Tarea3_TGJL - Jorge González

Vista previa del material en texto

Universidad Nacional Autónoma de México
Facultad de Ingenieŕıa
Redes de Datos Seguras
Grupo: 3 - Semestre: 2023-1
Tarea 3:
Seguridad en las redes de datos.
Fecha de entrega: 25/08/2022
Profesora:
López Barrientos Maŕıa Jaquelina M.C.
Alumno:
Téllez González Jorge Luis
Jaquelina López
Muy bien :)
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
1. Introducción
El ser humano depende en gran medida de las redes de datos para el desarrollo de las distintas
actividades que realiza: desde el ámbito militar hasta el empresarial. Todos estas actividades se
caracterizan por el empleo de sistemas que manejan grandes volúmenes de información que, en
múltiples ocasiones, contienen datos sensibles o de alto impacto para las organizaciones que los
manejan.
La seguridad en las redes de datos surge como una necesidad de mantener prácticas adecuadas
que garanticen que toda la información sensible en una red de datos no caiga en manos de actores
maliciosos que puedan realizar mal uso de ella. Este concepto abarca todos los aspectos de la seguridad
de la información; pasando por la seguridad f́ısica del hardware hasta los controles administrativos
y de acceso y la seguridad lógica del software empleado.
Su implementación correcta garantiza una protección eficaz contra actores externos como los
delincuentes cibernéticos. Además, también protege contra las posibles vulnerabilidades internas de
la red y los errores humanos que el personal pudiera ocasionar. De acuerdo a IBM: idealmente, estas
herramientas debeŕıan poder aplicar protecciones como el cifrado, el enmascaramiento de datos y la
redacción de archivos confidenciales, y debeŕıan automatizar los informes para agilizar las auditoŕıas
y cumplir con los requisitos que dicten las regulaciones pertinentes.
A continuación se verán las medidas de seguridad esenciales que cualquier red de datos debe
cumplir para garantizar el correcto resguardo de la información.
LATEX
2
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
2. Desarrollo
3. Autenticación
3.1. Definición
Se refiere al hecho de verificar si el usuario es quien dice ser, es decir, no existe una suplantación
de identidad. Un concepto similar, pero no igual, es la identificación que representa la capacidad de
identificar de forma exclusiva a un usuario de un sistema o una aplicación en ejecución dentro de un
sistema. (Estrategia-Magazine, s.f.). Se pueden identificar 3 métodos principales para autenticar a
un usuario:
Algo que el usuario conoce: contraseñas o palabras secretas.
Algo que persona lleva consigo: tarjetas de identificación.
Caracteŕıstica f́ısica del individuo o acto involuntario de éste: firma biométrica, firmas,
o identificación facial.
3.2. Recomendaciones en términos f́ısicos
La recomendación más importante se trata en no almacenar las contraseñas en archivos simples en
una computadora, escribirlas en notas a la vista de todos o facilitarlas a un externo en un caso de
exceso de confianza. Muchos sistemas implementan medidas adicionales a nivel f́ısico con tarjetas de
identidad inteligentes o técnicas biométricas. (de Paz, 2010)
3.3. Recomendaciones en términos lógicos
Principalmente, la recomendación clave se encuentra en que varios usuarios no pueden acceder
a un sistema con el mismo identificador y contraseña. Adicionalmente, se debe asegurar que
las contraseñas cumplan con un estándar mı́nimo de seguridad conteniendo mayúsculas, minúsculas,
LATEX
3
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
letras, números, caracteres especiales y signos de puntuación.
Por último, otras recomendaciones a este nivel sugieren no reciclar contraseñas para distintos
sistemas y cambiarlas con frecuencia para garantizar su confidencialidad. (Velázquez, 2019)
4. Control de acceso
4.1. Definición
Se refiere a la verificación de que individuos o entidades únicamente accedan a las áreas y recursos que
le sean autorizados, limitando y controlando el número de intentos de acceso y evitando la entrada
de intrusos o agentes externos. (Viserco, 2020). Se pueden identificar 3 tipos de control de acceso:
Sistema de trazabilidad: mecanismo de verificación por pasos que emplea diversos conjuntos
de disciplinas para controlar el acceso de usuarios.
