Академический Документы
Профессиональный Документы
Культура Документы
DE ÁREA LOCAL
Autores
ESPECIALIZACIÓN TECNOLÓGICA EN
Para el desarrollo del presente proyecto hemos utilizado como antecedente, que en las empresas
modernas se encuentra una amplia dinámica de sistemas de información integrados por medio de la
utilización de redes de datos; dichos sistemas conforman la infraestructura tecnológica particular de
cada empresa, ésta infraestructura debe ser administrada eficientemente buscando implementar
mecanismo que faciliten la gestión de la seguridad de sus componentes de hardware, software e
información para lo cual se hace necesario la implementación de plataformas de seguridad en redes
que permitan la continuidad de los servicios informáticos que respaldan la función misional de cada
empresa. Es importante tener presente que el proceso de aseguramiento de la información puede llegar
a ser complicado teniendo en cuenta que no existen parámetros exactos para medir que tan expuesta
o vulnerable puede ser nuestra infraestructura tecnológica, es por esto que para la implementación de
nuestra plataforma de seguridad hemos utilizado los procesos metodológicos que se plantean en la
norma ISO 27000 como punto inicio en la construcción de un modelo basado en políticas de seguridad
estructuradas, definidas y alcanzables que permitan optimizar los niveles de seguridad informática y
de la información como factor diferenciador; dichas políticas se han implementado técnica y
tecnológicamente para luego ser administradas eficiente y dinámicamente, con base en el manual de
buenas prácticas establecido en el marco de referencia Itil V.3. Luego de realizar una evaluación de
impacto a la solución implementada, podemos destacar ampliamente los resultados obtenidos basados
en la baja inversión económica centrando la elaboración de políticas fuertes de configuración sobre
sistemas operativos cliente y de red, endurecimiento de los principales dispositivos de networking, la
adaptación de soluciones libres de firewall a nivel de software y la capacitación de usuarios en el
tratamiento de las amenazas de seguridad más sensibles para la empresa, todo esto sin requerir
importantes inversiones en equipos especializados de seguridad que no están al alcance de las
pequeñas y medianas empresas.
Palabras Clave
Abstract
For the development of this project we have used as background, that in modern companies there
is a wide dynamic of integrated information systems through the use of data networks; these systems
make up the particular technological infrastructure of each company, this infrastructure must be
managed efficiently, seeking to implement a mechanism that facilitates the management of the
security of its hardware, software and information components, for which it is necessary to implement
security platforms in networks that allow the continuity of the computer services that support the
missionary function of each company. It is important to keep in mind that the process of securing
information can be complicated considering that there are no exact parameters to measure how
exposed or vulnerable our technological infrastructure can be, that is why for the implementation of
our security platform we have used the methodological processes proposed in the ISO 27000 standard
as a starting point in the construction of a model based on structured, defined and achievable security
policies that allow the optimization of information security and information levels as a differentiating
factor; These policies have been technically and technologically implemented and then managed
efficiently and dynamically, based on the good practices manual established in the Itil V.3 reference
framework. After carrying out an impact evaluation of the solution implemented, we can highlight the
results obtained based on low economic investment, focusing the preparation of strong configuration
policies on client and network operating systems, hardening of the main networking devices,
adaptation of free firewall solutions at the software level and the training of users in dealing with the
most sensitive security threats for the company, all without requiring significant investments in
specialized security equipment that is not available to small and medium-sized companies.
Keywords
Itil, Iso 27000, Operating systems, Security policy, Security platform, Information security,
Computer security.
Introducción
El constante desarrollo tecnológico hace que las empresas implementen soluciones tecnológicas
pensando en su funcionalidad y en su rápida configuración para su eficaz puesta en marcha,
descuidando de fondo el concepto de seguridad de dichas soluciones, generando de esta manera la
posibilidad de que se presenten incidentes negativos de afectación tanto a la seguridad de la
información, como de la plataforma tecnológica colocando en riesgo permanente la continuidad del
servicio y la integridad de la información. Con base lo anterior, y considerando que la seguridad de la
información es cada vez más relevante incluso desde el ámbito normativo a nivel mundial y nacional
en los cuales podemos encontrar soportes jurídicos en la Ley 1266 de 2008 que trata sobre el "Habeas
Data” (Información Financiera); la Ley 1273 de 2009 sobre la Protección de la información (Delitos
informáticos); la Ley 1581 de 2012 que trata sobre la Protección de datos personales y por último el
documento Conpes 3854 de 2016 que implementa la Política Nacional de Seguridad.
Es importante considerar que para tener éxito en la implementación de iniciativas que pretendan
mejorar los niveles de seguridad al interior de las empresas debemos iniciar por conocer las
debilidades actuales en cuanto a los procesos principales los cuales se deben catalogar como procesos
de misión crítica o de alta disponibilidad y proponer diferentes alternativas que permitan minimizar
su impacto para que no se presenten sucesos que afecten la continuidad y disponibilidad de los
servicios tecnológicos, que a su vez comprometan la sostenibilidad de la empresa.
Es así como el proyecto implementación de una plataforma integral de seguridad para redes de
área local, se presenta como la oportunidad para que pequeñas y medianas empresas extiendan sus
objetivos estratégicos de negocio, partiendo de la necesidad de establecer e implementar políticas y
objetivos de calidad relacionados con la seguridad a través del sistema de gestión; protegiendo los
activos críticos, garantizando la debida gestión administrativa, financiera y operativa de la entidad
generando un impacto positivo en la reducción de costos y un equilibrio sostenible entre la
implementación de la funcionalidad tecnológica y la seguridad de la información.
