan de acción, que es cómo se va a llevar a cabo el programa de seguridad. Finalmente, se
redactan los procedimientos y normas que permiten llegar a buen destino.
acción y a los procedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos
tratados en el primer párrafo y, de esta manera, el proceso se vuelve a repetir.
• Para el manejo de contraseñas: anipasswd, passwd+, crack, Jhon The Ripper, S/Key
• Para el manejo de autenticación: Kerberos, SecureRPC
• Para el monitoreo de redes: Satan, ISS
• Para auditoria interna: COPS, Tigre, Tripwire
• Para control de acceso: TCP-Wrapper, PortSentry [10]
Aunque existen más de 200 programas actualmente para buscar vulnerabilidades en red,
SATAN es el mejor de todos por qué es un programa libre y con características que lo
hacen sobresalir en el mercado. Por ejemplo, el programa ISS (Internet Security Scanner)
es un producto comercial que se anuncia con la capacidad de realizar la búsqueda de un
mayor número de vulnerabilidades, sin embargo no se dispone del código fuente. Fremont,
es otro programa sin costo, el cual lleva a cabo verificaciones de hosts y construye además
un mapa de los sistemas, sin embargo no realiza búsquedas de vulnerabilidades.
Esta herramienta fue desarrollada por Daniel Farmer y Eugene H. Spafford, en los
laboratorios COAST de la Universidad de Purdue. El paquete COPS (sistema de contraseña
y oráculo de computadora). Es una herramienta de seguridad para administradores de
sistema que permite examinar sistemas UNIX, con el fin de localizar un número conocido
de debilidades y problemas de seguridad, alertando al administrador sobre ellas, en algunos
casos puede corregir automáticamente estos problemas. Es un sistema modular, por cable,
de auditoria de sistemas de asado en una colección de scripts y programas en C, que puede
utilizarse para evaluar el estado de seguridad de casi cualquier sistema UNIX.
IFSTATUS
El programa IFSTATUS de Dave Curry puede verificar también cualquier interfase de red
de un sistema para localizar alguna que trabaje en modo promiscuo, con la diferencia de
estar diseñada para ser ejecutada por fuera del sistema [11].
El programa ifstatus puede correrse en los sistemas UNIX para identificar interfaces de red
que estén en depuración o en modo promiscuo. Las interfaces de red en estos modos
pueden ser una señal que un intruso está supervisando la red para robar passwords y otras
estaciones [13].
24 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Este programa del autor Christopher Klaus es un explorador de seguridad de multinivel del
mismo tipo que SATAN, que verifica un sistema UNIX en búsqueda de un número
conocido de huecos de seguridad, tales como los problemas en el sendmail, o de una
compartición de archivos NFS configurada impropiamente.[11]
Esta una herramienta de dominio público chequea una serie de servicios para comprobar el
nivel de seguridad que tiene esa máquina. ISS es capaz de chequear una dirección IP o un
rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequeará todas
las máquinas dentro de ese rango). El programa viene acompañado de dos utilidades que
son ypx y strobe, la primera nos permite la transferencia de mapas NIS a través de la red y
la segunda nos chequea y describe todos los puertos TCP que tiene la máquina que
chequeamos. Como podemos ver, con la primera herramienta es posible la transferencia de
los ficheros de "password" en aquellas máquinas que hayan sido configuradas como
servidores de NIS.
ISS se puede ejecutar con varias opciones y la salida se deja en un fichero. Además, si ha
podido traerse el fichero de "password" de la máquina chequeada creará un fichero aparte
con la dirección IP de la máquina [14].
ISS es un programa que interrogará a todas las computadoras dentro de un rango específico
de direcciones IP, determinando la postura de seguridad de cada una con respecto a varias
vulnerabilidades comunes del sistema. ISS está disponible de muchos sitios [15].
Merlín
Merlín fue desarrollado por CIAC y es una herramienta para la administración y realce de
las herramientas de seguridad existentes. Provee un front-end gráfico a muchas de las
populares herramientas, tales como SPI, Tiger, COPS, Crack y Tripwire. Merlín permite
que estas herramientas sean más fáciles de usar, mientras que al mismo tiempo extiende sus
capacidades [11].
Merlín también tiene como finalidad ocultar las unidades de la computadora para evitar que
otras personas manipulen tus archivos. La protección que ofrece es relativa, cualquier
PowerUser o incluso un estudiante avanzado, puede saltarse esta seguridad. Al cargarse el
programa, identifica las unidades que tiene su máquina y el tipo de dispositivo (disco duro,
CD-ROM), si aparece marcada la casilla que está junto al nombre de la unidad, quiere decir
que está "Visible" y que puedes explorar, borrar, mover, copiar, etc. [16].
para la mayoría de los sistemas UNIX con sólo tocar un botón. El producto de software SPI
está disponible libre de costo para toda organización, la cual puede definir las políticas de
redistribución a sus propias comunidades de usuarios [11].
3. 2 Integridad de datos
Tripwire
Este paquete de la Universidad de Purdue verifica los sistemas de archivos, y así, poder
usar las verificaciones de aquellos registros para descubrir cualquier cambio [11].
Tiger
Este software fue desarrollado por la Universidad de Texas y está formado por un conjunto
de shell scripts y código C que chequean el sistema para detectar problemas de seguridad
de forma parecida a COPS. Una vez chequeado el sistema, se genera un archivo con toda la
información recogida por el programa. Tiger dispone de una herramienta (tigexp) que
recibe como parámetro dicho archivo y da una serie de explicaciones adicionales de cada
línea que generó el programa anterior. El programa viene con un archivo de configuración
donde es posible decirle qué tipo de chequeo se quiere realizar (podemos comentar las
operaciones más lentas y ejecutar éstas de forma menos continuada, mientras que las más
rápidas pueden ser ejecutadas más frecuentemente). Entre la información que chequea el
programa tenemos.
Watcher
Esta herramienta está diseñada para realizar copias de seguridad de ficheros y carpetas,
tanto en tu propio sistema como a través de red local, y comprimirlas después para reducir
el espacio que ocupen en disco. Incorpora una interfaz atractiva y práctica, en la que se
trabaja con perfiles ya preconfigurados, pero que puedes personalizar para adaptar a tus
gustos y necesidades. Tienes varios métodos de copia de seguridad (copia completa, sólo
actualizando los ficheros que hayan cambiado, etc.), soporte para copias un día a una hora
determinada, posibilidad de copias en red a través del protocolo TCP/IP, copias en
disquetes, discos ZIP, CD regrabables, etc. [19].
Ahora, veremos el firewall o muro de fuego, que construye una de las herramientas más
importantes de la seguridad de redes, pero también existen otros sistemas de protección
como son la criptografía y kerberos, sin embargo, éstas no son las únicas ya que en el
mercado existen un sin fin de ellas.
3.3 Firewalls
La ventaja de construir un firewall entre una red confiable y una insegura, es la de reducir
el campo de riesgo ante un posible ataque. Un sistema que no cuente con este tipo de
protección es propenso a sufrir un acceso no autorizado en cualquier nodo que compone la
red confiable. En el momento de proteger el sistema con un firewall, el peligro se reduce a
un solo equipo.
La mejor manera de proteger una red interna es vigilando y con un firewall bien diseñado
obtenemos esta ventaja. Este medio nos puede proveer información de los paquetes de
datos que entran a la red, los que son rechazados, el número de veces que tratan de entrar,
cuantas veces un usuario no autorizado ha querido penetrar en la red. Con esta información
se puede actualizar el sistema de seguridad y prevenir una posible violación al mismo.
Capítulo 3. Software para la seguridad en cómputo 27
Un firewall debe proveer los fundamentos de seguridad para un sistema, pero no es lo único
que necesitamos para proteger la red ya que no está exento de ser pasado por un hacker.
Esencialmente se instala entre la red interna y la Internet.
El firewall previene el acceso del resto del mundo al sistema y sobre todo a la información
que circula por la Intranet [11].
Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin
un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros
servidores en el Internet. Esto significa que la seguridad en la red privada depende de la
"Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la
seguridad en la fragilidad posible del sistema.
El firewall permite al administrador de la red definir un "choke point" (envudo),
manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos,
y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los
servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno
28 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de
administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que
distribuirla en cada uno de los servidores que integran nuestra red privada.
El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna
actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque,
o suceda algún problema en el transito de los datos. Esto se podrá notar al acceder la
organización al Internet, la pregunta general es "si" pero "cuando" ocurrirá el ataque. Esto
es extremadamente importante para que el administrador audite y lleve una bitácora del
tráfico significativo a través del firewall. También, si el administrador de la red toma el
tiempo para responder una alarma y examina regularmente los registros de base. Esto es
innecesario para el firewall, desde que el administrador de red desconoce si ha sido
exitosamente atacado.
Con el paso de algunos años, el Internet ha experimentado una crisis en las direcciones,
logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona.
Por este medio se organizan las compañías conectadas al Internet, debido a esto hoy no es
posible obtener suficientes registros de direcciones IP para responder a la población de
usuarios en demanda de los servicios. Un firewall es un lugar lógico para desplegar un
Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de
direccionamiento acortando y eliminando lo necesario para re-enumerar cuando la
organización cambie del Proveedor de Servicios de Internet (ISPs).
Un firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet. Esto
permite al administrador de red justificar el gasto que implica la coneccion al Internet,
localizando con precisión los cuellos de botella potenciales del ancho de banda, y promueve
el método de cargo a los departamentos dentro del modelo de finanzas de la organización.
Un firewall de Internet ofrece un punto de reunión para la organización. Si una de sus
metas es proporcionar y entregar servicios información a consumidores, el firewall de
Internet es ideal para desplegar servidores WWW y FTP.
Finalmente, el firewall puede presentar los problemas que genera un punto de falla simple.
Enfatizando si este punto de falla se presenta en la conexión al Internet, aun así la red
Capítulo 3. Software para la seguridad en cómputo 29
Limitaciones de un firewall
Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto
de operación. Por ejemplo, si existe una coneccion dial-out sin restricciones que permita
entrar a nuestra red protegida, el usuario puede hacer una coneccion SLIP o PPP al Internet.
Los usuarios con sentido común suelen "irritarse" cuando se requiere una autenticación
adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por
un sistema de seguridad circunvecino que esta incluido en una conexión directa SLIP o PPP
del ISP.
El firewall no puede protegerse de las amenazas a que esta sometido por traidores o
usuarios inconscientes. El firewall no puede prohibir que los traidores o espías corporativos
copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan estas del edificio.
El firewall no puede proteger contra los ataques de la "Ingeniería Social", por ejemplo un
Hacker que pretende ser un supervisor o un nuevo empleado despistado, persuade al menos
sofisticado de los usuarios a que le permita usar su contraseña al servidor del corporativo o
que le permita el acceso "temporal" a la red.
Para controlar estas situaciones, los empleados deberían ser educados acerca de los varios
tipos de ataque social que pueden suceder, y a cambiar sus contraseñas si es necesario
periódicamente.
El firewall no puede protegerse contra los ataques posibles a la red interna por virus
informativos a través de archivos y software. Obtenidos del Internet por sistemas operativos
al momento de comprimir o descomprimir archivos binarios, el firewall de Internet no
30 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
puede contar con un sistema preciso de rastreo de para cada tipo de virus que se puedan
presentar en los archivos que pasan a través de el.
La solución real esta en que la organización debe ser consciente en instalar software anti-
viral en cada despacho para protegerse de los virus que llegan por medio de disquettes o
cualquier otra fuente.
Por ejemplo, una transferencia de datos podría causar que un servidor modificara los
archivos relacionados a la seguridad haciendo más fácil el acceso de un intruso al sistema.
Como nosotros podemos ver, el desempeño de los servidores Proxy en un servidor de
defensa es un excelente medio de prohibición a las conexiones directas por agentes
externos y reduce las amenazas posibles por los ataques con transferencia de datos [20].
3.4 Criptografía
Cuando se obtiene acceso a estos paquetes, la comunicación entre dos nodos es insegura
por que existe una persona que puede recibir al mismo tiempo información confidencial.
En el mundo real, si una universidad quiere proteger los expedientes de sus alumnos los
guardará en un armario ignífugo, bajo llave y vigilado por guardias, para que sólo las
personas autorizadas puedan acceder a ellos para leerlos o modificarlos; si queremos
proteger nuestra correspondencia de curiosos, simplemente usamos un sobre; si no
queremos que nos roben dinero, lo guardamos en una caja fuerte. Lamentablemente, en una
red no disponemos de todas estas medidas que nos parecen habituales: la principal forma de
protección va a venir de la mano de la criptografía.
El cifrado de los datos nos va a permitir desde proteger nuestro correo personal para que
ningún curioso lo pueda leer, hasta controlar el acceso a nuestros archivos de forma que
sólo personas autorizadas puedan examinar (o lo que quizás es más importante, modificar)
su contenido, pasando por proteger nuestras claves cuando conectamos a un sistema remoto
o nuestros datos bancarios cuando realizamos una compra a través de Internet. Hemos
Capítulo 3. Software para la seguridad en cómputo 31
presentado con anterioridad alguna aplicación que utilizan de una u otra forma en la
criptografía para proteger nuestra información; aquí intentaremos dar unas bases teóricas
mínimas sobre términos, algoritmos, y funciones utilizadas en ese tipo de aplicaciones.
Kerberos
S/KEY
S/key es una autentificación de contraseña usada una sola vez, implementada inicialmente
usando DES como algoritmo de calculo. Este proceso era lento en los sistemas 8088
disponibles en ese tiempo, y se usaba un archivo encriptado de contraseña usadas una sola
vez en lugar de computarlas conforme fuera necesario. El uso de este archivo encriptado
introdujo otros problemas de seguridad, que fueron abordados pasando a un sistema basado
en el algoritmo de compendio de mensajes.
PGP (Pretty Good Privacy) se trata de un proyecto iniciado por Phill Zimmerman en 1993,
cuando se carecía de herramientas sencillas pero a la vez potentes que permitiesen a los
usuarios “comunes” hacer uso de una criptografía seria.
Con el tiempo PGP se ha convertido en uno de los mecanismos más populares para utilizar
criptografía, tanto por usuarios particulares como grandes empresas. Se ha publicado su
código fuente, y se permite su uso gratuitamente para fines no comerciales.
Capítulo 3. Software para la seguridad en cómputo 33
Es una alternativa para tratar con vulnerabilidades de fase por ser un programa
recientemente introducido. Tiene reemplazos para rlogin, remsh y rcp pero no requiere el
overhead de kerberos, y ofrece más altos niveles de seguridad criptográfica. Además, puede
ser usado para mejorar la seguridad en X Windows.
El programa SSH protege contra el engaño de IP (IP spoofing), el ruteo de origen IP (IP
source routing), el engaño de DNS (DNS spoofing), la corrupción de datos en una conexión
y los ataques de autentificación X [11].
Actualmente las redes de computadoras son los medios digitales más usados en todos los
ámbitos de la sociedad para la transferencia de información. Normalmente estos medios se
encuentran en redes públicas, por lo cual están expuestas a intervenciones de una u otra
forma. Cuando se realiza una conexión a un servidor remoto usando por ejemplo el
comando telnet o ftp, el login(usuario) y password(contraseña) son transmitidos en la red de
forma clara, lo cual representa un gran riesgo si llega a existir sobre la red un programa que
capture la información, basándose en el modo promiscuo de las redes ethernet
(comúnmente llamado sniffer), ocasionado obtener tanto el login como el password y
pudiendo posteriormente irrumpir en el servidor con esta información.
Figura 4. Conexión a un servidor remoto usando por ejemplo el comando telnet o ftp.
Este tipo de problemáticas ha llevado al diseño de herramientas que permitan evitar estas
situaciones siendo el caso de Secure Shell (ssh), desarrollado por Tatu Ylonen en la
Universidad Tecnológica de Helsinki en Finlandia y OpenSSH, que nace del proyecto de un
sistema operativo orientado con la filosofía de la seguridad en mente como lo es OpenBSD.
Secure Shell y OpenSSH permiten realizar la comunicación y transferencia de información
de forma cifrada proporcionando fuerte autenticación sobre el medio inseguro.
Este tipo de conexión se muestra en la Figura 5.
• Blowfish
• 3DES
• IDEA
• RSA
La ventaja más significativa de ssh es que no modifica mucho las rutinas. En todos los
aspectos, iniciar una sesión de ssh es tan sencillo como iniciar una sesión de telnet. Tanto el
intercambio de llaves, la autenticación, así como el posterior cifrado de sesiones son
transparentes para los usuarios.