Sistema de autenticación: concede o niega accesos empleando medidas de autenticación:
claves de acceso, huellas, códigos, por voz, entre otros.
Sistema de autorización: método que se completa después de la autorización de un sistema o
un ente ajeno, que brinda permisos para obtener los datos o acceso a un cierto lugar restringido.
4.2. Recomendaciones en términos f́ısicos
A nivel f́ısico este control se acompaña del proceso de autenticación para otorgar determinados
privilegios a una entidad o persona para acceder a una parte del sistema y manipular información.
Por ello, se acompaña de las medidas f́ısicas de autenticación para garantizar que no se le brinde
acceso a la entidad o persona incorrecta. Entre otros aspectos, puede incluir sistemas que concedan o
nieguen acceso f́ısico a determinadas áreas de un edificio que contenga equipos con sistemas cŕıticos
de una organización.
LATEX
4
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
4.3. Recomendaciones en términos lógicos
Las recomendaciones siguen una ĺınea similar a la autenticación, con la diferencia de que este sistema
de control debe ser mucho más estructurado para la concesión adecuada de permisos. Para llevar a
cabo estos controles, la organización debe primero identificar y autenticar a los sujetos, para que los
derechos de acceso sean acordes a cada individuo. (Estrategia-Magazine, s.f.). 3 controles lógicos son
fundamentales para estos fines:
Identificar los usuarios de ciertos datos y/o recursos.
Restringir el acceso a datos y recursos de los sistemas.
Producir pistas para posteriores auditoŕıas.
5. Confidencialidad
5.1. Definición
Se refiere a impedir la divulgación de información a personas o sistemas no autorizados, es decir,
garantizar que únicamente personal autorizado accede a la información. Mientras que el control de
acceso se refiere al sistema empleado para la concesión de permisos a los usuarios en una red, la
confidencialidad se refiere exclusivamente al resguardo correcto de la información en las ubicaciones
adecuadas y bajo las medidas de seguridad pertinentes. (Velázquez, 2019).
5.2. Recomendaciones en términos f́ısicos
Los accesos a las instalaciones donde se encuentran los equipos, servidores y, en general, los dispositi-
vos que almacenan la información digital de carácter sensible, aśı como los lugares donde se almacena
la información en formato f́ısico (impresa en papel), deben estar adecuadamente protegidos frente
a accesos no autorizados. Por medio del control de acceso, que a su vez depende del proceso de
autenticación, es como únicamente se debe de otorgar acceso al personal autorizado.
LATEX
5
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
5.3. Recomendaciones en términos lógicos
Existen diversas estrategias para evitar que agentes no autorizados accedan a la información sensible.
Por ejemplo, el cifrado de datos es una medida de confidencialidad empleada para las comunicaciones
seguras en múltiples sistemas que se implementa a nivel lógico con algoritmos de cifrado. Aśı mismo,
la implementación de mecanismos NAC para asegurar la confidencialidad se sugieren para controlar
el acceso a las redes y tener un plan de respuestas ante incidentes donde la confidencialidad sea
vulnerada. (de Paz, 2010)
6. Integridad
6.1. Definición
Se refiere a la fidelidad de la información o los recursos, de tal forma que la información no esté
sujeta a modificaciones no autorizadas. (Santander, s.f.). Se puede dividir en 2 aspectos:
Integridad de los datos: que estos se encuentren completos y sin lagunas.
Integridad del origen: validar la fuente de los datoscomo segura por un proceso de auten-
ticación.
6.2. Recomendaciones en términos f́ısicos
A nivel f́ısico la integridad se puede garantizar con mecanismos de control de acceso que cumplan
con el principio de confidencialidad. De esta forma, únicamente el personal autorizado puede acceder
a la información sensible y realizar modificaciones únicamente si posee permisos concedidos y un
motivo validado por la organización. Los controles de acceso f́ısico, la gestión de la configuración de
los sistemas de control y las comprobaciones de redundancia en las transmisiones de información
permiten mantener la integridad de la información sensible.
