Tarea3_TGJL - Jorge González

•
Outros

Desafío México Veintitrés
5/5/2023
¡Estudia con miles de materiales!
Entonces, ¿te gustó este material?
Ayude a animar a otros estudiantes a mejorar el contenido
¿Te gustó este material? ¡Compartir! 🧡
Diversos

24.342 Materiales compartidos
Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Vista previa del material en texto
Universidad Nacional Autónoma de México
Facultad de Ingenieŕıa
Redes de Datos Seguras
Grupo: 3 - Semestre: 2023-1
Tarea 3:
Seguridad en las redes de datos.
Fecha de entrega: 25/08/2022
Profesora:
López Barrientos Maŕıa Jaquelina M.C.
Alumno:
Téllez González Jorge Luis
Jaquelina López
Muy bien :)
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
1. Introducción
El ser humano depende en gran medida de las redes de datos para el desarrollo de las distintas
actividades que realiza: desde el ámbito militar hasta el empresarial. Todos estas actividades se
caracterizan por el empleo de sistemas que manejan grandes volúmenes de información que, en
múltiples ocasiones, contienen datos sensibles o de alto impacto para las organizaciones que los
manejan.
La seguridad en las redes de datos surge como una necesidad de mantener prácticas adecuadas
que garanticen que toda la información sensible en una red de datos no caiga en manos de actores
maliciosos que puedan realizar mal uso de ella. Este concepto abarca todos los aspectos de la seguridad
de la información; pasando por la seguridad f́ısica del hardware hasta los controles administrativos
y de acceso y la seguridad lógica del software empleado.
Su implementación correcta garantiza una protección eficaz contra actores externos como los
delincuentes cibernéticos. Además, también protege contra las posibles vulnerabilidades internas de
la red y los errores humanos que el personal pudiera ocasionar. De acuerdo a IBM: idealmente, estas
herramientas debeŕıan poder aplicar protecciones como el cifrado, el enmascaramiento de datos y la
redacción de archivos confidenciales, y debeŕıan automatizar los informes para agilizar las auditoŕıas
y cumplir con los requisitos que dicten las regulaciones pertinentes.
A continuación se verán las medidas de seguridad esenciales que cualquier red de datos debe
cumplir para garantizar el correcto resguardo de la información.
LATEX
2
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
2. Desarrollo
3. Autenticación
3.1. Definición
Se refiere al hecho de verificar si el usuario es quien dice ser, es decir, no existe una suplantación
de identidad. Un concepto similar, pero no igual, es la identificación que representa la capacidad de
identificar de forma exclusiva a un usuario de un sistema o una aplicación en ejecución dentro de un
sistema. (Estrategia-Magazine, s.f.). Se pueden identificar 3 métodos principales para autenticar a
un usuario:
Algo que el usuario conoce: contraseñas o palabras secretas.
Algo que persona lleva consigo: tarjetas de identificación.
Caracteŕıstica f́ısica del individuo o acto involuntario de éste: firma biométrica, firmas,
o identificación facial.
3.2. Recomendaciones en términos f́ısicos
La recomendación más importante se trata en no almacenar las contraseñas en archivos simples en
una computadora, escribirlas en notas a la vista de todos o facilitarlas a un externo en un caso de
exceso de confianza. Muchos sistemas implementan medidas adicionales a nivel f́ısico con tarjetas de
identidad inteligentes o técnicas biométricas. (de Paz, 2010)
3.3. Recomendaciones en términos lógicos
Principalmente, la recomendación clave se encuentra en que varios usuarios no pueden acceder
a un sistema con el mismo identificador y contraseña. Adicionalmente, se debe asegurar que
las contraseñas cumplan con un estándar mı́nimo de seguridad conteniendo mayúsculas, minúsculas,
LATEX
3
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
letras, números, caracteres especiales y signos de puntuación.
