prev
next
out of 19

IT1_Cap16

Embed Size (px)

Citation preview

  • 8/6/2019 IT1_Cap16

    1/19

    Captulo 16: Conceptos avanzados sobre seguridad

    Introduccin del captulo

    16.1 16.1 Creacin de un esquema de los requisitos de seguridad segn las necesidades del cliente16.1.1 Creacin de una poltica de seguridad local16.1.2 Explicacin de cundo y cmo usar el hardware de seguridad16.1.3 Explicacin de cundo y cmo usar el software de seguridad de aplicaciones

    16.2 16.2 Seleccin de los componentes de seguridad segn las necesidades del cliente16.2.1 Descripcin y comparacin de tcnicas de seguridad16.2.2 Descripcin y comparacin de dispositivos de control de acceso16.2.3 Descripcin y comparacin de los distintos tipos de firewall

    16.3 16.3 Implementacin de una poltica de seguridad del cliente16.3.1 Configuracin de los parmetros de seguridad16.3.2 Descripcin de la configuracin de los distintos tipos de firewall16.3.3 Descripcin de la proteccin contra software malicioso

    16.4 16.4 Realizacin del mantenimiento preventivo de la seguridad16.4.1 Descripcin de la configuracin de actualizaciones del sistema operativo16.4.2 Mantenimiento de cuentas16.4.3 Explicacin de los procedimientos de creacin de copias de seguridad de datos, acceso a ellas y

    medios de copia de seguridad fsicos seguros

    16.5 16.5 Resolucin de problemas de seguridad

    16.5.1 Revisin del proceso de resolucin de problemas16.5.2 Identificacin de problemas y soluciones comunes16.5.3 Aplicacin de las habilidades de resolucin de problemas

    Resumendel captulo

    16.0 Introduccin

    Este captulo analiza los tipos de ataques que amenazan la seguridad de las computadoras y losdatos que stas contienen. Un tcnico es responsable de la seguridad de los datos y lascomputadoras de una organizacin. El captulo describe cmo trabajar con los clientes paragarantizar la instalacin de la mejor proteccin posible.

    Los riesgos para las computadoras y los equipos en red provienen de fuentes tanto internas comoexternas. Entre ellos se incluyen amenazas fsicas, tales como robo de los equipos o dao de stos,y amenazas sobre los datos, tales como prdida o corrupcin de datos.

    Al completar este captulo, alcanzar los siguientes objetivos:

    Crear un esquema de los requisitos de seguridadsegn las necesidades del cliente.

    Seleccionar los componentes de seguridad

    segn las necesidades del cliente. Implementar una poltica de seguridad del

    cliente. Realizar el mantenimiento preventivo de la

    seguridad. Solucionar problemas de seguridad.

    16.1 Creacin de un esquema de los requisitos de

    seguridad segn las necesidades del cliente

    39

    Cap 16

    http://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_0_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_6_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_6_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_0_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_1_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_2_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_3_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_4_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_0/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_1/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_2/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_5_3/index.htmlhttp://e/leca/IT%20Essentials/essentials_1/es_ITEPC_v40/ch16/16_6_0/index.html

  • 8/6/2019 IT1_Cap16

    2/19

    Una organizacin debe luchar para alcanzar la mejor y ms accesible proteccin de seguridadcontra la prdida de datos o el dao de software y equipos. Los tcnicos de redes y la gerencia de laorganizacin deben trabajar en conjunto para elaborar una poltica de seguridad que asegure quelos datos y equipos estn protegidos contra todas las amenazas contra la seguridad. Una poltica deseguridad incluye un plan integral sobre el nivel de seguridad necesario y la manera en que sepretende lograr esta seguridad.

    Es posible que deba participar en la elaboracin de una poltica de seguridad para un cliente o unaorganizacin. Al crear una poltica de seguridad, debe realizar las siguientes preguntas paradeterminar los factores de seguridad:

    La computadora se encuentra en un domicilio particular o en una empresa?En general, las computadoras domsticas son ms vulnerables a la intrusin inalmbrica quelas computadoras de las empresas. Las computadoras de las empresas estn ms expuestasa amenazas de intrusin en la red, debido a que los usuarios abusan de los privilegios deacceso.

    Hay acceso a Internet de tiempo completo?Cuanto ms est expuesta una computadora a Internet, mayor es la probabilidad de ataquesdesde otras computadoras infectadas. Una computadora con acceso a Internet debe incluir

    soluciones firewall y antivirus.

    La computadora es de tipo porttil?La seguridad fsica es un problema de las computadoras porttiles. Existen medidas paraasegurar las computadoras porttiles; por ejemplo, candados de cable.

    Al completar esta seccin, alcanzar los siguientes objetivos:

    Crear una poltica de seguridad local. Explicar cundo y cmo usar el hardware de seguridad. Explicar cundo y cmo usar el software de seguridad de aplicaciones.

