Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad Nacional Autónoma de México Facultad de Ingenieŕıa Redes de Datos Seguras Grupo: 3 - Semestre: 2023-1 Tarea 3: Seguridad en las redes de datos. Fecha de entrega: 25/08/2022 Profesora: López Barrientos Maŕıa Jaquelina M.C. Alumno: Téllez González Jorge Luis Jaquelina López Muy bien :) Facultad de Ingenieŕıa Redes de Datos Seguras (T) 1. Introducción El ser humano depende en gran medida de las redes de datos para el desarrollo de las distintas actividades que realiza: desde el ámbito militar hasta el empresarial. Todos estas actividades se caracterizan por el empleo de sistemas que manejan grandes volúmenes de información que, en múltiples ocasiones, contienen datos sensibles o de alto impacto para las organizaciones que los manejan. La seguridad en las redes de datos surge como una necesidad de mantener prácticas adecuadas que garanticen que toda la información sensible en una red de datos no caiga en manos de actores maliciosos que puedan realizar mal uso de ella. Este concepto abarca todos los aspectos de la seguridad de la información; pasando por la seguridad f́ısica del hardware hasta los controles administrativos y de acceso y la seguridad lógica del software empleado. Su implementación correcta garantiza una protección eficaz contra actores externos como los delincuentes cibernéticos. Además, también protege contra las posibles vulnerabilidades internas de la red y los errores humanos que el personal pudiera ocasionar. De acuerdo a IBM: idealmente, estas herramientas debeŕıan poder aplicar protecciones como el cifrado, el enmascaramiento de datos y la redacción de archivos confidenciales, y debeŕıan automatizar los informes para agilizar las auditoŕıas y cumplir con los requisitos que dicten las regulaciones pertinentes. A continuación se verán las medidas de seguridad esenciales que cualquier red de datos debe cumplir para garantizar el correcto resguardo de la información. LATEX 2 Facultad de Ingenieŕıa Redes de Datos Seguras (T) 2. Desarrollo 3. Autenticación 3.1. Definición Se refiere al hecho de verificar si el usuario es quien dice ser, es decir, no existe una suplantación de identidad. Un concepto similar, pero no igual, es la identificación que representa la capacidad de identificar de forma exclusiva a un usuario de un sistema o una aplicación en ejecución dentro de un sistema. (Estrategia-Magazine, s.f.). Se pueden identificar 3 métodos principales para autenticar a un usuario: Algo que el usuario conoce: contraseñas o palabras secretas. Algo que persona lleva consigo: tarjetas de identificación. Caracteŕıstica f́ısica del individuo o acto involuntario de éste: firma biométrica, firmas, o identificación facial. 3.2. Recomendaciones en términos f́ısicos La recomendación más importante se trata en no almacenar las contraseñas en archivos simples en una computadora, escribirlas en notas a la vista de todos o facilitarlas a un externo en un caso de exceso de confianza. Muchos sistemas implementan medidas adicionales a nivel f́ısico con tarjetas de identidad inteligentes o técnicas biométricas. (de Paz, 2010) 3.3. Recomendaciones en términos lógicos Principalmente, la recomendación clave se encuentra en que varios usuarios no pueden acceder a un sistema con el mismo identificador y contraseña. Adicionalmente, se debe asegurar que las contraseñas cumplan con un estándar mı́nimo de seguridad conteniendo mayúsculas, minúsculas, LATEX 3 Facultad de Ingenieŕıa Redes de Datos Seguras (T) letras, números, caracteres especiales y signos de puntuación. Por último, otras recomendaciones a este nivel sugieren no reciclar contraseñas para distintos sistemas y cambiarlas con frecuencia para garantizar su confidencialidad. (Velázquez, 2019) 4. Control de acceso 4.1. Definición Se refiere a la verificación de que individuos o entidades únicamente accedan a las áreas y recursos que le sean autorizados, limitando y controlando el número de intentos de acceso y evitando la entrada de intrusos o agentes externos. (Viserco, 2020). Se pueden identificar 3 tipos de control de acceso: Sistema de trazabilidad: mecanismo de verificación por pasos que emplea diversos conjuntos de disciplinas para controlar el acceso de usuarios. Sistema de autenticación: concede o niega accesos empleando medidas de autenticación: claves de acceso, huellas, códigos, por voz, entre otros. Sistema de autorización: método que se completa después de la autorización de un sistema o un ente ajeno, que brinda permisos para obtener los datos o acceso a un cierto lugar restringido. 