Por último, otras recomendaciones a este nivel sugieren no reciclar contraseñas para distintos
sistemas y cambiarlas con frecuencia para garantizar su confidencialidad. (Velázquez, 2019)
4. Control de acceso
4.1. Definición
Se refiere a la verificación de que individuos o entidades únicamente accedan a las áreas y recursos que
le sean autorizados, limitando y controlando el número de intentos de acceso y evitando la entrada
de intrusos o agentes externos. (Viserco, 2020). Se pueden identificar 3 tipos de control de acceso:
Sistema de trazabilidad: mecanismo de verificación por pasos que emplea diversos conjuntos
de disciplinas para controlar el acceso de usuarios.
Sistema de autenticación: concede o niega accesos empleando medidas de autenticación:
claves de acceso, huellas, códigos, por voz, entre otros.
Sistema de autorización: método que se completa después de la autorización de un sistema o
un ente ajeno, que brinda permisos para obtener los datos o acceso a un cierto lugar restringido.
4.2. Recomendaciones en términos f́ısicos
A nivel f́ısico este control se acompaña del proceso de autenticación para otorgar determinados
privilegios a una entidad o persona para acceder a una parte del sistema y manipular información.
Por ello, se acompaña de las medidas f́ısicas de autenticación para garantizar que no se le brinde
acceso a la entidad o persona incorrecta. Entre otros aspectos, puede incluir sistemas que concedan o
nieguen acceso f́ısico a determinadas áreas de un edificio que contenga equipos con sistemas cŕıticos
de una organización.
LATEX
4
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
4.3. Recomendaciones en términos lógicos
Las recomendaciones siguen una ĺınea similar a la autenticación, con la diferencia de que este sistema
de control debe ser mucho más estructurado para la concesión adecuada de permisos. Para llevar a
cabo estos controles, la organización debe primero identificar y autenticar a los sujetos, para que los
derechos de acceso sean acordes a cada individuo. (Estrategia-Magazine, s.f.). 3 controles lógicos son
fundamentales para estos fines:
Identificar los usuarios de ciertos datos y/o recursos.
Restringir el acceso a datos y recursos de los sistemas.
Producir pistas para posteriores auditoŕıas.
5. Confidencialidad
5.1. Definición
Se refiere a impedir la divulgación de información a personas o sistemas no autorizados, es decir,
garantizar que únicamente personal autorizado accede a la información. Mientras que el control de
acceso se refiere al sistema empleado para la concesión de permisos a los usuarios en una red, la
confidencialidad se refiere exclusivamente al resguardo correcto de la información en las ubicaciones
adecuadas y bajo las medidas de seguridad pertinentes. (Velázquez, 2019).
5.2. Recomendaciones en términos f́ısicos
Los accesos a las instalaciones donde se encuentran los equipos, servidores y, en general, los dispositi-
vos que almacenan la información digital de carácter sensible, aśı como los lugares donde se almacena
la información en formato f́ısico (impresa en papel), deben estar adecuadamente protegidos frente
a accesos no autorizados. Por medio del control de acceso, que a su vez depende del proceso de
autenticación, es como únicamente se debe de otorgar acceso al personal autorizado.
LATEX
5
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
5.3. Recomendaciones en términos lógicos
Existen diversas estrategias para evitar que agentes no autorizados accedan a la información sensible.
Por ejemplo, el cifrado de datos es una medida de confidencialidad empleada para las comunicaciones
seguras en múltiples sistemas que se implementa a nivel lógico con algoritmos de cifrado. Aśı mismo,
la implementación de mecanismos NAC para asegurar la confidencialidad se sugieren para controlar
el acceso a las redes y tener un plan de respuestas ante incidentes donde la confidencialidad sea
vulnerada. (de Paz, 2010)
6. Integridad
6.1. Definición
Se refiere a la fidelidad de la información o los recursos, de tal forma que la información no esté
sujeta a modificaciones no autorizadas. (Santander, s.f.). Se puede dividir en 2 aspectos:
Integridad de los datos: que estos se encuentren completos y sin lagunas.