    16.1.1 Creacin de una poltica de seguridad local

    Una poltica de seguridad es un conjunto de reglas, pautas y listas de verificacin. Los tcnicos yadministradores de redes de una organizacin trabajan en conjunto para establecer las reglas ypautas de las necesidades de seguridad de las computadoras. Una poltica de seguridad incluye lossiguientes elementos:

    Define un plan sobre el uso aceptable de computadoras en una organizacin. Identifica a las personas autorizadas para usar las computadoras de una organizacin. Identifica los dispositivos cuya instalacin est permitida en una red y tambin las

    condiciones de la instalacin. Los mdems y los puntos de acceso inalmbricos son ejemplosde herramientas de hardware que podran exponer la red a ataques.

    Define los requisitos necesarios para que los datos de una red sean confidenciales. Determina un proceso para que los empleados obtengan acceso a equipos y datos. Este

    proceso puede exigir que el empleado firme un acuerdo en relacin con las reglas de lacompaa. Tambin enumera las consecuencias de los incumplimientos.

    La poltica de seguridad tambin debe proveer informacin detallada sobre los siguientes temas encaso de emergencia:

    Ante una brecha de seguridad, es necesario: Saber a quin contactar ante una emergencia.

    40

    Cap 16

  • 8/6/2019 IT1_Cap16

    3/19

    Saber qu informacin se puede compartir con los clientes, los proveedores y los medios decomunicacin.

    Saber qu ubicaciones secundarias se deben utilizar en una evacuacin. Saber qu medidas tomar despus que ha pasado la emergencia, incluida la prioridad de los

    servicios que se deben restaurar.

    PRECAUCIN: Una poltica de seguridad debe ser implementada y cumplida por todos losempleados para que sea eficaz.

    Hoja de trabajo / Poltica de seguridad / Contribuir a una poltica de seguridad

    16.1.2 Explicacin de cundo y cmo usar el hardware de seguridad

    La poltica de seguridad debe identificar el hardware y los equiposque pueden usarse para prevenir robos, sabotaje y prdida dedatos. Existen cuatro aspectos interrelacionados con la seguridadfsica, que son el acceso, los datos, la infraestructura y lacomputadora, como ilustra la Figura 1.

    Restrinja el acceso a las instalaciones mediante:

    Barreras de seguridad Hardware de seguridad

    Proteja la infraestructura de red, como el cableado, los equipos detelecomunicacin y los dispositivos de red mediante:

    Seguridad en las salas de telecomunicaciones Deteccin inalmbrica de puntos de acceso no autorizados Firewalls de hardware Sistema de administracin de redes que detecte los cambios en el cableado y los paneles de

    conexin

    Proteja las computadoras individuales mediante:

    Candados de cable Candados de seguridad para estaciones de acoplamiento de computadoras porttiles Chasis que se puedan bloquear Jaulas de seguridad para los chasis de escritorio

    Proteja los datos mediante hardware que impida el acceso no autorizado o el robo de medios:

    Portadoras HD que se puedan bloquear Almacenamiento y transporte seguro de los medios de copias de seguridad Llaves de seguridad USB

    Los factores de seguridad apropiados

    Los factores que determinan los equipos de seguridad msefectivos que deben utilizarse para asegurar equipos ydatos incluyen:

    Qu uso se dar a los equipos? Dnde est ubicada la computadora? Qu acceso de usuario a los datos se requiere?

    41

    Cap 16

  • 8/6/2019 IT1_Cap16

    4/19

    Por ejemplo, una computadora en un lugar pblico concurrido, como una biblioteca, requiere unaproteccin adicional contra robos y sabotaje. En un centro de llamadas concurrido, es posible queun servidor deba mantenerse en una sala de equipos cerrada.

    En caso de que sea necesario usar una computadora porttil en un lugar pblico, una llave deseguridad, como se muestra en la Figura 2, asegurar que el sistema se bloquee si el usuario sealeja de la computadora porttil.

    16.1.3 Explicacin de cundo y cmo usar el software de seguridad de aplicaciones

    Las aplicaciones de seguridad protegen el sistema operativo y los datos de aplicaciones desoftware.

    Los siguientes productos y aplicaciones de software pueden usarse para proteger los dispositivos dered:

    Firewall de software: es una herramienta incorporada de Windows XP que filtra los datosentrantes.

    Sistemas de deteccin de intrusos (IDS, Intrusion Detection Systems): controla einforma los cambios en cdigos de programa y la actividad de red inusual.

    Parches de aplicaciones y del sistema operativo: actualizan las aplicaciones y el sistemaoperativo para reparar los aspectos vulnerables de seguridad que se descubren.

    Existen varias aplicaciones de software disponibles para proteger las computadoras contra elacceso no autorizado por medio de un cdigo electrnico malicioso:

    Proteccin contra virus Proteccin contra spyware Proteccin contra adware Proteccin contra grayware

    En oficinas pequeas y hogares, las computadoras, por lo general, se conectan directamente aInternet en lugar de hacerlo a travs de una LAN protegida como en las grandes organizaciones.Esto expone las computadoras sin LAN a un gran riesgo de virus y otros ataques. Como mnimo,estas computadoras deben usar antivirus y programas de proteccin contra malware. El software delas aplicaciones y el sistema operativo deben actualizarse con los parches ms recientes. Tambinse recomienda usar un firewall de software.

