Академический Документы
Профессиональный Документы
Культура Документы
la Gran Caracas
FECHA: 08-10-2018
Tabla de Aprobaciones
TABLA DE CONTENIDO
INDICE DE TABLAS ........................................................................................................................... 6
1. INTRODUCCIÓN ......................................................................................................................... 8
8.2.1. Métodos, criterios o normas empleados para el establecimiento y/o medición de los
umbrales de prestaciones de la red, tanto en su rendimiento como de los servicios que
proporciona a los usuarios ......................................................................................................... 25
INDICE DE TABLAS
INDICE DE ILUSTRACIONES
1. INTRODUCCIÓN
El siguiente documento se puede verificar la configuración de la infraestructura de red de la
Comunidad Banco Bicentenario, con la cual se desarrolla el Proyecto Socio Tecnológico para el
Trayecto 4 del PNFI, el cual se encuentra enfocado en el Sistema de Documentación, del Banco
Bicentenario del Pueblo de la clase Obrera, Mujer y Comunas. Con la cual se analizará y se describirá
la red en la sede Principal del banco, ubicada en Avenida Venezuela, Caracas 1060, Distrito Capital,
de una manera general, y el mismo se realizará considerando la confidencialidad de la institución.
En cada punto del documento será descrito de acuerdo a los parámetros establecido en el
formato proporcionado por la universidad Unexca, de la manera más clara posible, siempre dirigido
en el Sistema antes indicado, para su compresión a nivel de la infraestructura en donde funciona el
sistema, considerando su seguridad, administración y su forma de gestión y soporte técnico.
Aplicación Zenoss: es una alternativa libre, un proyecto que permite una implementación sencilla
de su sistema, y que aporta a la reducción de los costos empresariales, para estas tareas de
monitoreo. Sus tareas no son reducidas, es una suite muy completa que facilita el trabajo de los
usuarios, y que trabaja nutriéndose de los aportes y sugerencias que estos puede brindar
BackBone: (columna vertebral en español) es una línea de transmisión más grande que transporta
los datos recogidos de líneas más pequeñas que con las que se interconecta.
1. En el ámbito local, un backbone es una línea o conjunto de líneas a las que las redes de
área local se conectan para tener conexión de red de área amplia (WAN) o dentro de una
red de área local (LAN) para abarcar distancias de manera eficiente (por ejemplo, entre los
edificios).
2. En el internet u otra red de área amplia, un backbone es un conjunto de caminos a los que
las redes locales o regionales se conectan para tener interconexión de larga distancia. Los
puntos de conexión son conocidos como nodos de la red o intercambios de conmutación de
datos (DSE) de telecomunicaciones.
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 10
Cisco Jabber: es una aplicación de comunicaciones unificadas que combina capacidades de voz y
vídeo, mensajería instantánea, presencia, mensajería de voz, conferencia y compartición de archivos
de escritorio sobre plataformas PC, Mac, tablets y smartphones.
Jabber facilita a los empleados un sencillo mecanismo para encontrar con rapidez a otros colegas
de trabajo, comprobar si están disponibles y a través de qué terminal y colaborar utilizando el método
o dispositivo que prefieran.
Con Jabber es posible pasar de forma sencilla de una conversación por mensajería instantánea a
una comunicación por voz o vídeo o a la compartición de archivos tanto desde la oficina como en
movilidad.
Core Bancario: (en inglés, core banking) se define como el negocio desarrollado por una institución
bancaria con sus clientes minoristas y pequeñas empresas. Muchos bancos tratan a los clientes
minoristas como a sus clientes de "Core bancario", y tienen una línea de negocios separada para
gestionar las pequeñas empresas. Las grandes empresas son administradas a través de la División
de Banca Corporativa de la institución. "Core bancario", básicamente, se refiere a las operaciones
de depósito y de préstamos de dinero.
DNS: es el acrónimo para “Domain Name System” (sistema de nombre de dominio). Es un servicio
que habilita un enlace entre nombres de dominio y direcciones IP con la que están asociados.
Firewall: El firewall es un dispositivo que se configura con determinadas normas y siguiendo ciertos
criterios y que forma parte de un sistema o red que está diseñado para impedir de plano el acceso
que no se encuentre autorizado y como contrapartida sí permite sin inconvenientes comunicaciones
que están autorizadas.
