UNIVERSIDAD UTEPSA

FACULTAD: “CIENCIAS Y TECNOLOGÍA”

Caso de estudio 3
Micro Financiera “Progreso”
NOMBRES: CRISTHIAN J. ZABALA MORENO.

MATERIA: GESTIÓN Y SEGURIDAD DE REDES.

CARRERA: ING. EN REDES Y TELECOMUNICACIONES.

DOCENTE: ING. GUSTAVO PEREZ.

Santa Cruz de la Sierra, Bolivia- 11 de Abril del 2020

Contenido
Micro financiera “Progreso”........................................................................................................3
1. Antecedentes...............................................................................................................3
2. Problemática................................................................................................................4
3. Marco teórico..............................................................................................................5
3.1.1. Gestión de red......................................................................................................5
3.1.2. Modelo de Gestión TMN......................................................................................5
3.1.3. Arquitectura.........................................................................................................5
3.1.4. Arquitectura funcional.........................................................................................5
3.1.5. Arquitectura de la información...........................................................................6
3.1.6. Arquitectura física................................................................................................6
3.1.7. Arquitectura lógica en capa.................................................................................6
3.1.8. Seguridad de redes..............................................................................................6
3.1.9. IDS........................................................................................................................7
3.1.10. IPS.........................................................................................................................7
3.2. SNMP........................................................................................................................7
3.2.1. Componentes básicos de SNMP..........................................................................7
3.2.2. SNMP versión 1....................................................................................................8
3.2.3. SNMP versión 2....................................................................................................8
3.2.4. SNMP versión 3....................................................................................................9
3.2.5. Gestor de red.......................................................................................................9
3.2.6. Nagios XI..............................................................................................................9
Zabbix.................................................................................................................................10
4. Implementar gestión de red utilizando el modelo de gestión TMN......................10
4.1. ELEMENTOS DE RED.......................................................................................11
4.2. GESTIÓN DE ELEMENTOS.............................................................................12
4.2.1. Dominio de prioridad alta Gestiones de fallas, prestaciones, seguridad y
configuraciones.................................................................................................................13
4.2.2. Dominio de prioridad media (Gestiones de fallas, prestaciones, seguridad).
13
4.2.3. Dominio de prioridad baja (Gestiones de fallas, prestaciones).....................13
4.3. GESTIÓN DE RED..............................................................................................13
4.4. GESTIÓN DE SERVICIOS.................................................................................13
5. Hacer una propuesta de seguridad de redes basado en una arquitectura de
Firewall segura.................................................................................................................14
6. Reemplazar un enlace de VPN sobre internet por enlace Satelital para las
localidades de Minero, Robore y Camiri. Para Montero reemplazar un enlace de VPN
por fibra óptica propietaria.............................................................................................14
6.1. Diseño Lógico WAN Oficina central-Agencias...................................................15
6.2. Cálculos de Fibra Óptica Oficina Central-Montero..........................................16
6.2.1. Longitud de cable incluyendo la reserva.........................................................17
Calculo de la link Budget.................................................................................................17
Cálculo de pérdida total...................................................................................................17
Cálculo de Margen del sistema........................................................................................17
6.3. Cálculos de Enlaces Satelital................................................................................18
6.3.1. Agencia Yapacani.............................................................................................18
6.3.2. Agencia Camiri.................................................................................................19
6.3.3. Agencia San Jose...............................................................................................19
6.3.4. Agencia Robore.................................................................................................20
7. Proponer medidas que permitan eliminar las problemáticas planteadas en el
punto anterior...................................................................................................................20
7.1.1. La caída del radio enlace en diferentes horarios............................................20
7.1.2. Ataques a la red................................................................................................20
7.1.3. Puertos abiertos................................................................................................21
7.1.4. Software malicioso............................................................................................21
7.1.5. No acceso al sistema de cobranzas y contabilidad..........................................22
7.1.6. Fallas en el envío de backup de los videos al CPD en horario nocturno.......22
7.1.7. Los usuarios tienen permisos para instalar programas.................................22
7.1.8. No tiene políticas de seguridad........................................................................23
7.1.9. El acceso al internet es muy lento....................................................................23
7.1.10. Ataques de DoS.................................................................................................23
7.1.11. Ataques por Software malicioso......................................................................24
7.1.12. Ataques por suplantación de identidad...........................................................24
7.1.13. Ataques de ARP Spoofing................................................................................24
7.1.14. Ataques mediante Ingeniería Social................................................................24
8. No deben ingresar a la unidad “C”.........................................................................25
9. Solo las personas que trabajan en el departamento de sistemas tiene la opción de
instalar y desinstalar programas.....................................................................................26
10. No tener el panel de control activado..................................................................26
11. Los cajeros solo deben tener la aplicación de cobranzas activada en equipo...27
12. Se debe evitar que los usuarios utilicen dispositivos de almacenamiento
extraíbles...........................................................................................................................29
13. Realizar backup´s de datos y video al CPD central la transmisión de los videos
solo debe ser en horarios de la noche..............................................................................29
14. Utilizar dos gestores de red para que realicen Gestión de fallas y prestaciones
con Zabix, gestión de seguridad y Configuración con Nagios.......................................30
14.1.1. Gestor de fallas Zabbix....................................................................................30
14.1.2. Gestión de prestaciones Zabbix y Tenable......................................................33
14.1.3. Tenable..............................................................................................................35
14.1.4. Gestión de Configuraciones NagiosXI y SolarWind (CatTools)....................37
14.1.5. CatTools............................................................................................................38
14.1.6. Gestión de Seguridad Nessus...........................................................................42
15. Se debe implementar actualización automática de Windows a todos los
usuarios en diferentes horarios........................................................................................45
16. Conclusión.............................................................................................................48
17. Recomendación.....................................................................................................48
 Micro financiera
“Progreso”