Integridad del origen: validar la fuente de los datoscomo segura por un proceso de auten-
ticación.
6.2. Recomendaciones en términos f́ısicos
A nivel f́ısico la integridad se puede garantizar con mecanismos de control de acceso que cumplan
con el principio de confidencialidad. De esta forma, únicamente el personal autorizado puede acceder
a la información sensible y realizar modificaciones únicamente si posee permisos concedidos y un
motivo validado por la organización. Los controles de acceso f́ısico, la gestión de la configuración de
los sistemas de control y las comprobaciones de redundancia en las transmisiones de información
permiten mantener la integridad de la información sensible.
LATEX
6
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
6.3. Recomendaciones en términos lógicos
Una de las técnicas más populares para validar la integridad de los datos se trata del hashing,
que permite generar identificadores únicos a los archivos de tal forma que, si estos se ven sujetos
a modificaciones no autorizadas, el hash generado diferirá con respecto al original. Otras técnicas
incluyen el uso de certificados o firmas digitales.
7. Disponibilidad
7.1. Definición
La disponibilidad en una red hace referencia a que la información de la misma debe ser accesible en
todo momento a los usuarios autorizados para sus actividades designadas. Se dice que un sistema de
red se encuentra disponible incluso cuando es capaz de negar de forma deliberada el acceso a datos
o servicios espećıficos. Por otra parte, un sistema no disponible es aquel que no es funcional en el
cumplimiento de sus propósitos básicos (incluyendo la implementación de medidas de seguridad) de
forma que su utilidad es nula. (Velázquez, 2019).
7.2. Recomendaciones en términos f́ısicos
Evidentemente, el personal autorizado debe poder acceder f́ısicamente al lugar de sus operaciones en
cualquier momento sin que exista algún obstáculo para su acceso. La disponibilidad no se cumpliŕıa,
por ejemplo, si el control de acceso fallara y negara a todo el personal de una empresa el acceso a
sus oficinas; como sucedió en las oficinas de Meta en el año 2021.
Una alta disponibilidad se puede lograr manteniendo una infraestructura de red y servidores
robusta que permita atender múltiples peticiones y no saturarse. En este aspecto, un Service Level
Agreement (SLA) define un acuerdo que compromete a mantener un nivel de servicio esperado que
se encuentre a medida de los requerimientos de un entorno corporativo.
LATEX
7
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
7.3. Recomendaciones en términos lógicos
Es importante que la red se encuentre capacitada para la atención de peticiones remotas e internas,
empleando algoritmos de control eficaces que garanticen que la red cumple con sus operaciones y no
se presente una denegación de servicio al personal de una organización.
8. No repudio
8.1. Definición
También llamado servicio contra rechazos, se considera como una ampliación del servicio de identi-
ficación y autenticación y tiene como objetivo demostrar que un mensaje concreto recibido por la
red está asociado a un único usuario. De este modo, el emisor de un mensaje o petición no puede
negar que él realizó tal acción, y por otra parte, el receptor de un mensaje no puede negar que ha
recibido cierto mensaje. Esto se puede resumir en: Quien env́ıa no puede decir “yo no lo envié” y
quien recibe no puede decir “yo no lo recib́ı”. (IBM, 2021)
8.2. Recomendaciones en términos f́ısicos
Las medidas f́ısicas más claras a nivel f́ısico involucran el uso de firmas en los documentos y la
documentación asociada a la información que se está manipulando. Incluso, se puede contar con la
presencia de testigos para validar la recepción o env́ıo de peticiones de forma que estas actividades
queden registradas en archivos f́ısicos o digitales.