Objetivo general
Implementar una plataforma integral de seguridad en redes de área local, utilizando los
componentes informáticos generales de la infraestructura tecnológica, de cobertura para pequeñas y
medianas empresas.
Objetivos específicos
- Aplicar componentes de la norma ISO 27000 como referencia para la elaboración de políticas
de seguridad que permitan mejorar el nivel de seguridad en redes de área local.
- Evaluar el nivel de seguridad informática de la red a través de la identificación los puntos
críticos que sean amenazas para la operación y continuidad del negocio.
- Configurar el hardware y el software de la infraestructura tecnológica con base en los
requerimientos mínimos de seguridad de cada empresa.
- Elaborar los planes de seguridad, contingencia y recuperación para la plataforma tecnológica
con base en los requerimientos mínimos de seguridad de redes de computadores.
Marco Teórico
Para el desarrollo del presente proyecto hemos tomando como punto partida el crecimiento
significativo de los incidentes de seguridad informática y de la información que se están presentando
en empresas de diferentes sectores productivos de nuestro entorno regional; derivados de la manifiesta
necesidad de establecer mecanismos constantes de comunicación entre los diferentes actores del
intercambio comercial, lo cual ha favorecido el desarrollo de múltiples soluciones informáticas y de
telecomunicaciones sin la adecuada implementación de controles que faciliten la protección de los
activos electrónicos, que en la actualidad pueden representar ventajas competitivas para empresas de
sectores emergentes de la economía.
Para comprender la importancia y la necesidad de implementar controles de seguridad sobre
nuestra infraestructura tecnológica es importante familiarizarnos con los conceptos más relevantes en
las disciplinas de la seguridad informática y de la información; entre los cuales se destaca SGSI
(sistema de gestión de seguridad de la información), por medio del cual se plantea que los riesgos a
los cuales está expuesta la información deben ser conocidos, asumidos y gestionados por las
organizaciones con el objetivo de minimizar su impacto; por lo cual en su implementación debe
intervenir actores que representen los diferentes ámbitos y procesos organizacionales considerando
que con su implementación se respaldaran todas actividades en las cuales se involucren recursos
tecnológicos, humanos, físicos e intangibles informáticos y de información.
Es importante considerar que pese a la existencia de normas de carácter internacional para la
implementación de SGSI, como ISO 27000 en sus diferentes variantes, no existen parámetros que
especifiquen cuales son las políticas e implementaciones técnicas que puedan marcar el éxito del
SGSI, lo que lo convierte en un proceso independiente de cada tipo de organización en el cual se
deben realizar análisis serios y exhaustivos de la amenazas a las que realmente se encuentra expuesta
su infraestructura tecnológica, para con base en ello establecer de manera concertada con la alta
dirección las políticas de seguridad y restricciones que darán origen a diferentes estrategias de gestión
de configuración por medio de las cuales se podrá fortalecer técnicamente la infraestructura y las
condiciones tecnológicas para salvaguardar la información.
Debemos considerar que uno de los enfoques normativos más relevantes para el éxito de los SGSI,
es el empoderamiento de las políticas y estrategias de seguridad definidas por parte de los usuarios
finales y todos los beneficiarios de los servicios tecnológicos al interior de las empresas, lo cual
supone un importante trabajo de divulgación, concientización y capacitación a cargo de los
responsables de la implementación del SGSI, con la misión de convertirlo en un sistema transparente
y transversal para toda la organización en búsqueda de aportes cognitivos que permitan aplicar y
respetar las políticas definidas de forma responsable y colaborativa.
En todos los contextos bibliográficos que tratan la temática de seguridad informática se abordan
algunos pasos y recomendaciones generales sobre la implementación de diferentes controles para
fortalecer los niveles de seguridad al interior de las empresas, por ejemplo el autor Fabián Portantier,
en uno de sus libros propone utilizar el siguiente esquema para la implementación de controles para
la seguridad de la información.
Imagen 1: Esquema de implementación de riesgos
Metodología
Para el desarrollo del presente proyecto se han tomado los elementos más representativos de
la norma ISO 27000 aplicados en la implementación de buenas prácticas para la protección integral
de los activos informáticos (tangibles e intangibles) de una PYME, dando una amplia relevancia a
la configuración, administración, endurecimiento y protección de los componentes esenciales de
la infraestructura en procura de la optimización de costos; y teniendo en cuenta que para ISO
(International Organization for Standardization) un Sistema de gestión queda definido por un
proceso de 4 etapas, Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act), los
cuales se describen en la siguiente imagen.
Fuente: http://www.isaca-org
Posterior a la realización de un análisis de los entregables y/o evidencias que deberían generar
después de la implementación de cada una de las fases descritas en la imagen 2 se determinó que a
nivel general los entregables debían ser los siguientes.
Fuente: https://www.isaca.org
Desarrollo del proyecto
Marco normativo
Esta ley conocida como el "Habeas Data”, trata sobre la información financiera, crediticia y
comercial contenida en las bases de datos personales. Esta ley ayudo mucho a cientos de personas
que tenían algún tipo de historial crediticio negativo en las centrales de riesgo y que por lo tanto
fueron excluidos de poder adquirir nuevos créditos luego de ponerse al día con sus obligaciones
financieras.
También conocida como la ley de "Protección de datos personales". Esta ley tiene por objeto
complementar y desarrollar el derecho de las personas naturales a conocer, autorizar, actualizar,
rectificar la información que reposa en las bases de datos de cualquier organización.