    La poltica de seguridad debe determinar el nivel de seguridad de las aplicaciones. Cada medidaque incrementa la proteccin implica un costo. Al establecer una poltica, la administracin debeconsiderar el costo de la prdida de datos con el gasto de proteccin de seguridad y determinar cul

    es equilibrio aceptable.

    16.2 Seleccin de los componentes de seguridad segn las necesidades del cliente42

    Cap 16

  • 8/6/2019 IT1_Cap16

    5/19

    La poltica de seguridad ayuda a los clientes a seleccionar los componentes de seguridadnecesarios para proteger los equipos y los datos. Si no existe una poltica de seguridad, debediscutir los asuntos de seguridad con el cliente.

    Utilice su experiencia como tcnico e investigue los productos de seguridad vigentes en el mercadocuando seleccione los componentes de seguridad para ste. El objetivo es brindar el sistema deseguridad que mejor se adapte a las necesidades del cliente.

    Al completar esta seccin, alcanzar los siguientes objetivos:

    Describir y comparar tcnicas de seguridad. Describir y comparar dispositivos de control de acceso. Describir y comparar los distintos tipos de firewall.

    16.2.1 Descripcin y comparacin de tcnicas de seguridad

    Un tcnico debe determinar las tcnicas apropiadas para proteger los equipos y datos del cliente.Segn la situacin, es posible que se necesite ms de una tcnica.

    Contraseas

    Utilizar informacin de conexin encriptada y segura para las computadoras con acceso de red debeser un requisito mnimo en toda organizacin. El software malicioso controla la red y puede registrarcontraseas de texto simple. Si las contraseas estn encriptadas, los atacantes tendrn quedecodificar la encriptacin para conocer las contraseas.

    Registro y auditora

    Deben activarse la auditora y el registro de eventos para controlar la actividad en la red. Eladministrador de red audita el archivo de registro de eventos para investigar el acceso a la red deusuarios no autorizados.

    Configuraciones inalmbricas

    Las conexiones inalmbricas son especialmente vulnerables al acceso de atacantes. La conexin declientes con tecnologa inalmbrica debe configurarse para encriptar los datos.

    EncriptacinLas tecnologas de encriptacin de datos se utilizan para codificar los datos que se transmiten en lared. Cada tecnologa se utiliza para un propsito especfico:

    Codificacin hash: la codificacin hash o hashing asegura que no se corrompan ni seadulteren los mensajes durante la transmisin. El hashing usa una funcin matemtica paracrear un valor numrico que es exclusivo de los datos. Si se cambia aunque sea un carcter,el resultado de la funcin, llamado message digest, no es el mismo. Sin embargo, la funcines unidireccional. Conocer el message digest no permite que un atacante vuelva a crear elmensaje. Esto dificulta que alguien intercepte y cambie los mensajes. En la Figura 1, seilustra la codificacin hash. Los nombres de los algoritmos de hashing ms populares sonSHA y MD5.

    43

    Cap 16

  • 8/6/2019 IT1_Cap16

    6/19

    Encriptacin simtrica: la encriptacin simtrica requiere ambos aspectos de unaconversacin encriptada para usar una clave de encriptacin con el fin de poder codificar ydecodificar los datos. El emisor y el receptor deben utilizar claves idnticas. En la Figura 2, seilustra la encriptacin simtrica.

    Encriptacin asimtrica: laencriptacin asimtricarequiere dos claves, una privada y una pblica. Se requiere una clave privada para escribir unmensaje y una clave pblica para decodificarlo. La ventaja de la encriptacin asimtrica esque slo la clave privada debe ser confidencial. Las claves pblicas pueden distribuirseabiertamente por correo electrnico o pueden publicarse en la Web. En la Figura 3, se ilustra

    la encriptacin asimtrica.

    44

    Cap 16

  • 8/6/2019 IT1_Cap16

    7/19

    Red privada virtual (VPN): una red privada virtual utiliza la encriptacin para proteger losdatos como si se transmitiesen por medio de una LAN privada de una empresa, aunque losdatos en realidad se envan a travs de cualquier red, por ejemplo, Internet. Los canalesprotegidos de datos que comunican distintos puntos de la VPN se denominan "tnelesseguros". El proceso se ilustra en la Figura 4.

    16.2.2 Descripcin y comparacin de dispositivos decontrol de acceso

    La computadora y los datos pueden protegerse con tcnicas

    de proteccin superpuesta para prevenir el acceso noautorizado a los datos confidenciales. Un ejemplo deproteccin superpuesta es usar dos tcnicas diferentes para

    45

    Cap 16

  • 8/6/2019 IT1_Cap16

    8/19

    proteger un mismo recurso. Esto se conoce como seguridad de doble factor, como muestra la Figura1. Al elegir un programa de seguridad, se debe considerar el costo de la implementacin con el valorde los datos o equipos que se protegern.