LATEX
6
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
6.3. Recomendaciones en términos lógicos
Una de las técnicas más populares para validar la integridad de los datos se trata del hashing,
que permite generar identificadores únicos a los archivos de tal forma que, si estos se ven sujetos
a modificaciones no autorizadas, el hash generado diferirá con respecto al original. Otras técnicas
incluyen el uso de certificados o firmas digitales.
7. Disponibilidad
7.1. Definición
La disponibilidad en una red hace referencia a que la información de la misma debe ser accesible en
todo momento a los usuarios autorizados para sus actividades designadas. Se dice que un sistema de
red se encuentra disponible incluso cuando es capaz de negar de forma deliberada el acceso a datos
o servicios espećıficos. Por otra parte, un sistema no disponible es aquel que no es funcional en el
cumplimiento de sus propósitos básicos (incluyendo la implementación de medidas de seguridad) de
forma que su utilidad es nula. (Velázquez, 2019).
7.2. Recomendaciones en términos f́ısicos
Evidentemente, el personal autorizado debe poder acceder f́ısicamente al lugar de sus operaciones en
cualquier momento sin que exista algún obstáculo para su acceso. La disponibilidad no se cumpliŕıa,
por ejemplo, si el control de acceso fallara y negara a todo el personal de una empresa el acceso a
sus oficinas; como sucedió en las oficinas de Meta en el año 2021.
Una alta disponibilidad se puede lograr manteniendo una infraestructura de red y servidores
robusta que permita atender múltiples peticiones y no saturarse. En este aspecto, un Service Level
Agreement (SLA) define un acuerdo que compromete a mantener un nivel de servicio esperado que
se encuentre a medida de los requerimientos de un entorno corporativo.
LATEX
7
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
7.3. Recomendaciones en términos lógicos
Es importante que la red se encuentre capacitada para la atención de peticiones remotas e internas,
empleando algoritmos de control eficaces que garanticen que la red cumple con sus operaciones y no
se presente una denegación de servicio al personal de una organización.
8. No repudio
8.1. Definición
También llamado servicio contra rechazos, se considera como una ampliación del servicio de identi-
ficación y autenticación y tiene como objetivo demostrar que un mensaje concreto recibido por la
red está asociado a un único usuario. De este modo, el emisor de un mensaje o petición no puede
negar que él realizó tal acción, y por otra parte, el receptor de un mensaje no puede negar que ha
recibido cierto mensaje. Esto se puede resumir en: Quien env́ıa no puede decir “yo no lo envié” y
quien recibe no puede decir “yo no lo recib́ı”. (IBM, 2021)
8.2. Recomendaciones en términos f́ısicos
Las medidas f́ısicas más claras a nivel f́ısico involucran el uso de firmas en los documentos y la
documentación asociada a la información que se está manipulando. Incluso, se puede contar con la
presencia de testigos para validar la recepción o env́ıo de peticiones de forma que estas actividades
queden registradas en archivos f́ısicos o digitales.
8.3. Recomendaciones en términos lógicos
Las aplicaciones pueden implementar mecanismos para notificar tanto a emisores como receptores
el estado de un mensaje de forma transparente, por ejemplo, enviando notificaciones de env́ıo y
recepción tanto para el que env́ıa como para el que recibe un mensaje. Esto se puede ver implementado
en los servicios SMS y, concretamente, en el mecanismo de checks que emplea la aplicación de
LATEX
8
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
mensajeŕıa WhatsApp. Kerberos es un protocolo de autenticación que permite validar la identidad
de los usuarios en servicios de red empleando criptograf́ıa de claves asimétricas, cumpliendo con
validar la imposibilidad de repudiar los mensajes enviados o recibidos. (Atico34, s.f.).
9. Conclusiones
Los conceptos mencionados con anterioridad representan los pilares fundamentales sobre los que debe
descansar una red de datos productiva. Con uno solo de estos aspectos que no se cumpla formalmente
se estaŕıa incurriendo en una grave falta en el diseño de la red y del sistema en general de una
organización. Esto, en consecuencia, puede colocar en un grave riesgo sus operaciones y conducir a
graves pérdidas económicas o perjuicios a terceros que resulten en problemas legales.