Capítulo 3. Software para la seguridad en cómputo 35
• telnet
• ftp
• http
• rsh
• rlogin
• rexec
Ello nos representa un problema importante, ya que, incluso en un entorno de red cerrado,
debe existir como mínimo un medio seguro para poder desplazar archivos, hacer copia de
archivos, establecer permisos, ejecutar archivos, scrips, etc, a través de medios seguros. Por
ello para evitar que determinadas personas capturen el tráfico diario de la red, es
conveniente instalar el Secure Shell (SSH). Entre los ataques más comunes que nos
previenen Secure Shell están:
• Sniffering(Captura de trafico)
• IP Spoofing
• MACpoofing
• DNS Spoofing
• Telnet Hickjacking
• ARP Spoofing
• IP Routing Spoofing
• ICMP Spoofing [24]
Otra forma de tratar con las vulnerabilidades de la fase 1, localizados por SATAN es SSL.
La Librería de Sockets Seguros (Secure Sockets Library) fue introducida originalmente por
Roberto, encargado de la seguridad en los visualizados de Web mediante la encriptación
de conexiones http, sin embargo con el paso del tiempo ha sido considerada como un medio
para dar seguridad a los servicios en general de internet.
SSL usa la tecnología de llave pública para negociar una llave de sesión y un algoritmo de
encriptación entre el cliente y el servidor. La llave pública es almacenada en un certificado
X.509 que soporta una firma digital de una tercera parte confiable, tal como la corporación
RSA.
Desde el punto de vista del usuario, SSL no requiere la participación activa de un KDC
(servidor de llaves), dado que las firmas digitales se hacen fuera de línea. Así la conexión
de red es una transacción de dos partes, más que una transacción entre tres partes. Tanto el
cliente como el servidor pueden ser autentificados, aunque los clientes visualizadores
Netscape actuales usen sólo la autentificación del servidor. El protocolo SSL negocia un
algoritmo de encriptación al inicio de la conexión tales como: DES, triple DES, IDEA, RC4
y RC2, junto con MD5 que son promovidos en las implantaciones comunes [11].
SOCKSD
Es una técnica de encapsulación IP que permite las conexiones TCP, usan un servidor
Proxy para completar una conexión. Dando a los usuarios la oportunidad de usar
convenientemente los servicios de internet a través de un gateway, sin darse cuenta que se
le está cruzando.
Socksd es frecuentemente usado para convertir tanto a una estación de trabajo UNIX con
conexión a internet, como una conexión de red interna de una compañía en un sistema de
firewall.
Cuando el telnet se realiza mediante sockets, primero verifica si la dirección destino del
host B es directamente accesible. Si es así, se sigue el proceso estándar de conexión. Si no
es así, se hace referencia a dos variables de ambiente SOCKS_NS y SOCKS_SERVER,
para ayudar a resolver primero el nombre del dominio de dentro de la dirección IP, y
después identificar la dirección IP del servidor que está corriendo como un servidor proxy
socksd.
Después encapsula los paquetes TCP de acuerdo al protocolo de sockets, el cual se ejecuta
en un sistema de gateway y tiene conexión directa con el sistema destino.
El servidor de sockets abre una conexión y empieza actuar como un salto intermedio en la
conexión [25].
Capítulo 4
Seguridad en la UJAT
Dentro de la Universidad Juárez Autónoma de Tabasco, el departamento de redes y
telecomunicaciones es el encargado de los aspectos relacionados con la seguridad. Ahí se
ubica la infraestructura y los recursos humanos que administran los principales servicios
de cómputo: telefonía, redes internas, Internet 2, videoconferencias, base de datos,
sistemas administrativos, sistemas escolares y los servicios que se implementan debido a la
creciente demanda del uso de nuevas tecnologías.
Este departamento inicio sus operaciones en 1994, brindando los servicios de Internet y de
redes locales para los centros de cómputo existentes. La cobertura de los servicios se
extendió, los servicios crecieron aumentando la cantidad de servidores e infraestructura
existente. A la fecha se cuenta con una funcionalidad similar a la de las principales
universidades del país.
El mayor crecimiento de estos servicios se dio en los últimos 3 años, siendo muy
importantes como los sistemas de calificaciones y el de recursos humanos. Al mismo
tiempo se dieron los primeros pasos en seguridad, empezando por las configuraciones de
los servidores. Posteriormente se realizaron las primeras adecuaciones sobre los equipos de
ruteo y finalmente después de una serie de evaluaciones se adquirió un firewells o corta
fuegos. Lo anterior completo una primera etapa, sin embargo para conformar un esquema
de seguridad robusto son necesarias mas acciones así como una mayor infraestructura.
Hasta este punto solamente se puede controlar el tráfico entre la red UJAT y las redes
externas. Por este motivo se comenzó a planear un esquema mas elaborado que diera
protecciones a ciertas redes internas, como las de las bases de datos, e incluyera equipos de
monitoreo en puntos clave de la red interna. Por ultimo se realizo una adecuación del
personal para asignarle a dicho personal las tareas relativas a la seguridad, los primeros
pasos fueron el diseño y capacitación.
Entre las secciones mas recientes se encuentran la formación de un portal de soporte a los
servicios que ofrece el departamento de redes y telecomunicaciones, dicho portal incluye la
sección correspondiente a la seguridad.
Este podrá dar a poyo a incidentes de forma inmediata, siendo atendidos los problemas por
el personal de la UJAT. Las relaciones con otras organizaciones relacionadas con la
seguridad permitirán una cobertura mayor, así como el intercambio de experiencias con
otras instituciones.
Además que se cuenta con la colaboración de una empresa destinada a brindarle servicios
de Internet a nuestra universidad los cuales son específicamente académicos.
De manera general se realizo una encuesta de campo contando con la colaboración de todo
el alumnado, personal académico y administrativos de nuestra unidad, con la finalidad de
Capítulo 4. Seguridad en la UJAT 39
captar las impresiones que tienen los usuarios con respecto, a los servicios de redes y de
seguridad, con que cuenta la ujat.
Se pregunto acerca de las herramientas que existen para resguardar la seguridad de las
redes y telecomunicaciones (Ver Fig. 6). Y con un amplio porcentaje se noto el
desconocimiento por parte de los usuarios, una parte de la población contestó
afirmativamente, otras que los antivirus, algunas otras que sabían más o menos y un
número más pequeño se abstuvo en contestar la pregunta.
78% No
Si
Antivirus
1% Mas o menos
3% 15% Abstención.
3%
Fig. 6 como usuarios de los servicios de redes de nuestra institución, ¿Sabe usted qué herramientas existen
para resguardar la seguridad de las redes y telecomunicaciones?
3%
21%
No
Si
abstención
76%
Se realizaron algunas preguntas con respecto a los problemas que existen en la seguridad de
nuestra red-UJAT. (Ver Fig. 8) La cual consistía en el conocimiento por parte de los
usuarios, si sabían, a que se referían dichos problemas en nuestras redes. Lo que nos llevo
a una opinión casi dividida por parte de todos los usuarios, con una mínima diferencia en
los porcentajes entre los que si saben a que se refieren los problemas de la seguridad en
nuestras redes y en los que contestaron negativamente. Quedando un pequeño porcentaje
de personas encuestadas que nos señalaron que los problemas de seguridad se debían a
robos de información, a ataques relacionados con los virus, otros que conocían muy poco
acerca de este tema y por ultimo con un porcentaje menor se abstuvieron a contestar.
3% No
3%
Si
2%
42% Abstención
5%
Robos de
informacion
45%
Virus
Poco
5%
26% No
Si
Abstención
69%
En cuanto a las mejoras que se deban implementar, para solucionar las fallas de seguridad
en nuestras redes, (Ver Fig. 10) las respuestas fueron muy diversas. Desde contratar
personal y capacitarlos en el área de seguridad, pasando por dar a conocer los reglamentos
de seguridad, hasta mantener vigilados los sistemas de redes que permitan optimizar el
servicio.
42 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
No sabe.
Contratar personal y capacitarlos en seguridad.
Instalar actualizaciones de antivirus e instalar firewall.
Implementar nueva tecnología.
Dar a conocer los reglamentos.
Rapidez en la Internet.
Implementar otros metodos de seguridad.
Mantener vigilados los sistemas de redes que permitan optimizar el servicio.
Abstención.
Otros.
12%
30%
13%
4%
2% 13%
8% 11%
2%
5%
Fig. 10 ¿Qué mejoras cree que se deban implementar para solucionar dichas fallas en seguridad en redes?
8%
13%
No
Si
Algunos
79%
Fig. 11 ¿Conoce las reglamentaciones actuales referentes a centros de computo y seguridad en redes y
telecomunicaciones de la UJAT?
Ningun otro.
15% 4%
Abstencion.
81% FTP,TELNET,
SSH, DESKTOT
Remoto
Fig. 12 ¿Qué otros servicios de redes utiliza además de la consulta de paginas Web o el correo electrónico
institucional UJAT?
Cuando se les cuestiono si contaban con algún requerimiento especial para algunos
servicios de redes como son: Telecomunicaciones, video conferencias, sesión remota y
transferencia de archivos. (Ver Fig. 13) La mayoría contesto con una negativa ya que solo
hacían uso de la red, para la investigación y el correo. En cuanto a los que contestaron
44 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
afirmativamente solo se debe a una mínima parte de los usuarios por ser parte de la plantilla
que conforman el profesorado y de los administradores del servicio.
16%
No
Si
84%
Fig. 13 ¿Cuenta con algún requerimiento especial para algunos servicios de redes? Como son:
telecomunicaciones, video conferencias, sesión remota y transferencia de archivos FTP.
En cuanto a la utilización del antivirus institucional, (Ver Fig. 14) la mayor parte de la
población universitaria se encuentra dividida con respecto a este punto con un 47 % que si
hace uso del antivirus y el 44% de esa misma población que no lo utiliza por diferentes
razones y solo un 9 % no sabe si tiene la UJAT.
No
44% 47% Si
No sabe si tiene
9%
la UJAT
De manera general obtuvimos una opinión, acerca del servicio y preguntamos que tan
eficiente les resultaba el servicio de Internet en nuestra red. (Ver Fig. 15)Las respuestas
Capítulo 4. Seguridad en la UJAT 45
fueron muy diversas partiendo desde bueno, regular, pésimo y muy deficiente. Las
respuestas más sobresalientes fueron; en primer lugar. Bueno con un 24 % y regular con un
26 %.
Bueno.
Muy bueno.
8% 3% 21% Regular.
12%
5% Lenta.
Muy lenta.
26% 24% Pesimo.
1%
Deficiente.
Muy deficiente
Fig. 15 De manera general, desde el punto de vista del servicio. ¿Qué tan eficiente es el servicio de Internet de
nuestra red?
Desde luego hemos cuestionado a todos los usuarios acerca del desempeño de su PC ó
estación de trabajo (Ver Fig. 16) y las respuestas fueron muy diversas, pero las respuestas
mas sobre salientes son. En buen estado con un 33% y regular con un 32% según los
encuestados.
En buen estado.
Muy bien.
6% 9%
33% Deficiente.
Muy deficiente.
32% Regular.
2% 11% 7%
No sabe.
Muy lenta.
Fig. 16 ¿Cómo se encuentra tu equipo de computo (PC o estación de trabajo) en cuanto al desempeño?
46 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
No
5%
Si
No
Si
95%
29%
Si
No
71%
Fig. 18 ¿Sabe si existen restricciones para páginas Web en cuanto a contenido?… (Por ejemplo paginas
para adultos, de entretenimiento, etc.)
Capítulo 4. Seguridad en la UJAT 47
Por ultimo se cuestiono sobre los servicios de red (A) y el estado de seguridad (B) que
guarda la institución en cuanto al servicio que le brinda a la comunidad universitaria. (Ver
Fig. 19 La mayoría de los usuarios consideran que el servicio es muy malo con un 61 % y
el estado de seguridad de la misma manera lo califican de malo con 58 %, con un 19 % de
regular y de bueno con 13 % y 16 %. Respectivamente
7%
13% pesimo
Bueno.
Regular.
61% 19%
Malo.
7%
16% pesimo
Bueno.
Regular.
58%
19% Malo.
Fig. 19 Como consideras los servicios de red (Bueno, Malo, Regular, Pésimo) y el estado de seguridad
(Bueno, Malo, Regular, Pésimo)
En conclusión ha esta encuesta de campo, nos damos cuenta que no existe ningún interés
por mantener la seguridad por parte de los administrativos y por la población universitaria.
Ya que no existe ningún reglamento en cuanto a la seguridad de la red y que necesitamos
implementar la cultura de la seguridad para proteger nuestra información.
Ya que sino existen normas de seguridad no habrá ó existirá ninguna infracción. Para
aquellos que las violen y sino existe ninguna infracción no puede levantarse ninguna
sanción. La mayoría de los usuarios desconocen las normas y reglamentos en cuanto a
estos temas, la reglamentación elimina las discrepancias entre lo que el usuario y el
administrador consideran permitido.
48 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Lo que falta es definir las sanciones, quien las supervise y quien las aplique. La
reglamentación no va a resolver todos los problemas pero si va hacer que todos los
servicios operen eficientemente.
Capítulo 5
Seguridad en otras instituciones
Tomando en cuenta la preocupación por la seguridad de la red UJAT, de nuestra institución
de educación superior, hemos llevado acabo nuestra investigación más allá y fuera de los
limites de nuestras fronteras, haciendo una comparación con la metodología y el tipo de
seguridad con que cuentan otras universidades del país, para tener una visión mas amplia de
la importancia y el tiempo que invierten en materia de seguridad en redes.
Se ha realizado una investigación general, en todas y cada uno de los miembros de la región
de las instituciones pertenecientes a la “Asociación de Universidades e Instituciones de
Educación Superior” (ANUIES), que pertenecen a la región sur sureste la cual se
encuentra conformada por 23 instituciones de educación superior.
A cada una de estas máximas casas de estudio correspondiente a cada estado del país, Se
les ha analizado su pagina principal, entre otras más, en busca del nivel de protección al
tema al cual nos referimos y se ha notado que solo algunas de estas instituciones de
educación superior se comienzan a preocupar por la seguridad de la información que ellos
manejan a través de sus redes, ya que solo cuentan con algunas herramientas básicas que
les permite mantenerse a salvo de algunos incidentes menores en cuanto a seguridad se
refiere, y que a su vez les brindan a poyo desde su pagina principal a todo su comunidad
universitaria.
La mayoría de ellas cuentan solo con una pequeña liga destinada a este servicio que brindan
respecto a este tema. Como por ejemplo, una en la cual la institución ofrece este servicio de
seguridad, casi siempre se encuentra en la liga de servicios a la comunidad, en la que solo
cuentan con información de virus mas recientes y como eliminarlos. Algunas otras
universidades y tecnológicos a parte de este servicio que brindan. Tienen ligas hacia otras
instituciones del país, como lo es. La Universidad Nacional Autónoma de México
(UNAM).
Es preciso decir que mayor parte de las universidades del país, cuentan con el respaldo
directo de la ANUIES, mediante una liga directa dentro de sus páginas Web. La cual les da
apoyo, les proporciona y dicta los reglamentos y normas de centros de cómputo a cada
institución asociada a ella.
Con el estudio realizado se ha observado que existe una apatía muy grande en el tema de la
cultura de prevención de incidentes en seguridad. Por parte de las instituciones del país,
sabiendo que es de gran importancia fomentar esta cultura. Para prevenir grandes desastres
en nuestro sistema y estar preparado a cualquier eventualidad en lo que a la seguridad se
refiere. Existe una actitud histórica en la educación superior según la cual no debe haber
barreras para el acceso a la información. Por eso algunas universidades muestran resistencia
a utilizar los firewalls de redes para bloquear el tráfico malicioso porque temen que estos
productos también les impidan a los demás miembros de la comunidad universitaria realizar
actividades y trabajo de investigación legítimos. La información corre riesgos y esta
situación se debe comunicar. Se debe desarrollar un programa educativo de toma de
conciencia sobre la seguridad relacionado con las amenazas reales que afrontan las
universidades y las razones por las cuales es tan importante adoptar medidas de seguridad.
Departamento de
9 9
Seguridad en Computo
Sección especial
9 9
Seguridad en UNIX
Virus y Gusanos 9 9 9
Tutoriales 9 9
Foros o Listas de
9
discusión
Noticias 9
Boletines 9
Preguntas frecuentes 9
FTP 9
Respuesta a incidentes 9
Capacitación 9
Problemas Spam 9
Eventos 9
Publicaciones 9
Detección de intrusos 9
Estadística 9 9
Documentación 9 9
Utilerías 9 9
Videoconferencia 9 9
Acceso Remoto Dial-up 9 9
Internet2 9 9
Spam 9
Spyware 9
Conoce ó utiliza las
Trabajan en un frente Si las conoce y
normas de seguridad de No las utiliza No las utiliza.
común, en la seguridad. las utiliza.
