Implementación de un sistema automatizado de control de

Instituto Politécnico Nacional Escuela Superior de Ingeniería Mecánica y Eléctrica

Unidad Culhuacan

Seminario de Titulación “Seguridad de la Información”

Implementación de un sistema automatizado

de control de acceso a una red LAN

MÉXICO D.F., JUNIO DE 2009

TESINA QUE PARA OBTENER EL TITULO DE

INGENIERO EN COMUNICACIONES Y ELECTRONICA

PRESENTAN:

FLORES CHAVEZ FERNANDO

RODRIGUEZ LUNA ALEJANDRO

RUIZ RUIZ MAURO

Y PARA OBTENER EL TITULO DE LICENCIADO EN CIENCIAS DE

LA INFORMATICA

PRESENTA:

CRUZ BAZÁN OSCAR

Asesores:

DR. GABRIEL SANCHEZ PÉREZ

M. EN C. MARCOS ARTURO ROSALES GARCÍA

VIGENCIA: DES/ESIME-CUL/23/08

Implementación de un Sistema automatizado de control de acceso a una red LAN 1

Seguridad de la Información

INDICE

OBJETIVO. ............................................................................................. 4

JUSTIFICACIÓN. .................................................................................... 5

CAPITULO I. LA SEGURIDAD INFORMÁTICA. .................................... 6

1.1 Seguridad Informática. .............................................................................................. 6

1.2 Organismos oficiales de seguridad informática. ........................................................ 7

1.3 Importancia de la seguridad informática. .................................................................. 8

1.4 Ataques y amenazas en la seguridad informática. .................................................... 8

1.5 Amenazas a la seguridad informática. .................................................................... 10

1.6 Controles de seguridad. .......................................................................................... 11

1.6.1 Controles físicos .............................................................................................. 12

1.6.2 Controles técnicos ........................................................................................... 12

1.6.2.1 Controles lógicos basados en red. ............................................................... 13

1.6.2.2 Controles lógicos basados en Host. ............................................................. 15

1.6.3 Controles administrativos. ................................................................................ 17

1.7 Roles. ..................................................................................................................... 20

CAPITULO II. DESCRIPCIÓN DE UN NAC .......................................... 22

2.1 Que es un NAC (Network Access Control).............................................................. 22

2.2 Tipos de NAC ......................................................................................................... 23

2.3 Operación de un NAC ............................................................................................. 23

2.4 Elementos de un NAC ............................................................................................ 24

2.4.1 Equipo cliente. ................................................................................................. 25

2.4.2 Autenticador. ................................................................................................... 25

2.4.3 NAC Gateway. ................................................................................................. 25

2.4.4 Servidor de autenticación. ............................................................................... 25

2.4.4.1 Autenticación basada en MAC. .................................................................... 25

2.4.4.2 Autenticación basada en 802.1X. ................................................................. 26

2.4.4.3 EAP-MS-CHAP v2. ...................................................................................... 29



2.4.4.4 Servidor RADIUS. ........................................................................................ 29

2.4.4.5 Servidor Kerberos. ....................................................................................... 30

2.4.4.6 Protocolo de autenticación de contraseña (PAP). ........................................ 31

2.4.4.7 Protocolo de autenticación de contraseña (CHAP). ...................................... 31

2.4.5 Servidor de Remediación. ................................................................................ 31

2.5 Modos de operación de un Nac. ............................................................................. 32

CAPITULO III. ANALISIS Y DISEÑO DEL PROYECTO. ...................... 36

3.1 Antecedentes de la empresa. ................................................................................. 36

3.2 Infraestructura Tecnológica Instalada ..................................................................... 36

3.3 Política de seguridad de acceso a la red. ............................................................... 37

3.4 Problemática detectada en la empresa. .................................................................. 40

3.5 Solución propuesta. ................................................................................................ 41

3.6 Diseño del proyecto. ............................................................................................... 43

CAPITULO IV. IMPLEMENTACIÓN DEL PROYECTO ......................... 46

4.1 Actividades de implementación. .............................................................................. 46

4.2 Fase 1. Escenario de pruebas. ............................................................................... 46

4.2.1 Diagrama de conectividad. .............................................................................. 47

4.3 Fase 2. Puesta en producción. ............................................................................... 58

CONCLUSIONES. ................................................................................. 60

REFERENCIAS BIBLIOGRAFICAS. .................................................... 61

GLOSARIO. .......................................................................................... 62



INDICE DE FIGURAS.

Figura 2.1 Arquitectura IEEE 802.1X .................................................................................... 27

Figura 2.2 Proceso de Autenticación con EAP ...................................................................... 29

Figura 3.1 Diagrama de conexión de red local ...................................................................... 37

Figura 3.2 Procedimiento Manual de Acceso a la Red .......................................................... 40

Figura 3.3 Estudio de mercado ............................................................................................. 42

Figura 3.4 Diseño de solución ............................................................................................... 43

Figura 4.1 Plan de actividades .............................................................................................. 46

Figura 4.2 Diagrama de conexión de red Laboratorio ........................................................... 47

Figura 4.3 Elementos de una política .................................................................................... 48

Figura 4.4 Perfil Básico ......................................................................................................... 49

Figura 4.5 Perfil Avanzado .................................................................................................... 49

Figura 4.6 Roles ................................................................................................................... 49

Figura 4.7 802.1x .................................................................................................................. 50