IP: es la sigla de Internet Protocol o, en nuestro idioma, Protocolo de Internet. Se trata de un estándar
que se emplea para el envío y recepción de información mediante una red que reúne paquetes
conmutados.
LAN: son las siglas de Local Area Network, Red de área local. Una LAN es una red que conecta los
ordenadores en un área relativamente pequeña y predeterminada Las redes LAN se pueden
conectar entre ellas a través de líneas telefónicas y ondas de radio. Un sistema de redes LAN
conectadas de esta forma se llama una WAN, siglas del inglés de wide-area network, Red de area
ancha.
Password: es una palabra procedente del inglés que puede traducirse al español como ‘palabra
clave’. En este sentido, es sinónimo de contraseña o clave. Una password o contraseña es un
método de autentificación que se utiliza para controlar el acceso a información, espacios o recursos.
información va, primero, al ordenador intermedio (proxy), y éste se lo envía al ordenador de destino,
de manera que no existe conexión directa entre el primero y el último
Router: también conocido como enrutador, es un dispositivo que proporciona conectividad a nivel
de red (o lo que es lo mismo, el nivel tres en el modelo OSI). Su función principal consiste en enviar
o encaminar paquetes de datos de una red a otra, es decir, interconectar subredes, entendiendo por
subred un conjunto de máquinas IP que se pueden comunicar sin la intervención de un encaminador
(mediante puentes de red o un switch), y que por tanto tienen prefijos de red distintos.
Sistemas antivirus: un programa informático que tiene el propósito de detectar virus y otros
programas que pueden perjudicar antes o después que ingresen al sistema de tu computador; estos
virus son programas informáticos que suelen hacer o realizar, y que se introducen sin el
consentimiento, del usuario o propietario de un ordenador que cumple con diversas funciones
dañinas para el sistema.
SSID: (Service Set Identifier) es una secuencia de 0-32 octetos incluida en todos los paquetes de
una red inalámbrica para identificarlos como parte de esa red. El código consiste en un máximo de
32 caracteres, que la mayoría de las veces son alfanuméricos (aunque el estándar no lo específica,
así que puede consistir en cualquier carácter). Todos los dispositivos inalámbricos que intentan
comunicarse entre sí deben compartir el mismo SSID. Existen algunas variantes principales del
SSID. Las redes ad-hoc, que consisten en máquinas cliente sin un punto de acceso, utilizan el BSSID
(Basic Service Set Identifier); mientras que en las redes de infraestructura que incorporan un punto
de acceso se utiliza el ESSID (Extended Service Set Identifier). Es posible referirse a cada uno de
estos tipos como SSID en términos generales. A menudo al SSID se le conoce como “nombre de la
red”.
Switch Core: Network Core o Núcleo de red es la capa encargada de proporcionar conectividad
entre los distintos puntos de acceso (router, switch, etc). El Nucleo de Red nos permite enlazar
diferentes servicios, como Internet, redes privadas, redes LAN o telefonía entre otros.
TIA/EIA 568B: El estándar de cableado estructurado TIA / EIA definen la forma de diseñar, construir
y administrar un sistema de cableado que es estructurado, lo que significa que el sistema está
diseñado en bloques que tienen características de rendimiento muy específicos. Los bloques se
integran de una manera jerárquica para crear un sistema de comunicación unificado. Por ejemplo, el
grupo de trabajo LAN representan un bloque con los requerimientos de menor rendimiento que el
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 13
bloque de red troncal, que requiere un cable de alto rendimiento de fibra óptica en la mayoría de los
casos.
WAN: es la sigla de Wide Area Network (“Red de Área Amplia”). El concepto se utiliza para nombrar
a la red de computadoras que se extiende en una gran franja de territorio, ya sea a través de una
ciudad, un país o, incluso, a nivel mundial. Un ejemplo de red WAN es la propia Internet.
Los Servicios que se brindan en la red son aplicaciones de uso interno del Core Bancario,
Correo Electrónico, Proxy, DHCP, DNS, Servidores de Impresión, sistemas de uso interno como el
portal Intranet, Sistema de Correspondencia Interna, sistema de gestión de procesos administrativos
como contabilidad, sistema de nómina y otros.