ANUIES
Personal de dedicado a Si cuenta con No cuenta con No cuenta con
Si cuenta con personal.
la seguridad personal. personal personal
Ligas o pertenece a otras
9 UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
9 ANUIES ANUIES ANUIES
nacionales
INSTITUTO INSTITUTO
INSTITUTO DE
INSTITUTO TECNOLÓGICO TECNOLOGICO
ECOLOGIA
TECNOLÓGICO DE DE DE CAMPECHE
VERACRUZ VILLAHERMOSA
INSTITUCIONES
Departamento de
Seguridad en Cómputo
Sección especial
Seguridad en UNIX
Virus y Gusanos
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Preguntas frecuentes
FTP
Respuesta a incidentes
Capacitación
Problemas Spam
Eventos
Publicaciones
Detección de intrusos
Estadísticas
Documentación
Utilerías
Videoconferencia
Acceso Remoto Dial-up
Internet2
Spyware
Conoce ó utiliza las
normas de seguridad de No las utiliza No las utiliza No las utiliza No las utiliza
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con
No cuenta con personal
la seguridad personal personal personal
Ligas o pertencia a otros
UNAM-CERT UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
ANUIES ANUIES ANUIES ANUIES
nacionales
INSTITUCIONES
Departamento de
Seguridad en cómputo
Sección especial
Seguridad en UNIX
Virus y Gusanos
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Pregunta frecuentes
FTP
Respuesta a incidentes
Capacitación
Problemas Spam
Eventos
Publicaciones
Detección de intrusos
Estadística
Documentación
Utilerías
Videoconferencia
Acceso Remoto Dial-up
Internet 2
Spyware
Conoce ó utiliza las
normas de seguridad de No las utiliza No las utiliza No las utiliza No las utiliza
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con
No cuenta con personal
la seguridad personal personal personal
Ligas o pertenece a otras
UNAM-CERT UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
ANUIES ANUIES ANUIES ANUIES
nacionales
INSTITUCIONES
Departamento de
9
Seguridad en Cómputo
Sección especial
Seguridad en UNIX
Virus y Gusanos 9 9
Tutoriales
Foros o Listas de
discusión
Noticias 9
Boletines 9
Preguntas frecuentes 9
FTP
Respuesta a incidentes
Capacitación
Problemas Spam 9
Eventos
Publicaciones
Detección de intrusos
Estadística 9
Documentación 9
Utilerías
Videoconferencias
Acceso Remoto Dial-up
Internet2
Spyware
Conoce ó utiliza las
Si las conoce y las
normas de seguridad de No las Conoce No las Conoce No las utiliza
utiliza
ANUIES
Personal de dedicado a No cuenta con personal No cuenta con Si cuenta con personal No cuenta con
la seguridad personal dedicado a la personal
seguridad.
Ligas o pertenece a otras
UNAM-CERT UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
ANUIES ANUIES ANUIES ANUIES
nacionales
INSTITUCIONES
Departamento de 9
Seguridad en Cómputo
Sección especial
Seguridad en UNIX
Virus y Gusanos 9 9 9
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Preguntas frecuentes
FTP 9 9
Respuesta a incidentes
Capacitación.
Problemas Spam
Eventos
Publicaciones
Detección de intrusos
Estadística
Documentación
Utilerías
Videoconferencia
Acceso Remoto Dial-up
Internet2
Spyware
Conoce ó utiliza las
No las utiliza y tiene
normas de seguridad de No las conoce No las conoce No las utiliza
su propio reglamento
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con No cuenta con
la seguridad personal personal personal personal
Ligas o pertenece a otras
UNAM-CERT UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
ANUIES ANUIES ANUIES ANUIES
nacionales
INSTITUCIONES
Departamento de
Seguridad en Computo
Sección especial
Seguridad en UNIX
Virus y Gusanos
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Pregunta frecuentes
FTP
Respuesta a incidentes
Capacitación
Problemas Spam
Eventos
Publicaciones
Detección de intrusos
Estadística
Documentación
Utilerías
Videoconferencias
Acceso Remoto Dial-up
Internet2
Spyware
Conoce ó utiliza las
normas de seguridad de No las conoce. No las conoce No las conoce. No las utiliza
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con No cuenta con
la seguridad personal. personal personal. personal
Ligas o pertenece a otras
UNAM-CERT UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
ANUIES ANUIES ANUIES ANUIES
nacionales
Al elaborar las políticas que reflejan la seguridad en la Red-UJAT. Pueden adaptarse dos
posturas principales.
Por ejemplo. Si se permite el uso del servicio de SSH, este deberá estar listado entre los
autorizados, cualquier otro no debe permitirse.
Este es el caso que aplica actualmente en la UJAT. Donde se bloquea toda la red y luego
se listan los servicios que se van a utilizar. De este modo solo se opera con los puertos, o
servicios que realmente se requieren.
El segundo enfoque es crear una lista de los servicios no permitidos, por lo tanto lo que no
se prohíbe expresamente está permitido. Esto significa que a menos que la las políticas
de la uso de la red lo indiquen expresamente que cierto servicio no esta disponible, todo lo
demás si lo esta.
Por ejemplo, si no desea que se use el servicio de Telnet, entonces se indicara en la lista de
servicios no permitidos. Los demás servicios como el SSH y el FTP podrán utilizarse.
Antecedentes
La seguridad física es una de los aspectos menos tomados en cuenta a la hora del diseño de un
sistema de cómputo o informático. Si bien algunos de los aspectos de seguridad física básicos se
prevén, otros, como la detección de un atacante interno a la empresa que intenta acceder
físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante
sea más fácil lograr tomar y copiar una cinta o disco de reserva de la sala de cómputo, que intentar
acceder vía lógica a la misma.
Propósito y alcance
Estas políticas previenen situaciones en las que se pueda ver afectada la infraestructura de
cómputo de (los closets de comunicaciones y servidores) de la UJAT, debido a no contar con un
control de acceso físico, a fallas en el suministro eléctrico, o a falla debidas a desastres naturales.
Artículos
(Acceso Físico)
1.1 Todos los closets de comunicaciones y servidores deberán estar debidamente protegidos con
infraestructura apropiada de manera que el usuario no tenga acceso físico directo.
1.2 Las visitas a los closets de comunicaciones y servidores deberán solicitar permiso al
departamento de redes así como portar una identificación durante su estancia en la institución.
1.4 Se debe definir qué personal está autorizado para mover, cambiar o extraer equipo de la UJAT
a través de identificaciones y los formatos correspondientes. El personal de acceso deberá tener
conocimiento de estos procedimientos.
(Robo de Equipo)
1.5 La UJAT deberá definir procedimientos para inventario físico, firmas de resguardo para
préstamos y usos dedicados de equipos de cómputo.
1.6 El resguardo de los equipos de cómputo estará a cargo de Cómputo Universitario contando
con un control de los equipos sin asignación personalizada que permita conocer siempre la
ubicación física de los equipos.
1.7 El Departamento de Redes y telecomunicaciones, así como las áreas que cuenten con
equipos de misión crítica deberán contar con vigilancia y/o algún tipo de sistema que ayude a
recabar evidencia de accesos físicos a las instalaciones.
(Protección Física)
1.8 Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio
transparente, para favorecer el control del uso de los recursos de cómputo.
1.9 Los closets de comunicaciones en la UJAT deben contar con acceso restringido, observar un
buen estado de la red eléctrica, protegida y acondicionada.
1.10 Los closets de comunicaciones deberán seguir los estándares vigentes para una protección
adecuada de los equipos de telecomunicaciones y servidores.
1.11 Los sistemas de tierra física de los closets de comunicaciones deberán recibir
mantenimiento anual con el fin de determinar su efectividad.
1.12 Se debe contar con una póliza de seguro contra desastres naturales que incluya
primeramente el equipo de mayor impacto hasta el de menor en la operación de la UJAT. La
póliza de servicio de mantenimiento debe considerar reemplazo de equipo según su importancia.
(Respaldos)
1.13 La Base de Datos del SIIA-UJAT será respaldada diariamente en forma automática y
manual, según los procedimientos generados para tal efecto.
1.14 Los respaldos del SIIA-UJAT deberán ser almacenados en un lugar seguro y distante del sitio
de trabajo.
Revisión Histórica
Última revisión fecha _______________________________.
64 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Propósito y Alcance
Artículos
(De la Red-UJAT)
2.2 Si una aplicación en la red es consistente con los propósitos de la Red-UJAT, las actividades
necesarias para esa aplicación serán consistentes con los propósitos de la TI-UJAT.
2.3 La Red-UJAT no es responsable por el contenido de datos ni por el tráfico que en ella circule,
la responsabilidad recae directamente sobre el usuario que los genere o solicite.
2.4 Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos de las UJAT
sin el consentimiento explícito responsable del equipo.
2.5 No se permite interferir o interrumpir las actividades de los demás usuarios por cualquier medio
o evento salvo que las circunstancias así lo ameriten, como casos de contingencia, los cuales
deberán ser reportados en su momento a sus autoridades correspondientes.
2.7 Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la UJAT y
se usarán exclusivamente para actividades relacionadas con la institución.
2.8 Todas las cuentas de acceso a los sistemas y recursos de cómputo de la Red-UJAT son
personales e intransferibles, se permite su uso única y exclusivamente durante la vigencia de
derechos del usuario.
2.9 El uso de analizadores (scanners) de red es permitido única y exclusivamente por el personal
del Departamento de Redes y Telecomunicaciones y por el encargado que ellos autoricen para
monitorear la funcionalidad de la Red-UJAT, contribuyendo a la consolidación del sistema de
seguridad en la UJAT bajo las políticas y normatividades de la UJAT.
2.11 Las dependencias deben llevar un control total escrito y/o sistematizado de sus recursos de
cómputo.
2.13 Si una dependencia viola las políticas vigentes de uso aceptable de la Red-UJAT, el Centro
de Operaciones de la Red-UJAT aislará la red de esa dependencia.
2.14 Todo usuario debe respetar la intimidad, confidencialidad de derechos individuales de los
demás.
2.15 El encargado no podrá remover del sistema ninguna información de cuentas individuales, a
menos que la información sea de carácter ilegal, o ponga en peligro el buen funcionamiento de los
sistemas, o se aproveche de ser de algún intruso utilizando una cuenta ajena.
2.16 Los recursos de cómputo empleados por el usuario. Deberán ser afines al trabajo
desarrollado así como no deberán ser proporcionados a personas ajenas y no deberán ser
utilizados para fines personales
2.17 El correo electrónico no se usará para envío masivo, materiales de uso no académico
(publicidad y propaganda comercial, política o social, entre otros).
2.20 Los usuarios deberán solicitar apoyo al encargado de su dependencia ante cualquier duda
en el manejo de los recursos de cómputo de la institución.
66 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
2.22 La instalación y/o configuración de todo servidor conectado a la Red-UJAT deberá ser
notificada al Departamento de Redes y telecomunicaciones de la Red-UJAT.
2.23 Durante la configuración del servidor el Encargado debe normar el uso de los recursos del
sistema y de la red, principalmente la restricción de directorios, permisos y programas a ser
ejecutados por los usuarios.
2.24 Los servidores que proporcionen servicios a través de la Red-UJAT e Internet deberán
funcionar 24 horas del día los 365 días del año, deberán ser monitoreados por el Departamento
de Redes y telecomunicaciones
2.25 Los servicios institucionales hacia Internet sólo podrán proveerse a través de los servidores
autorizados por el Departamento de Redes y telecomunicaciones de la Red-UJAT.
2.28 Los servidores deberán ubicarse en un área física que cumpla las recomendaciones para un
closet de comunicaciones del Departamento de Redes y telecomunicaciones.
2.29 El ABD tendrá acceso a la información de la Base de Datos del SIIA-UJAT únicamente para.
La realización de los respaldos de la BD, solucionar problemas que el usuario no pueda resolver y
Diagnóstico o monitoreo del SIIA-UJAT.
2.30 El Administrador de la Base de Datos del SIIA-UJAT no deberá eliminar ninguna información
del sistema, a menos que la información esté dañada o ponga en peligro el buen funcionamiento
del sistema.
2.31 El Administrador de la Base de Datos del SIIA-UJAT es el encargado de asignar las cuentas a
los usuarios para el uso del SIIA-UJAT. Para tal efecto será necesario seguir el procedimiento
determinado por la UJAT.
2.32 Las contraseñas serán asignadas por el Administrador de la Base de Datos del SIIA-UJAT en
el momento en que el usuario desee activar su cuenta, previa solicitud al responsable del SIIA-
UJAT, de acuerdo con el procedimiento generado.
Capítulo 6. Políticas de seguridad UJAT 67
Revisión Histórica
Última revisión fecha _______________________________
68 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
La inversión en equipos de cómputo, software y servicios; demandan sacar el mayor beneficio a fin
de hacer rentable la infraestructura, por lo que la preparación de un encargado de sistemas es
fundamental.
El encargado requiere conocer todos los aspectos del entorno técnico-administrativo de los centros
de cómputo, mantener actualizados sus conocimientos en los nuevos desarrollos tecnológicos
disponibles en el mercado, así como adquirir una visión de la tendencia al futuro de dichos centros.
Propósito y alcance
El área de administración se encarga de establecer políticas para el uso correcto y eficiente de los
equipos.
Artículos
(Área de Seguridad en Cómputo)
3.2 El ASC-UJAT debe mantener informados a los usuarios y poner a disposición de los mismos el
software que refuerce la seguridad de los sistemas de cómputo de la UJAT.
3.4 El encargado de seguridad debe cancelar o suspender las cuentas de los usuarios previa
notificación, cuando se le solicite mediante un documento explícito por las autoridades de una
dependencia en los siguientes casos: Si la cuenta no se está utilizando con fines institucionales, si
pone en peligro el buen funcionamiento de los sistemas o si se sospecha de algún intruso
utilizando una cuenta ajena.
3.6 El encargado de seguridad deberá utilizar los analizadores previa autorización del ASC-
UJAT y bajo la supervisión de éste, informando de los propósitos y los resultados obtenidos.
Capítulo 6. Políticas de seguridad UJAT 69
3.9 El encargado de seguridad debe registrar cada máquina en el padrón único de control de
equipo de cómputo y red de la dependencia a su cargo.
3.10 El encargado de seguridad debe auditar periódicamente los sistemas y los servicios de red,
para verificar la existencia de archivos no autorizados, configuraciones no válidas o permisos extra
que pongan en riesgo la seguridad de la información.
3.12 EL encargado reportará al ASC-UJAT los incidentes de seguridad, de acuerdo con el formato
de control de incidentes de la UJAT, junto con cualquier experiencia o información que ayude a
fortalecer la seguridad de los sistemas de cómputo.
Revisión Histórica
Última revisión fecha _______________________________.
70 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
Internet — La red global de computadoras que proporciona a la base para el correo electrónico
universal, WWW, y formas numerosas de comercios electrónicos —varios lo han descrito como lo
fue en su aparición la computadora personal, más significativa que la prensa y tan revolucionario
como el descubrimiento del fuego. Actualmente, los títulos de Internet abarrotan los estantes de la
sección de computadora de cada librería. Cada película importante se jacta un sitio de la red.
Aunque una Firewall, se diseña para controlar el flujo de la información entre dos redes, vino antes
de que el mundo en grande hubiera oído hablar del Internet. El sentido común dice que un
administrador de red debe considerar el usar de una Firewall al momento de conectar dos redes, el
proceso se llama la conexión de redes (internetworking). Típicamente, el término capitalizado
Internet se refiere específicamente al descendiente de TP/IP de la unión de ARPAnet's a SNET en
1982, ahora sirven diez de millones de usuarios vía cientos de los miles de servidores de Internet.
En prácticamente todos los casos, la conexión de redes debe considerar la conexión de una
Firewall para mediar y para vigilar las conexiones de la red interna. Estas preocupaciones se hacen
mayores, cuando la conexión incluye una conexión directa a Internet.
Propósito y Alcance
Para muchos administradores la principal preocupación es la implementación de seguridad en el
acceso a Internet, pero no debe descuidarse la seguridad interna de los servidores tanto física
como lógica, la importancia de este tema es capital en la implementación de una política de
seguridad.
Artículos
(Servidores en las dependencias universitarias)
4.1 Cada dependencia definirá los servicios de red a ofrecer en los servidores e informará al
departamento de redes y telecomunicaciones de la red para su autorización.
4.2 Las dependencias pueden utilizar la infraestructura de la Red-UJAT para proveer servicios a
los usuarios de la misma dependencia y/o pertenecientes a la UJAT.
4.4 La dependencia deberá notificar al encargado cuando un usuario deje de laborar o de tener
relación con la UJAT.
4.6 El encargado es el único autorizado para asignar las cuentas a los usuarios de su
dependencia con previa anuencia de las autoridades de la dependencia.
• Si los servicios proporcionados por el servidor implican un tráfico adicional en la Red-UJAT.
• Si se detecta la utilización de vulnerabilidades que puedan comprometer la seguridad en la
Red-UJAT.
• Si se detecta la utilización de programas que alteren la seguridad y/o consistencia de los
servidores.
• Si se detectan accesos no autorizados que comprometan la integridad de la información.