4.2. Recomendaciones en términos f́ısicos A nivel f́ısico este control se acompaña del proceso de autenticación para otorgar determinados privilegios a una entidad o persona para acceder a una parte del sistema y manipular información. Por ello, se acompaña de las medidas f́ısicas de autenticación para garantizar que no se le brinde acceso a la entidad o persona incorrecta. Entre otros aspectos, puede incluir sistemas que concedan o nieguen acceso f́ısico a determinadas áreas de un edificio que contenga equipos con sistemas cŕıticos de una organización. LATEX 4 Facultad de Ingenieŕıa Redes de Datos Seguras (T) 4.3. Recomendaciones en términos lógicos Las recomendaciones siguen una ĺınea similar a la autenticación, con la diferencia de que este sistema de control debe ser mucho más estructurado para la concesión adecuada de permisos. Para llevar a cabo estos controles, la organización debe primero identificar y autenticar a los sujetos, para que los derechos de acceso sean acordes a cada individuo. (Estrategia-Magazine, s.f.). 3 controles lógicos son fundamentales para estos fines: Identificar los usuarios de ciertos datos y/o recursos. Restringir el acceso a datos y recursos de los sistemas. Producir pistas para posteriores auditoŕıas. 5. Confidencialidad 5.1. Definición Se refiere a impedir la divulgación de información a personas o sistemas no autorizados, es decir, garantizar que únicamente personal autorizado accede a la información. Mientras que el control de acceso se refiere al sistema empleado para la concesión de permisos a los usuarios en una red, la confidencialidad se refiere exclusivamente al resguardo correcto de la información en las ubicaciones adecuadas y bajo las medidas de seguridad pertinentes. (Velázquez, 2019). 5.2. Recomendaciones en términos f́ısicos Los accesos a las instalaciones donde se encuentran los equipos, servidores y, en general, los dispositi- vos que almacenan la información digital de carácter sensible, aśı como los lugares donde se almacena la información en formato f́ısico (impresa en papel), deben estar adecuadamente protegidos frente a accesos no autorizados. Por medio del control de acceso, que a su vez depende del proceso de autenticación, es como únicamente se debe de otorgar acceso al personal autorizado. LATEX 5 Facultad de Ingenieŕıa Redes de Datos Seguras (T) 5.3. Recomendaciones en términos lógicos Existen diversas estrategias para evitar que agentes no autorizados accedan a la información sensible. Por ejemplo, el cifrado de datos es una medida de confidencialidad empleada para las comunicaciones seguras en múltiples sistemas que se implementa a nivel lógico con algoritmos de cifrado. Aśı mismo, la implementación de mecanismos NAC para asegurar la confidencialidad se sugieren para controlar el acceso a las redes y tener un plan de respuestas ante incidentes donde la confidencialidad sea vulnerada. (de Paz, 2010) 6. Integridad 6.1. Definición Se refiere a la fidelidad de la información o los recursos, de tal forma que la información no esté sujeta a modificaciones no autorizadas. (Santander, s.f.). Se puede dividir en 2 aspectos: Integridad de los datos: que estos se encuentren completos y sin lagunas. Integridad del origen: validar la fuente de los datoscomo segura por un proceso de auten- ticación. 