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 14
5. Elementos de diseño
CARACAS
ASR ASR
SW01-CORE-6500
SWITCH DE PISOS
CD
CD
CA
CA
KO
PI
XR/XT
kniL
SERVIDORES
ROUTER DE SERVICIOS
5.1. Topología
La Topología usada está configurada de forma mixta con host de tipo de tipologías estrella
y malla. Existe un data center principal (CPDP) donde se encuentra todo el equipamiento principal
de Telecomunicaciones y servidores, desde el cuarto de telecomunicaciones parte un cableado
vertical a través de backbone de fibra a 1 Gbps, hasta los cuartos de cableado o cuartos de
comunicaciones en cada piso del edificio, en ellos existen switch de acceso marca Cisco modelo
3650 configurados en stack a 1000 Mbps, y a su vez desde éstos está el cableado horizontal hasta
los puestos de trabajo cumpliendo la normativa 568-A y a 100 Mbps.
Red de datos / máscara Red de voz / máscara sub Red Wifi / máscara
PISO
sub red red sub red
Planta baja 10.120.98.0 /24 10.121.98.0 /24 10.122.98.0 /24
Mezanina 10.120.20.0 /24 10.121.20.0 /24 10.122.20.0 /24
Piso 1 10.120.1.0 /24 10.121.11.0 /24 10.122.1.0 /24
Piso 2 10.120.2.0 /24 10.121.2.0 /24 10.122.2.0 /24
Piso 4 10.120.4.0 /24 10.121.4.0 /24 10.122.4.0 /24
Piso 5 10.120.5.0 /24 10.121.5.0 /24 10.122.5.0 /24
Piso 6 10.120.6.0 /24 10.121.6.0 /24 10.122.6.0 /24
Piso 7 10.120.7.0 /24 10.121.7.0 /24 10.122.7.0 /24
Piso 8 10.120.8.0 /24 10.121.8.0 /24 10.122.8.0 /24
Piso 9 10.120.9.0 /24 10.121.9.0 /24 10.122.9.0 /24
PH 10.120.11.0 /24 10.121.11.0 /24 10.122.11.0 /24
Tabla 1 - Redes y Sub Redes
5.2.1.Fijas
La red del Banco Bicentenario cuenta con accesos Institucionales que detallaremos a
continuación.
5.2.2.Inalámbricas
Existe una red inalámbrica con un SSID estándar (WbbutelecomW) el cual da servicio con
equipos marca TP-LINK a las áreas que así lo requieren, a través de estos dispositivos se pueden
conectar equipos móviles (laptop, celulares o tabletas) a la red en su mayoría para tener acceso a
internet y utilizar la aplicación Whatsapp, los mismos también se destinan a utilizar la aplicación
Cisco Jabber y tener la opción de una extensión móvil y usar la opción de chat desde sus dispositivos
personales.
Previo al acceso a la red inalámbrica se hace un filtrado por Mac-Address para permitir el
acceso solo a personal que sea autorizado, finalmente los paquetes son analizados por un software
de nombre PF-SENSE y el cual es y debe ser administrado por personal de seguridad de redes, del
Banco Bicentenario.
Las redes de datos, voz y wifi así como la de servidores y servicios están configuradas
utilizando la clase A privada. (10.0.0.0.-10.255.255.255), siendo sub dividida en otras sub redes de
la misma clase y con la misma máscara de sub red.
6. Elementos funcionales
6.1. Físicos
El Banco Bicentenario cuenta con un Datacenter (CPDP), donde se encuentra ubicados
todos los equipos principales de Telecomunicaciones, y los accesos a servicios brindados por los
proveedores (ISP), siguiendo normativas estos se encuentran separados de otros equipos como
servidores y sistemas de almacenamiento de datos (SAN).
El área cuenta con políticas de seguridad física y lógica las cuales se describen a
continuación, por tipo de sala:
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 17
Sala de servidores.
o Sistema de control de acceso con tarjetas de Proximidad.
o Rack con llaves.
o Bombona extintora de incendios.
o Cámaras de seguridad CCTV.
o Piso Falso.
o Sistema eléctrico adecuado y Alimentación de emergencia por UPS.
o Aire Acondicionado propio.
o Sistema de iluminación adecuado.
Sala de Telecomunicaciones.
o Sistema de control de acceso con tarjetas de Proximidad.
o Rack con llaves.
o Bombona extintora de incendios.
o Cámaras de seguridad CCTV.
o Piso Falso.
o Sistema eléctrico adecuado y Alimentación de emergencia por UPS.
o Aire Acondicionado propio.
o Sistema de iluminación adecuado.
