You are on page 1of 18

Universidad Politécnica Salesiana Carrera Ingeniería Sistemas Telemática Informe del Diseño de Red de FULLDATA S.A.

Leonardo Yánez Darwin Jiménez Octavo “A” Diseño de Redes
Introducción: Se conocerá el estado actual de la red, como se encuentra configurada, etc. Y se dará una propuesta de diseño para FULLDATA S.A. Una red consiste en un medio de transmisión compartido y un conjunto de software y hardware para servir de interfaz entre dispositivos y el medio y

regular el orden de acceso al mismo, lo que se desea lograr con estas redes es velocidades de transmisión de datos altas en distancias relativamente cortas. Al implementar una red, varios conceptos claves se presentan por sí mismos. Uno es la elección del medio de transmisión, los cuales pueden ser par trenzado, coaxial, fibra óptica o medios inalámbricos. Otro problema de diseño es como realizar el control de acceso, con un medio compartido resulta necesario algún mecanismo para regular el acceso al medio de forma eficiente y rápida. Los dos esquemas más comunes son CSMA/CD tipo Ethernet y anillo con paso de testigo. El control de acceso al medio a su vez está relacionado con la topología que adopte la red, siendo las más usadas el anillo, la estrella y el bus. De esta manera podemos decir que los aspectos tecnológicos principales que determinan la naturaleza de una red son: • Topología • Medio de transmisión

Problema General: Dada la inspección en FULLDATA S.A. se determino que la red llegara a ser obsoleta debido a un posible cambio de instalaciones de la empresa.

Problemas Específicos:


Problemas con la certificación del cableado estructurado de la red. Problemas con las seguridades de acceso a la red interna mediante dispositivos WIRELESS.

Posibles Soluciones a los problemas mencionados anteriormente.

Certificación del cableado estructurado de la red

Existe la necesidad de conocer el estado actual de los medios físicos que transportan la información de su empresa y lograr determinar si esta infraestructura de cableado le ofrece las necesidades requeridas para la operación de los sistemas soportados por el cableado estructurado. El servicio de certificación de redes de cableado estructurado y de fibra óptica, comprende la medición de los parámetros de propagación del medio físico (cable UTP o fibra óptica). Estas mediciones se realizan con equipos certificados para cada una de las mediciones, para conocer el estado actual y si éste se encuentra en condiciones óptimas para la transmisión de datos de acuerdo a los estándares de cada uno de estos medios. Los resultados de las mediciones efectuadas, se entregan en un informe impreso, que contiene el nivel de certificación en el cual se encuentra la instalación y las respectivas recomendaciones. Objetivos del Servicio • Determinar la confiabilidad de la infraestructura de cableado que soporta la operación de la red y los sistemas de información de su empresa. Conocer el estado actual y determinar hasta donde puede soportar su cableado estructurado para obtener el mayor aprovechamiento de su infraestructura de cableado. Como resultado del servicio se elaborará un completo informe de cada uno de los puntos de red UTP y de los enlaces de fibra óptica con su respectivo nivel de certificación, donde se detalla el diagnóstico de los problemas encontrados en toda la instalación de cableado estructurado y fibra óptica y un conjunto de recomendaciones correctiva

Seguridad de acceso a la red interna mediante dispositivos WIRELESS

Infraestructura adaptada Lo primero que hay que hacer cuando se instala una red inalámbrica es ubicar el punto de acceso en un lugar razonable dependiendo del área de cobertura que se desee. Sin embargo, es común que el área cubierta sea más grande que lo deseado. En este caso es posible reducir la solidez del terminal de acceso para que su rango de transmisión concuerde con el área de cobertura.

Cómo evitar el uso de valores predeterminados Cuando se instala un punto de acceso por primera vez, se configura con ciertos valores predeterminados, inclusive la contraseña del administrador. Muchos administradores principiantes suponen que como la red ya está funcionando, no tiene sentido cambiar la configuración del punto de acceso. Sin embargo, las configuraciones predeterminadas brindan sólo un nivel de seguridad mínimo. Por esta razón, es vital registrarse en la interfaz de administración (casi siempre a través de una interfaz Web o al usar un puerto en particular en el terminal de acceso) para establecer especialmente una contraseña administrativa. Además, para conectarse a un punto de acceso es necesario conocer el identificador de red (SSID). Por ello se recomienda cambiar el nombre predeterminado de la red y desactivar la transmisión del nombre en la red. Cambiar el identificador de red predeterminado es muy importante, ya que de lo contrario puede brindarles a los hackers información sobre la marca o el modelo del punto de acceso que se está usando.