• Si se viola las políticas de uso de los servidores.
4.8 Si un usuario viola las políticas de uso de los servidores, el encargado podrá cancelar
totalmente su cuenta de acceso a los servidores, notificando a las autoridades correspondientes.
Revisión Histórica
Última revisión fecha _______________________________.
72 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada
uno de los virus existentes. Es importante aclarar que todo antivirus es un programa y que, como
todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un
antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos,
sino que nunca será una protección total ni definitiva.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos,
cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus
informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar
el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos
del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de
identificación como una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es
necesario que un virus informático alcance un grado de dispersión considerable para que sea
enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los
desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y
lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a
partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual
puede causar graves daños sin que pueda ser identificado. Además, este modelo consiste en una
sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una
solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que
permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de
mayor dispersión, permite una importante gama de posibilidades. Un ejemplo típico de un antivirus
de esta clase es el Viruscan de McAfee.
Propósito y Alcance
Todo virus es un programa y, como tal, debe ser ejecutado para activarse. Es imprescindible contar
con herramientas de detección y desinfección. Ningún sistema de seguridad es 100% seguro; por
eso todo usuario de computador debería tratar de implementar estrategias de seguridad antivirus,
no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de
algo que puede producir daños graves e indiscriminados.
Capítulo 6. Políticas de seguridad UJAT 73
Artículos
(Antivirus de la Red-UJAT)
5.2 Todos los equipos de cómputo de la UJAT deberán tener instalada la solución antivirus.
5.4 En caso de contingencia con virus el encargado deberá seguir el procedimiento establecido
por la UJAT.
5.6 Si el usuario hace uso de medios de almacenamiento personales, éstos serán rastreados por la
solución antivirus en la computadora del usuario o por el equipo designado para tal efecto.
5.8 El usuario será notificado por el encargado en los siguientes casos. Cuando sea desconectado
de la red con el fin evitar la propagación del virus a otros usuarios de la dependencia, cuando sus
archivos resulten con daños irreparables por causa de virus y si viola las políticas antivirus.
Revisión Histórica
Última revisión fecha _______________________________.
74 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
La red central de Internet en sus comienzos ARPAnet pasó a ser NSFnet y hasta hoy es la espina
dorsal de Internet. Sin embargo luego de su privatización en conjunto con la explosión de Internet
se deterioró su servicio y frecuentemente se congestiona. Esto por supuesto ha tenido un impacto
negativo en el quehacer para el cual Internet inicialmente fue creada, la colaboración e
investigación académica.
Un proyecto similar al de los años sesenta se está llevando a cabo actualmente entre
Universidades a lo largo de todo el mundo. El proyecto tiene como principal objetivo el proveer a la
comunidad académica de una red entendida para la colaboración e investigación entre sus
distintos miembros y con esto permitir el desarrollo de aplicaciones y protocolos que luego puedan
aplicarse a la Internet de todos
Internet2 es un consorcio que es conducido por 202 universidades que trabajan en sociedad con
industrias y el gobierno para desarrollar y para desplegar usos avanzados y las tecnologías de la
red, acelerando la creación del Internet del mañana. Internet2 está reconstruyendo la sociedad
entre academia, industria y el gobierno que fomentó Internet de hoy en su infancia.
Propósito y Alcance
Las universidades mexicanas que ya están conectadas a Internet2 aprovechan al máximo los
recursos ofrecidos por una red de alta velocidad con fines educativos, un buen ejemplo es el
Instituto Tecnológico de Estudios Superiores de Monterrey, que usa la telaraña para que sus
profesores impartan clases virtuales por videoconferencia a muchos de sus campus. Otro caso es
el del Consejo Nacional de la Ciencia y la Tecnología (CONACYT), cuyos centros de investigación
que estudian el golfo de California comparten información de clima, salinidad, fauna, etcétera, entre
ellos y con otras instituciones estadounidenses. Para el directivo, las tecnologías que se
desarrollen a partir de la investigación conjunta pronto serán llevadas a la población en general, y
ése es precisamente el valor de Internet2. "El modelo es muy claro con Internet1. Arranca como
un proyecto patrocinado por el gobierno, se expande a las universidades, las cuales después se
asocian con la iniciativa privada, y estas empresas comercializan a la gente". Las metas
fundamentales de Internet2 son:
Crear una capacidad principal de la red del borde para la comunidad de investigación nacional
Permita los usos revolucionarios del Internet.
Asegurar la transferencia rápida de nuevos servicios de red y los usos a la comunidad más amplia
del Internet.
Artículos
6.2 Los proyectos que requieran Internet2 serán coordinados por el centro de cómputo
universitario.
6.3 Los servicios de video conferencias que requieran Internet2 serán coordinadas por el centro
de cómputo universitario.
Revisión Histórica
Última revisión fecha _______________________________.
76 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Así, por ejemplo, si un ordenador tiene una impresora, podría compartirla con el resto de
ordenadores. De igual manera, en esa misma red, otro ordenador podría poner a compartir sus
discos duros de manera accesible para el resto de ordenadores.
Hay muchos programas que circulan por la red de tipo P2P, como el KaZaa o el eDonkey o como
en su día lo fue el famoso Napster, que permiten compartir imágenes, videos y software de todo
tipo a través de Internet de manera que, una vez descargados en tu ordenador, pueden ser
descargados por otros usuarios de tu ordenador. También puedes elegir qué ficheros compartir y
cuales no. Cuando piensas en que tienes la posibilidad de bajar archivos de los ordenadores de
otros ínter nautas y ellos del tuyo, se te alegra la cara en el sentido de que, actualmente, es el
sistema más fácil y rápido de encontrar esa canción o vídeo que tanto te gusta y no encuentras en
ningún buscador. Pero algo malo tenía que haber en todo esto, ya que utilizar un programa P2P es
beneficiara la piratería, de ahí la caída de Napster. Por esto, y como conclusión, decir que mucho
ojo de qué bajas del ordenador de la gente ya que si lo piensas bien, es una manera muy rápida
de contagiar nuestro equipo y el de la gente, aunque esperamos no dar ideas con esto.
Propósito y Alcance
A pesar de los denotados esfuerzos de la industria discográfica por acabar con los sistemas
gratuitos de intercambio de ficheros musicales (KaZaa, Moprpheus...), las redes P2P (peer to peer)
seguirán creciendo y alcanzarán la cumbre en 2005, según predice The Yankee Group.
El año pasado volaron de PC a PC gracias a programas como KaZaa o Morpheus unos 5.160
millones de archivos de audio sin la autorización del propietario de los derechos de autor, cifra que
aumentará hasta los 7.440 millones en 2005. A partir de ese año el fenómeno empezará a declinar,
y en 2006 'sólo' serán 6.330 millones las canciones intercambiadas de forma 'ilegal'.
Sólo a través de Kazaa, quizá el programa más popular tras la muerte prematura de Napster y
AudioGalaxy, se puede contactar, de media, con unos 3 millones de usuarios que comparten
alrededor de 400 millones de archivos (aunque hay que tener en cuenta que en Kazaa se
encuentran todo tipo de ficheros, no sólo mp3). El Kazaa Media Desktop ya ha sido descargado
unos 115 millones de veces, más de dos millones en la última semana. Sin embargo, es más que
probable que Kazaa no sobreviva hasta 2005, ya que está en el punto de mira de la industria
desde hace tiempo.
El informe de The Yankee Group supone una bofetada para las iniciativas de las discográficas, que
han lanzado sus propias plataformas de pago para descargar música (MusicNet y PressPlay) que
no terminan de arrancar. Los sistemas por suscripción han atraído hasta el momento a unos
100.000 usuarios. La última estrategia de Recording Industry Association of América (RIAA), que
Capítulo 6. Políticas de seguridad UJAT 77
El problema de la industria es que no supo reaccionar con inteligencia ante la ruidosa aparición de
Napster, optando por golpear con la maza del juez a los rebeldes en lugar de dedicarse a estudiar
alternativas. En 1999, la venta de discos (1,2 millones de unidades en EEUU) supuso 14.600
millones de dólares, momento desde el cual, con la llegada de Napster, comenzó el descenso.
Que Internet pase de ser el enemigo público número uno a un aliado sólo depende de las
discográficas.
Este año, Yankee estima que 500.000 usuarios se suscribirán a sistemas de pago, generando 21,7
millones de dólares de ingresos. Cuando la industria afine el modelo de negocio, para 2007, habrá
65,6 millones de suscriptores que gastarán 5.800 millones de dólares.
Las redes P2P continuarán funcionando más allá del 2005. Verán IPv6, IPv7, y más allá, y
perdurarán como lo han hecho el IRC o el HTTP. No es una cuestión de leyes o de juicios. Esto
funciona gratis, la alternativa, música bajo demanda, implica pagar una cuota ¿por que pagar si
puede salir gratis? Hoy en día los protocolos usados en las redes P2P permiten a los usuarios ser
anónimos, perderse entre la multitud (esa era una de las hermosas ideas de arpanet que se
diluyeron con el tiempo). Tampoco los contenidos de las redes P2P pueden ser moderados. No
mientras los que tengan el control de las redes sean desarrolladores independientes y usuarios,
con ese espíritu siempre tan GPL de por medio. Se ha abierto la caja de Pandora. Me gustaría
saber cual va a ser el siguiente paso de los ultra defensores del copyright (esos que hacen CDs y
DVD que luego no puedes reproducir en casa). Ni siquiera una ley tipo DMCA por aquí valdría de
mucho. Pienso que ahora es el momento de plantearse de nuevo el concepto de copyright y de
como se ata a los usuarios. O eso o perderlo todo.
Articulo
(Sobre su uso)
7.1 Esta prohibido el uso no autorizado de programas o aplicaciones punto a punto para descargar
cualquier tipo de material que cuente con derechos de autor.
Revisión Histórica
Última revisión fecha _______________________________.
78 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
También es útil para hacer posibles sistemas basados en plumas. Pero la realidad es que esta
tecnología está todavía en pañales y se deben de resolver varios obstáculos técnicos y de
regulación antes de que las redes inalámbricas sean utilizadas de una manera general en los
sistemas de cómputo de la actualidad.
No se espera que las redes inalámbricas lleguen a remplazar a las redes cableadas. Estas ofrecen
velocidades de transmisión mayores que las logradas con la tecnología inalámbrica. Mientras que
las redes inalámbricas actuales ofrecen velocidades de 54 Mbps, las redes cableadas ofrecen
velocidades de 100 Mbps y se espera que alcancen velocidades de hasta 10 Gbps. Los sistemas
de Cable de Fibra Óptica logran velocidades aún mayores, y pensando futuristamente se espera
que las redes inalámbricas alcancen velocidades 108 Mbps en el estándar 802.11g
Sin embargo se pueden mezclar las redes cableadas y las inalámbricas, y de esta manera generar
una Red Híbrida y poder resolver los últimos metros hacia la estación. Se puede considerar que el
sistema cableado sea la parte principal y la inalámbrica le proporcione movilidad adicional al
equipo y el operador se pueda desplazar con facilidad dentro de un almacén o una oficina. Existen
dos amplias categorías de Redes Inalámbricas:
De Larga Distancia.- Estas son utilizadas para transmitir la información en espacios que pueden
variar desde una misma ciudad o hasta varios países circunvecinos mejor conocido como Redes
de Área Metropolitana MAN; sus velocidades de transmisión son relativamente bajas, de 4.8 a 19.2
Kbps.
De Corta Distancia.- Estas son utilizadas principalmente en redes corporativas cuyas oficinas se
encuentran en uno o varios edificios que no se encuentran muy retirados entre si, con velocidades
del orden de 280 Kbps hasta los 2 Mbps.
Existen dos tipos de redes de larga distancia: Redes de Conmutación de Paquetes públicas y
privadas y Redes Telefónicas Celulares. Estas últimas son un medio para transmitir información de
alto precio. Debido a que los módems celulares actualmente son más caros y delicados que los
convencionales, ya que requieren circuiteria especial, que permite mantener la pérdida de señal
cuando el circuito se alterna entre una célula y otra. Esta pérdida de señal no es problema para la
comunicación de voz debido a que el retraso en la conmutación dura unos cuantos cientos de
milisegundos, lo cual no se nota, pero en la transmisión de información puede hacer estragos.
Otras desventajas de la transmisión celular son:
Todas estas desventajas hacen que la comunicación celular se utilice poco, o únicamente para
archivos muy pequeños como cartas, planos, etc... Pero se espera que con los avances en la
compresión de datos, seguridad y algoritmos de verificación de errores se permita que las redes
celulares sean una opción redituable en algunas situaciones.
Capítulo 6. Políticas de seguridad UJAT 79
La otra opción que existe en redes de larga distancia son las denominadas: Red Pública De
Conmutación De Paquetes Por Radio. Estas redes no tienen problemas de pérdida de señal
debido a que su arquitectura está diseñada para soportar paquetes de datos en lugar de
comunicaciones de voz. Las redes privadas de conmutación de paquetes utilizan la misma
tecnología que las públicas, pero bajo bandas de radio frecuencias restringidas por la propia
organización de sus sistemas de cómputo.
Las nuevas posibilidades que ofrecen las WLANs son: permitir una fácil incorporación de nuevos
usuarios a la red, ofrecer una alternativa de bajo costo a los sistemas cableados, además de la
posibilidad para acceder a cualquier base de datos o cualquier aplicación localizada dentro de la
red.
Los hornos de microondas y algunos teléfonos inalámbricos (no los celulares) interfieren las
señales de la red inalámbrica. Muros, paredes y objetos metálicos como archivadores y lockers
también afectan la calidad de la señal. Mantengase lejos de este tipo de elementos en lo posible
para que la señal no tenga interferencias y problemas.
Propósito y alcance
Las nuevas posibilidades que ofrecen las WLANs son: permitir una fácil incorporación de nuevos
usuarios a la red, ofrecer una alternativa de bajo costo a los sistemas cableados, además de la
posibilidad para acceder a cualquier base de datos o cualquier aplicación localizada dentro de la
red.
La velocidad máxima de transmisión inalámbrica de la tecnología 802.11b es de 11 Mbps. Pero la
velocidad típica es solo la mitad: entre 1.5 y 5 Mbps dependiendo de si se transmiten muchos
archivos pequeños o unos pocos archivos grandes. La velocidad máxima de la tecnología 802.11g
es de 54 mbps. Pero la velocidad típica de esta última tecnología es solo unas 3 veces más rápida
que la de 802.11b: entre 5 y 15 mbps.
Resumiendo, las velocidades típicas de los diferentes tipos de red son:
El alcance típico de ambas tecnologías varía entre 20 y 200 metros dependiendo de si hay o no
obstáculos, paredes, etc. por en medio. Este es un alcance típico, que se puede aumentar con
tarjetas y router o puntos de acceso de más potencia, o bien incorporando antenas más o menos
direccionales. También existen puntos de acceso que pueden funcionar como repetidores de la
señal del punto de acceso principal y extienden su alcance.
Los usuarios móviles, cuyo número crece día a día, son indudables candidatos a las redes LAN
inalámbricas. El acceso portátil a las redes inalámbricas se realiza a través de equipos portátiles y
NIC inalámbricas. Esto permite al usuario viajar a distintos lugares (salas de reunión, vestíbulos,
salas de espera, cafeterías, aulas, etc.) sin perder el acceso a los datos de la red. Sin el acceso
inalámbrico, el usuario tendría que llevar consigo pesados cables y disponer de conexiones de
red.
Más allá del campo empresarial, el acceso a Internet e incluso a sitios corporativos podría estar
disponible a través de zonas activas de redes inalámbricas públicas. Los aeropuertos, los
restaurantes, las estaciones de tren y otras áreas comunes de las ciudades se pueden dotar del
equipo necesario para ofrecer este servicio. Cuando un trabajador que está de viaje llega a su
destino, quizás una reunión con un cliente en su oficina, se puede proporcionar acceso limitado al
usuario a través de la red inalámbrica local. La red reconoce al usuario de la otra organización y
crea una conexión que, a pesar de estar aislada de la red local de la empresa, proporciona acceso
a Internet al visitante.
80 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de seguridad eran tan
débiles que podía ganarse acceso con relativa facilidad hacia redes WLAN de compañías desde la
calle.
Existe el término “wardriving”, que se refiere a la acción de recorrer una ciudad para buscar la
existencia de redes inalámbricas y ganar acceso a ellas. En la actualidad, existen técnicas más
sofisticadas y complejas, las cuales fortalecen los inconvenientes de los mecanismos WLAN y
ayudan a mantener la confidencialidad y resistencia ante los ataques dirigidos hacia este tipo de
redes.
La seguridad WLAN abarca dos elementos: el acceso a la red y la protección de los datos
autenticación y encriptación, respectivamente. Las violaciones a la seguridad de la red inalámbrica,
generalmente, vienen de los puntos de acceso no autorizados, aquéllos instalados sin el
conocimiento de los administradores de la red, o que operan con las funcionalidades de protección
deshabilitadas que es la configuración por omisión en los dispositivos inalámbricos.