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 18
6.2. Lógicos
En la verificación de la seguridad lógica, la misma es representada por la realización de un
monitoreo constante en tiempo real de los servicios de Telecomunicaciones, para este proceso se
utiliza una aplicación llamada Zenoss, la cual está basada en software libre, y a través de la cual se
puede realizar un monitoreo de los enlaces de comunicaciones de oficinas remotas, así como de los
enlaces de ISP y equipos de telecomunicaciones de la Torreo Principal del Banco Bicentenario. Con
la aplicación se puede visualizar alarmas lo cual permite llevar una bitácora para documentar las
incidencias ocurridas, registrando las actividades realizadas para resolver las mismas, también les
sirve para realizar consultas posteriores según las necesidades.
6.2.1.Políticas de acceso
La política básica de acceso al dominio es a través de un usuario y contraseña válidos y que
esté en condición activo en el directorio
6.2.2.Organización de dominios
El dominio está definido como “Bicentenariobu.com”
6.2.6.Restricciones
Este control es realizado por seguridad de información otorgando una permisología según
un perfil de usuario adecuado a las funciones y departamento del usuario, siguiendo normativas
internas y de SUDEBAN.
6.2.7.Políticas de tráfico
El Departamento de seguridad de redes aplica políticas al tráfico de red sobre todo desde y
hacia internet, siempre basándose en las normativas internas vigentes tanto de la institución como
las impuestas por SUDEBAN.
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 20
7. Elementos de seguridad
7.1. Lógica
7.1.1.Políticas de asignación de direcciones IP
La asignación de direcciones IP para las estaciones de trabajo de cualquier usuario de la red
cableada es dinámica y se realiza a través de un servidor DHCP que es administrado por el área de
servidores Windows adscrito a la Vice Presidencia de Tecnología.
En general todo direccionamiento IP debe ser realizado en conjunto con la gerencia de redes
ya que se debe crear una VLAN de no existir o asociarlo a una VLAN existente.
7.1.1.2. Invitados
No existe una política ni grupo de invitados creada en la red.
7.1.3.Vigencia de password
El password de cualquier aplicación así como del dominio expira cada treinta (30) días, la
cual al transcurrir el tiempo, los sistemas solicitarán cambio del mismo. Se toma las siguientes
indicaciones:
No puede ser el mismo que está utilizando.
No puede repetir los cinco (5) últimos ya utilizados.
Vigencia del nuevo password es de un (1) mes en cualquier aplicativo incluso el
usuario de dominio
7.1.4.Grupos de usuarios
7.1.4.1. Perfil de accesos
El perfil del usuario es bloqueado una vez que el usuario renuncie o termine la relación
laboral con la institución. De igual manera es bloqueado si se encuentra en período vacacional o de
reposos laborales.
Este control es realizado por seguridad de acceso. Ubicando los usuarios según su gerencia
y cargo se le asignará una permisología. Los perfiles son según el cargo en el que se desempeña el
empleado y de acuerdo a cada aplicación a utilizar. Entre estos perfiles se encuentran:
Gerente.
Coordinador.
Especialista.
Analista.
“El documento de Políticas de Seguridad de la Información abarca todos los aspectos para la
protección de la Información, como: Políticas de Seguridad de la Información; Organización de la
Seguridad de la Información; Gestión de Activos; Seguridad del Personal; Seguridad Física y
Ambiental; Gestión de Comunicaciones y Operaciones; Control de Accesos; Adquisición, Desarrollo
y Mantenimiento de los Sistemas de Información; Gestión de Incidentes de Seguridad de la
Información; Gestión de la Continuidad del Negocio y Cumplimiento; con la finalidad de establecer
mecanismos que permitan mitigar los riesgos a los cuales están sometidos los activos de la
Institución.
Estas políticas son aplicables y deben ser acatadas por todo el personal de la Institución, así como
proveedores externos y asociados de negocios.”
8. Administración de la red
La red es administrada y monitoreada por la gerencia de redes, esta labor es llevada a cabo
diariamente por la coordinación de monitoreo de telecomunicaciones, utilizando herramientas de
software para documentar los eventos ocurridos en la red.
8.1.1.Monitoreo de eventos
El monitoreo de eventos es llevado a cabo por un grupo de especialistas que utilizan
herramientas informáticas y software para documentar los eventos ocurridos de cualquier tipo,
siempre en tiempo real.
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 25
De igual manera cuando un evento supera los cinco (5) días hábiles con falla se remite un
informe al área interna de riesgo para su documentación respectiva. De igual manera se remite al
proveedor de servicio para su solución definitiva.