Es la Política Nacional de Seguridad Digital que funciona como una lista de acciones que las
entidades del estado deben llevar acabo para mejorar la ciberseguridad a través de la prevención y
mitigación de riesgos informáticos.
POLÍTICA GENERAL
POLITICAS FUNDAMENTALES
POLÍTICA DE RESPONSABILIDAD
Todas las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos, serán
asignadas a un responsable, por lo cual es su compromiso hacer uso adecuado y eficiente de dichos
recursos, procurando su buen funcionamiento y preservación.
Garantizar que todo empleado, proveedor e invitado, que tenga necesidad de acceder a las redes
empresariales, realicen la actividad siguiendo una serie de lineamientos de seguridad que incluyen la
autenticación y privilegios que contribuyen a preservar la confidencialidad, integridad y
disponibilidad de la información de la empresa.
POLÍTICA DE ORGANIZACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN
Se debe garantizar que la información reciba una clasificación adecuada, para con esto,
proporcionar un nivel de protección óptimo a la misma. La clasificación de la información tendrá las
siguientes categorías: pública, privada y confidencial. De igual forma la información debe estar bien
organizada para el tratamiento de la misma por parte de cualquier usuario.
POLÍTICA DE CONFIDENCIALIDAD
Garantizar que toda información, etiquetada como confidencial o secreta, sea almacenada, de
manera segura, garantizando con esto la preservación de la confidencialidad e integridad de la misma.
No se debe compartir esta en ninguna circunstancia. En el caso de que la información sea física debe
estar en caja fuerte y en caso de que este magnética debe estar cifrada criptográficamente.
Todos los sistemas de comunicaciones y centro de datos estarán debidamente protegidos con la
infraestructura apropiada de manera que el usuario no tenga acceso físico directo. El acceso de las
personas a las instalaciones físicas de telecomunicaciones y centro de datos es restringido, sólo podrán
hacerlo con la autorización del encargo de seguridad previa verificación de la necesidad real de acceso
a éstos lugares.
POLÍTICA DE DOCUMENTACION
POLÍTICA DE RESPALDO
SISTEMA OPERATIVO:
Los recursos de computación se deben usar exclusivamente para propósitos relacionados con
la actividad desempeñada en la empresa.
No se deben almacenar documentos o archivos de tipo personal.
Sólo el personal autorizado puede llevar a cabo cualquier tipo de mantenimiento tanto del
hardware como del software y de la configuración de acceso a la red.
El usuario debe reportar cualquier actividad o funcionamiento sospechoso, tipo de daño del
equipo (físico o lógico) o cualquier des configuración al departamento de sistemas
informáticos.
No está permitido modificar la configuración de los computadores.
No se permite cambiar nombres de usuarios, cuentas o contraseñas asignadas.
Todos los archivos y documentos deberán ser almacenados en la unidad D, mientras los
programas estarán en la unidad C.
Cada computador debe tener una tarea programada que se ejecuta diariamente para hacer una
copia de respaldo de la información. En caso de no funcionar ésta el usuario deberá notificar
al área de soporte técnico e igualmente deberá ejecutarla manualmente, de no ser así el usuario
será el responsable por pérdida o daño de la información.
Para el reporte de incidencias se debe manejar el adecuado conducto regular.
El usuario debe solicitar la asignación de clave personal para la cuenta del sistema operativo.
Bloquea la sesión de tu equipo cuando abandones tu puesto.
HARDWARE:
No se deben borrar programas propios o ajenos al sistema operativo sin previa aprobación del
departamento de sistemas informáticos.
No instalar ningún tipo de programa que requiera licencia (software propietario) ya que posee
derechos de autor protegidos por la ley. Su uso sin la compra o adquisición del producto es
ilegal y conlleva consecuencias legales.
No instalar ningún programa de uso libre sin previa autorización del departamento de sistemas
informáticos. En todos los casos, los usuarios deben consultar al coordinador la instalación de
cualquier tipo de programa de aplicación (software).
No ejecutar programas o aplicaciones que no estén permitidos por el departamento de
sistemas.
No instalar ningún tipo de juego o aplicativo de ocio. Esto aplica también para juegos en línea
o en Red.
En el momento de solicitar soporte técnico remoto el usuario deberá realizar un
acompañamiento durante todo el proceso al auxiliar de sistemas.
CORREO ELECTRÓNICO:
INTERNET:
No está permitido acceder a Internet con fines diferentes a los propios de las actividades
laborales.
No hacer uso de programas o páginas de redes sociales como por ejemplo Facebook, Twiter,
YouTube, entre otras.
No hacer uso de programas de descarga como por ejemplo ares, atube catcher, emule, entre
otros.
No descargar software o contenidos personales sin autorización.
En caso de que se necesiten habilitar paginas diferentes a las que se tienen permitidas por la
empresa, se deberá argumentar su uso mediante correo electrónico al área de soporte técnico.
Dentro del desarrollo de nuestro proyecto se ha determinado que una de las mejores opciones para
mejorar el nivel de seguridad de la red es fortalecer o endurecer los sistemas operativos por medio de
configuraciones que permitan mejorar su nivel de seguridad y usabilidad implementado técnicamente
algunas restricciones; las cuales podemos ver reflejadas en la siguiente tabla.