8.3. Recomendaciones en términos lógicos
Las aplicaciones pueden implementar mecanismos para notificar tanto a emisores como receptores
el estado de un mensaje de forma transparente, por ejemplo, enviando notificaciones de env́ıo y
recepción tanto para el que env́ıa como para el que recibe un mensaje. Esto se puede ver implementado
en los servicios SMS y, concretamente, en el mecanismo de checks que emplea la aplicación de
LATEX
8
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
mensajeŕıa WhatsApp. Kerberos es un protocolo de autenticación que permite validar la identidad
de los usuarios en servicios de red empleando criptograf́ıa de claves asimétricas, cumpliendo con
validar la imposibilidad de repudiar los mensajes enviados o recibidos. (Atico34, s.f.).
9. Conclusiones
Los conceptos mencionados con anterioridad representan los pilares fundamentales sobre los que debe
descansar una red de datos productiva. Con uno solo de estos aspectos que no se cumpla formalmente
se estaŕıa incurriendo en una grave falta en el diseño de la red y del sistema en general de una
organización. Esto, en consecuencia, puede colocar en un grave riesgo sus operaciones y conducir a
graves pérdidas económicas o perjuicios a terceros que resulten en problemas legales.
Es una gran responsabilidad el construir las redes bajo estos principios de seguridad, ya que
tener una red de datos que no garantice estos principios a un nivel mı́nimo es prácticamente igual a
no contar con un red operativa por śı misma y, por tanto, es inútil e incluso peligrosa de emplear
para la transmisión de datos sensibles.
Bibliograf́ıa
Arsys. (2019). Qué es SLA: y cuáles son sus componentes clave. Consultado el 24 de agosto de 2022,
desde https ://www.arsys .es/blog/que- es- sla- y- cuales- son- sus- componentes- clave#:∼ :
text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%
20un%5C%20entorno%5C%20corporativo.
Atico34. (s.f.). No repudio o irrenunciabilidad: ¿Qué es? Consultado el 24 de agosto de 2022, desde
https://protecciondatos-lopd.com/empresas/no-repudio-irrenunciabilidad/
Cely, C. P. S. (2006). Autenticación de usuarios. Consultado el 24 de agosto de 2022, desde https:
//www.oas.org/en/citel/infocitel/2006/junio/seguridad e.asp#:∼:text=Autenticaci%5C%
LATEX
9
https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo.
https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo.
https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo.
https://protecciondatos-lopd.com/empresas/no-repudio-irrenunciabilidad/
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%
20quien%5C%20dice%5C%20ser).
de Paz, M. M. (2010). Seguridad Lógica y de Accesos y su Auditoŕıa. Consultado el 24 de agosto de
2022, desde https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+
Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1
Estrategia-Magazine. (s.f.). La seguridad lógica. Identificación, autenticación y control de acceso a
los sistemas. Consultado el 24 de agosto de 2022, desde https://www.estrategiamagazine.
com/tecnologia/la-seguridad-y- los-controles- logicos- redes-interconecciones- identificacion-
autenticacion-usuarios-control-de-acceso/
IBM. (2021). Identificación y autenticación. Consultado el 24 de agosto de 2022, desde https://www.
ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm
Santander. (s.f.). ¿Qué es la integridad de los datos? Consultado el 24 de agosto de 2022, desde
https://www.bancosantander.es/glosario/integridad-seguridad-online
Velázquez, J. I. C. (2019). Redes de datos: Contexto y evolución (3rd). Samsara.
Viserco. (2020). Control de Acceso: Qué es y su Importancia. Consultado el 24 de agosto de 2022,
desde https://www.viserco.com/control-de-acceso-que-es-y-su-importancia
Los créditos de las fotograf́ıas pertenecen a sus respectivos autores. ©
LATEX
10
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1
https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
https://www.ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm
https://www.ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm
https://www.bancosantander.es/glosario/integridad-seguridad-online
https://www.viserco.com/control-de-acceso-que-es-y-su-importancia
	Introducción
	Desarrollo
	Autenticación
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Control de acceso
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Confidencialidad
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Integridad
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Disponibilidad
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	No repudio
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Conclusiones