Estos “hoyos” en la seguridad, pueden ser aprovechados por personal no autorizado (hackers),
que en caso de que logren asociarse con el punto de acceso, ponen en riesgo no únicamente la
infraestructura inalámbrica, sino también la red alámbrica a la cual se conecta. La tabla siguiente
contiene los mecanismos de seguridad usados en redes WLAN, así como las ventajas y
desventajas de cada uno de ellos.
En 2007 viviremos en un mundo en el que no existan cables. Que el mundo vive en continua
revolución es un hecho ya por todos conocidos. Llegaremos a un mundo en el que no existirán
cables. Una existencia inalámbrica. Según informa PC Actual, la empresa Toshiba acaba de
publicar el segundo estudio acerca de la tecnología inalámbrica y, entre las conclusiones a las que
han llegado se encuentra la afirmación de que el mercado se multiplicará por 15 para entonces.
Para todos, empresas y particulares, están bastante claras las bondades de la tecnología
inalámbrica, el despegue de ésta dependerá del precio de los dispositivos y de que los fabricantes
incorporen funcionalidades wireless en sus productos. Según el segundo informe sobre tecnología
inalámbrica en España realizado por Toshiba, el mercado wireless será uno de los que más crezca
en los próximos años. ¿Qué quiere decir esto? Pues nada más y nada menos que, a partir de este
estudio, se puede afirmar que "en 2007 se venderán en nuestro país 1,3 millones de portátiles con
tecnología inalámbrica, frente a los 600.000 que se estima serán vendidos este año. De éstos, el
55 por ciento serán adquiridos por usuarios domésticos y del sector de la educación, mientras que
el 45 por ciento restante será comprado por el mercado profesional." Toda una revolución que nos
lleva hacía las redes inalámbricas domésticas. Una parte de este cambio se puede observar ya hoy
en día al ver cifras como que un 15 por ciento de los portátiles con tecnología inalámbrica son para
el hogar. Toshiba señala en su estudio que 2005 será el año del despegue total de la tecnología
inalámbrica en nuestro país, hasta llegar en 2007 a una cifra de mercado que superará los 2.200
millones de euros entre ordenadores portátiles, puntos de acceso, tarjetas inalámbricas y PDA con
tecnología wireless.
Tenga en cuenta que la velocidad de una red inalámbrica es menor a la de una cableada, además
entre más usuarios estén conectados menor será la velocidad para cada uno. Esto quiere decir
que las páginas y los archivos serán descargados en forma más lenta y habrá servicios como los
vídeos en línea y aplicaciones con sonido y movimiento que no tendrán buena calidad.
Capítulo 6. Políticas de seguridad UJAT 81
El tráfico que viaja por las redes inalámbricas no se encuentra encriptado, por ello la información
podría ser leída por alguien que posea una tarjeta de red inalámbrica y herramientas de monitoreo.
Recomendamos ser muy cuidadoso a la hora de suministrar información sensible como
contraseñas y números de tarjetas de crédito. Esto solo debería realizarse en sitios de confianza y
que posean el protocolo Web seguro (direcciones que comienzan por https://).
Recuerde no compartir carpetas durante el tiempo que este conectado a la red inalámbrica porque
otros podrían copiar o borrar los archivos que allí tenga. Si necesita hacerlo recomendamos tener
las carpetas compartidas con una buena contraseña (mínimo 8 caracteres y que incluya números,
letras y caracteres especiales).
Artículos
(Reglamento del Servicio)
8.1 El servicio debe ser utilizado solamente para fines académicos y de investigación.
8.3 No se permite usar programas que recolectan paquetes de datos de la red inalámbrica.
8.5 No se permite instalar, ni operar puntos de acceso en la red cableada de la UJAT, diferentes a
los instalados por el Departamento de redes para prestar el servicio.
8.6 No se permite configurar las tarjetas inalámbricas como puntos de acceso dentro de la Red-
UJAT.
8.7 El servicio de red inalámbrica está disponible para los miembros de la comunidad
universitaria (estudiantes, administrativos y profesores).
8.8 Todos los usuarios de la red inalámbrica deben autenticarse mediante contraseña para hacer
uso del servicio.
(Sobre la tecnología)
8.9 La red inalámbrica de la UJAT utiliza los estándares 802.11b y 802.11g. Por ello las tarjetas de
red inalámbrica deben poseer la certificación Wi-Fi™ de estos estándares en lo posible
8.13 Toda la información que es transmitida en este servicio viaja de forma insegura (no
encriptada), a excepción del usuario y contraseña utilizados para autenticarse en la red
inalámbrica. La UJAT no se hace responsable de la información que viaje por este medio.
82 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
8.14 Deberá tomar en cuenta los aparatos y/o dispositivos que puedan ocasionar interferencias en
las transmisiones inalámbricas, tanto antes como después de su implementación o instalación.
Revisión Histórica
Última revisión fecha _______________________________.
Capítulo 6. Políticas de seguridad UJAT 83
Antecedentes
Entre los escenarios típicos donde el acceso a datos no autorizado se vuelve un problema, se
incluyen:
En tan solo un instante alguien puede llevarse una laptop no vigilada. ¿Qué pasa si el ladrón no
pretende revender la computadora, sino que está interesado en la información importante
almacenada en su disco duro?
Acceso no restringido
Los sistemas de escritorio Office se dejan sin atender y cualquiera puede llegar y robar información
rápidamente en una computadora que se ha dejado desatendida.
La raíz de estas preocupaciones de seguridad es la información sensible, la cual existe por lo
regular en archivos no protegidos de su disco duro. Puede restringir el acceso a la información
importante almacenada en una partición NTFS si Windows NT es el único sistema operativo que se
puede ejecutar y si el disco duro no se puede retirar físicamente. Si alguien desea realmente
obtener la información, no es difícil que pueda tener acceso físico a la computadora o al disco duro.
La disponibilidad de las herramientas que permiten acceder a los archivos NTFS desde los
sistemas operativos MS-DOS y UNIX hace que el desvío de seguridad de NTFS sea aún más
sencillo.
La encriptación de datos es la única solución para este problema. Existen varios productos en el
mercado que permiten la encriptación de archivos a nivel de aplicaciones, utilizando claves
derivadas de las contraseñas. Sin embargo, existen ciertas limitantes con la mayoría de estos
enfoques.
Propósito y Alcance
El propósito de esta política es perfilar un uso aceptable del equipo en las computadoras de la
UJAT. Estas reglas están en posición de proteger a los empleados de la institución. El uso
impropio expone a la misma a riesgos, incluso ataques de virus, problemas legales y compromisos
de sistemas de red y servicios.
Esta política se aplica a los empleados, estudiantes, especialistas, temporales y otros trabajadores
de la UJAT. Incluso todo el personal afiliado como terceras partes. También, se aplica a todo el
equipo que posea o alquile la institución.
84 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Artículos
9.1 En los algoritmos normales probados como DES, deben usarse Blowfish, RSA, RC5 e IDEA
como base para tecnologías de encripción. Estos algoritmos representan la cifra actual usada para
una aplicación aceptada. Por ejemplo, la red de asociados Pretty Good Privacy (PGP) usa una
combinación de IDEA y RSA o Diffie-Hillman, mientras que Secure Socket Layer (SSL) usa
encripción RSA. Las llaves del Cripto-sistema simétrica deben ser de longitudes importantes, por lo
menos de 56 bits. Las llaves del cripto-sistema asimétrica deben ser de una longitud de resistencia
en rendimiento equivalente. La compañía deberá analizar los requisitos para la longitud de las
llaves anualmente y permitirá la actualización de la tecnología.
Revisión Histórica
Última revisión fecha _______________________________.
Capítulo 6. Políticas de seguridad UJAT 85
Antecedentes
Propósito y Alcance
El propósito de esta política es perfilar un uso aceptable del equipo en las computadoras de la
compañía. Estas reglas están en posición de proteger a los empleados de la compañía. El uso
impropio expone a la compañía a riesgos, incluso ataques de virus, problemas legales y
compromisos de sistemas de red y servicios.
Esta política se aplica a los empleados, contratistas, especialistas, temporales y otros trabajadores
de la institución, incluso todo el personal afiliado como terceras partes. También, se aplica a todo el
equipo que posea o alquile la compañía.
Artículos
10.1 Mientras las compañías conectan una red de computadoras, la administración desea
proporcionar un nivel razonable de intimidad, los usuarios deben de ser conscientes de que los
datos que crean en el resto de los sistemas corporativos son propiedad de la compañía. Debido a
la necesidad de proteger las redes de computadoras en las compañías, la administración no puede
garantizar la confidencialidad de la información guardada en cualquier dispositivo de la red que
pertenezca a la compañía.
10.2 Los empleados son responsables de ejercer un buen juicio con respecto al uso razonable
personal. Los departamentos individuales son responsables de crear principios con respecto al uso
personal de sistemas como Internet/Intranet/Extranet. En ausencia de tales políticas, los
empleados deben ser guiados por políticas departamentales de uso personal, y si existe alguna
duda, los empleados deben consultar a su supervisor o gerente.
10.3 InfoSec recomienda, considerar el usar alguna información encriptada sensible o vulnerable.
Para los principios de clasificación de información, vea la política de sensibilidad de información de
InfoSec. Para los principios de encripción en el e-mail y documentos, vaya a la iniciativa de
conocimientos de InfoSec.
86 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
10.5 La compañía, se reserva el derecho de intervenir en los sistemas y redes en base periódica y
asegura conformidad con esta política.
10.6 La interfase del usuario para información contenida en sistemas relacionados como
Internet/Intranet/Extranet, debe ser clasificada como confidencial o no confidencial, como se ha
definido por los principios de confidencialidad corporativas, detalles que pueden encontrarse en
políticas de Recursos Humanos. Ejemplos de información confidencial que se incluyen pero no se
limitan son: Compañías privadas, estrategias corporativas, sensible competidor, secretos de
comercio, especificaciones, lista de clientes, e investigación de datos. Los empleados deben seguir
todos los pasos necesarios par prevenir el acceso desautorizado a esta información.
10.7 Guardar seguras las contraseñas y no compartir cuentas. Los usuarios autorizados son
responsables de la seguridad de sus cuentas y contraseñas. El sistema debe cambiar
trimestralmente el nivel de contraseñas, y los usuarios deben cambiar cada seis meses el nivel de
contraseñas.
10.8 Use encripción de información de acuerdo con el uso de políticas de encripción aceptables de
InfoSec.
10.9 Proteja las laptops de acuerdo con los tips para seguridad portátil. A causa de que la
información contenida en computadoras portátiles es especialmente vulnerable y debe ejercerse
cuidado especial.
10.10 Las direcciones de e-mail enviadas por empleados de la compañía a grupos de noticias debe
contener una rectificación que declare que las opiniones expresadas son estrictamente propias y
no necesariamente de la compañía, a menos que sean enviados en la dirección de asuntos
comerciales.
10.11 Todas las computadoras usadas por empleados de la compañía que estén conectadas a
Internet/Intranet/Extranet, deberán software aceptados de virus, que deberán tener los empleados
de la compañía para que sean examinadas continuamente por un banco de datos de virus
actuales. A menos que pasen por encima del grupo de políticas departamentales.
10.12 Los empleados deben tener precaución extrema al abrir vínculos de e-mail recibidos de
remitentes desconocidos que pueden contener virus, bombardeos de e-mail, o el código de caballo
de Troya.
10.13 Las violaciones a los derechos de cualquier persona o compañía protegidas por Copyright,
como son: comercio secreto, patentes u otra propiedad intelectual, regulaciones o leyes similares
que incluyen pero no limitan a la instalación o distribución de “pirateo” u otros productos de
software que no son autorizados para uso apropiado de la compañía.
Capítulo 6. Políticas de seguridad UJAT 87
10.14 La copia desautorizada de material que incluye derecho de propiedad, pero no limita
propiedades registradas como son: la digitalización y distribución de fotografías para revistas, libros
u otras fuentes con propiedades registradas, así como música con propiedades registradas.
10.18 Revelar su contraseña de cuenta a otros, permitiendo su uso a otras personas. Esto incluye
a la familia u otros miembros de la casa cuando se este trabajando en esta.
10.21 Hacer declaraciones sobre la garantía, expresamente o implícitamente, a menos que sea
parte de deberes normales de trabajo.
10.22 Efectuar brechas de seguridad o rupturas que conectan una red de comunicación de
computadoras. Las brechas de seguridad incluyen, pero no limitan, el acceso de datos para los
empleados no como destinatarios intencionales, o anotar en un servidor o cuenta que el empleado
no está autorizado para acceder expresamente, a menos que estos deberes estén dentro del
alcance de los deberes regulares. Para los propósitos de esta sección, “ruptura” incluye, pero no
limita a, el olfateo de red, pinged floods, packet spoofing, rechazo de servicio, y forjar el fracaso de
información para propósitos malévolos.
10.23 Se prohíbe expresamente examinar los puertos o examinar la seguridad a menos que se
haga con anterioridad la notificación a la compañía.
10.24 Ejecutar cualquier forma de red que supervise o intercepte datos no queridos de la
computadora de los empleados, a menos que esta actividad sea parte del deber de trabajo normal
del empleado.
10.25 Engañar la autenticación del usuario o seguridad de cualquier computadora, red o cuenta.
10.26 Interferir o negar el servicio a cualquier otro usuario de las computadoras de los empleados
(por ejemplo, el rechazo de un ataque de servicio).
10.28 Proporcionar listas de información sobre los empleados que forman parte de la compañía.
10.29 Enviar mensajes de e-mail no solicitados, incluso enviar “correos basura” u otro material de
publicidad a individuos que no pidieron específicamente tal material (e-mail SPAM).
88 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
10.30 Cualquier forma de hostigamiento vía e-mail, compaginación de teléfono, a través del idioma,
frecuencia o tamaño del mensaje.
10.32 La solicitud de e-mail para cualquier otra dirección de e-mail, es otra forma de cartelera de
cuentas, con el fin de atormentar o coleccionar contestaciones.
10.33 Crear o remitir esquemas de cualquier tipo como “cadena de cartas”, “ponzi” u otra
“pirámide”
10.34 El uso no solicitado de e-mail que se originan dentro de la compañía conecta una red de
computadoras de otro Internet/Intranet/Extranet en nombre de servicios de proveedores, o para
anunciar, cualquier servicio de hosted por la compañía o se conecta vía red de las compañías.
10.35 Mandar por correo los mismos mensajes o similares no-negocio-relacionados a los grandes
números de grupos de noticias usenet (news group spam).
Revisión Histórica
Última revisión fecha _______________________________.
Capítulo 6. Políticas de seguridad UJAT 89
Propósito y Alcance
Esta política cubre sólo esas líneas dentro de las que serán conectadas a un punto del edificio de
la compañía y los sitios probados. No pertenece a líneas ISDN: líneas telefónicas que se conectan
en casas de los empleados, telefonía desktop PBX, y otras líneas usadas por Telecom., para
emergencia y propósitos de información no-corporativas.
Artículos
11.1 Las redes ISDN/Analógicas son una extensión de la Red-UJAT y aplican las mismas
restricciones de seguridad de esta red
11.2 Las cuentas para acceder al servicio remoto mediante líneas analógicas (módems) son
administradas por el Departamento de redes.
11.3 El servicio de ISDN para videoconferencia y otras funciones esta administrado por el
Departamento de redes.
Revisión Histórica
Última revisión fecha _______________________________.
90 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
Una auditoria es un examen crítico que se realiza con el fin de evaluar la fiabilidad, eficacia y
eficiencia de un sistema. Es un examen crítico, pero no mecánico, que no implica la preexistencia
de fallos y que pretende evaluar y mejorar la fiabilidad y eficacia de la entidad auditada. La función
auditora no tiene carácter ejecutivo, ni son vinculantes sus decisiones. Queda a cargo de la
empresa tomar las decisiones pertinentes. La auditoria simplemente refleja en su informe final
sugerencias y planes de acción para eliminar las disfunciones y debilidades detectadas. Las partes
más generales de una auditoria de seguridad de un sistema son: Auditoria física, Auditoria lógica,
Auditoria administrativa, Auditoria de la seguridad de los Sistemas Operativos y Auditoria de
protección de la Información de la empresa.
En su continua apuesta por el Software Libre Igalia, utiliza principalmente herramientas libres
disponibles en GNU/Linux. Los beneficios de usar este tipo de software en trabajos de auditoria de
seguridad son enormes y numerosos.
El Software Libre es analizado y auditado por miles de colaboradores. Esto reduce drásticamente
la posibilidad de que algunos programadores inserten en sus programas puertas traseras, caballos
de Troya o cualquier otra clase de código malicioso en sus programas. En este sentido, el Software
Libre es más fiable que el código propietario.