6.2. Recomendaciones en términos f́ısicos A nivel f́ısico la integridad se puede garantizar con mecanismos de control de acceso que cumplan con el principio de confidencialidad. De esta forma, únicamente el personal autorizado puede acceder a la información sensible y realizar modificaciones únicamente si posee permisos concedidos y un motivo validado por la organización. Los controles de acceso f́ısico, la gestión de la configuración de los sistemas de control y las comprobaciones de redundancia en las transmisiones de información permiten mantener la integridad de la información sensible. LATEX 6 Facultad de Ingenieŕıa Redes de Datos Seguras (T) 6.3. Recomendaciones en términos lógicos Una de las técnicas más populares para validar la integridad de los datos se trata del hashing, que permite generar identificadores únicos a los archivos de tal forma que, si estos se ven sujetos a modificaciones no autorizadas, el hash generado diferirá con respecto al original. Otras técnicas incluyen el uso de certificados o firmas digitales. 7. Disponibilidad 7.1. Definición La disponibilidad en una red hace referencia a que la información de la misma debe ser accesible en todo momento a los usuarios autorizados para sus actividades designadas. Se dice que un sistema de red se encuentra disponible incluso cuando es capaz de negar de forma deliberada el acceso a datos o servicios espećıficos. Por otra parte, un sistema no disponible es aquel que no es funcional en el cumplimiento de sus propósitos básicos (incluyendo la implementación de medidas de seguridad) de forma que su utilidad es nula. (Velázquez, 2019). 7.2. Recomendaciones en términos f́ısicos Evidentemente, el personal autorizado debe poder acceder f́ısicamente al lugar de sus operaciones en cualquier momento sin que exista algún obstáculo para su acceso. La disponibilidad no se cumpliŕıa, por ejemplo, si el control de acceso fallara y negara a todo el personal de una empresa el acceso a sus oficinas; como sucedió en las oficinas de Meta en el año 2021. Una alta disponibilidad se puede lograr manteniendo una infraestructura de red y servidores robusta que permita atender múltiples peticiones y no saturarse. En este aspecto, un Service Level Agreement (SLA) define un acuerdo que compromete a mantener un nivel de servicio esperado que se encuentre a medida de los requerimientos de un entorno corporativo. LATEX 7 Facultad de Ingenieŕıa Redes de Datos Seguras (T) 7.3. Recomendaciones en términos lógicos Es importante que la red se encuentre capacitada para la atención de peticiones remotas e internas, empleando algoritmos de control eficaces que garanticen que la red cumple con sus operaciones y no se presente una denegación de servicio al personal de una organización. 8. No repudio 8.1. Definición También llamado servicio contra rechazos, se considera como una ampliación del servicio de identi- ficación y autenticación y tiene como objetivo demostrar que un mensaje concreto recibido por la red está asociado a un único usuario. De este modo, el emisor de un mensaje o petición no puede negar que él realizó tal acción, y por otra parte, el receptor de un mensaje no puede negar que ha recibido cierto mensaje. Esto se puede resumir en: Quien env́ıa no puede decir “yo no lo envié” y quien recibe no puede decir “yo no lo recib́ı”. (IBM, 2021) 8.2. Recomendaciones en términos f́ısicos Las medidas f́ısicas más claras a nivel f́ısico involucran el uso de firmas en los documentos y la documentación asociada a la información que se está manipulando. Incluso, se puede contar con la presencia de testigos para validar la recepción o env́ıo de peticiones de forma que estas actividades queden registradas en archivos f́ısicos o digitales. 8.3. Recomendaciones en términos lógicos Las aplicaciones pueden implementar mecanismos para notificar tanto a emisores como receptores el estado de un mensaje de forma transparente, por ejemplo, enviando notificaciones de env́ıo y recepción tanto para el que env́ıa como para el que recibe un mensaje. Esto se puede ver implementado en los servicios SMS y, concretamente, en el mecanismo de checks que emplea la aplicación de LATEX 8 Facultad de Ingenieŕıa Redes de Datos Seguras (T) mensajeŕıa WhatsApp. Kerberos es un protocolo de autenticación que permite validar la identidad de los usuarios en servicios de red empleando criptograf́ıa de claves asimétricas, cumpliendo con validar la imposibilidad de repudiar los mensajes enviados o recibidos. (Atico34, s.f.). 