Internet
Explorer
Plantilla administrativa-
Componentes de
Deshabilitar la Configuració Windows-Internet Quita la ficha general de la interfaz de Valor :
página principal n de usuario Explorer opciones de internet Deshabilitado
Plantilla administrativa-
Deshabilitar la Componentes de
página Configuració Windows-Internet Quita la ficha seguridad de la interfaz de Valor :
seguridad n de usuario Explorer opciones de internet Deshabilitado
Plantilla administrativa-
Deshabilitar la Componentes de
página Configuració Windows-Internet Quita la ficha contenido de la interfaz de Valor :
contenido n de usuario Explorer opciones de internet Deshabilitado
Plantilla administrativa-
Deshabilitar la Componentes de
página Configuració Windows-Internet Quita la ficha conexiones de la interfaz Valor :
conexiones n de usuario Explorer de opciones de internet Deshabilitado
Plantilla administrativa-
Deshabilitar la Componentes de
página Configuració Windows-Internet Quita la ficha programas de la interfaz Valor :
programas n de usuario Explorer de opciones de internet Deshabilitado
Plantilla administrativa-
Deshabilitar la Componentes de
página Configuració Windows-Internet Quita la ficha privacidad de la interfaz de Valor :
privacidad n de usuario Explorer opciones de internet Habilitado
Deshabilitar la Plantilla administrativa-
página Componentes de
opciones Configuració Windows-Internet Quita la ficha opciones avanzadas de la Valor :
avanzadas n de usuario Explorer interfaz de opciones de internet Habilitado
Impedir Plantilla administrativa-
instalación Componentes de
desde cualquier Configuració Windows-Instalador de Impide que los usuarios instalen Valor :
medio extraíble n del Equipo Windows programas desde medios extraíbles Habilitado
Impedir Acceso
al Panel de Configuració Planillas Administrativas
Control n del Equipo - Panel de control 1. Prohibir el acceso al Panel de control 1. Habilitado
Eliminar Plantilla administrativa-
función agregar Panel de control-
o quitar Configuració Agregar o quitar Valor :
programas n de usuario programas Quita la ficha agregar o quitar programas Deshabilitado
Impedir el
acceso al
símbolo del Configuració Plantilla administrativa- Valor :
sistema n de usuario Sistema Impide el acceso al cmd Deshabilitado
Impedir el
acceso al Configuració Plantilla administrativa- Deshabilita las herramientas de edición Valor :
Regedit n de usuario Sistema de registro de Windows Deshabilitado
Plantilla administrativa -
Componentes de
Windows-Reproductor
Ocultar ficha Configuració de Windows Media- Valor :
red n de usuario Redes Deshabilita la dicha red Habilitado
Controlador de
dominio
1. Aplicar restricciones 1. Habilitado
de inicio de sesión de 2. 5 Minutos
Configuració
usuario 3. --
n de
2. Tolerancia máxima 4. 7 días
Windows-
para la sincronización de 5. 600 minutos
Configuració
los relojes de los
n de
Configuración equipos controlador
seguridad-
del Equipo 3. Vigencia máxima de de dominio
Directivas de
renovación de vales de
cuenta-
usuario
Directiva de
4. Vigencia máxima del
bloqueo de
vale de servicio
cuenta
5. Vigencia máxima del
vale de usuario
Fuente: Elaboración propia
APLICAR DIRECTIVAS DE GRUPO LOCAL
Impedir acceso a las unidades desde Mi PC Ingresamos a la siguiente ruta en el gestor de directivas -
Configuración de Usuario / Plantillas Administrativas / Componentes de Windows/Explorador de
Windows / Impedir acceso a las unidades desde Mi PC
En la opción “Elegir una de las siguientes combinaciones” Se seleccionan las unidades a las que se
impedirá el acceso, dando en el botón aceptar para finalizar.
Oculta el elemento Administrar del menú contextual del Explorador de Windows Configuración de
Usuario / Plantillas Administrativas / Componentes de Windows/Explorador de Windows / Oculta el
elemento Administrar del menú contextual del Explorador de Windows.
A continuación se detallan las características del software que será utilizado como firewall a
nivel de software
COMPONENTES
Safe Money Protege el acceso del usuario a sitios web de bancos y sistemas de pago
asegurándose de que se está realizando en un entorno seguro. Este activara una ventana con
contorno verde al momento de realizar alguna transacción. Se deshabilito en todos los equipos ya
que no todos necesitan realizar pagos.
Copia de seguridad y restauración Crea una copia de seguridad de los archivos seleccionados
para protegerlos en caso de daño o robo del equipo, se pueden almacenar tanto en un disco extraíble
como en la nube. No se implementó su uso debido a que ya se tiene un sistema de copias de
seguridad.
Administración de políticas web (control parental) Hace las veces de controlador de contenido
web en cada computador, controlando acceso a internet, a paginas seguras, redes sociales,
descargas, etc. Por ahora se puede implementar, pero no se ha hecho debido a que se tiene ya un
sistema de proxy en el firewall perimetral.
Actualización de software Ayuda a actualizar las aplicaciones del equipo para evitar
infecciones, avisa que aplicaciones están pendientes de actualización. Se desactivo debido a que el
administrador debe de ser quien realice las actualizaciones.
Limpiador de software Se detectan programas en el equipo que cuenten con una instalación o
eliminación no estándar, que apenas se utilicen o que se categoricen como software de publicidad.
Esta herramienta elimina estos programas. Se puede ejecutar el limpiador de software en cualquier
momento.
Protección por nube Se conecta el servidor en línea de Kaspersky para examinar las
vulnerabilidades y riesgos que se registran en tiempo real. Se deshabilitó para evitar el consumo
incrementado del ancho de banda.
Teclado en pantalla Reemplaza el teclado físico del equipo por uno que se puede acceder por medio
del mouse, herramienta útil para evitar keyloggers, se puede usar cada que el usuario lo requiera.