La función de la auditoria se materializa por escrito en el informe final. En este informe se definen
los objetivos y alcance de la auditoria, se enumeran todos los temas objeto y, para cada tema, se
expone la situación actual, los puntos débiles y amenazas, y las recomendaciones y/o planes de
acción.
Propósito y Alcance
Infosec, para mantener la autoridad en los miembros de las compañías dirige a los equipos una
auditoria de seguridad para cualquier sistema de la compañía.
Esta política cubre a todas las computadoras y dispositivos de comunicación que posea u operen
para la institución. Esta política también cubre cualquier computadora y dispositivo de
comunicación en los que estén presentes las premisas de la institución, pero que no pueden
poseerse u operarse por la institución.
Artículo
Revisión Histórica
Última revisión fecha _______________________________.
92 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Se trata entonces de presentar lo que se conoce como Políticas y Reglamentos para el Uso
Aceptable para los recursos computacionales y de conectividad presentes en la Red-UJAT. Estas
políticas establecen, entre otras cosas, el comportamiento esperado de los miembros de la
comunidad universitaria hacia diferentes servicios de información (e-mail, www, news, etc.) y las
reglas en cuanto al uso adecuado de. Recursos físicos. Estas políticas de uso son un reflejo directo
de los códigos de conducta vigentes en UJAT y representan explícitamente la cultura institucional
de nuestra Universidad. Además, han sido elaboradas y revisadas por las autoridades
competentes, tomando en cuenta su viabilidad y aplicabilidad a las condiciones y características
del UJAT
Propósito y alcance
El propósito de esta política es proteger la información electrónica accesada mediante usuarios
remotos de la UJAT. De ser comprometida inadvertidamente por personal autorizado que usa un
dial-in para conexión. Todos los usuarios que ingresen a los sistemas de la Red-UJAT. Mediante
acceso remoto (dial-in) deben ser identificados antes de obtener acceso a los sistemas. Por lo
tanto, dicho acceso debe ser controlado por un equipo que permita la autentificación de los
usuarios al conectarse a la red de datos.
Artículos
13.2 La Red-UJAT. No provee soporte para el hardware (módems) o su línea telefónica. Si tiene
algún problema con su hardware es su responsabilidad leer sus manuales de hardware, y de ser
necesario, contactar al fabricante para soporte técnico. Los detalles relacionados con la calidad de
la línea telefónica deben ser dirigidos a su proveedor de servicio telefónico.
13.3 El control del contenido del RAS es el mismo que en toda la Red-UJAT
Capítulo 6. Políticas de seguridad UJAT 93
Revisión Histórica
Última revisión fecha _______________________________
94 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
Un servidor de seguridad es un mecanismo para controlar el flujo de datos entre dos partes de una
red con niveles de confianza diferentes. Los servidores de seguridad se pueden utilizar de distintas
formas para proteger un sitio en Internet. Es posible situarlos delante o detrás de la matriz Web o,
mediante la creación de una conexión adicional en el servidor de seguridad, emplearlos para crear
una red en la que se ubicarán los servidores Web. La decisión del tipo de uso que se dará a los
servidores de seguridad en el diseño final de una red depende de los requisitos de las
aplicaciones, la administración y la disponibilidad.
En el diseño de Microsoft® Internet Data Center se implementan servidores de seguridad
redundantes con el fin de conseguir unas comunicaciones más rápidas y confiables, así como
mantener una gran disponibilidad en una configuración con conmutación tras error.
Propósito y Alcance
Esta política establece requisitos de seguridad de información para todas las redes y equipos
desplegados en los laboratorios localizados dentro de la “zona de-militarizada” (DMZ) en la
compañía. La adhesión a estos requisitos minimizará el riesgo potencial de la compañía a daños
de imagen pública causados por el uso desautorizado de los recursos de la UJAT, y la pérdida
sensible de datos confidenciales y propiedad intelectual de la UJAT.
Están sujetos a esta política, los laboratorios que conectan una red de computadoras y dispositivos
(incluyendo pero no limitando a los routers, switches, hosts, etc.), de la UJAT para el Internet
que se enfrenta y localiza fuera de la UJAT, los firewalls de Internet corporativos que son
considerados parte del laboratorio DMZ.
aplica a laboratorios que residan dentro de los firewals de Internet corporativos en la UJAT. Se
definen normas para estos laboratorios en la política de seguridad de laboratorios interna.
Artículos
(Responsabilidades y propiedad)
14.1 Todo laboratorio DMZ nuevo debe presentar una justificación comercial con una señal fuera
del nivel del vicepresidente de unidad comercial. Infosec debe guardar las justificaciones
comerciales en un archivo.
14.2 Las organizaciones que poseen laboratorios son responsables de asignar a gerentes de
laboratorios, puntos de contacto (POC), y reforzar los POC, para cada laboratorio. Los gerentes de
los laboratorios deben mantener información de los POC al corriente con Infosec y el sistema de
dirección corporativo de la UJAT, si existe uno. Los gerentes de laboratorio o sus apoyos deben
estar disponibles de manera continua para las emergencias.
14.3 Los cambios de conectividad y/o propósitos de existencia de los laboratorios DMZ y el
establecimiento de nuevos laboratorios DMZ deben pedirse a través de la Organización de Apoyo
de Redes de la UJAT y debe ser aprobado por Infosec.
14.4 Todas las conexiones ISP deben mantenerse por la organización de apoyo de red de la
UJAT.
14.5 Una organización de apoyo de red debe mantener un dispositivo de firewall entre los
laboratorios DMZ y el Internet.
14.8 La organización de apoyo de red debe grabar todos los laboratorios DMZ que dirigen espacios
e información del contacto actual [en el sistema de dirección corporativo de la UJAT, si existe uno.
14.9 Los gerentes de laboratorios DMZ son responsables finalmente de su laboratorio DMZ que
obedece esta política.
14.10 Debe concederse acceso inmediato al equipo y los del sistema a los miembros de Infosec y
a la demanda de la organización de apoyo de red, de acuerdo con la política de auditoria.
14.11 Deben anularse cuentas individuales de laboratorio dentro de 3 días cuando ya no sea
autorizado el acceso. Las contraseñas de cuentas de grupos deben obedecer a la política de
contraseñas y deben cambiarse dentro de 3 días después del cambio en el número de miembros
del grupo.
14.12 Infosec dirigirá una renuncia por incumplimiento pidiendo una base caso por caso.
14.13 La producción de recursos no debe depender de los recursos de laboratorio DMZ de las
redes.
96 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
14.14 Los laboratorios DMZ no deben conectarse a las redes corporativas internas de la compañía
directamente o vía una conexión inalámbrica.
14.15 Los laboratorios DMZ deben estar en un cuarto físicamente separado de cualquier red
interior. Si esto no es posible, los equipos deben estar en una percha cerrada con llave y con
acceso limitado. Además, el gerente debe mantener una lista de quienes tienen acceso al equipo.
14.16 Los gerentes de los laboratorios son responsables de obedecer las políticas relacionadas
siguientes:
• Política de contraseñas
• Política de comunicaciones inalámbricas
• Política de Anti-virus en laboratorios
14.17 La Organización de apoyo de red debe mantener configurados los dispositivos de firewall de
acuerdo con los principios de menor-acceso y las necesidades comerciales de los laboratorios
DMZ. Todos los filtros del firewall serán mantenidos por el Departamento de redes (infosec).
14.18 El dispositivo firewall debe ser el único punto de acceso entre el laboratorio DMZ y el resto
de la conexión a una red de computadoras y/o el Internet de la compañía. Cualquier forma de
conexión cruzada que pase por el dispositivo firewall es prohibida estrictamente.
14.19 Deben repasarse configuraciones del firewall original y además cualquier cambio debe ser
aprobado por Infosec (incluyendo configuraciones generales y reglas establecidas). Infosec
puede requerir seguridad adicional medida tanto como necesite.
14.20 El tráfico interior de la red en los laboratorios DMZ de la UJAT, incluso el acceso VPN, se
clasifican bajo la política de acceso remoto.
14.21 Todos los routers y switches no usados para prueba y/o entrenamiento deben conformar al
router DMZ y los documentos de regularización del switch.
14.22 Los sistemas operativos de todos los hosts internos al laboratorio DMZ deben configurarse
corriendo los servicios de Internet en la instalación segura del host y la configuración standard.
[Agregue las uniones URL al sitio de configuración interna donde se guarden de manera standard].
14.24 Deben instalarse todos los parches/hot-fixes de seguridad aplicables recomendados por el
vendedor. Los dueños de grupos administrativos deben tener procesos en lugares actuales
apropiados para parches/hot-fixes.
14.25 Deben desactivarse los servicios y aplicaciones que no sirven como requisitos comerciales.
14.27 La administración remota debe realizarse sobre canales seguros (por ejemplo: las
conexiones encriptadas de las redes usan SSH o IPSEC) o soporte de acceso independiente para
redes DMZ.
Capítulo 6. Políticas de seguridad UJAT 97
Revisión Histórica
Última revisión fecha _______________________________.
98 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Antecedentes
Mucha gente utiliza su nombre verdadero en su dirección de correo electrónico. Por ejemplo:
juanperez@tabasco.com. Es fácil rastrear el correo electrónico y del ejemplo antes dado sabemos
entonces que la persona se llama Juan Pérez, vive en Tabasco y haciendo una búsqueda simple
encontraríamos probablemente el domicilio y teléfono de Juan Pérez utilizando google o altavista.
Ahora es algo fácil ir a una guía de teléfonos en línea y buscar a Juan Pérez, del área de Tabasco.
El directorio telefónico en línea incluso le mostrará un mapa de donde vive Juan y las direcciones
paso a paso que conducen a su casa. ¡Y la persona que realiza la búsqueda ya ha descubierto que
Juan tiene dos encantadoras hijas gemelas de 6 años durante sus charlas en línea con Juan!
Actualmente la UJAT brinda el servicio de correo electrónico a todos sus usuarios, tanto alumnos,
profesores y administrativos. El servicio no se limita al envió de mensajes, sino también para recibir
información de los sistemas tales como calificaciones, seguimiento de egresados, etc.
Es importante contar con un esquema de administración y seguridad para las más de 30, 000
cuentas que existen y que cada vez hacen uso más frecuente de este servicio.
Propósito y Alcance
Artículos
15.2 Las cuentas de correo son administradas por el Departamento de redes, con apoyo de los
encargados de cada una de las dependencias de la UJAT
15.3 Se cuenta con un espacio de almacenamiento predefinido de acuerdo a cada tipo de usuario,
el cual puede aumentarse en casos especiales, mediante solicitud escrita al Departamento de
redes
15.5 Queda prohibido el envió de correo basura o SPAM. En caso de observar alguna anomalía en
las cuentas o equipos de los usuarios, estos deberán reportarlo al encargado de cómputo de su
dependencia
Capítulo 6. Políticas de seguridad UJAT 99
15.6 El envió de información de los sistemas de la Red-UJAT será solamente a cuentas de correo
institucionales
15.7 En la difusión de eventos en carteles y páginas Web se darán a conocer direcciones de correo
institucional
15.8 La contraseña de las cuenta de correo son personales y es responsabilidad del usuario no
darla a conocer a otras personas
15.9 El usuario aceptara las políticas de uso de correo al momento de la creación de una cuenta
nueva, o en su caso, las políticas actuales en caso de los usuarios existentes.
Revisión Histórica
Última revisión fecha _______________________________.
100 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Se estima que, en un país desarrollado, una persona genera aproximadamente 150 registros en
bases de datos. Hasta hace poco tiempo estos registros sólo servían para consultas ocasionales, o
con propósitos más específicos, como pueden ser facturación o acciones de marketing, por
ejemplo.
Hoy han adquirido valor comercial y adquieren una relevancia distinta, mucho más trascendente,
en función de tres nuevas circunstancias: primera, ya existe la posibilidad de combinarlos; es decir,
no sólo continúan sirviendo para los usos anteriores sino que permiten, como si fuesen piezas de
un puzzle, ensamblarse con otros datos revelando así la figura de la persona que los genera.
Segunda, ya hay tecnología disponible para acceder rápidamente a ellos, para ponerlos a
disposición del mundo a través de Internet. Tercera, muchas de estas bases de datos se generan y
alimentan automáticamente.
Queremos aclarar que si bien las bases de datos pueden recoger información de cualquier tipo nos
concentraremos en el tema de las bases de datos que contienen información personal.
El 11 de Junio de 1999 entra en vigor el Real Decreto que define las medidas de seguridad
adecuadas para ficheros que contengan datos de carácter personal.
Estas medidas, que afectan a todas las empresas, son de tipo jurídica, técnica y organizativa,
siendo necesarias para garantizar la seguridad de los ficheros, los centros de tratamiento, equipos
y personas que intervienen en el tratamiento de los mismos.
Por otra parte, el pasado 14 de Enero de 2000 entró en vigor la nueva Ley Orgánica de Protección
de Datos (LOPD) del 13 de Diciembre que reforma la Ley Orgánica adaptándola a la directiva
comunitaria.
Las credenciales de bases de datos pueden residir en el servidor de la base de datos. En este
caso, se pica un número que identifique a las credenciales que puedan guardarse en el cuerpo de
ejecución del código del programa.
Las credenciales de bases de datos no pueden residir en documentos que obliguen a refugiarse
en la forma de un servidor Web.
El paso a través de la autenticación (por ejemplo: la autenticación Oracle OPS) no debe permitir el
acceso a la base de datos solamente en la autenticación de un usuario remoto en un host remoto.
Capítulo 6. Políticas de seguridad UJAT 101
Las contraseñas o frases de paso usadas para acceder a una base de datos deben adherirse a la
política de contraseñas.
El alcance en el que usted pueda guardar las credenciales de las bases de datos deben
separarse físicamente de las otras áreas de código, por ejemplo: las credenciales deben estar
separadas en un archivo fuente. El archivo que contenga las credenciales no debe contener
ningún otro código para las credenciales (el nombre de usuario y contraseña) y cualquier función,
rutina, o método que se use para acceder a las credenciales.
Para lenguajes que ejecutan el código fuente, el archivo fuente de la credencial no debe residir en
el mismo browseable o forma del directorio de archivo ejecutable en los que el cuerpo de
ejecución del código reside.
Cada programa o cada colección de programas que llevan a cabo una sola función comercial
deben tener credenciales únicas de la base de datos. No se permite compartir credenciales entre
los programas.
Las contraseñas de las bases de datos usados por programas, son contraseñas de nivel de
sistemas definidas por la política de contraseñas.
Los grupos diseñados deben tener un proceso para dar lugar de asegurar contraseñas de la base
de datos, que se controlan y se cambian de acuerdo a la política de contraseña. Este proceso
debe incluir un método para restringir el conocimiento de contraseñas de bases de datos a una
necesidad básica de saber.
Codificación de técnicas para llevar a cabo esta política: Agregue referencias a pautas de sitios
específicos para diferentes códigos de lenguajes como Perl, Java, C y/o Cpro.
Propósito y Alcance
Esta política declara los requisitos para guardar firmemente y recuperar nombres de usuarios de
bases de datos y contraseñas (por ejemplo: credenciales de base de datos) para el uso de un
programa que accederá a una base de datos que ejecuta el encendido de las redes de las
compañías.
El programa de computadora se corre dentro de las redes de las compañías, requieren a menudo
el uso de uno de los muchos servidores de bases de datos internos. Para acceder a una de estas
bases de datos, un programa debe de autenticar a la base de datos presentando credenciales, que
sean aceptables. Los privilegios en las bases de datos significan que las credenciales se pueden
restringir o comprometer cuando estas credenciales se guarden inadecuadamente.
Esta política aplica a todo software al que tenga acceso la compañía, y bases de datos de
producción de multi-usuario.
102 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Artículos
16.1 Para mantener la seguridad de las bases de datos internas de la compañía, el acceso a
programas de software sólo debe concederse después de la autenticación de credenciales. Las
credenciales usadas para esta autenticación no residen en lo principal, que es el ejecutar el cuerpo
del código fuente del programa en un texto claro. No deben guardarse credenciales de bases de
datos en situaciones en las que se pueda acceder a través de un servidor Web.
Revisión Histórica
Última revisión fecha _______________________________.
Capítulo 6. Políticas de seguridad UJAT 103
Closet de comunicaciones. (site). Es el cuarto o área física reservado para alojar los servidores
GSM: (Global System for Mobile Communications): Sistema Global para Comunicaciones Móviles
IEEE: corresponde a las siglas del Institute of Electrical and Electronics Engineers, Instituto de Ingenieros
Eléctricos y Electrónicos
ISDN: (Integrated Services Digital Network) o en español RDSI (Red Digital de Servicio Integrados)
Las políticas más importantes que se tomaron en consideración según nuestras opiniones
se han evaluado de forma detallada basándonos en las políticas de la ANUIES y las
políticas del instituto SANS, que son las instituciones importantes en materia de seguridad
en centros de cómputo y redes.