    Seguridad fsica

    Use un hardware de seguridad para ayudar a prevenir las brechas en la seguridad y la prdida dedatos o equipos. Las medidas de control de acceso para la seguridad fsica incluyen:

    Traba: es el dispositivo ms comn para proteger reas fsicas. Si se pierde una clave, todaslas trabas de claves idnticas deben cambiarse.

    Conducto: armazn que protege los medios de la infraestructura contra los daos y elacceso no autorizado.

    Tarjeta magntica: herramienta usada para proteger reas fsicas. Si se pierde una tarjetamagntica o si la roban, slo debe desactivarse la tarjeta perdida. El sistema de tarjetasmagnticas es ms costoso que las trabas de seguridad.

    Equipo de vdeo: graba imgenes y audio para la actividad de monitoreo. Se deben controlarlos datos grabados para detectar posibles problemas.

    Personal de seguridad: controla la entrada a las instalaciones y supervisa las actividadesrealizadas dentro de stas.

    Deben instalarse equipos de red en reas protegidas. Todo el cableado debe estar contenido enconductos o debe pasar por dentro de las paredes para prevenir el acceso no autorizado o laadulteracin. Deben deshabilitarse las tomas de red en desuso. Si hay equipos de red daados oque hayan sido robados, es posible que algunos usuarios de red tengan denegado el servicio.

    La poltica de seguridad debe especificar el nivel de seguridad requerido para la organizacin. Losdispositivos biomtricos, que miden la informacin fsica de un usuario, son ideales para el uso enreas altamente seguras. Sin embargo, para la mayora de las organizaciones pequeas, este tipo

    de solucin no es viable.

    Datos de seguridad

    Puede proteger los datos con dispositivos de seguridad que autentican el acceso de los empleados.La identificacin de doble factor es un mtodo que se emplea para incrementar la seguridad. Paraacceder a los datos, los empleados deben usar una contrasea y un dispositivo de seguridad dedatos similar a los que se mencionan aqu:

    Tarjeta inteligente: dispositivo que tiene la capacidad de almacenar datos de manerasegura. La memoria interna es un chip de circuito integrado (ICC) incorporado que se conecta

    a un lector, ya sea directamente o a travs de una conexin inalmbrica. Las tarjetasinteligentes se utilizan en muchas aplicaciones universales, como credenciales deidentificacin de seguridad, dispositivos de autenticacin en lnea y pagos seguros contarjetas de crdito.

    Llavero transmisor de seguridad: dispositivo pequeo similar a un llavero. Tiene unsistema de radio pequeo y de corto alcance que se comunica con la computadora. Eldispositivo es muy pequeo, de modo que se pueda sujetar a un llavero. La computadoradebe detectar la seal del llavero transmisor antes de aceptar un nombre de usuario y unacontrasea.

    Dispositivo biomtrico: identifica una caracterstica fsica del usuario, como huellas digitales

    o patrones del iris. Al usuario se le otorga acceso si estas caractersticas coinciden con lasregistradas en la base de datos y si suministra la informacin correcta de inicio de sesin.

    46

    Cap 16

  • 8/6/2019 IT1_Cap16

    9/19

    El nivel de seguridad que el cliente necesita determina los dispositivos que se deben seleccionarpara proteger los datos y los equipos.

    16.2.3 Descripcin y comparacin de los distintos tipos de firewall

    Los firewalls de hardware y software protegen los datos y equipos de una red contra el acceso noautorizado. Adems de un software de seguridad, debe usarse un firewall.

    Los firewalls de hardware y software tienen varios modos de filtrar el trfico de datos de la red:

    Filtro de paquete: conjunto de reglas que autorizan o deniegan el trfico en funcin decriterios como direcciones IP, protocolos y puertos utilizados.

    Firewall del proxy: firewall que inspecciona todo el trfico y autoriza o deniega paquetes enfuncin de las reglas configuradas. Un proxy puede actuar como una gateway que protege lascomputadoras dentro de la red.

    Inspeccin de paquetes de estado: firewall que mantiene un registro del estado de lasconexiones de red que se transmiten a travs del firewall. No se autoriza a atravesar elfirewall a los paquetes que no forman parte de una conexin conocida.

    Firewall de hardware

    Un firewall de hardware es un componente de filtrado fsico que inspecciona los paquetes de datosde la red antes de que lleguen a las computadoras y otros dispositivos de la red. A menudo, losfirewalls de hardware se instalan en los routers. Un firewall de hardware es una unidadindependiente que no usa los recursos de las computadoras que protege, de modo que no afecta elrendimiento del procesamiento.

    Firewall de software

    Un firewall de software es una aplicacin instalada en una computadora que inspecciona y filtra lospaquetes de datos. El firewall de Windows es un ejemplo de un firewall de software que se incluye

    en el sistema operativo Windows. Un firewall de software utiliza los recursos de la computadora, loque da como resultado un rendimiento inferior para el usuario.