En cuanto a la red LAN en la sede principal, el lapso máximo de espera para solución de
fallas es de 20 min.
Otro punto en cuanto a la operatividad de los enlaces se considera que está en un nivel
normal si la operatividad de la oficina está en un noventa y nueve por ciento (99%), si la
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 26
inoperatividad está por debajo de este umbral la mismo no se considera óptimo en la prestación del
servicio.
Los registros de errores o fallas de los sistemas deben revisarse y analizarse por las áreas
responsables para asegurar el uso apropiado de los mismos y tomarse las acciones
correspondientes.
8.3.1.1. Históricos
Para el registro de interrupciones de servicio, el queda guardado en la base de datos del
aplicativo ZENNOS, donde puede ser consultado en cualquier momento. Este registro se mantiene
en línea por un (1) año, el resto de la data es resguardado en cintas por diez (10) años, cuando se
procede una vez finalizada el tiempo a su destrucción.
8.3.1.2. Tipificación
Se tipifica como falla cualquier afectación de equipo por fallas de hardware, corte eléctrico,
configuración o cualquier otro que afecte el normal funcionamiento del equipo y a su vez del tráfico
de red, que no permita el servicio a los usuarios de aplicaciones.
8.3.2.Tratamiento de fallas
El Tratamiento a las fallas presentadas sigue una rutina de acuerdo a si se presenta en los
enlaces de datos de comunicación de una oficina remota o en la sede principal.
o Se realiza llamada a los contactos en la oficina para validar si es por falla eléctrica
o falla de algún equipo de telecomunicaciones o por fallas de proveedor de servicio.
o En caso de ser falla eléctrica se registra en el aplicativo Zennos en una bitácora de
eventos.
En caso de ser falla de algún equipo de telecomunicaciones
o Se realiza un troubleshhoting para tratar de solventar la falla y se registra en la
bitácora de eventos del aplicativo Zennos.
Si la falla se refiere a problemas con el enlace de datos provisto por un proveedor se procede
o Llamar al centro de atención respectivo y se abre un ticket con el caso el cual se
documenta en el aplicativo Zennos.
de energía se realiza su revisión local vía consola para validar su configuración y corregir la falla,
todo esto queda documentado en el aplicativo Zennos.
Análisis de Hallazgos
Hallazgo: (título) Nro. Evidencia
Equipamiento de telecomunicaciones presente EVI-GR-02
en Datacenter principal y alterno presenta Informe Técnico Actualización de equipos
anuncios de fin de vida y otros están obsoletos. Telecom CPDP CPDA 2018
Descripción Hallazgo
Los equipos de telecomunicaciones Switch 3750 y router 2800 en el centro de datos de Caracas,
así como el Switch Catalyst 4500 en Barquisimeto están en obsolescencia o presentan anuncios
de fin de vida y soporte por parte del fabricante lo que origina una vulnerabilidad de presentarse
una falla, ya que no cuentan con soporte del fabricante ni es posible adjuntarle un contrato de
mantenimiento por su condición de fin de vida.
Consecuencia
Dichos equipos están en periodo de fin de vida de parte del fabricante y no es posible adjuntarles
un contrato de mantenimiento, lo que produce una seria vulnerabilidad de llegar a ocurrir algún
tipo de falla, el tiempo de respuesta a la falla es indeterminado lo que puede causar que el servicio
se detenga.
Recomendaciones / Fundamentación
Se recomienda realizar la renovación de la plataforma con equipos nuevos y con garantía de
soporte y mantenimiento 24X7X4 que garanticen una rápida respuesta a fallas y la continuidad
del servicio en ambos centros de datos.
Análisis de Hallazgos
Hallazgo: (título) Nro. Evidencia
Equipamiento de telecomunicaciones presente EVI-GR-03
en oficinas remotas está obsoleto o con anuncio
de fin de vida (router serie 2800)
Descripción Hallazgo
Los equipos de telecomunicaciones router 2800 en oficinas remotas del Banco están en
obsolescencia o presentan anuncios de fin de vida y soporte por parte del fabricante lo que
origina una vulnerabilidad de presentarse una falla, ya que no cuentan con soporte del fabricante
ni es posible adjuntarle un contrato de mantenimiento por su condición de fin de vida. la fecha de
fin de vida está desde Agosto de 2015.