La forma de evaluación se realiza mediante un formato para evaluar nuestras políticas que
estamos proponiendo ha sido en cuanto a un orden de importancia de acuerdo a los
reglamentos de cada una de ellas, por esta razón nosotros proponemos un porcentaje como
criterio para cada una. Así, como un porcentaje aproximado para que dicha política pueda
estar en un rango mínimo aceptado para ser aprobada. Los porcentajes de aprobación varían
de una política a otra, ya que los reglamentos difieren en cuanto a la importancia y al nivel
de seguridad. Por ejemplo algunas deberán cubrir el 100 % si es necesario para su completa
operatividad.
También se ha dejado en cada una de las políticas evaluadas un espacio vació para que el
encargado del centro del centro de computo, pueda realizar observaciones, si lo requiere
la situación. La evaluación a cada una de las políticas que proponemos permite saber si se
cumplen con los reglamentos de seguridad con que cuenta UJAT.
Al final de cada evaluación se dan detalles de la persona que evalúa, el cargo o puesto que
desempeña los porcentajes mínimos a cubrir, el porcentaje de políticas cubiertas, la
verificación o no de la política y observaciones en caso de no aprobarla.
Cabe señalar que cada punto a evaluar, hace referencia con la misma numeración a la
política correspondiente. Sin embargo, no todas las políticas tienen un porcentaje de peso
para la evaluación, esto debido que no son mesurables.
106 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 107
Robo de Equipo
Política Criterio % Evaluación Observación
La UJAT deberá definir procedimientos para
inventario físico, firmas de resguardo para
1.5 50
préstamos y usos dedicados de equipos de
cómputo.
¿El resguardo de los equipos de cómputo queda
bajo el área del centro de cómputo contando con un
1.6 control de los equipos sin asignación personalizada 25
que permita conocer siempre la ubicación física de
los equipos?
¿El departamento de redes y
telecomunicaciones, así como las áreas que
1.7 cuentan con equipos de misión crítica cuentan con
25
vigilancia o algún tipo de sistema que ayude a
recabar evidencia de accesos físicos a las
instalaciones?
Total 100 %
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observación:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
108 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Protección Física
Política Criterio % Evaluación Observación
¿Las puertas de acceso a las salas de cómputo son
preferentemente de vidrio transparente, para
10
1.8 favorecer el control del uso de los recursos de
cómputo?
1.9 Los closets de comunicaciones en la UJAT deben
contar con acceso restringido, observar un buen
40
estado de la red eléctrica, protegida y
acondicionada.
Los closets de comunicaciones deberán seguir
1.10 los estándares vigentes para una protección
20
adecuada de los equipos de telecomunicaciones y
servidores.
Los sistemas de tierra física de los closets de
1.11 comunicaciones deberán recibir mantenimiento 20
anual con el fin de determinar su efectividad.
Se debe contar con una póliza de seguro contra
desastres naturales que incluya primeramente el
1.12 equipo de mayor impacto hasta el de menor en la
10
operación de la UJAT. La póliza de servicio de
mantenimiento debe considerar reemplazo de
equipo según su importancia.
Total 100 %
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 109
Respaldo
Política Criterio % Evaluación Observación
La Base de Datos del SIIA-UJAT es respaldada
diariamente en forma automática y/o manual,
4.13 50
según los procedimientos generados para tal
efecto.
Los respaldos del SIIA-UJAT son almacenados en
1.14 50
un lugar seguro y distante del sitio de trabajo.
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
110 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 111
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
112 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 113
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
114 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 115
Evaluador Cargo
Porcentaje mínimo de aprobación 90% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
116 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 117
Evaluador Cargo
Porcentaje mínimo de aprobación 90% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
118 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Total 100 %
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 119
Total 100 %
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
120 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 90% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 121
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
122 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 123
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
124 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 85% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 125
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
126 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 127
Evaluador Cargo
Porcentaje mínimo de aprobación 85% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
128 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 129
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
130 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Evaluador Cargo
Porcentaje mínimo de aprobación 70% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 8
Conclusiones
El presente trabajo de investigación, está estructurado en siete capítulos cada uno de ellos
tienen una función especifica que cubrir, dentro de los lineamientos de información, usos y
servicios que proporciona la UJAT. El objetivo es implementar las bases y las
implicaciones de seguridad dentro de nuestra máxima casa de estudio. Se considera
necesaria e indispensable la aplicación de algún tipo de normatividad en todas y cada una
de las tecnologías de información que se maneja y administra dentro de la UJAT.
La experiencia adquirida sobre este trabajo de investigación ha sido muy variada y diversa,
sobre la marcha de la investigación se percibe la complejidad que puede tener la
implementación de las reglas y normas que cada usuario, sistema o dependencia deben de
acatar.
• Que toda institución federal, publica y privada que tenga una infraestructura mayor,
menor o semejante a la nuestra, se debe regir de reglamentos y normas de seguridad
para la protección de su información tanto en hardware como en software
• Con el avance tecnológico que surge día a día, hemos dejado a un lado el tema de la
seguridad y hemos descuidado la protección de información de nuestros equipos ya que
estos deben estar respaldados por reglamentos y normatividad, en cuanto a su uso y
operatividad
• Es importante la capacitación del personal a cargo de los reglamentos que dictan las
políticas, para el buen funcionamiento del sistema, ya que la capacitación no es un
gasto innecesario sino una inversión que será destinada a la seguridad de nuestra
infraestructura.
132 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
1. Las políticas propuestas resuelven en gran parte el problema de contar con una
normatividad, sin embargo estas propuestas deben ser revisadas por el Centro de
cómputo Universitario y puestas a consenso de todos los involucrados. Aunque no
se pueda alcanzar un nivel de seguridad perfecto, si se puede tener un sistema
robusto con estadísticas, e información acerca del estado que guarda la seguridad
de red UJAT, de forma que sea confiable y justifique las inversiones realizada en
la estructura.
8. Se considera necesario incluir estos temas en los programas del área de computo
é informática de forma curricular o extracurricular, para conocimiento de las nuevas
generaciones de alumnos.
Capítulo 8. Conclusión 133
Cada propuesta de política fue elaborada de manera que nos puedan servir como base para
darle un seguimiento periódico según las necesidades que así lo requieran, cada una está
estructura de forma que hacemos referencia a los antecedentes históricos dándonos una
idea de las evoluciones que van tomando en cuanto a las necesidades actuales o del
momento. Al hacer esto nos damos cuenta de su importancia pasarlas a una propuesta
propia y aplicarlas en nuestro trabajo de investigación, desde luego al tener el conocimiento
de estas por medio de sus antecedentes nos damos a la tarea de plantear el propósito y el
alcance de nuestra política. Se deja para revisiones futuras algunas categorías de políticas,
y un punto importante de gran valor que es incluir su revisión histórica, a la que las
personas encargadas de hacer esta labor pueden agregar sus revisiones periódicas según se
les indique, y puedan hacer algún comentario sobre corregir o anexar un nuevo punto sobre
el tema especifico.
Durante el desarrollo de esta tesis se alcanzo casi una cobertura del 100% de los sistemas
de la universidad para procesos académicos administrativos y de finanzas por lo cual
consideramos que la seguridad no debe ser un elemento adicional sino una consideración
obligatoria para la eficiente operación de todos los sistemas que rigen los procesos del
diario acontecer de la UJAT
Como conclusión final podemos decir: que, aunque si es posible la operación de la red
UJAT sin políticas, es muy conveniente contar con políticas para su mejor operación, ya
que se requiere una operatividad completa y segura, así como una serie de normas que
regulen su uso. Por eso es importante no solo contar con un conjunto de políticas de
seguridad en computo, sino también de todo lo necesario para su implementación y
operatividad, tales como grupos expertos de respuesta a incidentes, personal que
supervisen la aplicación de las políticas, recursos de cómputo para monitoreo y
capacitación. Por lo tanto adquiere validez la hipótesis mencionada al inicio de la presente
tesis: “Es necesario contar con un conjunto de políticas de seguridad para las redes de
cómputo de la Universidad Juárez Autónoma de Tabasco, que brinden las bases de una
correcta operación, funcionamiento e integridad de sus sistemas e infraestructura”.
.
Anexo “A”
Estadísticas y reportes de seguridad
Los datos estadísticos del número de intrusiones detectadas y reportadas al CERT.org desde
1988 hasta el 2000, las cuales nos indican la necesidad de cuidar los aspectos de seguridad
informática de nuestros sistemas
Tabla. 2- A 1990-1999
Año 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999*
Incidentes 252 406 773 1,334 2,340 2,412 2,573 2,134 3,734 9,859
Año 2004
Incidentes 1060
Virus/Gusano Porcentaje
Phatbot 25.16
Opaserv 16.12
Slammer 16.12
Sasser 10.64
Mydoom 9.35
Netsky 8.06
Beagle 6.12
Blaster 3.87
Gaobot 3.22
Anexo “A” Estadísticas y reportes de seguridad A- 3
Reporte Porcentaje
Phatbot 50.13
Beagle 17.07
Blaster 11.73
Bots 7.47
Spam 7.47
Scan445 3.20
Beagle3 1.07
Dameware 0.80
Mydoom 0.53
Slammer 0.27
Sinit 0.27
Año 2005
Incidentes 557
Período Trimestre 1
No. de reportes 557
Anexo “A” Estadísticas y reportes de seguridad A- 5
Reporte Porcentaje
Spam 78.86
Beagle 7.99
Phatbot 6.03
Blaster 2.48
Open proxy 2.13
Slammer 1.95
Nachi 0.35
Phishing scam 0.17
Para contrarrestar esta plaga, las compañías han decidido aumentar su gasto en seguridad
informática (antivirus, cortafuegos y aplicaciones a medida). Fig. 20-B. De forma
significativa en los próximos años. Según datos de la consultora IDC, la inversión en
sistemas de seguridad se habrá situado en 2003 en 70.000 millones de dólares (56.229
millones de euros). Esta cifra aumentará hasta los 116.000 millones de dólares (93.180
millones de euros) en 2007.
Este esfuerzo inversor ya se está notando en Estados Unidos. Según datos del Instituto
de Seguridad para los Ordenadores (CSI, en sus siglas en inglés), las pérdidas ocasionadas a
las empresas estadounidenses por los ataques informáticos se situarán en los 202 millones
de dólares (162,2 millones de euros) este año, frente a los 455,84 millones de dólares
(366,16 millones de euros) de 2002.
Este importante descenso está motivado, según el estudio, por los nuevos sistemas de
prevención de ataques que incorporan la mayor parte de las empresas. No obstante,
según el CSI, también son muchas las compañías que sufren ataques informáticos y no lo
desvelan por temor a mostrarse vulnerables. En todo el mundo, los daños económicos
ocasionados por los virus informáticos se situaba en 2001 en 18.124 millones de dólares
(14.554 millones de euros), según datos del CSI. Fig. 21-B
Estados Unidos e Inglaterra son los países que cuentan con un porcentaje más alto de
usuarios (35,4% y 33,01%, respectivamente) bien protegidos contra ataques informáticos,
según datos de la empresa de seguridad informática Panda Software.
En España, sin embargo, sólo un 19% de los ordenadores está protegido adecuadamente,
frente a un 55,8% que no posee antivirus o no lo tiene actualizado. “Estas causas
justifican el hecho de que España sea uno de los países donde los virus se expanden
con mayor facilidad y duran más tiempo, al no existir sistemas de protección”, explica
Fernando de la Cuadra, director Técnico Internacional de Panda. La situación es todavía
más delicada en el caso de las pequeñas y medianas empresas, ya que el 68% no dispone de
las herramientas necesarias para hacer frente a un ataque informático.
España
Más de 8,7 millones de correos electrónicos han sido infectados con algún tipo de virus en
España este año, lo que supone un aumento del 1,82% respecto a 2002, según el Centro de
Alerta Temprana Antivirus (CAT).
El gusano que más ordenadores ha infectado este año en España es el Sobig.F. Este
virus se propaga a través del e-mail y tiene varios encabezamientos en inglés como Your
Details, Thank You! o Re:Aproved. Una vez que ha accedido al ordenador, entra en la
agenda de direcciones del usuario infectado. El virus, a través de un motor que incorpora,
genera nuevos mensajes que reenvía automáticamente a estas direcciones. Junto al Sobig.F,
que todavía se encuentra activo en algunos ordenadores, los gusanos con mayor incidencia
este año han sido Klez.H y Mimail. En todo el mundo, en el ránking de los virus más
extendidos se sitúa en la cabeza Bugbear y sus múltiples variantes. Fig. 22-B
El gusano que más ordenadores ha infectado este año en España es el Sobig.F. Fig. 22-B
La tendencia para el próximo año será similar a 2003. “Los virus seguirán aprovechando
la vulnerabilidad de los programas informáticos y se servirán, como están haciendo
B-4 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Entre las recomendaciones para evitar la acción de los virus informáticos figura el contar
con un programa antivirus actualizado, que el sistema operativo del ordenador tenga todas
las aplicaciones de seguridad previstas, e instalar programas que eviten la aparición de
ventanas indeseadas durante la navegación por Internet. Además, es aconsejable disponer
de un programa cortafuegos, destinado a garantizar la seguridad de las comunicaciones del
usuario a través de Internet.
Se acaban de cumplir, pues, veinte años desde que se desencadenara esta creciente amenaza
telemática y desde entonces las empresas han sufrido en sus carnes lo que en la práctica se
traduce en importantes repercusiones económicas, pérdida de productividad y de
credibilidad e imagen ante sus clientes El pasado agosto Internet sufrió el mayor ataque de
virus informáticos de la historia, con la aparición de los gusanos Blaster, Sobig.F –el virus
que más se ha propagado en menos tiempo en toda la historia de la informática– y Nachi.A,
lo que puso en peligro todo tipo de equipos, especialmente los PC’s conectados a Internet
dentro de redes pequeñas, que carecen de eficientes mecanismos de protección.
Las empresas parecen ahora decididas a blindarse contra los virus informáticos. No
todas cuentan con sistemas de seguridad antivirus realmente eficaces, en ocasiones por el
alto precio del antivirus o porque no han tomado conciencia de la gravedad de los efectos
que producen los virus. Si el correo electrónico representa una auténtica revolución para las
empresas –en España lo usa el 98% de las compañías–, no es menos cierto que se ha
Anexo “B” Las empresas lanzan un ataque contra los virus para evitar perdidas millonarias B- 5
Los empresarios españoles aún tienen un largo camino por recorrer para cerrar la
brecha que les separa del resto de compañías de la OCDE. De hecho, sólo el 15% de las
empresas españolas sobreviviría a un desastre informático. Un reciente estudio de Ciencia y
Tecnología advierte que en España el número de servidores realmente seguros por cada
100.000 personas es sólo 1,9, lo supone un clara desventaja frene a los 4,4 de la media
comunitaria.
Los expertos coinciden en que las compañías aún no tienen el nivel de concienciación
necesario en los aspectos relacionados con la seguridad de los sistemas de información,
pues no existe una cultura de la seguridad a nivel empresarial que haga que la dirección se
plantee otros tipos de medidas más allá de las técnicas. Muchas siguen pensando que un
sistema instalado hace cuatro años continúa siendo eficaz.
Es necesario cambiar la cultura de las empresas, sobre todo las más pequeñas, que en su
mayoría siguen considerando la seguridad informática más como un gasto que como una
inversión.
Glosario
3DES: "Pronunciado triple DES”. Uso del estándar del DES donde tres llaves se utilizan en la
sucesión para proporcionar seguridad adicional.
802.11b: En el año 1999, fue aprobada por el IEEE, el estándar 802.11b, es una extensión del
802.11 para WLAN empresariales, con una velocidad de 11 Mbit/s (otras velocidades
normalizadas a nivel físico son: 5.5 - 2 y 1 Mbit/s), Permite mayor velocidad, pero presenta una
menor seguridad, y el alcance puede llegar a los 100 metros, suficientes para un entorno de
oficina o residencial.
802.11g: El IEEE también ha aprobado en el año 2003 en el estándar 802.11g, compatible con
el 802.11b, capaz de alcanzar una velocidad doble, es decir hasta 22 Mbit/s o llegar, incluso a
54 Mbit/s, para competir con los otros estándares que prometen velocidades mucho más
elevadas pero que son incompatibles con los equipos 802.11b ya instalados, aunque pueden
coexistir en el mismo entorno debido a que las bandas de frecuencias que emplean son
distintas. Por extensión, también se le llama Wi-Fi.
ARPANet :(Advanced Research Projects Agency Network) fue la red que se convirtió en la
base de Internet. La financió principalmente el ejército de los Estados Unidos y consistía en
una cantidad de ordenadores individuales conectados por medio de líneas alquiladas y usando
un esquema de conmutación de paquetes.