1. Antecedentes

La Micro financiera “Progreso”, tiene 5 sucursales que están

interconectadas a través de radio enlace, fibra óptica y VPN-
MPLS en la ciudad de Santa Cruz.

 Oficina Central, calle 24 de septiembre #352

 Sucursal 1, Av. Banzer 4to anillo, centro comercial “Las Brisas”
 Sucursal 2, Av. Radial 10 4to anillo
 Sucursal 3, Av. Plan 3000
 Sucursal 6, carretera doble vía a la guardia km 6

También cuenta con agencias que están conectadas por dos enlaces de
VPN sobre internet y Radio enlace:

 San José de Chiquitos

 Robore
  Montero
 Yapacani
 Camiri

La Micro financiera “Progreso”, cuenta en cada sucursal con:

25 ordenadores, 12 cámaras de video

vigilancia y 15

teléfonos IP. La Oficina central cuenta

con:

 Administración 7
 Caja 8
 Sistemas 3
 Gerencia 5
 CPD 19 servidores
 15 cámaras de vigilancia

 25 teléfonos IP

La Micro financiera “Progreso”, cuenta en cada Agencia con:

 10 ordenadores, 5 cámaras de video vigilancia y 6 teléfonos IP.

Mediante un proveedor de servicio de internet se tiene una conexión

que llega a la Oficina Central, con tecnología VDSL y todas las
demás sucursales acceden a ese servicio.

Por las constantes perdidas de información, caídas de los enlaces,

lentitud de la red, perdidas de videos, mala comunicación del servicio
de VoIP, se desea realizar una propuesta de diseño que contemple
seguridad y gestión de redes a su infraestructura.

Todos los usuarios de la red cuentan con correos institucionales con

acceso público, e internet. Se cuenta con un CPD en la oficina

Central

2. Problemática

La problemática identificada es que la red no cuenta con información de

los acontecimientos que pasan, como:
  La caída del radio enlace en diferentes horarios.
 Ataques a la red.
 Puertos abiertos.
 Software malicioso.
 No acceso al sistema de cobranzas y contabilidad.
 Fallas en el envío de backup de los videos al CPD en horario nocturno.
 Los usuarios tienen permisos para instalar programas.
 No tiene políticas de seguridad
 El acceso al internet es muy lento
 Ataques de DoS
 Ataques por Software malicioso
 Ataques por suplantación de identidad
 Ataques de ARP Spoofing
 Ataques mediante Ingeniería Social

3. Marco teórico
3.1.1. Gestión de red
Consiste en la monitorización, el sondeo, configuración, evaluación, análisis y control
de los recursos de una red para conseguir niveles de trabajo y adecuados a los objetivos
de una instalación y una organización; mediante tareas de despliegue, integración y
coordinación de hardware, software y elementos humanos.

3.1.2. Modelo de Gestión TMN

El término Red de Gestión de Telecomunicaciones ( TMN, Telecommunications
Management Network ) fue introducido por el Sector de Normalización de las
Telecomunicaciones de la Unión Internacional de Telecomunicaciones ( ITU-T, ITU
Telecommunication Standarization Sector ), y está definido en la recomendación
M.3010 (define el concepto de Red de Gestión de Telecomunicaciones, su alcance, se
describen las arquitecturas funcional y de información y se ofrecen ejemplos de
arquitecturas físicas, además se expone un modelo de referencia funcional y se
identifican conceptos para soportar la arquitectura de TMN). Aunque en un principio no
hubo mucha colaboración entre los grupos de gestión de red de la ISO y el
CCITT (Comité Consultivo Internacional para Telefonía y Telegrafía), posteriormente
fueron incorporados varios conceptos del modelo OSI al estándar TMN. En concreto, se
adoptó el “modelo gestor -agente” del modelo OSI.
3.1.3. Arquitectura
Según ITU-T M.3010 TMN tiene 4 arquitecturas:

 Arquitectura funcional
 Arquitectura de la información
 Arquitectura física
 Arquitectura lógica en capas

3.1.4. Arquitectura funcional

Define los bloques funcionales de una TMN y sus puntos de referencia, estos
representan funciones apropiadas requeridas por TMN y que son ejecutadas por
elementos de la arquitectura física de TMN.
3.1.5. Arquitectura de la información
Sigue muy estrechamente a la del modelo OSI, utiliza la tecnología orientada a objetos
Los recursos son representados por clases de objetos gestionados cuyo contenido es
creado, intercambiado y modificado a través de interfaces TMN.
3.1.6. Arquitectura física
Su propósito es mostrar como los bloques funcionales definidos en la arquitectura
funcional se pueden implementar en equipos físicos, interconectados entre si a través de
interfaces que a su vez aglutinan los puntos de referencia entre esos bloques funcionales
3.1.7. Arquitectura lógica en capa
Las funciones de gestión pueden estructurarse lógicamente en capas que corresponden a
diferentes niveles de abstracción
 Nivel de gestión de elemento de red: funciones propias de los elementos
individuales
 Nivel de gestión de elementos: distingue elementos individuales, gestionando un
conjunto de ellos. Ofrece una vista consolidada de su dominio de gestión hacia
el nivel de red
 Nivel de gestión de red: consolida las vistas parciales de los distintos gestores
de elementos (EMS = Element Management System)
  Nivel de gestión de servicios: gestión integrada de los servicios que ofrece la
red (interacción con clientes, con otros operadores de telecomunicaciones)
 Nivel de gestión de negocio o comercial: toma de decisiones estratégicas,
políticas, inversiones.
3.1.8. Seguridad de redes
La seguridad de redes consiste en las políticas y prácticas adoptadas para prevenir y
supervisar el acceso no autorizado, el uso indebido, la modificación o la denegación de
una red informática y sus recursos accesibles. La seguridad de redes involucra la
autorización del acceso a datos en la red, que es controlada por el administrador de red.
Los usuarios eligen o se les asigna una identificación y contraseña u otra información de
autenticación que les permite acceder a información y programas dentro de sus
autorizaciones. La seguridad de red cubre una variedad de redes de computadoras, tanto
públicas como privadas, que se usan en trabajos cotidianos; realizar transacciones y
comunicaciones entre empresas, agencias gubernamentales e individuos. Las redes
pueden ser privadas, como dentro de una empresa, y otras que pueden estar abiertas al
público. La seguridad de la redes está presente en organizaciones, empresas y otros
tipos de instituciones. Hace como su nombre indica: protege la red, además de proteger
y supervisar las operaciones que se realizan. La forma más común y simple de proteger
un recurso de red es asignándole un nombre único y la contraseña correspondiente.

3.1.9. IDS
Los sistemas de detección de intrusiones (Intrusion Detection Systems) o IDSs fueron
Implementados para monitorear de manera pasiva el tráfico de la red. Un IDS copia el
tráfico de red y lo analiza en lugar de reenviar los paquetes reales. Compara el tráfico
capturado con firmas maliciosas conocidas de manera offline del mismo modo que el
software que busca virus. Esta implementación offline de IDS se conoce como modo
promiscuo.
La ventaja de operar con una copia del tráfico es que el IDS no tiene efectos negativos
sobre el flujo real de paquetes del tráfico reenviado. La desventaja de operar con una
copia del tráfico es que el IDS no puede evitar que el tráfico malicioso de ataques de un
solo paquete alcance el sistema objetivo antes de aplicar una respuesta para detener el
ataque. El IDS generalmente requiere asistencia de otros dispositivos de red, como
routers y firewalls, para responder a un ataque.
3.1.10. IPS
El sistema de prevención de intrusiones (Intrusion Prevention System) o IPS se
apoyaben la ya existente tecnología IDS. A diferencia del IDS, un dispositivo IPS se
implementa en modo en línea. Esto significa que todo el tráfico de entrada y de salida
debe fluir a través de él para ser procesado. El IPS no permite que los paquetes ingresen
al lado confiable de la red sin ser analizados primero. Puede detectar y tratar
inmediatamente un problema según corresponda.
El IPS monitorea el tráfico de capas 3 y 4 y analiza los contenidos y la carga de los
paquetes en búsqueda de ataque sofisticados insertos en ellos, que pueden incluir datos
maliciosos pertenecientes a las capas 2 a 7. Las plataformas IPS de Cisco usan una
mezcla de tecnologías de detección, incluyendo detecciones de intrusiones basadas en
firma, basadas en perfil y de análisis de protocolo. Este análisis, más profundo, permite
al IPS identificar, detener y bloquear ataques que pasarían a través de un dispositivo
firewall tradicional. Cuando un paquete pasa a través de una interfaz en un IPS, no es
enviado a la interfaz de salida o confiable hasta haber sido analizado.
3.2. SNMP
SNMP significa Protocolo simple de administración de red. Es un protocolo que les
permite a los administradores supervisar el funcionamiento de la red, buscar y resolver
sus problemas, y planear su crecimiento. Diseñado en los años 80, su principal objetivo
fue el integrar la gestión de diferentes tipos de redes mediante un diseño sencillo y que
produjera poca sobrecarga en la red. Los dispositivos que normalmente soportan SNMP
incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de
módem y muchos más.
3.2.1. Componentes básicos de SNMP
Una red administrada a través de SNMP consta de tres componentes clave:

Sistemas administradores de red (Network Management Systems, NMS);

 Dispositivos administrados
 Agentes.

 Estos componentes tienen las siguientes funciones:

Dispositivo administrado (MD): los dispositivos administrados son los elementos de

red (puentes, concentradores, routers o servidores) que contienen "objetos
administrados" que pueden ser información de hardware, elementos de configuración o
información estadística.
Agente es un módulo de (SW): es decir, una aplicación de administración de red que
se encuentra en un periférico y que es responsable de la transmisión de datos de
administración local desde el periférico en formato SNMP.

Sistema de administración de red(NMS): esto es, un terminal a través del cual los
administradores pueden llevar a cabo tareas de administración

3.2.2. SNMP versión 1

SNMPv1 la administración sencilla de red (SNMP) es un protocolo desarrollado para la

gestión de los dispositivos (servidores, estaciones de trabajo, enrutadores,
conmutadores) sobre una red IP.

Permite a los administradores de red gestionar el rendimiento de la red, encontrar y

resolver problemas de red y planificar el crecimiento de la red.
Tiene una arquitectura modular que consta de: la estación de administración (es la
interfaz y contiene un software de gestión del sistema), agente de administración (Este
agente se encuentra en el dispositivo administrado, ejecuta un proceso de envió de
información hacia un software de gestión de red provisto por el administrador del
sistema), base de información de administración (MIB) (base de datos jerárquicos y
relacionales, contiene la información que permanentemente envían los agentes de
administración. ) y protocolo de administración (conjunto de normas que establecen la
comunicación entre la estación de administración y los agentes ).

3.2.3. SNMP versión 2

Es una evolución de SNMP v1. Agrega y mejora algunas operaciones de protocolo. La

operación traps de SNMP v2, por ejemplo, tiene la misma función que la utilizada en
SNMP v1, pero emplea un formato de mensaje diferente y está diseñado para sustituir
las traps de SNMP v1.

Define dos (2) nuevas operaciones: GetBulke inform. La operación GetBulk se utiliza
para recuperar de manera eficiente grandes bloques de datos. La operación Inform
permite a un NMS enviar traps de información a otra NMS y luego recibir una respuesta

Mejoras en los aspectos de gestión tales como: funcionalidad (define las mejoras en
cuanto a las estructuras de las MIB y SMI, pueden operar tanto como agente como
gestores), eficiencia de operación (ofrece mayor eficiencia en la transferencia de
información entre sistemas, debido a las mejoras en el protocolo SNM) y rendimiento (l
rendimiento se ve un poco afectado en funciónde que aumenta la seguridad con
funciones de autenticación y encriptamiento que luego tienen que ser retiradas e
implementadas sobre la versión tres).

3.2.4. SNMP versión 3

Es un protocolo de interoperabilidad basado en estándares para la gestión de red.

Asimismo, el SNMP v3 Proporciona el acceso seguro a los dispositivos mediante una
combinación de autenticación y encriptación de los paquetes a través de la red. Algunas
características de SNMP v3 Son: seguridad del mensaje, autenticación y encriptado.

Proporciona tanto modelos de seguridad como niveles de seguridad.

Seguridad es el nivel permitido de seguridad dentro de un modelo de seguridad. En tal
sentido, una combinación de un modelo de seguridad y un nivel de seguridad
determinará cual mecanismo será empleado en la tramitación de un paquete SNMP.

Incorpora características de seguridad tales como: autenticación y control de la

privacidad. La autenticación de SNMP v3, se lleva a cabo utilizando el Código de
Autenticación de Mensaje Hash (HMAC), que se calcula mediante una función de Hash
criptográfica en combinación con una clave secreta.