    Tenga en cuenta los elementos enumerados en la figura al seleccionar un firewall.

    47

    Cap 16

  • 8/6/2019 IT1_Cap16

    10/19

    NOTA: En una red segura, si el rendimiento de la computadora no es un problema, se debe habilitarel firewall del sistema operativo para obtener una proteccin adicional. Es posible que algunasaplicaciones no funcionen de manera adecuada, a menos que el firewall est correctamenteconfigurado para dichas aplicaciones.

    Hoja de trabajo / Firewalls / Investigar firewalls de hardware y software

    16.3 Implementacin de una poltica de seguridad del cliente

    Agregar capas de seguridad en una red puede hacer ms segura la red, pero las capas adicionales

    de proteccin son costosas. Debe considerar el valor de los datos y equipos que desea proteger conel costo de proteccin al implementar la poltica de seguridad del cliente.

    Al completar esta seccin, alcanzar los siguientes objetivos:

    Configurar los parmetros de seguridad. Describir la configuracin de los distintos tipos de firewall. Describir la proteccin contra software malicioso.

    16.3.1 Configuracin de los parmetros de seguridad

    Dos aspectos en los que comnmente se cometen errores de seguridad son los permisos de accesoa carpetas y archivos y la configuracin de la seguridad inalmbrica.

    Niveles de permiso de carpetas y archivos

    Los niveles de permiso se configuran para restringir el acceso de usuarios individuales o grupales adatos especficos. Las FAT y el NTFS permiten a los usuarios que cuentan con acceso a la redcompartir carpetas y obtener permisos de acceso a carpetas. En la Figura 1, se muestran lospermisos de carpetas. El NTFS proporciona la seguridad adicional de permisos de archivos. En laFigura 2, se muestran los permisos de archivos.

    48

    Cap 16

  • 8/6/2019 IT1_Cap16

    11/19

    Configuracin de seguridad inalmbrica

    Las siguientes herramientas, que se muestran en la Figura 3, se usan para configurar la seguridadinalmbrica:

    Privacidad equivalente por cable (WEP): encripta los datos de broadcast entre el punto deacceso inalmbrico y el cliente con una clave de encriptacin de 64 bits o 128 bits. La Figura

    4 muestra la configuracin de WEP. Acceso Wi-Fi protegido (WPA): ofrece una mejor encriptacin y autenticacin que la WEP. Filtrado de direcciones MAC: restringe el acceso de la computadora a un punto de acceso

    inalmbrico para prevenir que un usuario casual acceda a la red. El filtrado de direccionesMAC, como muestra la Figura 5, es vulnerable cuando se usa solo y debe combinarse conotro filtrado de seguridad.

    Broadcasting del identificador de conjunto de servicios (SSID): el SSID inalmbricotransmite por broadcast la identidad de la red. Desactivar el SSID hace que parezca que lared desaparece, pero sta es una medida poco confiable de seguridad de red inalmbrica.

    Antenas inalmbricas: el patrn de ganancia y seal de la antena conectada a un punto deacceso inalmbrico puede incidir en el lugar donde se recibe la seal. Para evitar transmitirseales fuera del rea de red, instale una antena con un patrn que ofrezca cobertura a losusuarios de su red.

    49

    Cap 16

  • 8/6/2019 IT1_Cap16

    12/19

    16.3.2 Descripcin de la configuracin de los distintos tipos de firewall

    Un firewall impide selectivamente que los usuarios externos establezcan conexiones con unacomputadora o con un segmento de red. Los firewalls generalmente trabajan abriendo y cerrandolos puertos que utilizan las diferentes aplicaciones. Al abrir slo los puertos requeridos en un firewall,se implementa una poltica de seguridad restrictiva. Se deniega todo paquete que no estexplcitamente permitido. En cambio, una poltica de seguridad permisiva permite el acceso a travsde todos los puertos, excepto aquellos explcitamente denegados. En una ocasin, se envisoftware y hardware con todos los parmetros configurados como permisivos. Dado que muchosusuarios no configuraron los equipos, los parmetros permisivos por defecto dejaron muchosdispositivos expuestos a atacantes. La mayora de los dispositivos ahora se envan con parmetros

    lo ms restrictivos posibles, sin dejar de permitir una fcil instalacin.

    Firewall de software

    Por lo general, los firewalls de software corresponden a una aplicacin de software que se ejecutaen la computadora que protegen, o bien, forman parte del sistema operativo. Existen varios firewallsde software de otros fabricantes. Adems, como muestra la Figura 1, Windows XP cuenta con unfirewall de software incorporado.

    La configuracin del firewall de Windows XP puede completarse de dos maneras:

    Automticamente: Aparece un mensaje en el cual el usuario debe seleccionar entre lasopciones "Mantener el bloqueo", "Desbloquear" o "Preguntarme ms tarde" para todos lospedidos no solicitados. Estas solicitudes pueden provenir de aplicaciones legtimas que nofueron configuradas previamente, o bien, de un virus o gusano que ha infectado el sistema.