ASP: (Proveedor de Servicios de Aplicación) Los ASPs son combinación del software hosted,
hardware y la tecnología de conexión de una red de computadoras para ofrecer un servicio
basado en como opera, posee y se opone una aplicación en la compañía. Las ofertas de ASP
comunes, incluyen planes de recursos de la empresa, colaboran y venden fuertes herramientas
de automatización, pero no limitan estas cosas.
CGI: (Common Gateway Interface; Interfase común de acceso) Conjunto de reglas que definen
como se realiza la comunicación entre un servidor Web y cualquier otro programa (llamado por
ello programa CGI) en la misma máquina. Un programa CGI se utiliza para sacar no meter
datos del servidor Web.
Credenciales: Es algo que lo identifica y se presenta para la autenticación, por ejemplo algo
que usted sabe, una contraseña o frase de paso, y/o algo que lo identifique por ejemplo, un
nombre de usuario, una huella digital, impresión de voz, impresión de retina.
CSLIP: (Compressed Serial Line Protocol) Protocolo de Línea Serie Comprimido. Versión
mejorada de SLIP que fue desarrollada por Van Jacobson. En vez de enviar las cabeceras
completas de los paquetes de información, sólo se envían las diferencias.
Cuerpo de ejecución: Es una serie de instrucciones que la computadora ejecuta para correr
un programa.
DCE: Equipo de comunicación de datos, nombre que suele recibir en una comunicación el
módem utilizado por un ordenador para conectarse con otro equipo (Data Communication
Equipment).
DIAL-IN: Conexión a Internet que se establece a través de un módem y una línea telefónica. A
cada usuario se le asigna un número IP dinámico, es decir, un número otorgado sólo durante la
comunicación. Para establecer la conexión se utiliza algún estándar adecuado, como por
ejemplo el PPP, SLIP o CSLIP.
DMCA: (Acto de Copyright del Milenio de Digital) es una ley de derecho de autor polémica de
Estados Unidos que castiga la producción y la difusión de la tecnología que puede evitar las
medidas tomadas para proteger el derecho de autor, no simplemente infracciona el derecho de
autor sí mismo, sino que aumenta las penas para la infracción del derecho de autor en el
Internet.
DMZ (Zona de-Militarizada): Conecta una red de computadoras que existe fuera de la
compañía en firewalls corporativos primarios, pero todavía bajo el mando administrativo de la
compañía.
DNS: Un DNS (Domain Name System) es un conjunto de protocolos y servicios (base de datos
distribuida) que permiten a los usuarios utilizar nombres en vez de tener que recordar
direcciones IP numéricas. Ésta es ciertamente la función más conocida de los protocolos DNS:
la asignación de nombres a direcciones IP.
El grupo de Yankee: (The Yankee Group) ayuda a sus clientes a tener éxito proporcionando el
conocimiento, las herramientas y la ayuda que necesitan tomar decisiones el ganar cuando las
oportunidades de negocio se interceptan con las soluciones de la tecnología.
E-mail remitido: Es un e-mail resentido para la gestión de redes internas a un punto externo.
Espacio del nombre: Es un área lógica de código en el que los nombres simbólicos
declarados son conocidos, fuera de que estos nombres no son visibles.
Firewall: Dispositivo que se coloca entre una red local e Internet y cuyo objetivo es asegurar
que todas las comunicaciones entre los usuarios de dicha red e Internet se realicen conforme a
las normas de seguridad de la organización que lo instala.
FTP: (File Transfer Protocol; Protocolo de transferencia de archivos) Protocolo que permite a
un usuario de un sistema acceder y transferir a y desde otro sistema de una red. FTP es
también habitualmente el nombre del programa que el usuario invoca para ejecutar el
protocolo.
GNU: Proyecto creado en 1984 con el fin de desarrollar un sistema operativo tipo Unix según la
filosofía del "software libre".
GSM: (Global System for Mobile Communications): Sistema Global para Comunicaciones
Móviles).
HOST: (sistema anfitrión, sistema principal / albergar, hospedar) Ordenador que, mediante la
utilización de los protocolos TCP/IP, permite a los usuarios comunicarse con otros sistemas
anfitriones de una red. Los usuarios se comunican utilizando programas de aplicación, tales
como el correo electrónico, Telnet, WWW y FTP. La acepción verbal (to host) describe el hecho
de almacenar algún tipo de información en un servidor ajeno.
Hosting: alojamiento. Servicio ofrecido por algunos proveedores, que brindan a sus clientes
(individuos o empresas) un espacio en su servidor para alojar un sitio Web.
Htttp: Es el protocolo de la Web (WWW), usado en cada transacción. Las letras significan
Hyper Text Transfer Protocol, es decir, protocolo de transferencia de hipertexto. El hipertexto
es el contenido de las páginas web, y el protocolo de transferencia es el sistema mediante el
cual se envían las peticiones de acceder a una página web, y la respuesta de esa web,
remitiendo la información que se verá en pantalla. También sirve el protocolo para enviar
información adicional en ambos sentidos.
IEEE: corresponde a las siglas del Institute of Electrical and Electronics Engineers, Instituto de
Ingenieros Eléctricos y Electrónicos, una asociación estadounidense dedicada a la
estandarización. Es una asociación internacional sin fines de lucro formada por profesionales
de las nuevas tecnologías, como ingenieros de telecomunicaciones, ingenieros electrónicos,
Ingenieros en informática...
Internet2: Es una colaboración entre más de doscientas universidades de los Estados Unidos
para desarrollar aplicaciones de conexión de red y avanzadas para el aprendizaje y la
investigación.
IP SPOOFING: técnica que permite que un atacante tome la identidad de un host "confiable"
(cambiando su dirección IP por la dirección de éste) y obtenga de este modo accesos no
autorizados a otros sistemas. En numerosos sitios (bajo Unix o Linux), existe un archivo
denominado .rhosts conteniendo una lista de nombres de hosts que se consideran de
confianza. Si un atacante se hace pasar por una de esas direcciones, puede llegar a ejecutar
comandos en forma remota o logearse en el sistema aún sin tener una contraseña.
IPSEC: (la abreviatura de Internet Protocol security) es una extesión al protocolo IP que añade
cifrado fuerte para permitir servicios de autenticación y cifrado y, de esta manera, asegurar las
comunicaciones a través de dicho protocolo. Inicialmente fue desarrollado para usarse con el
nuevo estandar IPv6, aunque posteriormente se adaptó a IPv4.
Ipv6: (Internet Protocol Version 6) o IPng (Next Generation Internet Protocol) es la nueva
versión del protocolo IP (Internet Protocol). Ha sido diseñado por el IETF (Internet Engineering
Task Force) para reemplazar en forma gradual a la versión actual, el IPv4.
IRC: (Internet Relay Chat). Servicio de comunicación abierta en Internet, creado por el
finlandés Jarkko Oikarinen en 1988, que permite conectar en tiempo real a través del teclado
del ordenador con personas de todo el mundo. Es un sistema basado en la arquitectura
cliente/servidor y multiusuario que permite la conexión de un gran número de personas por
canal y dispone de varios canales. El sistema se basa en un programa anterior llamado "Talk"
(un comando de UNIX) que posibilitaba a dos ordenadores comunicarse de forma interactiva,
cada usuario escribe en su pantalla y el otro lo recibe al instante. chat = "charlar o chatear en
Internet".
ISDN: (Integrated Services Digital Network) o en español RDSI (Red Digital de Servicio
Integrados) es una tecnología que permite transmitir información (Texto, voz, imágenes) con
una mejor calidad y confiabilidad, utilizando la red pública.
Lista de control de acceso (ACL): Son listas guardadas por routers para controlar el acceso
al router para varios servicios (por ejemplo, prevenir paquetes con cierta dirección IP para dejar
una interfase particular en el router).
LSSI: son las iniciales de Ley de Servicios de la Sociedad de Información, aunque en realidad
su nombre completo es Ley de Servicios de la Sociedad de Información y Comercio
Electrónico. En la actualidad, esta iniciativa se encuentra en fase de Anteproyecto, previo a su
entrada y discusión en el Parlamento español.
Napster: Napster es un programa creado en 1999 por el estudiante Shawn Fanning, más tarde
implementado en sitio web del mismo nombre, que permite a los usuarios de Internet diversas
acciones relacionadas con los ficheros de sonido MP3, de las cuales la más importante es la
búsqueda y descarga de piezas musicales en dicho formato.
NAT: Network Address Translation. Es un standard de Internet que le permite a una red local
(LAN) usar un grupo de direcciones de IP para el tráfico interno y otro grupo de direcciones
para el tráfico externo. Una tabla de NAT ubicada donde la LAN se conecta a Internet hace
todas las traducciones necesarias de IPs. La NAT sirve para tres propósitos principales:
Proveer un tipo de firewall al ocultar las direcciones de IP internas. Permitirle a una empresa
usar más direcciones de IP internas. Dado que son direcciones internas, no hay posibilidad de
conflicto con IPs usadas por otras empresas
NIC: (Network Information Center) Centro de Información sobre la Red. Registros delegados
para la gestión de los dominios en Red.
Organización ASP Sponsoring: Es un grupo dentro de la compañía que desea utilizar los
servicios de un ASP.
Organización de apoyo de red: Es cualquier organización de apoyo aceptada por InfoSec que
maneja la conexión de redes de las no redes de laboratorio.
P2P: o Peer-to-Peer (punto a punto, par a par o de terminal a terminal) son conexiones que
comunican dos ordenadores físicamente alejados, pero unidos por la red de Internet.
PGP: (Pretty Good Privacy; Confidencialidad bastante buena) El más famoso de los programas
de encriptación objeto de gran polémica en Estados Unidos, de donde procede, ya que existen
leyes en ese país que impiden que los sistemas de encriptación puedan ser exportados. PGP
fue creado por Phil Zimmermann.
PKI: Public Key Infrastructure (Infraestructura de Clave Pública) y es la forma común de
referirse a un sistema complejo necesario para la gestión de certificados digitales y
aplicaciones de la Firma Digital.
PPP: (Point to Point Protocol). Protocolo punto a punto. Protocolo utilizado en Internet para
establecer enlace entre dos ordenadores remotos. Utilizado en la mayoría de las conexiones a
Internet domesticas a través de línea telefónica.
Producción: Es el software que está usándose para un propósito, o cuando el software esta
llevándose a cabo o probando.
Remsh: El comando remsh permite ejecutar un comando en un sistema remoto sin iniciar una
sesión en dicho sistema.
rlogin: Remote login Un servicio en los internets muy similares al telnet. RLOGIN fue
inventado para el uso entre los sistemas de Berkeley Unix en el mismo LAN en un momento en
que los programas del telnet no proporcionaron a todos los usuarios de servicios deseados.
SCADA: Acrónimo de Supervisory Control and Data Acquisition (en español, Supervisión de
Control y Adquisición de Datos).
Secure socket layer (SSL): (Capa de Conexión Segura) Protocolo creado por Netscape con el
fin de posibilitar la transmisión cifrada y segura de información a través de la red.
Servicios de Internet: Son servicios que corren en dispositivos que son rechazados de otros
dispositivos por una red. Los servicios de Internet mayores incluyen DNS, FTP, http, etc.
SLIP: (Serial Line Internet Protocol). Protocolo de Internet para líneas serie. Es un protocolo
que permite la comunicación TCP/IP sobre líneas serie (típicamente una conexión por módem
a través de la red telefónica conmutada). Que permite a una computadora utilizar los protocolos
de Internet usando una línea telefónica estándar. Hoy en día ha sido casi desplazado por un
protocolo más moderno que es el PPP.
SMTP: (Simple Mail Transfer Protocol; Protocolo de transferencia simple de correo) Estándar
para el intercambio de correo electrónico que permite la interconexión de redes diferentes entre
sí. Este protocolo es uno de los englobados en TCP/IP.
Sniffer: programa que monitorea y analiza el tráfico de una red para detectar problemas o
cuellos de botella. Su objetivo es mantener la eficiencia del tráfico de datos. Pero también
puede ser usado ilegítimamente para capturar datos en una red.
Solución Antivirus: Recurso informático empleado en la UJAT para solucionar problemas con
virus.
Spoofing: Se produce cuando grupos de spammers falsifican una dirección de email para
ocultar el origen del mensaje de spam. Grupos de timadores por email o creadores de virus
también utilizan este método. Los primeros falsifican las direcciones para hacer creer a los
usuarios que el email procede de una fuente legítima, como por ejemplo un banco online. Del
mismo modo, los creadores de virus han circulado supuestos parches de seguridad
pretendiendo que proceden del soporte técnico de Microsoft.
SSH: es el nombre de un protocolo y del programa que lo implementa. Este protocolo sirve
para acceder a máquinas a través de una red, de forma similar a como se hacía con telnet. La
diferencia principal es que SSH usa técnicas de cifrado para que ningún atacante pueda
descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión;
aunque es posible atacar este tipo de sistemas por medio de ataques de REPLAY y manipular
así la información entre destinos.
T1: Conexión por medio de línea telefónica que transporta datos con velocidades de hasta
1.544.000 bps. Aunque no es lo suficientemente rápida para soportar vídeo con movimiento a
pantalla completa en tiempo real, es ésta la velocidad más usada para conectar redes en
Internet.
WWW: World Wide Web (telaraña o malla mundial). Sistema de información distribuido con
mecanismos de hipertexto. Es el universo de servidores http, que permiten mezclar texto,
gráficos y archivos de sonido juntos.
Bibliografías
Libros
Manuales
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el
centro de Computo Universitario.
[2] José Luis López. VSantivirus No. 1134 Año 7, viernes 15 de agosto de 2003
Después de todo, es un simple gusano.
http://www.vsantivirus.com/apagon14-08-03.htm
[4] Belt Iberica 30 de Diciembre 2003. Las empresas lanzan un ataque contra los virus para
evitar pérdidas millonarias.
http://www.belt.es/noticias/2003/diciembre/30/empresas.htm
[6] Instituto Tecnológico de Santo Domingo. 2000. Guías de la OCDE para la seguridad de
los sistemas de información y redes.
http://usuarios.lycos.es/truthkp/hobbies.html
[7] Área de seguridad en computo (UNAM). 2003. Seguridad en Cómputo.
http://www.asc.unam.mx/Tutoriales/Tutoriales/politicas/politicas.html
[20] Daniel Ramón Elorreaga Madrigal. (UNAM). 1997 Firewalls y seguridad en Internet
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml
[24] Departamento de Seguridad en Cómputo. Febrero 2001. Manual de uso Secure Shell.
http://www.ipicyt.edu.mx/cns/ManualUsoSecureShellDGSCA-UNAM.htm
[32]Instituto de Ecología.
http://www.ecologia.edu.mx/
[37]Universidad Veracruzana
http://www.uv.mx/
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Internet Solutions LTDA. 2005. Seguridad Física y Lógica
http://www.internet-solutions.com.co/ser_fisica_logica.php
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Universidad Michoacana de San Nicolás de Hidalgo. May 7 del 2004. Política SW-01:
Dispositivos inalámbricos en la red universitaria
http://www.umich.mx/ccu/politicas/swo1-i.html
Referencia de imágenes
Figura. 4. Conexión a un servidor remoto usando por ejemplo el comando telnet o ftp
http://www.ipicyt.edu.mx/cns/ManualUsoSecureShellDGSCA-UNAM.htm
Figura. 6. Como usuarios de los servicios de redes de nuestra institución, ¿Sabe usted qué
herramientas existen para resguardar la seguridad de las redes y telecomunicaciones?
Figura. 10. ¿Qué mejoras cree que se deban implementar para solucionar dichas fallas en
seguridad en redes?
Figura. 11. ¿Conoce las reglamentaciones actuales referentes a centros de computo y
seguridad en redes y telecomunicaciones de la UJAT?
Figura. 12. ¿Qué otros servicios de redes utiliza además de la consulta de paginas Web o el
correo electrónico institucional UJAT?
Figura. 13. ¿Cuenta con algún requerimiento especial para algunos servicios de redes?
Como son: telecomunicaciones, video conferencias, sesión remota y transferencia de
archivos FTP.
Figura. 15. De manera general, desde el punto de vista del servicio. ¿Qué tan eficiente es el
servicio de Internet de nuestra red?
Figura. 16. ¿Cómo se encuentra tu equipo de computo (PC o estación de trabajo) en cuanto
al desempeño?
Figura.18. ¿Sabe si existen restricciones para páginas Web en cuanto a contenido?… (Por
ejemplo paginas para adultos, de entretenimiento, etc.)
Figura.19. Como consideras los servicios de red (Bueno, Malo, Regular, Pésimo) y el
estado de seguridad (Bueno, Malo, Regular, Pésimo)
• Figura. 22-B El gusano que más ordenadores ha infectado este año en España es el
Sobig.F.
http://www.belt.es/noticias/2003/diciembre/30/empresas.htm