Es una gran responsabilidad el construir las redes bajo estos principios de seguridad, ya que
tener una red de datos que no garantice estos principios a un nivel mı́nimo es prácticamente igual a
no contar con un red operativa por śı misma y, por tanto, es inútil e incluso peligrosa de emplear
para la transmisión de datos sensibles.
Bibliograf́ıa
Arsys. (2019). Qué es SLA: y cuáles son sus componentes clave. Consultado el 24 de agosto de 2022,
desde https ://www.arsys .es/blog/que- es- sla- y- cuales- son- sus- componentes- clave#:∼ :
text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%
20un%5C%20entorno%5C%20corporativo.
Atico34. (s.f.). No repudio o irrenunciabilidad: ¿Qué es? Consultado el 24 de agosto de 2022, desde
https://protecciondatos-lopd.com/empresas/no-repudio-irrenunciabilidad/
Cely, C. P. S. (2006). Autenticación de usuarios. Consultado el 24 de agosto de 2022, desde https:
//www.oas.org/en/citel/infocitel/2006/junio/seguridad e.asp#:∼:text=Autenticaci%5C%
LATEX
9
https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo.
https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo.
https://www.arsys.es/blog/que-es-sla-y-cuales-son-sus-componentes-clave#:~:text=SLA%5C%20son%5C%20las%5C%20siglas%5C%20de,requerimientos%5C%20de%5C%20un%5C%20entorno%5C%20corporativo.
https://protecciondatos-lopd.com/empresas/no-repudio-irrenunciabilidad/
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
Facultad de Ingenieŕıa Redes de Datos Seguras (T)
C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%
20quien%5C%20dice%5C%20ser).
de Paz, M. M. (2010). Seguridad Lógica y de Accesos y su Auditoŕıa. Consultado el 24 de agosto de
2022, desde https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+
Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1
Estrategia-Magazine. (s.f.). La seguridad lógica. Identificación, autenticación y control de acceso a
los sistemas. Consultado el 24 de agosto de 2022, desde https://www.estrategiamagazine.
com/tecnologia/la-seguridad-y- los-controles- logicos- redes-interconecciones- identificacion-
autenticacion-usuarios-control-de-acceso/
IBM. (2021). Identificación y autenticación. Consultado el 24 de agosto de 2022, desde https://www.
ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm
Santander. (s.f.). ¿Qué es la integridad de los datos? Consultado el 24 de agosto de 2022, desde
https://www.bancosantander.es/glosario/integridad-seguridad-online
Velázquez, J. I. C. (2019). Redes de datos: Contexto y evolución (3rd). Samsara.
Viserco. (2020). Control de Acceso: Qué es y su Importancia. Consultado el 24 de agosto de 2022,
desde https://www.viserco.com/control-de-acceso-que-es-y-su-importancia
Los créditos de las fotograf́ıas pertenecen a sus respectivos autores. ©
LATEX
10
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp#:~:text=Autenticaci%5C%C3%5C%B3n%5C%20es%5C%20el%5C%20proceso%5C%20que,usuario%5C%20es%5C%20quien%5C%20dice%5C%20ser).
https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1
https://e-archivo.uc3m.es/bitstream/handle/10016/10653/PFC+Seguridad+Logica+y+de+Accesos+y+su+Auditoria.pdf?sequence=1
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
https://www.estrategiamagazine.com/tecnologia/la-seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-usuarios-control-de-acceso/
https://www.ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm
https://www.ibm.com/docs/es/ibm-mq/7.5?topic=ssfksj-7-5-0-com-ibm-mq-sec-doc-q009740--htm
https://www.bancosantander.es/glosario/integridad-seguridad-online
https://www.viserco.com/control-de-acceso-que-es-y-su-importancia
	Introducción
	Desarrollo
	Autenticación
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Control de acceso
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Confidencialidad
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Integridad
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Disponibilidad
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	No repudio
	Definición
	Recomendaciones en términos físicos
	Recomendaciones en términos lógicos
	Conclusiones