Consecuencia
Estos equipos están en periodo de fin de vida de parte del fabricante y no es posible adjuntarles
un contrato de mantenimiento, lo que produce una seria vulnerabilidad de llegar a ocurrir algún
tipo de falla, el tiempo de respuesta a la falla es indeterminado lo que puede causar que el servicio
se detenga.
Recomendaciones / Fundamentación
Se recomienda realizar la renovación de la plataforma con equipos nuevos y con garantía de
soporte y mantenimiento 24X7X4 que garanticen una rápida respuesta a fallas y la continuidad
del servicio en las oficinas remotas.
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 30
Análisis de Hallazgos
Hallazgo: (título) Nro. Evidencia
No existe una política ni grupo de invitados EVI-GR-04
creada en la red
Descripción Hallazgo
No existe una política de seguridad ni grupo de invitados creada en la red.
Consecuencia
Cualquier equipo puede ingresar y conectarse a la red de la institución con las consecuencias de
seguridad que esto conlleva como instalar programas de escucha y análisis de paquetes,
inyección de código malicioso o virus y otros.
Recomendaciones / Fundamentación
Se recomienda a los administradores de la red crear una red o grupo de invitados para limitar el
acceso a los mismos y evitar posibles accesos indebidos a la red corporativa.
normativas internacionales y normativas legales vigentes, así como cumpliendo las normativas del
ente supervisor de la banca (SUDEBAN).
Se pudo observar que para que una red de una organización tan grande funcione de manera
exitosa se requiere cumplir y contar con toda una infraestructura física, lógica, marco legal, normativa
a cumplir y que todo esté correctamente organizado y engranado, pues de no ser así se generaría
un caos del que sería muy costoso recuperarse pues se invertiría mucho tiempo y esfuerzo
Para que los sistemas informáticos funcionen a su máxima capacidad se debe contar con
una correcta administración de las redes, bien diseñadas, física y lógicamente, contar con el
equipamiento adecuado de acuerdo a la misión crítica del negocio, y contar con una seguridad bien
estructurada, finalmente con la documentación pertinente a cada caso, tal es el caso de la institución
Banco Bicentenario donde se puede decir que se cumple todo lo anterior, por supuesto siempre
buscando una constantes mejora actualizando según las mejores prácticas y estándares de manera
constante su red corporativa.
12. Bibliografía
María Cruz Alcocer. (26 junio 2018). CISCO JABBER optimiza la colaboración empresarial.
SOLUTEL. Recuperado de https://www.solutel.com/cisco-jabber-optimiza-la-colaboracion-
empresarial/
Anexo A
La única solución casi inexpugnable para las dolosas es el cifrado (fuerte) de las
comunicaciones pero por desgracia muchas veces es débil o, en el caso de las LAN, ausente ya que
se supone que existe un control de acceso físico a la red.
Dentro de las LAN la principal amenaza es la indagación (escucha) que suele plantearse
sólo en los tramos de cableado de planta (cobre), mientras que los cableados troncales y de ruta
(ópticos) suelen estar libres de esta amenaza. Para controlar esta amenaza:
Es una red local que se ubica entre la red interna de una organización y una red externa,
generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la
externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ solo se permitan a la
red externa -- los equipos en la DMZ no pueden conectar con la red interna. Esto permite que los
equipos de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada
5. Figuras de protección:
a. Routers (encaminadores)
b. Proxys (servidores de proximidad)
GESTIÓN DE LA RED INFORMÁTICA
Sistemas de Documentación del Rev. No. 01
Banco Bicentenario Pág. 36
c. Firewall (cortafuegos). Examina cada paquete de entrada / salida desde el exterior a la red
interna / desde la red interna hacia el exterior para decidir si el servicio entre emisor y
receptor está autorizado)
d. Bastión: colección de servidores (p.e. correo) y proxys situados entre el cortafuegos y
encaminador externo y los internos. De esta forma se garantiza que nunca hay una conexión
directa exterior ß à interior, sino que siempre hay elementos intermedios de colchón
6. Políticas de protección:
a. Paranoicas: todo está desautorizado salvo lo expresamente autorizado
b. Promiscuas: al revés
c. Funciones de vigilancia del uso de las redes de datos: (ajustes, rendimiento, registro de
incidencias, cómo se resolvieron...)
d. Seguimientos del coste
e. Participación en el diseño de nuevas aplicaciones con necesidades específicas de
comunicaciones (p.e. Banca on-line)
Lista de controles: