Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
MEMORIAS FERIA DE EMPRENDIMIENTO, INNOVACIÓN Y DESARROLLO TECNOLÓGICO 2 Edición PROYECTOS FORMATIVOS COMO ALTERNATIVA AL EMPRENDIMIENTO TECNOLÓGICO CENTRO DE AUTOMATIZACIÓN INDUSTRIAL SENA REGIONAL CALDAS Manizales, Colombia Diciembre 11 de 2018 Título: Memorias feria de emprendimiento, innovación y desarrollo tecnológico Subtítulo: Proyectos formativos como alternativa al emprendimiento tenológico Edición: Segunda ISSN: 2590-5384 (en línea) Periodicidad: Anual Editorial: SENA- Centro de Automatización Industrial Dirección: Kilómetro 10 vía al magdalena Teléfono: (6) 8748444 Ext 62401- 62009 Ciudad: Manizales, Caldas Fecha: Diciembre 11 de 2018 Feria de emprendimiento, innovación y desarrollo tecnológico 2 da. Edición Periodicidad: Anual José Fernando Murillo Arango Editor jfmurilloa@misena.edu.co Ángela Patricia Jiménez Castro Editora anjimenezc@sena.edu.co Cuerpo Directivo Carlos Mario Estrada Director Nacional Emilio Eliecer Navia Zúñiga Coordinador Grupo de Investigación, Innovación Producción Académica Jesús Alfredo Chaparro Director Sena Regional Caldas (e) Luis Alejandro Trejos Ruiz Subdirector Centro de Automatización Industrial, Sena Regional Caldas Grupo de investigación EAYER, electrónica, automatización y energías renovables Centro de Automatización Industrial Sena Regional Caldas Km 10 Vía al Magdalena, Sector Malteria Teléfono: (6) 8788444 Comité Científico Mg. José Fernando Murillo Arango Mg. Andres Felipe Aguirre García Mg. Néstor Eduardo Sanchez Ospina Prof. Cristian Zetty Arenas Editor Esp. Ángela Patricia Jiménez Castro Editor Mg. José Fernando Murillo Arango Tabla de contenido Presentación ........................................................................................................................................................ 5 Ejes temáticos ..................................................................................................................................................... 5 Justificación ........................................................................................................................................................ 5 Objetivo .............................................................................................................................................................. 6 IMPLEMENTACIÓN DE UNA PLATAFORMA INTEGRAL DE SEGURIDAD PARA REDES DE ÁREA LOCAL ....................................................................................................................................................... 7 JOHN FREDY GALLEGO JIMENEZ ............................................................................................................... 7 FREDY ANDRES GARCIA GOMEZ ............................................................................................................... 7 JOSÉ FERNANDO MURILLO ARANGO ....................................................................................................... 7 MANTENIMIENTO A LOS EQUIPOS BIOMÉDICOS DEL CENTRO DE AUTOMATIZACIÓN INDUSTRIAL SENA REGIONAL CALDAS ......................................................................................... 75 MELISSA BARÓN MORALES ...................................................................................................................... 75 MIGUEL ÁNGEL CARMONA ARELLANO ................................................................................................. 75 LUISA FERNANDA RESTREPO GONZÁLEZ ............................................................................................. 75 LAURA MERY GONZÁLEZ BENAVÍDEZ .................................................................................................. 75 DANILO CARDONA CARMONA ................................................................................................................. 75 DISEÑO Y ADMINISTRACIÓN DE UNA BASE DE DATOS PARA EMPRESAS DEL SECTOR PRODUCTIVO ......................................................................................................................................... 93 JULIANA BETANCUR NOREÑA ................................................................................................................. 93 LEONARDO PATIÑO ..................................................................................................................................... 93 CARLOS ANDRÉS GARCÍA ARIAS ............................................................................................................ 93 PEDRO DAVID ERAZO ................................................................................................................................. 93 SIMULACIÓN DE UN PARQUEADERO AUTOMATIZADO PARA MOTOCICLETAS ....................... 136 ANDRES FELIPE GIRALDO JOSE ALEXIS ROMÁN .............................................................................. 136 IVÁN DARIO AGUDELO GALLO .............................................................................................................. 136 JAIME ALBERTO OCAMPO ....................................................................................................................... 136 DISEÑO DE UN PROTOTIPO ELECTRÓNICO DE SEÑALIZACIÓN ORIENTADO A PERSONAS CON DISCAPACIDAD AUDITIVA Y VISUAL ............................................................................................. 51 Leidy Marcela Blandon Ramirez, Elizabeth Perez Salazar, Daniel Caicedo Bedoya, Cristian Fernando Carvajal Salazar, Rafael Montoya Pineda, Ricardo A. Rodas Rojas ........................................................ 51 Presentación La segunda feria de emprendimiento, innovación y desarrollo tecnológico del centro de Automatización Industrial, tuvo como eje central la proyección del emprendiemiento tenológico através del desarrollo de proyectos formativos de gran impacto en el sector productivo de Manizales y Caldas, por medio de los cuales nuestros aprendices y egresados pueden buscar la posibilidad de generar oportunidades de negocio por medio de la adaptación de nuevas tecnológias a los procesos productivos de las más representativas empresas de le región generando de esta manera alianzas que deriven en beneficios mutuos. Igualmente para el centro de Automatización Industrial, ésta vivencia se constituyó en una oportunidad para proyectar sus esfuerzos en el planteamiento de proyectos de formación en las diferentes modalidades que permitan apalancar tecnológicamente la actividad económica de las nacientes estrategias de negocio presentadas durante la feria; y se fue una innovadora estratégia para que nuestros aprendices vinculen a sus proyectos de vida ideas revolucionarias de emprendimiento tecnológico. Ejes temáticos Para la realización de la presente publicación se tuvieron en cuenta los proyectos que en un futuro cercano pueden generar un importante impacto desde los enfoques tecnológico y económico gracias al impacto que éstos podrían generar en sus diferentes campos de actuación; por lo anterior los ejes temáticos que se abarcan fueron: desarrollo en bases de datos, seguridad informática, mecatrónica, mantenimiento de equipos biomédicos. Justificación Los emprendedores orientan su esfuerzo en beneficio de una causa, interés, hobby, deseo, necesidad u oportunidad materializando su idea en la provisión de un bien, producto o servicio que permitan el mejoramiento de la calidad de vida de un individuo o comunidad a través de ingeniosos métodos de innovación y creatividad que los impulsa en la búsqueda permanente de nuevas formas de hacer las cosas y ver el mundo. Los diversos actores del centro de Automatización Industrial no son ajenos al reto que representa su contribución como líderes, libre pensadores y emprendedores además del arraigo de una raza luchadora conorgullo y talante de triunfadores. Por esto se propicia un escenario de participación colectivo que dé muestra de la capacidad que tiene la comunidad educativa del centro de formación. Objetivo Proyectar en los aprendices del centro de Automatización Industrial la capacidad de emprendimiento por medio de la materialización de sus conocimientos en el desarrollo de proyectos que puedan ofrecer soluciones viables a diferentes problemáticas identificadas en el sector productivo de la región las cuales pueden dar origen a ideas de negocio sostenibles en el tiempo. IMPLEMENTACIÓN DE UNA PLATAFORMA INTEGRAL DE SEGURIDAD PARA REDES DE ÁREA LOCAL JOHN FREDY GALLEGO JIMENEZ FREDY ANDRES GARCIA GOMEZ JOSÉ FERNANDO MURILLO ARANGO ESPECIALIZACIÓN TECNOLÓGICA EN SEGURIDAD DE REDES DE COMPUTADORES Resumen Para el desarrollo del presente proyecto hemos utilizado como antecedente, que en las empresas modernas se encuentra una amplia dinámica de sistemas de información integrados por medio de la utilización de redes de datos; dichos sistemas conforman la infraestructura tecnológica particular de cada empresa, ésta infraestructura debe ser administrada eficientemente buscando implementar mecanismo que faciliten la gestión de la seguridad de sus componentes de hardware, software e información para lo cual se hace necesario la implementación de plataformas de seguridad en redes que permitan la continuidad de los servicios informáticos que respaldan la función misional de cada empresa. Es importante tener presente que el proceso de aseguramiento de la información puede llegar a ser complicado teniendo en cuenta que no existen parámetros exactos para medir que tan expuesta o vulnerable puede ser nuestra infraestructura tecnológica, es por esto que para la implementación de nuestra plataforma de seguridad hemos utilizado los procesos metodológicos que se plantean en la norma ISO 27000 como punto inicio en la construcción de un modelo basado en políticas de seguridad estructuradas, definidas y alcanzables que permitan optimizar los niveles de seguridad informática y de la información como factor diferenciador; dichas políticas se han implementado técnica y tecnológicamente para luego ser administradas eficiente y dinámicamente, con base en el manual de buenas prácticas establecido en el marco de referencia Itil V.3. Luego de realizar una evaluación de impacto a la solución implementada, podemos destacar ampliamente los resultados obtenidos basados en la baja inversión económica centrando la elaboración de políticas fuertes de configuración sobre sistemas operativos cliente y de red, endurecimiento de los principales dispositivos de networking, la adaptación de soluciones libres de firewall a nivel de software y la capacitación de usuarios en el tratamiento de las amenazas de seguridad más sensibles para la empresa, todo esto sin requerir importantes inversiones en equipos especializados de seguridad que no están al alcance de las pequeñas y medianas empresas. Palabras Clave Itil, Iso 27000, Política de seguridad, Plataforma de seguridad, Seguridad de la información, Seguridad informática, Sistemas operativos. Abstract For the development of this project we have used as background, that in modern companies there is a wide dynamic of integrated information systems through the use of data networks; these systems make up the particular technological infrastructure of each company, this infrastructure must be managed efficiently, seeking to implement a mechanism that facilitates the management of the security of its hardware, software and information components, for which it is necessary to implement security platforms in networks that allow the continuity of the computer services that support the missionary function of each company. It is important to keep in mind that the process of securing information can be complicated considering that there are no exact parameters to measure how exposed or vulnerable our technological infrastructure can be, that is why for the implementation of our security platform we have used the methodological processes proposed in the ISO 27000 standard as a starting point in the construction of a model based on structured, defined and achievable security policies that allow the optimization of information security and information levels as a differentiating factor; These policies have been technically and technologically implemented and then managed efficiently and dynamically, based on the good practices manual established in the Itil V.3 reference framework. After carrying out an impact evaluation of the solution implemented, we can highlight the results obtained based on low economic investment, focusing the preparation of strong configuration policies on client and network operating systems, hardening of the main networking devices, adaptation of free firewall solutions at the software level and the training of users in dealing with the most sensitive security threats for the company, all without requiring significant investments in specialized security equipment that is not available to small and medium-sized companies. Keywords Itil, Iso 27000, Operating systems, Security policy, Security platform, Information security, Computer security. Introducción El constante desarrollo tecnológico hace que las empresas implementen soluciones tecnológicas pensando en su funcionalidad y en su rápida configuración para su eficaz puesta en marcha, descuidando de fondo el concepto de seguridad de dichas soluciones, generando de esta manera la posibilidad de que se presenten incidentes negativos de afectación tanto a la seguridad de la información, como de la plataforma tecnológica colocando en riesgo permanente la continuidad del servicio y la integridad de la información. Con base lo anterior, y considerando que la seguridad de la información es cada vez más relevante incluso desde el ámbito normativo a nivel mundial y nacional en los cuales podemos encontrar soportes jurídicos en la Ley 1266 de 2008 que trata sobre el "Habeas Data” (Información Financiera); la Ley 1273 de 2009 sobre la Protección de la información (Delitos informáticos); la Ley 1581 de 2012 que trata sobre la Protección de datos personales y por último el documento Conpes 3854 de 2016 que implementa la Política Nacional de Seguridad. Es importante considerar que para tener éxito en la implementación de iniciativas que pretendan mejorar los niveles de seguridad al interior de las empresas debemos iniciar por conocer las debilidades actuales en cuanto a los procesos principales los cuales se deben catalogar como procesos de misión crítica o de alta disponibilidad y proponer diferentes alternativas que permitan minimizar su impacto para que no se presenten sucesos que afecten la continuidad y disponibilidad de los servicios tecnológicos, que a su vez comprometan la sostenibilidad de la empresa. Es así como el proyecto implementación de una plataforma integral de seguridad para redes de área local, se presenta como la oportunidad para que pequeñas y medianas empresas extiendan sus objetivos estratégicos de negocio, partiendo de la necesidad de establecer e implementar políticas y objetivos de calidad relacionados con la seguridad a través del sistema de gestión; protegiendo los activos críticos, garantizando la debida gestión administrativa, financiera y operativa de la entidad generando un impacto positivo en la reducción de costos y un equilibrio sostenible entre la implementación de la funcionalidad tecnológica y la seguridad de la información. Objetivo general Implementar una plataforma integral de seguridad en redes de área local, utilizando los componentes informáticos generales de la infraestructura tecnológica, de coberturapara pequeñas y medianas empresas. Objetivos específicos - Aplicar componentes de la norma ISO 27000 como referencia para la elaboración de políticas de seguridad que permitan mejorar el nivel de seguridad en redes de área local. - Evaluar el nivel de seguridad informática de la red a través de la identificación los puntos críticos que sean amenazas para la operación y continuidad del negocio. - Configurar el hardware y el software de la infraestructura tecnológica con base en los requerimientos mínimos de seguridad de cada empresa. - Elaborar los planes de seguridad, contingencia y recuperación para la plataforma tecnológica con base en los requerimientos mínimos de seguridad de redes de computadores. Marco Teórico Para el desarrollo del presente proyecto hemos tomando como punto partida el crecimiento significativo de los incidentes de seguridad informática y de la información que se están presentando en empresas de diferentes sectores productivos de nuestro entorno regional; derivados de la manifiesta necesidad de establecer mecanismos constantes de comunicación entre los diferentes actores del intercambio comercial, lo cual ha favorecido el desarrollo de múltiples soluciones informáticas y de telecomunicaciones sin la adecuada implementación de controles que faciliten la protección de los activos electrónicos, que en la actualidad pueden representar ventajas competitivas para empresas de sectores emergentes de la economía. Para comprender la importancia y la necesidad de implementar controles de seguridad sobre nuestra infraestructura tecnológica es importante familiarizarnos con los conceptos más relevantes en las disciplinas de la seguridad informática y de la información; entre los cuales se destaca SGSI (sistema de gestión de seguridad de la información), por medio del cual se plantea que los riesgos a los cuales está expuesta la información deben ser conocidos, asumidos y gestionados por las organizaciones con el objetivo de minimizar su impacto; por lo cual en su implementación debe intervenir actores que representen los diferentes ámbitos y procesos organizacionales considerando que con su implementación se respaldaran todas actividades en las cuales se involucren recursos tecnológicos, humanos, físicos e intangibles informáticos y de información. Es importante considerar que pese a la existencia de normas de carácter internacional para la implementación de SGSI, como ISO 27000 en sus diferentes variantes, no existen parámetros que especifiquen cuales son las políticas e implementaciones técnicas que puedan marcar el éxito del SGSI, lo que lo convierte en un proceso independiente de cada tipo de organización en el cual se deben realizar análisis serios y exhaustivos de la amenazas a las que realmente se encuentra expuesta su infraestructura tecnológica, para con base en ello establecer de manera concertada con la alta dirección las políticas de seguridad y restricciones que darán origen a diferentes estrategias de gestión de configuración por medio de las cuales se podrá fortalecer técnicamente la infraestructura y las condiciones tecnológicas para salvaguardar la información. Debemos considerar que uno de los enfoques normativos más relevantes para el éxito de los SGSI, es el empoderamiento de las políticas y estrategias de seguridad definidas por parte de los usuarios finales y todos los beneficiarios de los servicios tecnológicos al interior de las empresas, lo cual supone un importante trabajo de divulgación, concientización y capacitación a cargo de los responsables de la implementación del SGSI, con la misión de convertirlo en un sistema transparente y transversal para toda la organización en búsqueda de aportes cognitivos que permitan aplicar y respetar las políticas definidas de forma responsable y colaborativa. En todos los contextos bibliográficos que tratan la temática de seguridad informática se abordan algunos pasos y recomendaciones generales sobre la implementación de diferentes controles para fortalecer los niveles de seguridad al interior de las empresas, por ejemplo el autor Fabián Portantier, en uno de sus libros propone utilizar el siguiente esquema para la implementación de controles para la seguridad de la información. Imagen 1: Esquema de implementación de riesgos Fuente: Fabián Portantier Así mismo estos documentos manifiestan la importancia de la formalización del proceso de aseguramiento de la calidad de la información y de la infraestructura tecnológica por medio de la definición de metas, objetivos y políticas claras que permitan medir su impacto; es igualmente importante la adopción de uno a varios estándares que expliquen cómo van a ser alcanzadas las metas y objetivos propuesto por la organización en aspectos de seguridad. Lo anterior supone la implementación de sistemas de gestión de seguridad de la información SGSI, como factor determinante para la administración eficiente de la infraestructura tecnológica empresarial, la continuidad y disponibilidad de servicios, más protección integral de los intangibles de información que son de vital importancia para el éxito comercial y económico de las empresas en la actual sociedad de la información y los negocios electrónicos. Metodología Para el desarrollo del presente proyecto se han tomado los elementos más representativos de la norma ISO 27000 aplicados en la implementación de buenas prácticas para la protección integral de los activos informáticos (tangibles e intangibles) de una PYME, dando una amplia relevancia a la configuración, administración, endurecimiento y protección de los componentes esenciales de la infraestructura en procura de la optimización de costos; y teniendo en cuenta que para ISO (International Organization for Standardization) un Sistema de gestión queda definido por un proceso de 4 etapas, Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act), los cuales se describen en la siguiente imagen. Imagen 2: Ciclo PHVA Fuente: http://www.isaca-org Posterior a la realización de un análisis de los entregables y/o evidencias que deberían generar después de la implementación de cada una de las fases descritas en la imagen 2 se determinó que a nivel general los entregables debían ser los siguientes. A. Documento con políticas de seguridad interna de la organización. B. Estrategia de seguridad en la red con base en Normas internacionales y políticas de la organización. C. Documento de implementación y Configuración de los sistemas operativos de red y cliente con base en la estrategia de seguridad de la organización. D. Documentación e implementación de firewalls a nivel de hardware y software para la red de datos. E. Configuración de los equipos activos de la red teniendo en cuenta buenas prácticas de seguridad. F. Implementación de todos los niveles de seguridad propuestos en la política de seguridad de la empresa G. Validación funcional de cada una de las configuraciones y niveles de seguridad implementados dentro de la plataforma tecnológica. Para la correcta implementación de los puntos de control establecidos en el párrafo anterior fue necesario considerar que estos debían quedar enmarcados dentro de los 14 dominios que ISO plantea para una correcta implementación de la norma ISO 27001:2013, como se muestra en la siguiente imagen. Imagen 3: Dominios ISO 27001:2013 Fuente: https://www.isaca.org Desarrollo del proyecto Marco normativo Las leyes colombianas han avanzado significativamente en el área de delitos informáticos sobre todo buscando contrarrestar tantas acciones criminales que han venido en auge desde que las tecnologías de la información hacen parte cotidiana de nuestras vidas. Entre algunas de estas leyes de gran importancia se encuentranlas siguientes: • Ley 1266 de 2008: Esta ley conocida como el "Habeas Data”, trata sobre la información financiera, crediticia y comercial contenida en las bases de datos personales. Esta ley ayudo mucho a cientos de personas que tenían algún tipo de historial crediticio negativo en las centrales de riesgo y que por lo tanto fueron excluidos de poder adquirir nuevos créditos luego de ponerse al día con sus obligaciones financieras. • Ley 1273 de 2009: También conocida como la ley de “Protección de la información o Delitos informáticos". Tiene como finalidad tipificar y penalizar los delitos que utilicen tecnologías de la información y las comunicaciones. • Ley 1581 de 2012: También conocida como la ley de "Protección de datos personales". Esta ley tiene por objeto complementar y desarrollar el derecho de las personas naturales a conocer, autorizar, actualizar, rectificar la información que reposa en las bases de datos de cualquier organización. • Documento Compes 3854 de 2016: Es la Política Nacional de Seguridad Digital que funciona como una lista de acciones que las entidades del estado deben llevar acabo para mejorar la ciberseguridad a través de la prevención y mitigación de riesgos informáticos. 1. Definición de políticas de seguridad interna de la organización. POLÍTICA GENERAL Para la implementación de un óptimo SGSI, se decide realizar gestión en la Seguridad de la Información, con la implementación de un sistema soportado bajo directivas de administración de riesgos claras que permitan proteger y preservar los activos de la Información con el fin de asegurar la continuidad del negocio, minimizar los impactos operativos y financieros, y garantizar el cumplimiento de los requerimientos legales vigentes. Los empleados, y todos aquellos que tengan responsabilidades sobre la información de la empresa, deben adoptar los lineamientos contenidos en el presente documento, con el fin de mantener la confidencialidad, la integridad y la disponibilidad de la información. POLITICAS FUNDAMENTALES POLÍTICAS DE GESTIÓN DE CONTINUIDAD DE NEGOCIO Se propenderá por el aseguramiento de la autenticidad, integridad, inalterabilidad, fiabilidad, disponibilidad, confidencialidad y conservación de los documentos físicos y electrónicos de archivo creados, procesados, transmitidos o resguardados por sus procesos con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de ésta. POLITICA DE GESTION DE RIESGOS E INCIDENTES Se debe realizar periódicamente un análisis de riesgos y vulnerabilidades que puedan representar una amenaza para el adecuado cumplimiento de la misión institucional. De igual forma se deberá llevar una adecuada gestión de los eventos de seguridad a través del registro, protocolo y documentación del manejo de los incidentes presentados para una mejora efectiva de su modelo de seguridad. POLÍTICA DE RESPONSABILIDAD Todas las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos, serán asignadas a un responsable, por lo cual es su compromiso hacer uso adecuado y eficiente de dichos recursos, procurando su buen funcionamiento y preservación. POLÍTICA DE ACCESO Y PRIVILEGIOS Garantizar que todo empleado, proveedor e invitado, que tenga necesidad de acceder a las redes empresariales, realicen la actividad siguiendo una serie de lineamientos de seguridad que incluyen la autenticación y privilegios que contribuyen a preservar la confidencialidad, integridad y disponibilidad de la información de la empresa. POLÍTICA DE ORGANIZACIÓN Y CLASIFICACIÓN DE LA INFORMACIÓN Se debe garantizar que la información reciba una clasificación adecuada, para con esto, proporcionar un nivel de protección óptimo a la misma. La clasificación de la información tendrá las siguientes categorías: pública, privada y confidencial. De igual forma la información debe estar bien organizada para el tratamiento de la misma por parte de cualquier usuario. POLÍTICA DE CONFIDENCIALIDAD Garantizar que toda información, etiquetada como confidencial o secreta, sea almacenada, de manera segura, garantizando con esto la preservación de la confidencialidad e integridad de la misma. No se debe compartir esta en ninguna circunstancia. En el caso de que la información sea física debe estar en caja fuerte y en caso de que este magnética debe estar cifrada criptográficamente. POLITICA DE SEGURIDAD FÍSICA Todos los sistemas de comunicaciones y centro de datos estarán debidamente protegidos con la infraestructura apropiada de manera que el usuario no tenga acceso físico directo. El acceso de las personas a las instalaciones físicas de telecomunicaciones y centro de datos es restringido, sólo podrán hacerlo con la autorización del encargo de seguridad previa verificación de la necesidad real de acceso a éstos lugares. POLÍTICA DE DOCUMENTACION En conjunto con la política de continuidad del negocio y de las normativas de gobernabilidad de T.I., la empresa contará con la responsabilidad de documentar los procesos y procedimientos que considere necesarios a través de manuales e instructivos. POLÍTICA DE RESPALDO Garantizar que la información generada, procesada y custodiada por la empresa, se encuentre respaldada, mediante copias de seguridad, que preservarán la disponibilidad de los datos institucionales que, en adición, serán sometidos a pruebas de restauración que verificarán el grado de integridad de los mismos. POLÍTICA DE AUDITORÍA Para fines de seguridad, verificación, cumplimiento y mantenimiento de las presentes políticas de seguridad de la información, el departamento de sistemas informáticos implementará los mecanismos de controles necesarios y pertinentes para auditar y monitorear sin previo aviso en cualquier momento equipos, sistemas, aplicaciones y tráfico de red para verificar el estado, uso y funcionamiento de estos. POLITICAS DE USO APROPIADO SISTEMA OPERATIVO: Los recursos de computación se deben usar exclusivamente para propósitos relacionados con la actividad desempeñada en la empresa. No se deben almacenar documentos o archivos de tipo personal. Sólo el personal autorizado puede llevar a cabo cualquier tipo de mantenimiento tanto del hardware como del software y de la configuración de acceso a la red. El usuario debe reportar cualquier actividad o funcionamiento sospechoso, tipo de daño del equipo (físico o lógico) o cualquier des configuración al departamento de sistemas informáticos. No está permitido modificar la configuración de los computadores. No se permite cambiar nombres de usuarios, cuentas o contraseñas asignadas. Todos los archivos y documentos deberán ser almacenados en la unidad D, mientras los programas estarán en la unidad C. Cada computador debe tener una tarea programada que se ejecuta diariamente para hacer una copia de respaldo de la información. En caso de no funcionar ésta el usuario deberá notificar al área de soporte técnico e igualmente deberá ejecutarla manualmente, de no ser así el usuario será el responsable por pérdida o daño de la información. Para el reporte de incidencias se debe manejar el adecuado conducto regular. El usuario debe solicitar la asignación de clave personal para la cuenta del sistema operativo. Bloquea la sesión de tu equipo cuando abandones tu puesto. HARDWARE: No se deben sacar ganchos de las hojas encima del teclado. Mantener limpio el teclado de residuos o polvo. No se deben poner calcomanías o cualquier tipo de adornos en los equipos que puedan causar cualquier tipo de daño a éste. Solo se debe tener los puertos usb abiertos en los equipos que dispongan las directivas dela empresa, previa autorización. En caso de tenerlos habilitados no se debe transportar información sensible en los dispositivos extraíbles. Si se debe trasportar por alguna razón, se deberá cifrar la información. Siempre se debe analizar con el antivirus toda unidad de almacenamiento de información que vaya a ser ingresada al computador ya sea CD, DVD o memoria USB. Siempre se debe apagar el computador y el monitor en horas de almuerzo para evitar daños producidos por el voltaje o algún tipo de descarga eléctrica. De igual forma se debe apagar por motivos de ahorro de energía y motivos ambientales. Al terminar la jornada laboral, los equipos de cómputo e impresoras, deben ser desconectados de la toma corriente para evitar daños. No conectar dispositivos (cámaras y computadores) sin su respectivo dispositivo de protección eléctrica. Los monitores no deben ser tocados con los dedos o lapiceros para evitar rayones y desgaste. Los monitores deben ser limpiados solo por el personal autorizado con los elementos adecuados. Está prohibido sacar dispositivos o computadores sin la previa autorización del departamento de sistemas. Se prohíbe llevar a la oficina equipos o dispositivos personales (Tablet, portátiles, memorias usb, entre otros) sin previa autorización. Custodiar celosamente el dispositivo con la información confidencial de la empresa so pena de sanciones legales. El usuario deberá solicitar 1 vez al año mantenimiento físico de su equipo de cómputo. Los router y módems no deben ser apagados en ningún momento. No deben ubicarse objetos cerca a los módems y router que obstruyan la señal inalámbrica que transmiten estos. Guardarlas cajas, los documentos, cds, cables y manuales con los que viene el computador. Se tiene estimado la vida útil de los activos fijos, si se detecta mal uso de estos, el usuario deberá asumir el costo o reponerlo. SOFTWARE: No se deben borrar programas propios o ajenos al sistema operativo sin previa aprobación del departamento de sistemas informáticos. No instalar ningún tipo de programa que requiera licencia (software propietario) ya que posee derechos de autor protegidos por la ley. Su uso sin la compra o adquisición del producto es ilegal y conlleva consecuencias legales. No instalar ningún programa de uso libre sin previa autorización del departamento de sistemas informáticos. En todos los casos, los usuarios deben consultar al coordinador la instalación de cualquier tipo de programa de aplicación (software). No ejecutar programas o aplicaciones que no estén permitidos por el departamento de sistemas. No instalar ningún tipo de juego o aplicativo de ocio. Esto aplica también para juegos en línea o en Red. En el momento de solicitar soporte técnico remoto el usuario deberá realizar un acompañamiento durante todo el proceso al auxiliar de sistemas. CORREO ELECTRÓNICO: Mantener el correo corporativo abierto en todo momento, evitando saturación de correos y mejorando así los tiempos de respuesta. Se recomienda que el asunto contenga palabras claves o específicas que faciliten la búsqueda de información posterior. Hacer uso adecuado de las bandejas locales del gestor de correo, evitando congestionar la bandeja de entrada, es decir pasar los mensajes de la bandeja de entrada a las carpetas locales. No abrir correos de dudosa procedencia o que siendo de algún remitente conocido sea de contenido sospechoso. No hacer uso del correo electrónico corporativo para enviar o recibir correo personal. INTERNET: No está permitido acceder a Internet con fines diferentes a los propios de las actividades laborales. No hacer uso de programas o páginas de redes sociales como por ejemplo Facebook, Twiter, YouTube, entre otras. No hacer uso de programas de descarga como por ejemplo ares, atube catcher, emule, entre otros. No descargar software o contenidos personales sin autorización. En caso de que se necesiten habilitar paginas diferentes a las que se tienen permitidas por la empresa, se deberá argumentar su uso mediante correo electrónico al área de soporte técnico. 2. Documento de implementación y Configuración de los sistemas operativos de red y cliente con base en la estrategia de seguridad de la organización. Dentro del desarrollo de nuestro proyecto se ha determinado que una de las mejores opciones para mejorar el nivel de seguridad de la red es fortalecer o endurecer los sistemas operativos por medio de configuraciones que permitan mejorar su nivel de seguridad y usabilidad implementado técnicamente algunas restricciones; las cuales podemos ver reflejadas en la siguiente tabla. Tabla 1: Asignación de directivas de grupo Nombre de Política Sección Ruta de Directiva Directiva Configuraci ón de directiva sistema operativo Forzar el historial de contraseñas Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de 0 Valor: 10 cuenta - Directiva de contraseñas Vigencia máxima de la contraseña Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de cuenta-Directiva de contraseñas Periodo de tiempo que permite utilizar una contraseña antes de solicitar cambio. Valor: 30 Longitud mínima de contraseñas Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de cuenta-Directiva de contraseñas Determina el número mínimo de caracteres. Valor: 8 Requerimient os de complejidad de contraseñas Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de cuenta-Directiva de contraseñas Deben de cumplir los siguientes requisitos: -No debe contener parte o todo el nombre de la cuenta de usuario .Estar compuesta por caracteres de las siguientes categorías: Letras mayúsculas- minúsculas-dígitos en base 10 y caracteres no alfanuméricos Valor :Habilitado Duración de bloqueo de cuenta Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de Número de minutos que permanece bloqueada una cuenta antes de desbloquearse automáticamente Valor: 5 cuenta-Directiva de bloqueo de cuenta Umbral de bloqueos de la cuenta Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de cuenta-Directiva de bloqueo de cuenta Determina el número de inicios de sesión erróneos ingresados en una cuenta Valor: 5 Restablecer la cuenta de bloqueo después de Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas de cuenta-Directiva de bloqueo de cuenta Determina el número de minutos que deben transcurrir para reiniciar el contador de inicios erróneos Valor 3 Auditar sucesos de inicios de sesión de cuenta Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Directiva auditoría Determinar si hay que auditar cada instancia de inicio o cierre de sesión Valor: Auditar sucesos de inicio de sesión erróneos Auditar la administració n de cuentas Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Determina si hay que auditar cada suceso de la ad ministración de cuentas Valor: Correcto / Erróneo Directiva auditoría Auditar sucesos de inicios de sesión Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Directiva auditoría Determina si hay que auditar cada instancia de inicio, cierre de sesión o establecimiento de unaconexión de red Valor: Erróneo Auditar acceso a objetos Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Directiva auditoría Determinar si se debe auditar el acceso a un objeto (archivo – carpeta – impresora, etc.) Valor: Erróneo Auditar el cambio de directivas Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Directiva auditoría Determinar si se deben auditar los cambios en las directivas de asignación de derechos de usuario. Valor: Correcto /erróneo Auditar sucesos del sistema Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Directiva auditoría Determinar si se debe auditar cuando un usuario a reiniciado o apagado el equipo , o si se ha producido un suceso que afecte la seguridad del sistema Valor: Erróneo Texto del mensaje para los usuarios que intentan iniciar una sesión. Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Directivas locales- Opciones de seguridad Mensaje personalizado que se muestra al iniciar sesión Valor: “ TEXTO” Tamaño máximo del registro de aplicaciones Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Indica el tamaño de registro de sucesos de aplicaciones. Valor : 2 Mb Tamaño máximo del registro de seguridad Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Indica el tamaño de registro de sucesos de seguridad. Valor : 2 Mb Tamaño máximo del registro de sistema Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Indica el tamaño de registro de sucesos de sistema. Valor : 2 Mb Configuración de registro de sucesos Conservar el registro de aplicaciones Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Determina el número de días que se guardaran los sucesos en el registro de aplicaciones Valor: 30 días Conservar el registro de seguridad Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Determina el número de días que se guardaran los sucesos en el registro de seguridad Valor: 30 días Conservar el registro de sistema Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Determina el número de días que se guardaran los sucesos en el registro de sistema Valor: 30 días Método de retención del registro de aplicación Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Determina el método de ajuste de registro de aplicaciones Valor: Sobrescribir sucesos solo cuando sea necesario Método de retención del registro de seguridad Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Determina el método de ajuste de registro de seguridad Valor: Sobrescribir sucesos solo cuando sea seguridad Método de retención del registro de sistema Configuraci ón del Equipo Configuración de Windows- Configuración de seguridad- Registro de sucesos- Configuración de registro de sucesos Determina el método de ajuste de registro de sistema Valor: Sobrescribir sucesos solo cuando sea sistema Escritorio Remoto Configuraci ón del Equipo Planillas Administrativas - Componentes de Windows - 1. Permitir que los usuarios se conecten de forma remota mediante Servicios de Escritorio remoto 1. Habilitado Servicios de Escritorio remoto - Host de sesión de Escritorio Remoto - Conexiones Papel tapiz Configuraci ón del Usuario Planillas Administrativas - Escritorio - Active Desktop 1. Tapiz del escritorio 1. Habilitado Internet Explorer Deshabilitar la página principal Configuraci ón de usuario Plantilla administrativa- Componentes de Windows-Internet Explorer Quita la ficha general de la interfaz de opciones de internet Valor : Deshabilitad o Deshabilitar la página seguridad Configuraci ón de usuario Plantilla administrativa- Componentes de Windows-Internet Explorer Quita la ficha seguridad de la interfaz de opciones de internet Valor : Deshabilitad o Deshabilitar la página contenido Configuraci ón de usuario Plantilla administrativa- Componentes de Windows-Internet Explorer Quita la ficha contenido de la interfaz de opciones de internet Valor : Deshabilitad o Deshabilitar la página conexiones Configuraci ón de usuario Plantilla administrativa- Componentes de Quita la ficha conexiones de la interfaz de opciones de internet Valor : Deshabilitad o Windows-Internet Explorer Deshabilitar la página programas Configuraci ón de usuario Plantilla administrativa- Componentes de Windows-Internet Explorer Quita la ficha programas de la interfaz de opciones de internet Valor : Deshabilitad o Deshabilitar la página privacidad Configuraci ón de usuario Plantilla administrativa- Componentes de Windows-Internet Explorer Quita la ficha privacidad de la interfaz de opciones de internet Valor : Habilitado Deshabilitar la página opciones avanzadas Configuraci ón de usuario Plantilla administrativa- Componentes de Windows-Internet Explorer Quita la ficha opciones avanzadas de la interfaz de opciones de internet Valor : Habilitado Impedir instalación desde cualquier medio extraíble Configuraci ón del Equipo Plantilla administrativa- Componentes de Windows- Instalador de Windows Impide que los usuarios instalen programas desde medios extraíbles Valor : Habilitado Impedir Acceso al Panel de Control Configuraci ón del Equipo Planillas Administrativas - Panel de control 1. Prohibir el acceso al Panel de control 1. Habilitado Eliminar función agregar o Configuraci ón de usuario Plantilla administrativa- Panel de control- Quita la ficha agregar o quitar programas Valor : Deshabilitad o quitar programas Agregar o quitar programas Impedir el acceso al símbolo del sistema Configuraci ón de usuario Plantilla administrativa- Sistema Impide el acceso al cmd Valor : Deshabilitad o Impedir el acceso al Regedit Configuraci ón de usuario Plantilla administrativa- Sistema Deshabilita las herramientas de edición de registro de Windows Valor : Deshabilitad o Ocultar ficha red Configuraci ón de usuario Plantilla administrativa - Componentes de Windows- Reproductor de Windows Media- Redes Deshabilita la dicha red Valor : Habilitado Controlador de dominio Configuració n del Equipo Configuraci ón de Windows- Configuraci ón de seguridad- Directivas de cuenta- Directiva de bloqueo de cuenta 1. Aplicar restricciones de inicio de sesión de usuario 2. Tolerancia máxima para la sincronización de los relojes de los equipos 3. Vigencia máxima de renovación de 1. Habilitado 2. 5 Minutos 3. -- 4. 7 días 5. 600 minutos controlador de dominiovales de usuario 4. Vigencia máxima del vale de servicio 5. Vigencia máxima del vale de usuario Fuente: Elaboración propia APLICAR DIRECTIVAS DE GRUPO LOCAL Para aplicar Restricciones en el equipo se deberá cargar el gestor de restricciones de Windows llamado gpedit.msc, dando la combinación de teclas Windows + R aparecerá la opción para llamar la opción. Imagen 4: Ejecución del comando gpedit.msc Fuente: Elaboración propia Imagen 5: Ventana gpedit Fuente: Elaboración propia Luego de acceder al gpedit se habilitaron varias directivas de grupo para mejorar la seguridad de los sistemas operativos, dentro de cuales se destacan las siguientes: Impedir acceso a las unidades desde Mi PC Ingresamos a la siguiente ruta en el gestor de directivas - Configuración de Usuario / Plantillas Administrativas / Componentes de Windows/Explorador de Windows / Impedir acceso a las unidades desde Mi PC Imagen 6: Impedir acceso a unidades Fuente: Elaboración propia En la opción “Elegir una de las siguientes combinaciones” Se seleccionan las unidades a las que se impedirá el acceso, dando en el botón aceptar para finalizar. Ocultar estas unidades especificadas en Mi PC Configuración de Usuario / Plantillas Administrativas / Componentes de Windows/Explorador de Windows / Ocultar estas unidades especificadas en Mi PC Imagen 7: Ocultar unidades específicas Fuente: Elaboración propia Oculta el elemento Administrar del menú contextual del Explorador de Windows Configuración de Usuario / Plantillas Administrativas / Componentes de Windows/Explorador de Windows / Oculta el elemento Administrar del menú contextual del Explorador de Windows. Imagen 8: Ocultar admón. menú contextual Fuente: Elaboración propia Ocultar y deshabilitar todos los elementos del escritorio Configuración de Usuario / Plantillas Administrativas / Escritorio / Ocultar y deshabilitar todos los elementos del escritorio. Imagen 9: Ocultar elementos en el escritorio Fuente: Elaboración propia Prohibir el acceso al Panel de control Configuración de Usuario / Plantillas Administrativas / Panel de Control / Prohibir el acceso al Panel de control. Imagen 10: Impedir el acceso al panel de control Fuente: Elaboración propia Igualmente como insumo general