3.2.5. Gestor de red

Las gestiones de redes incluyen el despliegue, integración y coordinación del hardware,
software y los elementos humanos para monitorizar, probar, sondear, configurar,
analizar, evaluar y controlar los recursos de la red para conseguir los requerimientos de
tiempo real, desempeño operacional y calidad de servicio a un precio razonable.

3.2.6. Nagios XI

Nagios XI es un control de nivel empresarial y soluciones de alerta que proporciona a

las organizaciones una visión ampliada de su infraestructura de TI antes de que los
problemas afecten a los procesos críticos de negocio. Nagios XI proporciona a las
organizaciones con muchos beneficios, incluyendo:
 Supervisión Integral de la Infraestructura TI: Proporciona monitoreo de
todos los componentes de la infraestructura de misión crítica – incluyendo
aplicaciones, servicios, sistemas operativos, protocolos de red, métricas de
sistemas e infraestructura de red.
 Visibilidad: Proporciona una vista central de toda su red de operaciones y
procesos de negocio. Cuadros de mando de gran alcance proporcionan acceso a
la información y los datos supervisados. Las vistas proporcionan a los usuarios
acceso rápido a la información que les resulte más útil.
 3.2.7. Zabbix
Zabbix es un Sistema de Monitorización de Redes creado por Alexei Vladishev. Está
diseñado para monitorizar y registrar el estado de varios servicios de red, Servidores,
y hardware de red.
Usa MySQL, PostgreSQL, SQLite, Oracle o IBM DB2 como base de datos. Su backend
está escrito en C y el frontend web está escrito en PHP. Zabbix ofrece varias opciones
de monitorización:

 Chequeos simples que pueden verificar la disponibilidad y el nivel de respuesta de

servicios estándar como SMTP o HTTP sin necesidad de instalar ningún software
sobre el host monitorizado.
 Un agente Zabbix puede también ser instalado sobre
máquinas UNIX y Windows para monitorizar estadísticas como carga de CPU,
utilización de red, espacio en disco, etc.
Como alternativa a instalar el agente sobre los host, Zabbix incluye soporte para
monitorizar vía protocolos SNMP, TCP y ICMP, como también
sobre IPMI, JMX, SSH, telnet y usando parámetros de configuración personalizados.
Zabbix soporta una variedad de mecanismos de notificación en tiempo real,
incluyendo XMPP.

4. Implementar gestión de red utilizando el modelo de gestión TMN

Se segmentará a los dispositivos críticos de la red en la siguiente manera:
Dominio de Prioridad Alta
Dominio de Prioridad Media
Dominio de Prioridad Baja
El dominio de prioridad alta está representada a través de los círculos color morado.
El dominio de prioridad media está representada a través de los círculos color naranja.
El dominio de prioridad baja está representada a través de los círculos color azul.

4.1. ELEMENTOS DE RED

Son todos los dispositivos de un red que se asignara el dominio de prioridad para poder
ser gestionados.
Los elementos a gestionar son:
Dominio de prioridad alta
 Switch Core
 Router Core
 Switch de data center
  Firewall
 Servidores de AD

Dominio de prioridad media

 Antenas de radio enlace
 Enlaces de fibra
 Enlaces Satelitales
 Servidores Dns
 Servidores void
 Switch de acceso
 Pc de los diferentes gerentes de cada departamento.

Dominio de prioridad baja

 Usuarios finales

4.2. GESTIÓN DE ELEMENTOS

4.2.1. Dominio de prioridad alta Gestiones de fallas, prestaciones, seguridad y

configuraciones
 Switch Core
 Router Core
 Switch de data center
 Firewall
 Servidores de AD

4.2.2. Dominio de prioridad media (Gestiones de fallas, prestaciones,

seguridad).
 Antenas de radio enlace
 Enlaces de fibra
 Enlaces Satelitales
 Servidores Dns
 Servidores void
 Switch de acceso
 Pc de los diferentes gerentes de cada departamento.
 4.2.3. Dominio de prioridad baja (Gestiones de fallas, prestaciones).
 Usuarios finales

4.3. GESTIÓN DE RED

Son los responsables de proveer la gestión de la red, como también asignando tares de
recopilación de informaciones:
Gestión de fallas: Zabbix, Tenable.
Gestión de prestaciones: Zabbix.
Gestión de configuración: Nagios, SolarWind(CatTools).
Gestión de seguridad: Nessus.
4.4. GESTIÓN DE SERVICIOS
Se gestionan los servicios provistos a usuarios, recursos y políticas.
Video: puerto tcp/80, tcp/554, udp/1000.1
Correo: puerto tcp/25, 465, 587
DNS: puerto tcp/53
SNMP: puerto tcp/161,162
VoIP: puerto tcp/5060
 5. Hacer una propuesta de seguridad de redes basado en una arquitectura de
Firewall segura.