Limpiador de datos personales Realiza un análisis de los datos personales registrados en los
navegadores, la cache y las cookies y las elimina si así lo desea el usuario.
Triturador de archivos Elimina archivos de forma segura en bajo nivel para evitar que sean
recuperados sin autorización, está disponible para cuando el usuario lo requiera.
Limpiador de datos sin usar Elimina los datos no usados como por ejemplo archivos temporales o
registros innecesarios. Se puede usar según lo requiera el usuario.
File Antivirus Analiza todos los archivos abiertos, guardados o en ejecución en busca de virus y
malware. Esta activado y en operación
Web antivirus Analiza el tráfico web entrante y evita la ejecución de scripts peligrosos en el equipo,
además de comprobar si los sitios tienen software malicioso o herramientas de phishing. Esta
activado y en operación.
Firewall Filtra toda la actividad de red para garantizar la seguridad en las redes locales e internet,
esta herramienta toma el poder del firewall de Windows, permitiendo crear y administrar reglas
según lo requiera el administrador. Existen dos maneras de administrar el firewall, por reglas de
paquetes, en el cual se crean y administran reglas para permitir o denegar el tráfico en la red a
través de los puertos especificados en la regla. Por reglas de aplicaciones, que examina el tráfico
que realiza una explicación específica y la permite o la deniega según lo requiera el administrador.
Esta es una herramienta que complementa la tarea ya realizada por el firewall perimetral instalado
en la empresa.
Navegación privada Protege contra la recopilación de información sobre la actividad en sitios web.
Evita que páginas como agencias publicitarias o balizas web, así como de redes sociales.
Actualmente se encuentra activado en los dispositivos, pero solo a manera de conteo no de bloqueo.
Protección de la cámara web Evita el espionaje a través de la cámara web. Esta activado en todos
los equipos a modo de notificación cuando una aplicación permitida solicite el uso de esta.
Anti-banner Bloquea banners en los sitios web y aplicaciones. Este se encuentra deshabilitado para
evitar que entre en conflicto con el servidor proxy del firewall perimetral.
Bloqueador de ataques de red Protege al equipo frente a ataques y actividad de red peligrosos.
Permite bloquear la dirección del atacante durante el tiempo que se especifique. Está configurado
en los equipos a 60 minutos de bloqueo.
Vigía proactiva Supervisa y deshace las acciones de software malicioso. Realiza las acciones
necesarias para responder ante las acciones del software malicioso. Esta activo actualmente en
todos los equipos y en su configuración de acciones estándar.
Antivirus para chat Analiza los mensajes de mensajería instantánea entrantes y salientes en busca
de vínculos maliciosos fraudulentos. Activado en todos los computadores.
Antivirus de correo Analiza los mensajes entrantes y salientes en busca de objetos maliciosos. Esta
activado en todos los equipos para analizar correos entrantes.
Aquí se llega a la conclusión que se desea adquirir el software Kaspersky. Entre las
funcionalidades que ofrece el programa se encuentran:
Tabla 2: Herramientas de Kaspersky firewall
MARCACION DE EQUIPOS
HOSTNAME
Todos los equipos deberán tener el patrón de marcación COLE_CIUDAD(3 LETRAS)_PISOXX,
para los SWITCH se debe anteponer el SW_COLE_ CIUDAD(3 LETRAS)_PISOXX
Router>enable
Router#configure terminal
Router(config)#hostname COLE_MZL_PISO01
COLE_MZL_PISO01(config)#
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW_COLE_MZL_PISO01
SW_COLE_MZL_PISO01 (config)#
SW_COLE_MZL_PISO01 (config)#!
SW_COLE_MZL_PISO01 (config)#interface Vlan30
SW_COLE_MZL_PISO01 (config)# description --LAN CABLEADA—
SW_COLE_MZL_PISO01 (config)# no ip address
SW_COLE_MZL_PISO01 (config)#!
SW_COLE_MZL_PISO01 (config)#interface Vlan40
SW_COLE_MZL_PISO01 (config)# description --LAN INALAMBRICA—
SW_COLE_MZL_PISO01 (config)# no ip address
!
Asignar los puertos a cada VLAN
SW_COLE_MZL_PISO01 (config)#!
SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/1
SW_COLE_MZL_PISO01 (config)# switchport access vlan 30
SW_COLE_MZL_PISO01 (config)#!
SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/2
SW_COLE_MZL_PISO01 (config)# switchport access vlan 30
SW_COLE_MZL_PISO01 (config)#!
SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/3
SW_COLE_MZL_PISO01 (config)# switchport access vlan 40
SW_COLE_MZL_PISO01 (config)#!
SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/4
SW_COLE_MZL_PISO01 (config)# switchport access vlan 40
SW_COLE_MZL_PISO01 (config)#!
Implementación de Subredes
Hemos diseñado una red basadas en direccionamiento a través de subredes que nos permitirán la
interconexión entre las diferentes áreas y sedes, para ello se definió la siguiente segmentación pensada
en la actualidad y futuro crecimiento.