utilizaremos la herramienta de gestión de seguridad Microsoft Security Compliance Manager Imagen 11: Microsoft Security Compliance Manager Fuente: Elaboración propia 3. Documentación e implementación de firewalls a nivel de hardware y software para la red de datos. A continuación se detallan las características del software que será utilizado como firewall a nivel de software COMPONENTES Safe Money Protege el acceso del usuario a sitios web de bancos y sistemas de pago asegurándose de que se está realizando en un entorno seguro. Este activara una ventana con contorno verde al momento de realizar alguna transacción. Se deshabilito en todos los equipos ya que no todos necesitan realizar pagos. Consola de administración La consola de administración es un servicio que posee Kaspersky en él se pueden observar todos los equipos de la red y realizar opciones como apagar el firewall o el filtro WEB. Se enlazaron algunos dispositivos a la consola, varios presentaron problemas debido al asesor de contenidos. Administración de contraseñas Es una aplicación extra que se puede descargar de manera gratuita, la cual guarda las contraseñas de todos los programas, páginas y servicios del equipo. No se implementó ya que se está pensando en implementar una herramienta similar de un tercero. Cifrado de Datos Crea un almacén de datos que queda protegido mediante contraseña, en el cual se pueden agregar los documentos y carpetas con información sensible, los documentos se protegen mediante cifrado AES 256 y 56 bits. Copia de seguridad y restauración Crea una copia de seguridad de los archivos seleccionados para protegerlos en caso de daño o robo del equipo, se pueden almacenar tanto en un disco extraíble como en la nube. No se implementó su uso debido a que ya se tiene un sistema de copias de seguridad. Administración de políticas web (control parental) Hace las veces de controlador de contenido web en cada computador, controlando acceso a internet, a paginas seguras, redes sociales, descargas, etc. Por ahora se puede implementar, pero no se ha hecho debido a que se tiene ya un sistema de proxy en el firewall perimetral. Actualización de software Ayuda a actualizar las aplicaciones del equipo para evitar infecciones, avisa que aplicaciones están pendientes de actualización. Se desactivo debido a que el administrador debe de ser quien realice las actualizaciones. Limpiador de software Se detectan programas en el equipo que cuenten con una instalación o eliminación no estándar, que apenas se utilicen o que se categoricen como software de publicidad. Esta herramienta elimina estos programas. Se puede ejecutar el limpiador de software en cualquier momento. Protección de privacidad Protege contra el uso no autorizado de la cámara web y de la recopilación de datos personales en páginas web. Esta activado en todos los equipos. Protección por nube Se conecta el servidor en línea de Kaspersky para examinar las vulnerabilidades y riesgos que se registran en tiempo real. Se deshabilitó para evitar el consumo incrementado del ancho de banda. Teclado en pantalla Reemplaza el teclado físico del equipo por uno que se puede acceder por medio del mouse, herramienta útil para evitar keyloggers, se puede usar cada que el usuario lo requiera. Análisis de vulnerabilidades Examina el equipo en busca de vulnerabilidades para de esta manera evitar amenazas y ataques a la red y al equipo. Configuración del navegador Realiza un análisis de Internet Explorer y recomienda correcciones en la configuración de este. Limpiador de datos personales Realiza un análisis de los datos personales registrados en los navegadores, la cache y las cookies y las elimina si así lo desea el usuario. Triturador de archivos Elimina archivos de forma segura en bajo nivel para evitar que sean recuperados sin autorización, está disponible para cuando el usuario lo requiera. Limpiador de datos sin usar Elimina los datos no usados como por ejemplo archivos temporales o registros innecesarios. Se puede usar según lo requiera el usuario. Solución de problemas de Windows Busca parámetros dañados e irregulares causados al sistema operativo por la actividad de software malicioso. Se puede ejecutar según lo requiera el usuario. File Antivirus Analiza todos los archivos abiertos, guardados o en ejecución en busca de virus y malware. Esta activado y en operación Web antivirus Analiza el tráfico web entrante y evita la ejecución de scripts peligrosos en el equipo, además de comprobar si los sitios tienen software malicioso o herramientas de phishing. Esta activado y en operación. Control de aplicaciones Supervisa la actividad de todas las aplicaciones instaladas en el sistema operativo. Se pueden administrar las aplicaciones para permitir o bloquear su uso por medio de sistema operativo. Está disponible para su uso según lo requiera el administrador. Firewall Filtra toda la actividad de red para garantizar la seguridad en las redes locales e internet, esta herramienta toma el poder del firewall de Windows, permitiendo crear y administrar reglas según lo requiera el administrador. Existen dos maneras de administrar el firewall, por reglas de paquetes, en el cual se crean y administran reglas para permitir o denegar el tráfico en la red a través de los puertos especificados en la regla. Por reglas de aplicaciones, que examina el tráfico querealiza una explicación específica y la permite o la deniega según lo requiera el administrador. Esta es una herramienta que complementa la tarea ya realizada por el firewall perimetral instalado en la empresa. Navegación privada Protege contra la recopilación de información sobre la actividad en sitios web. Evita que páginas como agencias publicitarias o balizas web, así como de redes sociales. Actualmente se encuentra activado en los dispositivos, pero solo a manera de conteo no de bloqueo. Protección de la cámara web Evita el espionaje a través de la cámara web. Esta activado en todos los equipos a modo de notificación cuando una aplicación permitida solicite el uso de esta. Anti-banner Bloquea banners en los sitios web y aplicaciones. Este se encuentra deshabilitado para evitar que entre en conflicto con el servidor proxy del firewall perimetral. Bloqueador de ataques de red Protege al equipo frente a ataques y actividad de red peligrosos. Permite bloquear la dirección del atacante durante el tiempo que se especifique. Está configurado en los equipos a 60 minutos de bloqueo. Vigía proactiva Supervisa y deshace las acciones de software malicioso. Realiza las acciones necesarias para responder ante las acciones del software malicioso. Esta activo actualmente en todos los equipos y en su configuración de acciones estándar. Antivirus para chat Analiza los mensajes de mensajería instantánea entrantes y salientes en busca de vínculos maliciosos fraudulentos. Activado en todos los computadores. Antivirus de correo Analiza los mensajes entrantes y salientes en busca de objetos maliciosos. Esta activado en todos los equipos para analizar correos entrantes. Anti-spam Filtra el correo electrónico no deseado examinando si contiene elementos fraudulentos, direcciones maliciosas, si esto se comprueba, agrega una etiqueta al asunto del correo, para que el usuario tenga cuidado al verificar este correo. Esta desactivado en estos momentos, a la espera de la autorización para su actividad. Administrador de aplicaciones Ayuda a gestionar las aplicaciones instaladas en el equipo y las instalaciones que se realizaran en el equipo, también revisa si alguna aplicación va a realizar cambios en el sistema operativo, en la red o en el navegador. Activado en todos los equipos. Aquí se llega a la conclusión que se desea adquirir el software Kaspersky. Entre las funcionalidades que ofrece el programa se encuentran: Tabla 2: Herramientas de Kaspersky firewall Fuente: Elaboración propia 4. Configuración de los equipos activos de la red teniendo en cuenta buenas prácticas de seguridad Figura 12: Topologia de red Fuente: Elaboración propia MARCACION DE EQUIPOS HOSTNAME Todos los equipos deberán tener el patrón de marcación COLE_CIUDAD(3 LETRAS)_PISOXX, para los SWITCH se debe anteponer el SW_COLE_ CIUDAD(3 LETRAS)_PISOXX Ejemplo para la sede de la Oficina Principal de la ciudad de Manizales Router>enable Router#configure terminal Router(config)#hostname COLE_MZL_PISO01 COLE_MZL_PISO01(config)# Switch>enable Switch#configure terminal Switch(config)#hostname SW_COLE_MZL_PISO01 SW_COLE_MZL_PISO01 (config)# CONFIGURACION DE CREDECIALES DE INGRESO COLE_MZL_PISO01# COLE_MZL_PISO01#configure terminal COLE_MZL_PISO01(config)#username administrador password c0l3c4f3 COLE_MZL_PISO01(config)#enable secret c4f3c0l3 COLE_MZL_PISO01(config)#service password-encryption COLE_MZL_PISO01(config)#exit COLE_MZL_PISO01#write COLE_MZL_PISO01# CONFIGURACION DE VLANS EN CADA SWITCH Definir las VLAN´s implementadas SW_COLE_MZL_PISO01 (config)#! SW_COLE_MZL_PISO01 (config)#interface Vlan30 SW_COLE_MZL_PISO01 (config)# description --LAN CABLEADA— SW_COLE_MZL_PISO01 (config)# no ip address SW_COLE_MZL_PISO01 (config)#! SW_COLE_MZL_PISO01 (config)#interface Vlan40 SW_COLE_MZL_PISO01 (config)# description --LAN INALAMBRICA— SW_COLE_MZL_PISO01 (config)# no ip address ! Asignar los puertos a cada VLAN SW_COLE_MZL_PISO01 (config)#! SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/1 SW_COLE_MZL_PISO01 (config)# switchport access vlan 30 SW_COLE_MZL_PISO01 (config)#! SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/2 SW_COLE_MZL_PISO01 (config)# switchport access vlan 30 SW_COLE_MZL_PISO01 (config)#! SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/3 SW_COLE_MZL_PISO01 (config)# switchport access vlan 40 SW_COLE_MZL_PISO01 (config)#! SW_COLE_MZL_PISO01 (config)#interface FastEthernet0/4 SW_COLE_MZL_PISO01 (config)# switchport access vlan 40 SW_COLE_MZL_PISO01 (config)#! Implementación de Subredes Hemos diseñado una red basadas en direccionamiento a través de subredes que nos permitirán la interconexión entre las diferentes áreas y sedes, para ello se definió la siguiente segmentación pensada en la actualidad y futuro crecimiento. Figura 13: Esquema de direccionamiento IP Piso Estaciones de trabajo Servidores Total por Piso Vlans Cantidad Total Equipos Direccion de Red Mascara Broadcast Primera IP Valida para host Ultima IP Valida para host 1 45 2 47 2 58 2 60 3 35 2 37 4 25 2 27 VLAN 40 171 192.168.3.0 255.255.255.0 200 Wireless 192.168.4.0 255.255.255.0 192.168.3.1 192.168.3.254 192.168.4.1 192.168.4.254 Manizales 192.168.3.255 192.168.4.255 VLAN 30 Piso Estaciones de Trabajo Servidores Total por Piso Vlans Cantidad Total Equipos Direccion de Red Mascara Broadcast Primera IP Valida para host Ultima IP Valida para host 1 80 4 84 VLAN 10 84 192.168.1.0 255.255.255.128 192.168.1.127 192.168.1.1 192.168.1.126 2 45 1 46 3 50 3 53 4 34 2 36 5 60 10 70 Armenia 192.168.2.1 192.168.2.254192.168.2.255VLAN 20 205 192.168.2.0 255.255.255.0 Piso Estaciones de trabajo Servidores Total por Piso Vlans Cantidad Total Equipos Direccion de Red Mascara Broadcast Primera IP Valida para host Ultima IP Valida para host 1 100 5 105 2 60 10 70 3 50 5 55 230 192.168.5.0 255.255.255.0VLAN 50 Pereira 192.168.5.1 192.168.5.254192.168.5.255 Fuente: Elaboración propia CONFIGURACION GENERAL DE EQUIPOS Configuracion de Router Sede Manizales COLE_MZL_PISO01#show startup-config Using 6227 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname COLE_MZL_PISO01 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! no ip cef no ipv6 cef ! Piso Estaciones de trabajo Servidores Total por Piso Vlans Cantidad Total Equipos Direccion de Red Mascara Broadcast Primera IP Valida para host Ultima IP Valida para host 1 80 1 81 2 80 2 82 3 80 3 83 Futuro 80 4 84 Futuro 80 5 85 VLAN 60 415 192.168.6.0 255.255.254.0 192.168.6.1 192.168.7.254 Cartago 192.168.7.255 WAN No. Sede Origen Sede Destino Ip´s Validas Necesarias Direccion de Red Mascara Broadcast Primera IP Valida para host Ultima IP Valida para host 1 Armenia Manizales 2 10.10.10.0 255.255.255.252 10.10.10.3 10.10.10.1 10.10.10.2 2 Manizales Cartago 2 10.10.10.4 255.255.255.252 10.10.10.7 10.10.10.5 10.10.10.6 3 Cartago Pereira 2 10.10.10.8 255.255.255.252 10.10.10.11 10.10.10.9 10.10.10.10 4 Pereira Armenia 2 10.10.10.12 255.255.255.252 10.10.10.15 10.10.10.13 10.10.10.14 WAN username administrador privilege 15 password 7 08221C425A1A511141 username cisco password 7 0822455D0A16 ! license udi pid CISCO2911/K9 sn FTX1524V1T3 ! spanning-tree mode pvst ! interface GigabitEthernet0/0 ip address 10.10.10.2 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 10.10.10.5 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/2 no ip address duplex auto speed auto ! interface GigabitEthernet0/2.30 encapsulation dot1Q 30 ip address192.168.3.1 255.255.255.0 ! interface GigabitEthernet0/2.40 encapsulation dot1Q 40 ip address 192.168.4.1 255.255.255.0 ! interface Vlan1 no ip address shutdown ! router ospf 1 log-adjacency-changes network 10.10.10.0 0.0.0.3 area 1 network 10.10.10.4 0.0.0.3 area 1 network 192.168.3.0 0.0.0.255 area 1 network 192.168.4.0 0.0.0.255 area 1 ! ip classless ! ip flow-export version 9 ! no cdp run Configuración Switch Sede Manizales SW_COLE_MZL_PISO01#show startup-config Using 6908 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption ! hostname SW_COLE_MZL_PISO01 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username administrador privilege 1 password 7 08221C425A1A511141 username cisco privilege 1 password 7 0822455D0A16 ! spanning-tree mode pvst spanning-tree extend system-id ! interface FastEthernet0/1 switchport access vlan 30 ! interface FastEthernet0/2 switchport access vlan 30 ! interface FastEthernet0/3 switchport access vlan 30 ! interface FastEthernet0/4 switchport access vlan 30 ! interface FastEthernet0/5 switchport access vlan 30 ! interface FastEthernet0/6 switchport access vlan 30 ! interface FastEthernet0/7 switchport access vlan 30 ! interface FastEthernet0/8 switchport access vlan 30 ! interface FastEthernet0/9 switchport access vlan 30 ! interface FastEthernet0/10 switchport access vlan 30 ! interface FastEthernet0/11 switchport access vlan 30 ! interface FastEthernet0/12 switchport access vlan 30 ! interface FastEthernet0/13 switchport access vlan 30 ! interface FastEthernet0/14 switchport access vlan 30 ! interface FastEthernet0/15 switchport access vlan 30 ! interface FastEthernet0/16 switchport access vlan 30 ! interface FastEthernet0/17 switchport access vlan 30 ! interface FastEthernet0/18 switchport access vlan 30 ! interface FastEthernet0/19 switchport access vlan 30 ! interface FastEthernet0/20 switchport access vlan 30 ! interface FastEthernet0/21 switchport access vlan 30 ! interface FastEthernet0/22 switchport access vlan 30 ! interface FastEthernet0/23 switchport access vlan 40 ! interface FastEthernet0/24 switchport access vlan 40 ! interface GigabitEthernet0/1 switchport mode trunk ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! interface Vlan30 description --LAN CABLEADA-- mac-address 00e0.f73b.c301 no ip address ! interface Vlan40 description --LAN INALAMBRICA-- mac-address 00e0.f73b.c302 no ip address ! line con 0 password 7 0822455D0A16 login ! line vty 0 4 password 7 0822455D0A16 login line vty 5 15 login ! ! ! end SW_COLE_MZL_PISO01# Configuración e implementación de firewall ASAv9.4 con ASDMv7.5 Imagen 14: Esquema Firewall a nivel de hardware Fuente: Elaboración propia -Configuración Inicial ASAPRINCIPAL Asa(Config)# Hostname Asaprincipal Asaprincipal(Config)#Domain-Name Sena.Com Asaprincipal(Config)#Enabled Password Sena12345 Asaprincipal(Config)#username cisco password cisco Asaprincipal(Config)#Clock Set Hh:Mm:Ss Dia Mes Año -Configuración inside Asaprincipal(Config)#Interface Ethernet 0/1 Asaprincipal(Config-If)#Nameif inside Asaprincipal(Config-If)#Ip Address 192.168.1.1 255.255.255.0 Asaprincipal(Config-If)# Security-level 100 Asaprincipal(Config-If)# Exit -Configuración outside Asaprincipal(Config)#Interface Ethernet 0/0 Asaprincipal(Config-If)#Nameif outside Asaprincipal(Config-If)#Ip Address 209.165.200.226 255.255.255.248 Asaprincipal(Config-If)# Security-level 0 Asaprincipal(Config-If)# Exit -Configuración DMZ Asaprincipal(Config)#Interface Ethernet 0/2 Asaprincipal(Config-If)#Nameif dmz Asaprincipal(Config-If)#Ip Address 192.168.2.1 255.255.255.0 Asaprincipal(Config-If)# Security-level 50 Asaprincipal(Config-If)# Exit -Configuración management Asaprincipal(Config)#Interface Ethernet 0/3 Asaprincipal(Config-If)#Nameif management Asaprincipal(Config-If)#Ip Address 192.168.3.1 255.255.255.0 Asaprincipal(Config-If)# Security-level 90 Asaprincipal(Config-If)# Exit -Habilitar conexión remota por SSH Asaprincipal(Config)# aaa authentication ssh console local -Generar llaves criptográficas SSH Asaprincipal(Config)# crypto key generate rsa modulus 1024 -Permitir acceso SSH al dispositivo por la red 192.168.3.0/24 desde la interfaz “management” Asaprincipal(Config)# ssh 192.168.3.0.255.255.255.0 management -Permitir el acceso para el ASDM, se necesita transmitir el binario del ASDM al ASA a través de un servidor tftp instalado en el PC de administración (management) y esperar hasta que el procedimiento de transferencia termine Asaprincipal(Config)# copy tftp flash Address or name of remote host [ ]?192.168.3.2 Source filename [ ]? asdm-751-112.bin -Habilitar el acceso del ASDM al ASA Asaprincipal(Config)# asdm image flash:/asdm-751-112.bin -Habilitar el servicio HTTP para que sólo tenga acceso en la interfaz management Asaprincipal(Config)# http server enable Asaprincipal(Config)# http 192.168.3.0 255.255.255.0 management -Probar conexión al ASA por medio de SSH con Putty Imagen 15: Conexión de ASA con putty Fuente: Elaboración propia -Acceder desde un navegador desde la subred “management” a la dirección https://192.168.3.1 y ejecutar el ASDM y seguir los pasos correspondientes -Ejecutar el Cisco ASDM-IDM Launcher Imagen 16: GUI de administración del ASA Fuente: Elaboración propia -Configuración Enrutamiento, Nat Y Políticas De Inspección En El ASAPRINCIPAL, Ruta Por Defecto Hacia Outside Asaprincipal(Config)#Route Outside 0.0.0.0 0.0.0.0 209.165.200.225 -Configurar Un Objeto Tipo De Subnet Desde Inside Hacia Outside Asaprincipal(Config)#Object Network Inside-Out Asaprincipal(Config-Network-Object)#Subnet 192.168.1.0 255.255.255.0 Asaprincipal(Config-Network-Object)#Nat (Inside,Outside) Dynamic Interface -Configurar