Filtrado de Direcciones MAC Todo adaptador de red (término genérico de la tarjeta de red) tiene su propia dirección física (que se denomina dirección MAC). Esta dirección está representada por 12 dígitos en formato hexadecimal divida en grupos de dos dígitos separados por guiones. Las interfaces de configuración de los puntos de acceso les permiten, por lo general, mantener una lista de permisos de acceso (llamada ACL; Lista de control de acceso) que se basa en las direcciones MAC de los dispositivos autorizados para conectarse a la red inalámbrica. Esta precaución algo restrictiva le permite a la red limitar el acceso a un número dado de equipos. Sin embargo, esto no soluciona el problema de la seguridad en las transferencias de datos. WEP – Privacidad equivalente al cableado Para solucionar los problemas de seguridad de transferencia en redes inalámbricas, el estándar 802.11 incluye un sencillo mecanismo de cifrado llamado WEP (Privacidad equivalente al cableado). WEP es un protocolo de cifrado de trama de datos 802.11 que utiliza el algoritmo simétrico RC4 con claves de 64 bits o 128 bits. El concepto de WEP consiste en establecer una clave secreta de 40 ó 128 bits con antelación. Esta clave secreta se debe declarar tanto en el punto de acceso como en los equipos cliente. La clave se usa para crear un número que parece aleatorio y de la misma longitud que la trama de datos. Cada transmisión de datos se cifra de la siguiente manera. Al utilizar el número que parece aleatorio como una

"máscara", se usa una operación "O excluyente" para combinar la trama y el número que parece aleatorio en un flujo de datos cifrado. La clave de sesión que comparten todas las estaciones es estática, es decir que para poner en funcionamiento un número elevado de estaciones inalámbricas, éstas deben configurarse con la misma clave de sesión. Por lo tanto, con sólo saber la clave se pueden descifrar las señales. Además, para la inicialización se usan sólo 24 bits de la clave, lo que implica que sólo 40 de 64 bits o 104 de 128 bits de la clave se utilizan realmente para el cifrado. En el caso de una clave de 40 bits, con un ataque de fuerza bruta (que prueba todas las claves posibles) un hacker puede encontrar la clave de sesión con rapidez. Asimismo, una falla detectada por Fluhrer, Mantin y Shamir en la generación del flujo que parece aleatorio permite que se descubra la clave de sesión al almacenar y analizar de 100 MB a 1 GB de tráfico. Por lo tanto, el WEP no es suficiente para garantizar verdaderamente la privacidad de los datos. Sin embargo, se recomienda utilizar al menos una clave WEP de 128 bits para garantizar un nivel de privacidad mínimo. Esto puede reducir el riesgo de una intrusión en un 90 por ciento. Cómo mejorar la autenticación Para administrar la autenticación, autorización y contabilidad (AAA) de manera más eficaz, se puede usar un servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota. El protocolo RADIUS (definido por la RFC 2865 y la 2866) es un sistema cliente/servidor que permite administrar de manera central cuentas de usuarios y permisos de acceso relacionados. Configuración de una VPN Para todas las comunicaciones que requieran un alto nivel de seguridad, es mejor utilizar un cifrado cerrado de datos al instalar una red privada virtual (VPN).

RED ACTUAL:

ESCALABILIDAD: En cuanto a escalabilidad la empresa actualmente tiene lo necesario para su funcionamiento, debido a la posibilidad de un cambio de sus instalaciones. DISPONIBILIDAD: La disponibilidad de la red de FULLDATA está dentro de un 99.5% debido a que la red también está dedicada al monitoreo de equipos remotos de sus clientes por lo que es una red totalmente funcional. SEGURIDAD: En cuanto a seguridad interna los empleados utilizan cuentas con restricciones de acuerdo a sus funciones dentro de la empresa, en cuanto a amenazas externas la red cuenta con firewalls que interrumpen el paso a entradas no autorizadas.

Seguridad Lógica La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantean serán: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema: Identificación y Autentificación • Roles El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada. Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.

Modalidad de Acceso

Ubicación y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados. Control de Acceso Interno Control de Acceso Externo Administración

• • •

Niveles de Seguridad Informática El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D. • Nivel D Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Protección Discrecional Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto

es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1: ○ Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos. Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.

Nivel C2: Protección de Acceso Controlado Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización. Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.

También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos. • Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios. Nivel B3: Dominios de Seguridad Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

Seguridad Física Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos --generalmente de prevención y detección-- destinados a proteger

físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta. A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto. Protección del hardware El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización. Problemas a los que nos enfrentamos: • • • Acceso físico Desastres naturales Alteraciones del entorno

Acceso físico Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles. De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo. Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen. Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios. Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho más sencillo atacar otros equipos de la misma. Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes). Para la prevención hay soluciones para todos los gustos y de todos los precios: • • • • • analizadores de retina, tarjetas inteligentes, videocámaras, vigilantes jurados, ...