    Administrar los parmetros de seguridad: El usuario agrega manualmente el programa olos puertos que se requieren para las aplicaciones en uso en la red.

    Para agregar un programa, seleccione:

    Inicio > Panel de control > Centro de seguridad > Firewall de Windows > Excepciones >Agregar programa.

    50

    Cap 16

  • 8/6/2019 IT1_Cap16

    13/19

    Para desactivar el firewall, seleccione:

    Inicio > Panel de control > Centro de seguridad > Firewall de Windows.

    Prctica de laboratorio / Firewall de Windows XP / Configurar un firewall de Windows XP

    16.3.3 Descripcin de la proteccin contra software malicioso

    El malware es un software malicioso que se instala en una computadora sin el conocimiento ni elpermiso del usuario. Ciertos tipos de malware, tales como el spyware y los ataques de suplantacinde identidad, recogen datos sobre el usuario que un atacante puede usar para obtener informacinconfidencial.

    Debe ejecutar programas de anlisis de virus y spyware para detectar y limpiar el software nodeseado. Muchos navegadores ahora vienen equipados con herramientas y configuracionesespeciales que impiden el funcionamiento de varios tipos de software malicioso. Es posible que serequieran varios programas diferentes y anlisis mltiples para eliminar completamente todo elsoftware malicioso:

    Proteccin contra virus: los programas antivirus normalmente se ejecutan de manera

    automtica en un segundo plano y controlan posibles problemas. Cuando se detecta un virus,se advierte al usuario, y el programa intenta poner en cuarentena o eliminar el virus. Proteccin contra spyware: los programas antispyware buscan registradores de digitacin y

    otros tipos de malware a fin de eliminarlos de la computadora. Proteccin contra adware: los programas antiadware buscan programas que exhiben avisos

    publicitarios en la computadora. Proteccin contra suplantacin de identidad: los programas que protegen contra la

    suplantacin de identidad bloquean las direcciones IP de sitios Web de suplantacin deidentidad conocidos y advierten al usuario sobre sitios Web sospechosos.

    Una forma peligrosa de software malicioso que incorpora elementos de ingeniera social es el

    ataque de suplantacin de identidad.

    NOTA: El software malicioso puede incorporarse en el sistema operativo. Existen herramientas deeliminacin especiales que ofrecen los fabricantes de sistemas operativos para limpiar el sistemaoperativo.

    16.4 Realizacin del mantenimiento preventivo de la seguridad

    Se requieren varias tareas de mantenimiento para garantizar que la proteccin sea efectiva. Estaseccin describe la manera de maximizar la proteccin realizando actualizaciones, copias de

    seguridad y reconfiguraciones de los sistemas operativos, las cuentas de usuario y los datos.

    Al completar esta seccin, alcanzar los siguientes objetivos:

    Describir la configuracin de las actualizaciones del sistema operativo. Realizar mantenimiento de cuentas. Explicar los procedimientos de creacin de copias de seguridad de datos, el acceso a ellas y

    los medios de copia de seguridad fsicos seguros.

    16.4.1 Descripcin de la configuracin de actualizaciones del sistema operativo

    Un sistema operativo es un objetivo probable de ataque, ya que al obtener el control de dichosistema, es posible controlar la computadora. Entonces, la computadora afectada puede ser

    51

    Cap 16

  • 8/6/2019 IT1_Cap16

    14/19

    capturada y manejada por criminales. Una prctica comn consiste en convertir las computadorasinfectadas en generadores de correo electrnico no deseado que enven correos electrnicosnocivos sin que el usuario pueda detenerlos. Una computadora infectada de esta manera sedenomina computadora "zombi".

    Windows XP descarga e instala actualizaciones automticas del sistema operativo por defecto. Sinembargo, quizs sta no sea la mejor manera de actualizar los sistemas. Las actualizacionespueden entrar en conflicto con la poltica deseguridad de una organizacin o con otrosparmetros de configuracin de unacomputadora. Adems, es posible que unadministrador desee evaluar lasactualizaciones antes de que se distribuyana todas las computadoras de la red. Lassiguientes opciones disponibles enWindows XP le proporcionan al usuario lacapacidad de controlar cundo se actualizael software:

    Actualizacin automtica: descarga e instala las actualizaciones automticamente sin la

    intervencin del usuario. Slo descargar las actualizaciones: descarga las actualizaciones automticamente, pero se

    requiere que el usuario las instale. Notificarme: notifica al usuario que hay actualizaciones disponibles y brinda la opcin de

    descarga e instalacin. Desactivar actualizaciones automticas: impide cualquier tipo de bsqueda de

    actualizaciones.