Armenia
Primera IP Ultima IP
Estaciones de Cantidad Total
Piso Servidores Total por Piso Vlans Direccion de Red Mascara Broadcast Valida para Valida para
Trabajo Equipos
host host
1 80 4 84 VLAN 10 84 192.168.1.0 255.255.255.128 192.168.1.127 192.168.1.1 192.168.1.126
2 45 1 46
3 50 3 53
VLAN 20 205 192.168.2.0 255.255.255.0 192.168.2.255 192.168.2.1 192.168.2.254
4 34 2 36
5 60 10 70
Pereira
Primera IP Ultima IP
Estaciones de Cantidad Total
Piso Servidores Total por Piso Vlans Direccion de Red Mascara Broadcast Valida para Valida para
trabajo Equipos
host host
1 100 5 105
2 60 10 70 VLAN 50 230 192.168.5.0 255.255.255.0 192.168.5.255 192.168.5.1 192.168.5.254
3 50 5 55
Cartago
Primera IP Ultima IP
Estaciones de Cantidad Total
Piso Servidores Total por Piso Vlans Direccion de Red Mascara Broadcast Valida para Valida para
trabajo Equipos
host host
1 80 1 81
2 80 2 82
3 80 3 83 VLAN 60 415 192.168.6.0 255.255.254.0 192.168.7.255 192.168.6.1 192.168.7.254
Futuro 80 4 84
Futuro 80 5 85
WAN
Primera IP Ultima IP
WAN Sede Ip´s Validas Direccion de
Sede Origen Mascara Broadcast Valida para Valida para
No. Destino Necesarias Red
host host
1 Armenia Manizales 2 10.10.10.0 255.255.255.252 10.10.10.3 10.10.10.1 10.10.10.2
2 Manizales Cartago 2 10.10.10.4 255.255.255.252 10.10.10.7 10.10.10.5 10.10.10.6
3 Cartago Pereira 2 10.10.10.8 255.255.255.252 10.10.10.11 10.10.10.9 10.10.10.10
4 Pereira Armenia 2 10.10.10.12 255.255.255.252 10.10.10.15 10.10.10.13 10.10.10.14
COLE_MZL_PISO01#show startup-config
Using 6227 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname COLE_MZL_PISO01
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
no ip cef
no ipv6 cef
!
username administrador privilege 15 password 7 08221C425A1A511141
username cisco password 7 0822455D0A16
!
license udi pid CISCO2911/K9 sn FTX1524V1T3
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 10.10.10.2 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 10.10.10.5 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/2.30
encapsulation dot1Q 30
ip address 192.168.3.1 255.255.255.0
!
interface GigabitEthernet0/2.40
encapsulation dot1Q 40
ip address 192.168.4.1 255.255.255.0
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 10.10.10.0 0.0.0.3 area 1
network 10.10.10.4 0.0.0.3 area 1
network 192.168.3.0 0.0.0.255 area 1
network 192.168.4.0 0.0.0.255 area 1
!
ip classless
!
ip flow-export version 9
!
no cdp run
Configuración Switch Sede Manizales
SW_COLE_MZL_PISO01#show startup-config
Using 6908 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname SW_COLE_MZL_PISO01
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
username administrador privilege 1 password 7 08221C425A1A511141
username cisco privilege 1 password 7 0822455D0A16
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport access vlan 30
!
interface FastEthernet0/2
switchport access vlan 30
!
interface FastEthernet0/3
switchport access vlan 30
!
interface FastEthernet0/4
switchport access vlan 30
!
interface FastEthernet0/5
switchport access vlan 30
!
interface FastEthernet0/6
switchport access vlan 30
!
interface FastEthernet0/7
switchport access vlan 30
!
interface FastEthernet0/8
switchport access vlan 30
!
interface FastEthernet0/9
switchport access vlan 30
!
interface FastEthernet0/10
switchport access vlan 30
!
interface FastEthernet0/11
switchport access vlan 30
!
interface FastEthernet0/12
switchport access vlan 30
!
interface FastEthernet0/13
switchport access vlan 30
!
interface FastEthernet0/14
switchport access vlan 30
!
interface FastEthernet0/15
switchport access vlan 30
!
interface FastEthernet0/16
switchport access vlan 30
!
interface FastEthernet0/17
switchport access vlan 30
!
interface FastEthernet0/18
switchport access vlan 30
!
interface FastEthernet0/19
switchport access vlan 30
!
interface FastEthernet0/20
switchport access vlan 30
!
interface FastEthernet0/21
switchport access vlan 30
!
interface FastEthernet0/22
switchport access vlan 30
!
interface FastEthernet0/23
switchport access vlan 40
!
interface FastEthernet0/24
switchport access vlan 40
!
interface GigabitEthernet0/1
switchport mode trunk
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
shutdown
!
interface Vlan30
description --LAN CABLEADA--
mac-address 00e0.f73b.c301
no ip address
!
interface Vlan40
description --LAN INALAMBRICA--
mac-address 00e0.f73b.c302
no ip address
!
line con 0
password 7 0822455D0A16
login
!
line vty 0 4
password 7 0822455D0A16
login
line vty 5 15
login
!
!
!