Los Class-Map Y Los Pólices-Map Asaprincipal(Config)# Class-Map Outside-Inside Asaprincipal(Config-Cmap)#Match Default-Inspection-Trafic Asaprincipal(Config-Cmap)#Exit Asaprincipal(Config)#Policy-Map Outside-Inside Asaprincipal(Config-Pmap)#Class Outside-Inside Asaprincipal(Config-Pmap-C)#Inspect Icmp Asaprincipal(Config-Pmap-C)#Exit Asaprincipal(Config)#Service-Policy Outside-Inside Global -Configurar La Zona Desmilitarizada Y Todos Sus Parámetros De Seguridad Asaprincipal(Config)#Interface Vlan 3 Asaprincipal(Config-If)#No Forward Interface Vlan 1 Asaprincipal(Config-If)#Nameif Dmz Asaprincipal(Config-If)#Ip Address 192.168.2.1 255.255.255.0 Asaprincipal(Config-If)#Security-Level 70 Asaprincipal(Config-If)# Exit Asaprincipal(Config-)#Interface Ethernet 0/2 Asaprincipal(Config-If)#Switchport Access Vlan 3 Asaprincipal(Config)#Exit Asaprincipal(Config)#Exit Asaprincipal#Show Switch Vlan Asaprincipal#Show Interface Ip Brief Asaprincipal# Show Ip Address -Crear Los Objetos Tipo Host Para Comunicar La Dmz Con El Inside Asaprincipal(Config)#Object Network Dmz-Server Asaprincipal(Config-Network-Object)#Host 192.168.2.3 Asaprincipal(Config-Network-Object)#Nat (Dmz,outside) Static 209.165.200.227 -Crear La Lista De Acceso Y El Grupo De Acceso Que Permita Comunicar Dmz Y Outside Asaprincipal(Config)#Access-List Outside-Dmz Permit Icmp Any Host 192.168.2.3 Asaprincipal(Config)#Access-List Outside-Dmz Permit Tcp Any Host 192.168.2.3 Eq 80 Asaprincipal(Config)#Access-Group Outside-Dmz In Interface Outside Imagen 17: Configuración de interfaces desde GUI - ASA Fuente: Elaboración propia 5. Estrategiade seguridad en la red con base en Normas internacionales y políticas de la organización. IMPLEMENTACION DE CONTROLES A continuación, se desarrollarán las implementaciones para el tratamiento de los riesgos identificados a través de los controles elegidos en la etapa de análisis. Los controles a implementar en el piloto de prueba se realizaron de acuerdo a los recursos disponibles en el ambiente de pruebas y a los grupos de trabajo los cuales fueron asignados por el instructor en este caso se asignaron los siguientes temas endurecimiento de equipos clientes, firewall perimetral y endurecimiento de Windows server. Hardening del host: Políticas gpedit Amenaza identificada: Como se identificó en la etapa de análisis de riesgo no se puede desconocer la importancia de algunos equipos correspondientes a puestos de trabajo con tareas de misión crítica, los cuales no cuentan con implementaciones que fortalezcan su seguridad a través de políticas del sistema operativo. Objetivo: Fortalecer la seguridad del sistema operativo a través de aplicación de políticas gpedit, minimizando funcionalidades innecesarias que puedan generar privilegios o accesos a configuraciones que puedan generar riesgos. Control implementado: Se procedió a instalar en un ambiente de simulación un equipo cliente con sistema operativo Windows 7 profesional y en este se aplicaron políticas a través de la herramienta gpedit.msc Ventajas: Disminuir acceso a herramientas que puedan ocasionar desconfiguración o acceso privilegiado al sistema operativo. Desventajas: La implementación es host a host dejando de ser práctico y volviéndose dispendioso en redes donde haya muchos equipos de cómputo. Imagen 18: Implementación de políticas gpedit Fuente: Elaboración propia Hardening del host: Antivirus y Firewall Amenaza identificada: Los equipos cliente no cuentan con un software reconocido antimalware que los protejan de ataques sofisticados, aunque si se tienen versiones de programas gratuitos que no cumplen con todas las funcionalidades con las que si cuentan las soluciones de pago. Objetivo: Realizar la instalación y configuración del software antimalware que incluye las funcionalidades de antivirus, firewall de host y otras funcionalidades importantes para el endureciendo del sistema el sistema operativo cliente. Control implementado: Se procedió a instalar el software y a configurarlo según las necesidades del cliente en los equipos previamente identificados como críticos. Ventajas: Disminución de riesgo a ser infectado por malware y a tener accesos no autorizados al equipo Desventajas: La implementación es host a host dejando de ser practico y volviéndose dispendioso en redes donde haya muchos equipos de cómputo. La solución a esto es el manejo a través de la consola de administración. Imagen 19: Implementación software antimalware Fuente: Elaboración propia Firewall perimetral Amenaza identificada: La red perimetral no cuenta con protección ante ataques y accesos no autorizados. Objetivo: Implementar un firewall perimetral para evitar ataques y accesos no autorizados a la red LAN y a la red DMZ. Control implementado: Endurecimiento de la red LAN y la red DMZ a través de la implementación de un firewall perimetral de software open source pfSense el cual tiene adicionalmente otras funcionalidades como por ejemplo IDS/IPS, servidor web proxy, entre otras. Ventajas: Disminución de riesgo a ser accedido sin autorización a través de puertos lógicos. Las funcionalidades adicionales que trae el firewall en su implementación de IDS/IPS, servidor proxy web. Desventajas: Sin llegar a ser una desventaja realmente se considera que la administración y gestión de este dispositivo lleva más tiempo para que la red llegue a estar funcional, se debe estar atento a las alerta y logs del sistema ya que si no se revisan eventualmente estos registros no sabremos que ajustes hay que aplicar para que el firewall sea eficiente para lo que se adquirió. Imagen 20: Resumen de reglas Implementadas en el firewall Perimetral Fuente: Elaboración propia Windows server Amenaza identificada: No se dispone actualmente de un servidor de contingencia para el caso en que se llegue a dañar el principal. De igual forma, la administración de los equipos se realiza de forma individual lo que dificulta y hace menos eficiente la administración de los dispositivos y del tiempo. Objetivo: Implementar un servidor de contingencia y en este realizar la instalación de un controlador de dominio, un arreglo de discos y un sistema de copia y restauración de respaldo. Control implementado: Se realizó la instalación y configuración del sistema operativo Windows Server 2012, la activación del active directory, arreglo de discos en array 1 y la configuración del sistema de backup. Esta implementación se realizó tanto en simulación como en entorno de producción. Ventajas: Contar con un servidor alterno en caso de presentarse una falla temporal o total del servidor principal. De igual forma contar con un controlador de dominio que facilite las tareas administrativas para aplicar de manera rápida configuraciones de seguridad en los equipos host. Desventajas: Sin llegar a ser una desventaja realmente, se considera que la administración y gestión de este dispositivo servidor lleva más tiempo. Seguridad inalámbrica Amenaza identificada: No se cuenta con una directiva claramente establecida para la configuración e implementación de dispositivos inalámbricos. Objetivo: Realizar la configuración segura de los dispositivos router y access point. Control implementado: Se procede a realizar la configuración segura tanto del router como del access point. Ventajas: Suelen ser más baratas. Suelen instalarse más fácilmente. Facilidad de uso. Estar basada en estándares y contar con certificación Escalabilidad Desventajas: Todavía no hay estudios certeros sobre la peligrosidad (o no) de las radiaciones utilizadas en las redes inalámbricas. Pueden llegar a ser más inseguras, ya que cualquiera cerca podría acceder a la red inalámbrica. De todas maneras, se les puede agregar la suficiente seguridad como para que sea difícil hackearlas. Existen obstáculos en el camino de Wi-Fi. Menor velocidad en comparación a una conexión cableada Imagen 21: Implementación de seguridad inalámbrica Fuente: Elaboración propia VLANs Amenaza identificada: No tener la red segmentada representa un peligro de accesos no autorizados a información almacenada o información en tránsito. Objetivo: Realizar la segmentación de la red a través de VLANs para evitar incidentes de seguridad. Control implementado: Se realizó la simulación de una segmentación de la red LAN a través del programa Packet Tracer en donde se implementó la creación de 2 VLANs. Ventajas: Seguridad: los grupos que tienen datos sensibles se separan del resto de la red, lo que disminuye las posibilidades de que ocurran violaciones de información confidencial. Mejor rendimiento: a causa de la división de una red en redes VLAN, se reduce la cantidad de dispositivos en el dominio de difusión. Mayor administración del área de T.I.: se facilita el manejo de la red. Reducción de costos: las implementaciones se realizan de forma lógica y no física lo que conlleva a una reducción de costos Desventajas: Se vuelve un poco complejo el tema de crear varias VLANs si todas ellas deben hacer uso de varios servicios de red que están instalados en una red DMZ o incluso en la red LAN principal Imagen 22: Implementación de VLANs Fuente: Elaboración propia DEFINICION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Objetivo: El objetivo del plan de continuidad
Compartir