    Si el usuario cuenta con una red de acceso telefnico, la instalacin de Windows Update debeconfigurarse para notificar al usuario sobre las actualizaciones disponibles, o bien, debedesactivarse. Es posible que el usuario con conexin de acceso telefnico desee controlar la

    actualizacin y seleccione el horario en que sta no interrumpa otra actividad de red ni utilice losrecursos limitados disponibles.

    16.4.2 Mantenimiento de cuentas

    Es posible que los empleados de una organizacin requieran distintos niveles de acceso a los datos.Por ejemplo, quizs, un administrador y un contador sean los nicos empleados de unaorganizacin que tengan acceso a los archivos de la nmina de sueldos.

    Es posible agrupar a los empleados segn los requisitos laborales y concederles acceso a archivosde acuerdo con los permisos del grupo. Este proceso ayuda a administrar el acceso a la red por

    parte de los empleados. Pueden configurarse cuentas temporales para los empleados que necesitanacceso por poco tiempo. Una administracin adecuada del acceso a la red puede ayudar a reducirlas reas de vulnerabilidad que permiten que un virus o un software malicioso se introduzca en lared.

    Suspensin del acceso de un empleado

    Cuando un empleado abandona una organizacin, debe concluirse de inmediato el acceso a losdatos y al hardware de la red. Si el empleado anterior almacen archivos en un espacio personal delservidor, desactive la cuenta para eliminar el acceso. Si despus de un tiempo el reemplazante delempleado requiere acceso a las aplicaciones y al espacio de almacenamiento, vuelva a habilitar lacuenta y cambie el nombre por el del nuevo empleado.

    52

    Cap 16

  • 8/6/2019 IT1_Cap16

    15/19

    Cuentas de invitados

    Es posible que los empleados interinos y los invitados necesiten tener acceso a la red. Por ejemplo,quizs muchos visitantes necesiten tener acceso al correo electrnico, a Internet y a una impresorade red. Todos estos recursos pueden estar disponibles para una cuenta especial llamada Invitado.Cuando los visitantes estn presentes, se les puede asignar una cuenta de invitado. Cuado no hayvisitantes presentes, se puede suspender la cuenta hasta que el llegue un nuevo visitante.

    Es posible que algunas cuentas de visitante requieran un acceso extensivo a los recursos, como enel caso de un consultor o un auditor financiero. Este tipo de acceso debe otorgarse slo para elperodo requerido para completar el trabajo.

    16.4.3 Explicacin de los procedimientos de creacin de copias de seguridad de datos,acceso a ellas y medios de copia de seguridad fsicos seguros

    Una copia de seguridad de datos almacena una copia de la informacin de una computadora en unmedio de copia de seguridad extrable que puede guardarse en un lugar seguro. Si el hardware dela computadora falla, se puede restaurar la copia de seguridad de datos para que el proceso puedacontinuar.

    Las copias de seguridad de datos deben realizarse a diario. La copia de seguridad de datos msreciente generalmente se almacena fuera del sitio de trabajo para proteger el medio de copia deseguridad por si algo sucede con la instalacin principal. Los medios de copia de seguridad amenudo se reutilizan para ahorrar dinero. Siempre siga las pautas de rotacin de medios de cadaorganizacin.

    Las operaciones de creacin de copias de seguridad pueden realizarse en la lnea de comandos odesde un archivo de lote mediante el comando NTBACKUP. Los parmetros por defecto para unNTBACKUP sern los establecidos en la utilidad de seguridad de Windows. Todas las opciones quedesee sobrescribir deben incluirse en la lnea de comando. El comando NTBACKUP no se puedeutilizar para restaurar archivos.

    Una combinacin de tipos de copias de seguridad, como muestra la Figura 1, permite que serealicen eficazmente copias de seguridad de los datos. Una copia de seguridad completa es unacopia de todos los archivos de la unidad. Una copia de seguridad incremental realiza copias de losarchivos creados y modificados desde la ltima copia de seguridad normal o incremental. Indica losarchivos que se han realizado copias de seguridad. Una copia de seguridad diferencial copia losarchivos creados o cambiados desde la ltima copia de seguridad normal o incremental, pero noindica qu archivos se han realizado copias de seguridad. Hacer copias de seguridad de los datospuede tomar tiempo; por lo tanto, es preferible realizar las copias de seguridad cuando el trfico dela red es bajo. Otros tipos de copias de seguridad incluyen la copia de seguridad diaria y la copia deseguridad simple, las cuales no indican los archivos que se han realizado copias de seguridad.

    El medio de copia de seguridad de datos es tan importante como los datos en la computadora. Debealmacenar el medio de copia de seguridad en una instalacin de almacenamiento fuera del sitio detrabajo, con temperatura controlada y con la seguridad fsica adecuada. Las copias de seguridaddeben estar disponibles de inmediato para el acceso en caso de una emergencia.

    53

    Cap 16

  • 8/6/2019 IT1_Cap16

    16/19

    16.5 Resolucin de problemas de seguridad

    El proceso de resolucin de problemas se usa para resolver problemas de seguridad. Estosproblemas van desde los simples, como crear una copia de seguridad, hasta los ms complejos,como la configuracin del firewall. Siga los pasos para la resolucin de problemas a modo de guapara poder diagnosticar y reparar problemas.