En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informáticos y no tener cableadas las tomas de red que estén accesibles. Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados. Desastres naturales Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación. Algunos desastres naturales a tener en cuenta: • • • • Terremotos y vibraciones Tormentas eléctricas Inundaciones y humedad Incendios y humos

Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones: • • • • • No situar equipos en sitios altos para evitar caídas, No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos, Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen, Utilizar fijaciones para elementos críticos, Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,

Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles). En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiadoa elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario

emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos. Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado. Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos. Alteraciones del entorno En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar. Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura. Electricidad Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo ... Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión. Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterias que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanísmo para comunicarse con los servidores y avisarlos de que ha caido la línea o de que se ha restaurado después de una caida). Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.

Ruido eléctrico El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación. Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos. Temperaturas extremas No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado. Protección de los datos Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene. En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la transmisión y almacenamiento de datos, proponiendo medidas para reducir el riesgo. Eavesdropping La interceptación o eavesdropping, también conocida por ''passive wiretapping'' es un proceso mediante el cual un agente capta información que va dirigida a él; esta captación puede realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se pone en modo promiscuo y analiza todo el tráfico que pasa por la red), capturando radiaciones electromagnéticas (muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...), etc. El problema de este tipo de ataque es que en principio es completamente pasivo y en general difícil de detectar mientras se produce, de forma que un atacante puede capturar información privilegiada y claves que puede emplear para atacar de modo activo. Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única realmente útil es cifrar toda la información que viaja por la red (sea a través de cables o por el aire). En principio para conseguir esto se deberían emplear versiones seguras de los protocolos de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los protocolos basados en TCP permiten usar una versión cifrada mendiante el uso del TLS. Copias de seguridad Es evidente que es necesario establecer una política adecuada de copias de seguridad en cualquier organización; al igual que sucede con el resto de

equipos y sistemas, los medios donde residen estas copias tendrán que estar protegidos físicamente; de hecho quizás deberíamos de emplear medidas más fuertes, ya que en realidad es fácil que en una sola cinta haya copias de la información contenida en varios servidores. Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general el hardware se puede volver a comprar, pero una pérdida de información puede ser ireemplazable. Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque a poder ser lejos de la sala donde se encuentran los equipos copiados). Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados. Soportes no electrónicos Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para transmitirla, fundamentalmente el papel. Es importante que en las organizaciones que se maneje información confidencial se controlen los sistemas que permiten exportarla tanto en formato electrónico como en no electrónico (impresoras, plotters, faxes, teletipos, ...). Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado en un lugar de acceso restringido; también es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que lanzan a estos dispositivos. Además de esto es recomendable disponer de trituradoras de papel para destruir todos los papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda obtener información rebuscando en nuestra basura.

ADMINISTRACIÓN: En cuanto a administración se tiene bien estructurado el área de sistemas con la utilización de aplicaciones que les permiten el monitoreo de toda la red teniendo siempre un control dentro de la empresa.

Grupos de Usuarios y Almacenamiento de Datos Grupo de Usuarios Sistemas Tamaño (Número de Usuarios) 10 Localización de los Usuarios Departamento Administrativo Aplicación usada por los Usuarios Microsoft Office, Internet Explorer, Mozilla Firefox, Power Designer 9.5, ISA Server, LookaLAN Microsoft Office, Internet Explorer, Monica, Microsoft Office, Internet Explorer, Mozilla Firefox, Power Designer 9.5, ISA Server, LookaLAN Microsoft Office, Internet Explorer, Mozilla Firefox, LookaLAN

Contabilidad

5

Departamento Contabilidad Departamento Gerencia General

Gerencia

10

Técnicos

5

Departamento Técnico

Aplicaciones de la Red Nombre de la Aplicació n Explorer.ex e Voz sobre IP OSS/PEM Tipo de Aplicación Aplicació n Nueva (S/N) n s s Critica Costo de la caída de la aplicación Medio Alto Alto

Software Distribution Comunicaci ón Monitoreo, Gestión de Usuarios, Ancho de Banda

Media Alta Alta

Microsoft Office LOOKaLAN

Zimbra Client Secure NAT SolarisWin

Herramient a de texto e imagen Administrac ión y monitoreo de la red Electronic Mail Network Manageme nt Administrac ión y monitoreo de la red

n

Media

Medio

s

Alta

Alto

s s

Baja Alta

Bajo Medio

s

Media

Bajo

Diseño Lógico

La topología de una red define únicamente la distribución del cable que interconecta los diferentes ordenadores, es decir, es el mapa de distribución del cable que forma la intranet. Define cómo se organiza el cable de las estaciones de trabajo. A la hora de instalar una red, es importante seleccionar la topología más adecuada a las necesidades existentes. La topología es de tipo BUS con tipo de red LAN Cat5e, con un cableado horizontal de una velocidad de 100Mbps.

Diagrama de la red de FULLDATA