Realizamos la propuesta basada en la arquitectura de firewall screened subnet para la

central que nos brinda seguridad tanto como en la red externa y la red interna,
comportandose como una tranca hacia la red, permitiendo la comunicación de la red
interna hacia la externa y la DMZ, denegando la comunicación de la red externa hacia la
red interna, tambien deniega el trafico de la DMZ hacia la red interna y permite el
trafico hacia la red externa.
6. Reemplazar un enlace de VPN sobre internet por enlace Satelital para las
localidades de Minero, Robore y Camiri. Para Montero reemplazar un
enlace de VPN por fibra óptica propietaria.

6.1. Diseño Lógico WAN Oficina central-Agencias.

 6.2. Cálculos de Fibra Óptica Oficina Central-Montero.

La fibra Optica a utilizar sera una fibra monomodo en el estandar ITU-T G-652D que
trabaja en las grillas donde no existen picos de agua.
 6.2.1. Longitud de cable incluyendo la reserva
La longitud del cable será de 51000 metros, sumándole del 10% de reserva que es 5100
metros se hace un total de 56100 metros de cable.
Calculo de la link Budget
Cálculo de pérdida total
Pt : Perdida Total ( dB ) .
L : Longitud de la Fibra Óptica( Km).
Al :Coeficiente de Atenuacion en dB/ Km .
N e : Numeros de Empalmes .
Ae : Atenuacion por Empalme .
N c :Numero de Conectores .
Ac : Atenuacion por Conector .
ar = perdida por otros componentes db/km

Pt =(L∗A l)+(N e∗A e )+(N ¿ ¿ c∗Ac )+(a∗L)¿

At= (56.1* 0.4) + (2 * 0.25) + (2 * 0.5) + (0.3*56.1)
At= 16.83 dB
Cálculo de Margen del sistema
Po = Potencia óptico de emisor = -30 dB
Sr = Sensibilidad del receptor = -60 dB
At = 16.83 dB
Ps = Potencia del sistema
Ms = Margen del sistema
Ps =Po− At
Ps =−30−16.83
Ps =−46.83 dB .

M s=P s−S
M s=−46.83 dB−(−60)
M s=13.17 dB
6.3. Cálculos de Enlaces Satelital

6.3.1. Agencia Yapacani.

6.3.2. Agencia Camiri
6.3.3. Agencia San Jose
 6.3.4. Agencia Robore

7. Proponer medidas que permitan eliminar las problemáticas planteadas en

el punto anterior
7.1.1. La caída del radio enlace en diferentes horarios.

Se propone la implementación de un Sistema 1+1, otorgando redundancia en los radios

enlaces, de tal manera que, si el enlace principal llega a caer, inmediatamente en
cuestión de milisegundos se activaría el enlace redundante.
Se recomienda el recalculó del radio enlaces, para analizar la información obtenida de
forma que se pueda garantizar la conexión, o el cambio de dispositivos que se adecuen
al requerimiento.
7.1.2. Ataques a la red.
Se propuso un Diseño de arquitectura de firewall Screened Subnet segementa la red en
red interna y red externa, el router externo tiene como misión bloquear el trafico no
deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras
que el router interno realiza la misma función pero con el trafico entre la red interna y la
perimétrica, asi un atacante tendría que romper la seguridad de ambos routers para
acceder a la red protegida.
 7.1.3. Puertos abiertos.

Se apagara los puertos innecesarios y que no se estén utilizando, se brindara seguridad

en los puertos Físicos con el mecanismo de seguridad Port-Security para evitar el acceso
a los puertos de terceros.
7.1.4. Software malicioso.

Se hara la utilizacion del Anti Virus Kaspersky Office Security que nos
poroporciona las siguientes caracteristicas:

 Protección en tiempo real contra virus, programas espía, troyanos y otros.

 Administración centralizada de la seguridad de la red desde un único PC.
 Limites Restricción del acceso de los empleados a sitios web, aplicaciones,
juegos y redes sociales.
 Protección total de la información confidencial mediante copias de seguridad
programadas y automáticas.
 Cifrado de datos que pueden transferirse con toda seguridad a través de correo
electrónico o dispositivos USB.
 Máximo rendimiento del sistema con frecuentes actualizaciones y sin interferir
con las tareas propias del negocio.
 Fácil de administrar para una mejor protección de la red.
 Avanzadas tecnologías bloquean instantáneamente cualquier ataque de hackers.
 Herramientas para ajustar la seguridad informática de su red, incluyendo Wifi.
 Eliminación de archivos de forma definitiva
7.1.5. No acceso al sistema de cobranzas y contabilidad.