end
SW_COLE_MZL_PISO01#
-Configuración inside
Asaprincipal(Config)#Interface Ethernet 0/1
Asaprincipal(Config-If)#Nameif inside
Asaprincipal(Config-If)#Ip Address 192.168.1.1 255.255.255.0
Asaprincipal(Config-If)# Security-level 100
Asaprincipal(Config-If)# Exit
-Configuración outside
Asaprincipal(Config)#Interface Ethernet 0/0
Asaprincipal(Config-If)#Nameif outside
Asaprincipal(Config-If)#Ip Address 209.165.200.226 255.255.255.248
Asaprincipal(Config-If)# Security-level 0
Asaprincipal(Config-If)# Exit
-Configuración DMZ
Asaprincipal(Config)#Interface Ethernet 0/2
Asaprincipal(Config-If)#Nameif dmz
Asaprincipal(Config-If)#Ip Address 192.168.2.1 255.255.255.0
Asaprincipal(Config-If)# Security-level 50
Asaprincipal(Config-If)# Exit
-Configuración management
Asaprincipal(Config)#Interface Ethernet 0/3
Asaprincipal(Config-If)#Nameif management
Asaprincipal(Config-If)#Ip Address 192.168.3.1 255.255.255.0
Asaprincipal(Config-If)# Security-level 90
Asaprincipal(Config-If)# Exit
-Permitir acceso SSH al dispositivo por la red 192.168.3.0/24 desde la interfaz “management”
Asaprincipal(Config)# ssh 192.168.3.0.255.255.255.0 management
-Permitir el acceso para el ASDM, se necesita transmitir el binario del ASDM al ASA a través de un
servidor tftp instalado en el PC de administración (management) y esperar hasta que el
procedimiento de transferencia termine
Asaprincipal(Config)# copy tftp flash
Address or name of remote host [ ]?192.168.3.2
Source filename [ ]? asdm-751-112.bin
-Habilitar el servicio HTTP para que sólo tenga acceso en la interfaz management
Asaprincipal(Config)# http server enable
Asaprincipal(Config)# http 192.168.3.0 255.255.255.0 management
-Crear Los Objetos Tipo Host Para Comunicar La Dmz Con El Inside
Asaprincipal(Config)#Object Network Dmz-Server
Asaprincipal(Config-Network-Object)#Host 192.168.2.3
Asaprincipal(Config-Network-Object)#Nat (Dmz,outside) Static 209.165.200.227
-Crear La Lista De Acceso Y El Grupo De Acceso Que Permita Comunicar Dmz Y Outside
Asaprincipal(Config)#Access-List Outside-Dmz Permit Icmp Any Host 192.168.2.3
Asaprincipal(Config)#Access-List Outside-Dmz Permit Tcp Any Host 192.168.2.3 Eq 80
Asaprincipal(Config)#Access-Group Outside-Dmz In Interface Outside
IMPLEMENTACION DE CONTROLES
Amenaza identificada:
Objetivo:
Control implementado:
Firewall perimetral
Amenaza identificada: La red perimetral no cuenta con protección ante ataques y accesos no
autorizados.
Objetivo:
Implementar un firewall perimetral para evitar ataques y accesos no autorizados a la red LAN y a
la red DMZ.
Control implementado:
Endurecimiento de la red LAN y la red DMZ a través de la implementación de un firewall
perimetral de software open source pfSense el cual tiene adicionalmente otras funcionalidades
como por ejemplo IDS/IPS, servidor web proxy, entre otras.
Ventajas:
Disminución de riesgo a ser accedido sin autorización a través de puertos lógicos. Las
funcionalidades adicionales que trae el firewall en su implementación de IDS/IPS, servidor proxy
web.
Desventajas:
Sin llegar a ser una desventaja realmente se considera que la administración y gestión de este
dispositivo lleva más tiempo para que la red llegue a estar funcional, se debe estar atento a las
alerta y logs del sistema ya que si no se revisan eventualmente estos registros no sabremos que
ajustes hay que aplicar para que el firewall sea eficiente para lo que se adquirió.
Imagen 20: Resumen de reglas Implementadas en el firewall
Perimetral
Windows server
Amenaza identificada:
No se dispone actualmente de un servidor de contingencia para el caso en que se llegue a dañar el
principal. De igual forma, la administración de los equipos se realiza de forma individual lo que
dificulta y hace menos eficiente la administración de los dispositivos y del tiempo.
Objetivo:
Implementar un servidor de contingencia y en este realizar la instalación de un controlador de
dominio, un arreglo de discos y un sistema de copia y restauración de respaldo.
Control implementado:
Se realizó la instalación y configuración del sistema operativo Windows Server 2012, la activación
del active directory, arreglo de discos en array 1 y la configuración del sistema de backup. Esta
implementación se realizó tanto en simulación como en entorno de producción.
Ventajas:
Contar con un servidor alterno en caso de presentarse una falla temporal o total del servidor
principal. De igual forma contar con un controlador de dominio que facilite las tareas
administrativas para aplicar de manera rápida configuraciones de seguridad en los equipos host.
Desventajas:
Sin llegar a ser una desventaja realmente, se considera que la administración y gestión de este
dispositivo servidor lleva más tiempo.
Seguridad inalámbrica
Amenaza identificada:
No se cuenta con una directiva claramente establecida para la configuración e implementación de
dispositivos inalámbricos.
Objetivo:
Realizar la configuración segura de los dispositivos router y access point.
Control implementado:
Se procede a realizar la configuración segura tanto del router como del access point.
Ventajas:
Suelen ser más baratas.
Suelen instalarse más fácilmente.
Facilidad de uso.
Estar basada en estándares y contar con certificación
Escalabilidad
Desventajas:
VLANs
Amenaza identificada:
No tener la red segmentada representa un peligro de accesos no autorizados a información
almacenada o información en tránsito.
Objetivo:
Realizar la segmentación de la red a través de VLANs para evitar incidentes de seguridad.
Control implementado:
Se realizó la simulación de una segmentación de la red LAN a través del programa Packet Tracer
en donde se implementó la creación de 2 VLANs.
Ventajas:
Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que disminuye
las posibilidades de que ocurran violaciones de información confidencial.
Mejor rendimiento: a causa de la división de una red en redes VLAN, se reduce la cantidad de
dispositivos en el dominio de difusión.