    Al completar esta seccin, alcanzar los siguientes objetivos:

    Revisar el proceso de resolucin de problemas. Identificar problemas y soluciones comunes. Aplicar las habilidades de resolucin de problemas.

    16.5.1 Revisin del proceso de resolucin de problemasLos tcnicos en computacin deben ser capaces de analizar las amenazas contra la seguridad ydeterminar qu mtodo corresponde utilizar para proteger los activos y reparar los daos. Esteproceso se denomina resolucin de problemas.

    El primer paso en el proceso de resolucin de problemas es reunir los datos del cliente. Recordarlas preguntas abiertas y cerradas para formular al cliente.

    54

    Cap 16

  • 8/6/2019 IT1_Cap16

    17/19

    Una vez que haya hablado con el cliente, deber verificar las cuestiones obvias.

    Una vez que las cuestiones obvias se hayanverificado, pruebe con algunas solucionesrpidas..

    Si las soluciones rpidas no permiten resolver elproblema, deber reunir datos de lacomputadora.

    En este momento, tendr la informacinnecesaria para evaluar el problema, buscar eimplementar las soluciones posibles..

    Una vez solucionado el problema, concluir con elcliente.

    55

    Cap 16

  • 8/6/2019 IT1_Cap16

    18/19

    16.5.2 Identificacin de problemas y soluciones comunes

    Los problemas de seguridad en la computadora pueden atribuirse a problemas de hardware,software o redes, o bien a una combinacin de los tres. Usted resolver algunos tipos de problemasde seguridad con ms frecuencia que otros. La Figura presenta una tabla de los problemas deseguridad comunes y las soluciones.

    16.5.3 Aplicacin de las habilidades de resolucin de problemas

    Ahora que conoce el proceso de resolucin de problemas, es momento de aplicar su habilidad paraescuchar y diagnosticar.

    La primera prctica de laboratorio est diseada para reforzar sus habilidades con los problemas deseguridad. Deber indicarle al cliente la manera de corregir un problema de seguridad que impide laconexin a la red inalmbrica.

    La segunda prctica de laboratorio est diseada para reforzar sus habilidades de comunicacin yresolucin de problemas. En esta prctica de laboratorio, realizar los siguientes pasos:

    Recibir la orden de trabajo.

    Acompaar al cliente en los diferentes pasos para evaluar y resolver el problema. Documentar el problema y la solucin.

    56

    Cap 16

  • 8/6/2019 IT1_Cap16

    19/19


Keyboard Shortcuts for the Opera Browser for Mac OS X

Keyboard Shortcuts for the Opera Browser for Mac OS X

Documents
European Colinization of Latin America

European Colinization of Latin America

Documents
Explore The Levels of Creation

Explore The Levels of Creation

Documents
Bodybuilding - The Rock Hard Challenge (Month 1 Training)

Bodybuilding - The Rock Hard Challenge (Month 1 Training)

Documents
Chapter-01

Chapter-01

Documents
Star Wars Trivia!

Star Wars Trivia!

Documents
Who Killed God

Who Killed God

Documents
Compressing And Decompressing Folders

Compressing And Decompressing Folders

Documents
Barclays1

Barclays1

Documents
Minne hävisivät soneran rahat

Minne hävisivät soneran rahat

Documents
The Dutch Republic In International Trade

The Dutch Republic In International Trade

Documents
Aesops Fables

Aesops Fables

Documents
Fortran

Fortran

Documents
(Tesla) - The Tesla Magnetic Car Engine

(Tesla) - The Tesla Magnetic Car Engine

Documents
Cakes Recipes

Cakes Recipes

Documents
Acetone Peroxide

Acetone Peroxide

Documents
Star Wars Prequel Trilogy Trivia (Episodes I-III)

Star Wars Prequel Trilogy Trivia (Episodes I-III)

Documents
xCDC14a

xCDC14a

Documents
Chapter 23

Chapter 23

Documents
Plato - Symposium

Plato - Symposium

Documents
Venture Capital

Venture Capital

Documents
United States Constitution

United States Constitution

Documents
18 Tricks to Teach Your Body

18 Tricks to Teach Your Body

Documents
Jan Van Eyck and the Man In A Red Turban

Jan Van Eyck and the Man In A Red Turban

Documents
Puntuación PAEF,s

Puntuación PAEF,s

Documents
Effective Parenting: Establishing Boundaries

Effective Parenting: Establishing Boundaries

Documents
Algorithms

Algorithms

Documents
Steve Jobs' Commencement Speech at Stanford

Steve Jobs' Commencement Speech at Stanford

Documents
Basic Buffer Overflows Explained

Basic Buffer Overflows Explained

Documents
Oedipus The King: The Ideal Tragic Play

Oedipus The King: The Ideal Tragic Play

Documents