Se segmentara la red, en subredes con la utilización de VLAN`s , los

dispositivos pertenecientes a una VLAN no tienen acceso a los que se
encuentren en otras VLAN y viceversa.
Se utilizará switch de Data Center en el perímetro del CPD para una mayor
eficiencia energética y de trabajo garantizando el procesamiento de datos con
mayor rapidez.
7.1.6. Fallas en el envío de backup de los videos al CPD en horario nocturno.

Se comprobara la conectividad y los permisos correspondientes.

Se realizara el sistema de BackUp mediante el software HIKVISION, el que nos

permitirá configurar el envio de los videos de las cámaras en el horario Nocturno
al CPD, ofreciendo una gestión centralizada de las Camaras IP.

7.1.7. Los usuarios tienen permisos para instalar programas.

Mediante la utilización de un GPO se les denegara a los usuarios de la red, el

permiso de instalar programas, permitiendo solamente a los usuarios del
departamento de Sistemas añadiendo privilegios a sus cuentas de usuario.
 7.1.8. No tiene políticas de seguridad

 Se debe planificar una reunión con los distintos gerentes de los

departamentos para poder establecer las políticas de seguridad a base de sus
requerimientos.
 El prohibir el ingreso o manipulación de terceros a los equipos de la red.
 Restringir el acceso a dispositivos a solo una dirección MAC.
 Bloquear puertos en caso de no utilizarlos.
 Creación de contraseñas con requerimiento mínimo de caracteres
(Mayúscula, minúscula, números, símbolos).
 Creación de contraseñas a todos los dispositivos de la red.
 Utilización de listas de control de acceso o llamada también ACL`s.
 Mantener actualizados los sistemas operativos, como también el antivirus a
utilizar.
 Implementacion de arquitectura de firewall.
 Trabajar sobre AD.
 Utilizacion de mecanismo de seguridad.

7.1.9. El acceso al internet es muy lento

Con las nuevas implementaciones realizada a la red, como las políticas de seguridad, la
segmentación en Sub Redes mediante VLAN`s, la utilización de enlaces redundantes,
como también la implementación de nuevos enlaces, brindara acceso a internet de
manera rápida.
Una vez implementadas lo dicho anteriormente, y aun asi sigue la red con el acceso a
internet lento, se recomienda el análisis sobre la utilización del internet en Descarga o
Subida, una vez obtenida la información, de acuerdo a estas, contratar un ISP que
ofrezca la velocidad necesaria para la red, como también la cotización de un internet
simétrico.
7.1.10. Ataques de DoS
La utilización de la arquitectura de firewall Screened Subnet evitaremos los ataques
DoS, creando reglas de firewall, de manera que agregue a una lista “Negra” a las
direcciones IP que soliciten acceder al servicio.
La utilización de un firewall que permita realizar detecciones estadísticas de
anormalidades analizando el tráfico de la red por un determinado periodo de tiempo y
crea una línea base de comparación, cuando el trafico varia demasiado con respecto a la
línea base de comportamiento, deniega el tráfico que no esté adecuado a la línea base.
La utilización de ACL`s para controlar que trafico llega a las aplicaciones.
Se le indicara al proveedor de Internet que habilite la protección DoS desde su red, ya
que cuenta con mayor capacidad de protección y el ataque es mitigado antes de
consumir recursos del internet contratado o de la red.
7.1.11. Ataques por Software malicioso
Para la protección por software maliciosos, se propone la implementación de un
antivirus de manera centralizada, en este caso como empresa, adicionalmente se deberá
capacitar al personal que este no abra adjuntos de correos electrónicos procedentes de
fuentes desconocidas o pocos confiables.
7.1.12. Ataques por suplantación de identidad
Capacitar al personal sobre la importancia de ingresar a paginas seguras o cifradas a
través de SSL, asegurando siempre que visiten a una pagina que la dirección muetre
HTTPS en lugar de HTTP.
La utilización de activación de verificación de dos pasos para aumentar la seguridad de
acceso a las cuentas del usuario.
La comunicación de la empresa cuenta con enlaces VPN lo cual cifra la conexión
estableciéndose a través de un túnel de comunicación seguro.
7.1.13. Ataques de ARP Spoofing
Se recomienda la utilización de software de detección especial para el ARP Spoofing,
como también el filtrado de paquetes ya que estos inspeccionan los paquetes que se
transmiten a través de una red, filtran y bloquean paquetes con información de la
dirección fuente de conflicto.
En caso que la empresa utilice dispositivos Cisco se recomienda la utilización de DHCP
Snooping y Dynamic ARP Inspection, DAI intercepta las peticiones y respuestas de los
puertos no confiable y las valida contra la tabla antes de actualizar su cache y permitir el
tráfico.
7.1.14. Ataques mediante Ingeniería Social
Se tendrá los antivirus previamente actualizados.
Se realizará una concientización entre el personal en la organización, de tal forma que
reciba capacitación básica sobre seguridad de manera oportuna para que nunca de
ninguna información sin la autorización apropiada y para que se conozca que se debe
informar de cualquier comportamiento sospechoso, como también que solamente se use
paginas cifradas HTTPS, la autenticación de dos pasos de forma obligatoria para el
personal de la empresa.
 8. No deben ingresar a la unidad “C”.
Mediante el GPO, ubicado en explorador de archivos, seguidamente habilitamos
“Impedir acceso a las unidades desde mi PC” lo cual denegaremos a los usuarios el
acceso al Disco C en sus ordenadores.
 9. Solo las personas que trabajan en el departamento de sistemas tiene la
opción de instalar y desinstalar programas
A los usuarios del departamento de Sistemas se le dio prioridad elevada para que
puedan instalar y desinstalar programas.