Mayor administración del área de T.I.: se facilita el manejo de la red. Reducción de costos: las
implementaciones se realizan de forma lógica y no física lo que conlleva a una reducción de costos
Desventajas:
Se vuelve un poco complejo el tema de crear varias VLANs si todas ellas deben hacer uso de varios
servicios de red que están instalados en una red DMZ o incluso en la red LAN principal
Objetivo:
El objetivo del plan de continuidad es proteger los intereses de la empresa ante eventualidades que
afecten la continuidad de las operaciones con respuestas rápidas y efectivas a través de
procedimientos claramente identificados al igual que el responsable de llevarlos a cabo. Con base
a lo anterior es necesario preparar a las directivas como al comité de sistemas y al departamento
de T.I. en la eventualidad de la interrupción de los servicios causados por factores y restablecer los
servicios en el menor tiempo posible.
Por lo general el plan de continuidad se debe activar cuando suceden algunas de los siguientes
incidentes:
Falla del Hardware.
Interrupción del fluido eléctrico o telecomunicaciones.
Fallas en Aplicaciones o corrupción de las bases de datos.
Errores humanos, sabotaje o golpes.
Ataque y propagación de software malicioso.
Hacking no autorizado de los sistemas.
Desastres naturales (Inundaciones, Terremotos, Huracanes, etc.).
Igualmente es muy importante contar con un equipo de respuesta a incidentes bien constituido y
con conocimiento de sus funciones por cada uno de sus integrantes. Las etapas de un adecuado
plan de continuidad están compuesta por las siguientes etapas basadas en el marco de
ciberseguridad de El Instituto Nacional de Estándares y Tecnología (NIST):
Identificar
Proteger
Detectar
Responder
Recuperar
servidor
sistema de información SIP
firewall perimetral
Controles de contingencia
Servidor:
Disponer de un servidor adicional.
La ubicación del servidor debe ser diferente a la del servidor principal.
Sistema de información SIP:
Tener documentado la manera de instalación del sistema de información.
Disponer de un sistema de copia y restauración de la base de datos del sistema de
información.
Firewall perimetral:
Disponer de un equipo de cómputo con 3 interfaces graficas donde se pueda instalar el
firewall perimetral en caso de que el principal falle.
Disponer de un sistema de copia y restauración de la configuración del firewall.
Es la dirección estratégica que tiene el área de las Tecnologías de la Información para alinearse e
integrarse con la dirección corporativa (entre los diferentes departamentos) y así cumplir con la
misión empresarial. Entre algunas de las áreas que se centra el gobierno de TI están la
administración del riesgo, la administración de recursos y la medición del desempeño.
Gestión Documental:
Se tiene implementada una política de documentar todos los procesos y procedimientos que han
servido a resolver incidencias en el área de soporte técnico.
Help Desk:
Se lleva un control sobre los activos y las gestiones realizadas a los diferentes dispositivos de la
empresa a través de una mesa de ayuda.
Resultados Obtenidos
Luego de la puesta en marcha de las estrategias implementadas para mejorar los niveles de
seguridad y funcionalidad de la plataforma tecnológica en algunas PYMES, se ha podido observar
que gracias a las configuraciones técnicas implementadas sobre los sistemas operativos y
segmentación de la red en varias Vlan´s, la cantidad de incidencias por fallas en la operatividad de los
equipos ha disminuido entre un 18% y un 25%, de la misma manera las tasas de transferencia de
archivos a nivel LAN ha aumentado en un 22% en archivos de textos y en un 11% para archivos de
peso considerable (superior 50Mb). Aunque la optimización de uso tecnológico y tiempo laboral de
los empleados no fue considerado dentro del alcance y objetivos del presente proyecto; algunos jefes
de área han manifestado un incremento notable en los tiempos de respuestas a las solicitudes
realizadas como consecuencia de la aplicación de políticas de restricción de sitios web ajenos al
enfoque empresarial; adicionalmente las restricciones de navegación han aportado al mejoramiento
del rendimiento de los equipos y de la red en general debido a que la disminución de solicitudes a la
web sugirió una disminución del 35% de los análisis que el antivirus debía realizar en tiempo real.
Al interior de las PYMES que se implementaron los pilotos se realizó un proceso de sensibilización
en temáticas relacionadas con seguridad informática y de la información, con unos niveles
importancia de aceptación y motivación por parte de los usuarios, y aunque éste aspecto no se ha
medido cuantitativamente, la adaptación de las configuraciones de seguridad han representado
cualitativamente un mejoramiento de la imagen de los departamentos de TI al interior de las empresas,
así como percepción de seguridad de la inversión por parte del nivel directivo.
En términos más puntuales podemos enumerar los siguientes logros y/o resultados
Se identificaron algunas de las vulnerabilidades más graves que afectarían seriamente algunos
de los activos más importantes y se procedió a tomar medidas para mitigar sus efectos.
Conclusiones
Nunca habrá un estado absoluto de seguridad al 100%, debe ser un ciclo continuo de
evaluación y acciones encaminadas a gestionar los riesgos
La seguridad de la información es como una cadena compuesta por varios elementos de la cual
el ser humano hace parte y además es el elemento más débil de esta, por lo tanto se trata de
reducir el riesgo a niveles asumibles.
Los procesos que se llevaron a cabo fortalecieron los conocimientos adquiridos durante la
formación afianzando así los diferentes procedimientos para implementar la seguridad en
todas las áreas tecnológicas de una PYME.
Se adquirió y transmitió conciencia acerca de las grandes problemáticas que se generan en una
empresa con la vulneración de los diferentes activos per medio de robo de información o en su
caso amenaza de la misma, generando así soluciones rápidas y diferentes métodos para
implementar en las redes y activos que permitan salvaguardar la información.
Bibliografía