9. Conclusiones Los conceptos mencionados con anterioridad representan los pilares fundamentales sobre los que debe descansar una red de datos productiva. Con uno solo de estos aspectos que no se cumpla formalmente se estaŕıa incurriendo en una grave falta en el diseño de la red y del sistema en general de una organización. Esto, en consecuencia, puede colocar en un grave riesgo sus operaciones y conducir a graves pérdidas económicas o perjuicios a terceros que resulten en problemas legales. Es una gran responsabilidad el construir las redes bajo estos principios de seguridad, ya que tener una red de datos que no garantice estos principios a un nivel mı́nimo es prácticamente igual a no contar con un red operativa por śı misma y, por tanto, es inútil e incluso peligrosa de emplear para la transmisión de datos sensibles. Bibliograf́ıa Arsys. (2019). Qué es SLA: y cuáles son sus componentes clave. Consultado el 24 de agosto de 2022, desde https ://www.arsys .es/blog/que- es- sla- y- cuales- son- sus- componentes- clave#:∼ : text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C% 20un%5C%20entorno%5C%20corporativo. Atico34. (s.f.). No repudio o irrenunciabilidad: ¿Qué es? Consultado el 24 de agosto de 2022, desde https://protecciondatos-lopd.com/empresas/no-repudio-irrenunciabilidad/ Cely, C. P. S. (2006). Autenticación de usuarios. Consultado el 24 de agosto de 2022, desde https: //www.oas.org/en/citel/infocitel/2006/junio/seguridad e.asp#:∼:text=Autenticaci%5C% LATEX 9 https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo. https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo. https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo. https://protecciondatos-lopd.com/empresas/no-repudio-irrenunciabilidad/ https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). Facultad de Ingenieŕıa Redes de Datos Seguras (T) C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C% 20quien%5C%20dice%5C%20ser). de Paz, M. M. (2010). Seguridad Lógica y de Accesos y su Auditoŕıa. Consultado el 24 de agosto de 2022, desde https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+ Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1 Estrategia-Magazine. (s.f.). La seguridad lógica. Identificación, autenticación y control de acceso a los sistemas. Consultado el 24 de agosto de 2022, desde https://www.estrategiamagazine. com/tecnologia/la-seguridad-y- los-controles- logicos- redes-interconecciones- identificacion- autenticacion-usuarios-control-de-acceso/ IBM. (2021). Identificación y autenticación. Consultado el 24 de agosto de 2022, desde https://www. ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm Santander. (s.f.). ¿Qué es la integridad de los datos? Consultado el 24 de agosto de 2022, desde https://www.bancosantander.es/glosario/integridad-seguridad-online Velázquez, J. I. C. (2019). Redes de datos: Contexto y evolución (3rd). Samsara. Viserco. (2020). Control de Acceso: Qué es y su Importancia. Consultado el 24 de agosto de 2022, desde https://www.viserco.com/control-de-acceso-que-es-y-su-importancia Los créditos de las fotograf́ıas pertenecen a sus respectivos autores. © LATEX 10 https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser). https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1 https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1 https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/ https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/ https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/ https://www.ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm https://www.ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm https://www.bancosantander.es/glosario/integridad-seguridad-online https://www.viserco.com/control-de-acceso-que-es-y-su-importancia Introducción Desarrollo Autenticación Definición Recomendaciones en términos físicos Recomendaciones en términos lógicos Control de acceso Definición Recomendaciones en términos físicos Recomendaciones en términos lógicos Confidencialidad Definición Recomendaciones en términos físicos Recomendaciones en términos lógicos Integridad Definición Recomendaciones en términos físicos Recomendaciones en términos lógicos Disponibilidad Definición Recomendaciones en términos físicos Recomendaciones en términos lógicos No repudio Definición Recomendaciones en términos físicos Recomendaciones en términos lógicos Conclusiones
Compartir