10. No tener el panel de control activado.

Mediante la directiva de grupo, ubicada en Panel de control, seguidamente habilitamos
“Prohibir el acceso a Configuración de Pc y a Panel de control”
11. Los cajeros solo deben tener la aplicación de cobranzas activada en equipo
Mediante una directiva de grupo, se les asigno al departamento de caja, que solo
pueda acceder al programa Steam.exe.
Intentamos abrir cmd, Paint o cualquier otro programa lo cual nos denegó el
acceso.

Accedemos al programa Steam, lo cual nos accedió sin problemas.

 12. Se debe evitar que los usuarios utilicen dispositivos de almacenamiento
extraíbles.
La GPO “Denegar acceso de Discos extraíbles”, se evitara a los usuarios la utilización
de dispositivos de almacenamientos extraíbles.

13. Realizar backup´s de datos y video al CPD central la transmisión de los

videos solo debe ser en horarios de la noche.
Se implementará nuevo de software de backup para video proveniente de la marca de
cámaras ip utilizadas antes de esto se revisó el estado de conexión del radio enlace.
Se implementara el software HIKVISION, ya que nos ofrece gestión de los Videos
Inteligentes, este software nos ofrece, una gestión centralizada de los Videos de la red,
como también la realización de BackUp de manera que se podrá configurar que se
realice de manera automática en el horario Nocturno.
Se implemento un sistema de BackUp con la aplicación COBIAN para realizar BackUp
de datos con la función de enviarlos al CPD en el horario nocturno.
14. Utilizar dos gestores de red para que realicen Gestión de fallas y
prestaciones con Zabix, gestión de seguridad y Configuración con Nagios.

14.1.1. Gestor de fallas Zabbix.

 14.1.2. Gestión de prestaciones Zabbix y Tenable.

Utilizaremos el gestor Zabbix para el monitoreo de los recursos de la red, como también
utilizaremos el gestor Tenable para el monitoreo de los servidores.
Utilización de Windows

PING

Uso del CPU

Utilización de los Discos

14.1.3. Tenable.
 14.1.4. Gestión de Configuraciones NagiosXI y SolarWind (CatTools).
Se realizo un BackUp de las configuraciones del Servidor Nagios para un host
Windows.
 14.1.5. CatTools

Se añadió el rotuer Mikrotik a la herramiento CatTools para que realice los BackUps de
las configuraciones del router, indicando que realice estos BackUps de forma
automática los días Domingo a media Noche.
 14.1.6. Gestión de Seguridad Nessus.

Con el Gestor Nessus realizaremos un scan del rotuer Mikrotik para verificar que
puertos están abiertos de tal manera podamos apagar los puertos innecesarios.
 15. Se debe implementar actualización automática de Windows a todos los
usuarios en diferentes horarios

Se utilizo Windows server Update Services en el servidor Windows Server, para lograr
la actualizacion para los usuarios de la red, como instalar, administrar y distribuir las
actualizaciones necesarias para los equipos.
 16. Conclusión

Se logró la implementación del modelo de Gestión TMN, primeramente analizando los

elementos de la red como también los gestores a utilizar.

Se implementó la arquitectura Screened Subnet para garantizar la seguridad de la red.

Con la utilización de Directivas de grupo basada en la política de seguridad de la Micro

Financiera “Progreso” se logrará mayor control hacia los usuarios de la red.

Se implementó gestores de red que nos ayudaran a la recopilación de información de la red.

17. Recomendación

Se recomienda la implementación de un sitio de recuperación de desastre, ya que la micro

financiera no posee este sitio, y solo tiene sus bases de datos en su oficina central, en caso de
que surja un desastre natural, humano, etc. No se tendrá información de los datos perdidos,
como la inutilización de los equipos.