Figura 4.8 EAP ..................................................................................................................... 51

Figura 4.9 MSCHAP ............................................................................................................. 51

Figura 4.10 Radius ............................................................................................................... 52

Figura 4.11 Radius Switch .................................................................................................... 53

Figura 4.12 Radius Puertos .................................................................................................. 53

Figura 4.13 Autenticación ..................................................................................................... 54

Figura 4.14 Violación a Política ............................................................................................. 55

Figura 4.15 Cuarentena ........................................................................................................ 55

Figura 4.16 Remediación ...................................................................................................... 56

Figura 4.17 Revalidación ...................................................................................................... 56

Figura 4.18 Acceso Autorizado_1 ......................................................................................... 57

Figura 4.19 Acceso Autorizado_2 ......................................................................................... 58

Figura 4.20 Diagrama de conexión de red NAC .................................................................... 59



0 OBJETIVO.

Proponer e implementar una solución de control automatizado de acceso a la red (NAC, Network Access Control), para garantizar el cumplimiento de la política de seguridad de acceso a los servicios de red de una empresa.



0 JUSTIFICACIÓN.

El avance acelerado de la sociedad en el mundo, principalmente en el ámbito tecnológico ha traído como consecuencia el desarrollo de amenazas informáticas que pueden comprometer la operación de una organización. Con base en lo anterior las organizaciones están adoptando mecanismos automatizados que permiten monitorear, controlar y administrar permanentemente las condiciones de operación de su infraestructura de red, a fin de mantener la disponibilidad y confidencialidad de su información. La implementación de un sistema NAC, permitirá a una Institución administrar mediante políticas previamente configuradas, la admisión de usuarios y dispositivos a la red institucional, estableciendo parámetros de autenticación, revisión y remediación, a fin de garantizar de una manera automatizada el cumplimiento de las políticas de seguridad definidas por la organización.



1 CAPÍTULO I. LA SEGURIDAD INFORMATICA.

CAPITULO I. LA SEGURIDAD INFORMÁTICA.

1.1 SEGURIDAD INFORMÁTICA. La seguridad de la información según ISO 27001, es la preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas [1]. Se entiende como seguridad, una característica de cualquier sistema (informático o no) el cual indique que esté libre de peligro, daño o riesgo. Sin embargo este concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro se debe dotar de tres características: Integridad, Confidencialidad y Disponibilidad, dependiendo de las fuentes de amenazas. Seguridad informática, consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. La seguridad informática debe garantizar:

La Disponibilidad de los sistemas de información.

La Integridad de la información.

La Confidencialidad de la información. Dentro de la seguridad informática se tienen los siguientes tipos:

Seguridad de la información

Seguridad de la red

Seguridad de Internet



1.2 ORGANISMOS OFICIALES DE SEGURIDAD INFORMÁTICA. Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, se hablará de dos en particular. El CERT/CC (Computer Emergency Response Team Coordination Center) y el SEI (Software Engineering Institute) de la Carnegie Mellon University. Son centros de alertas y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo. CERT/CC (Computer Emergency Response Team Coordination Center) El CERT/CC, posiblemente el más conocido en el grupo del Programa de CERT, aborda los riesgos en el software y el nivel del sistema. A pesar de que fue establecido como un equipo de respuesta a incidentes, el CERT/CC ha evolucionado más allá de eso, se centra en identificar y abordar las amenazas actuales y potenciales [2]. Uno de los principales objetivos, es analizar el estado de seguridad de Internet y transmitir esa información a la comunidad de Internet. El CERT/CC se encarga del monitoreo de fuentes públicas de información y vulnerabilidades, además de recibir regularmente informes de las debilidades encontradas que después de analizarlas, los expertos informarán a los productores de tecnologías para trabajar en conjunto con ellos para facilitar su respuesta a estos problemas. SEI (Software Engineering Institute) El SEI colabora estrechamente con la defensa, las organizaciones gubernamentales, la industria y la academia para mejorar continuamente los sistemas de software intensivo [3]. Para lograr esto:

Se lleva a cabo la investigación para explorar las soluciones a los problemas de ingeniería de software.

Identifica y codifica las soluciones tecnológicas y metodológicas de identificación y codificación.

Prueba y rectifica las soluciones a través de programas piloto que ayuden a la industria y el gobierno a resolver sus problemas.

Difunde soluciones ampliamente prácticas a través de la información, la concesión de licencias, y la publicación de las mejores soluciones.



1.3 IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA. El constante avance tecnológico, así como social en los últimos años ha demostrado que la información es un activo de un alto valor estratégico que a su vez se convierte en una ventaja competitiva para las organizaciones e incluso para la vida personal, esto trae como consecuencia el aumento de delitos informáticos. La existencia de personas ajenas a la información personal o institucional, también conocidas como piratas informáticos, hackers o incluso empleados de la propia institución, que buscan la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares. Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, además del inexistente conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. En ese sentido, la seguridad informática tiene como objetivo la salvaguarda de los activos contra daños, destrucción, uso no autorizado o robo; mantiene la integridad de los datos, permitiendo que la información electrónica sea oportuna, precisa, confiable y completa; ayuda a alcanzar las metas institucionales y permite el uso eficiente de los recursos tecnológicos destinados para el procesamiento de la información. La seguridad comprende aspectos relacionados con políticas, estándares, prácticas sanas, controles, valoración de riesgos, capacitación y otros elementos necesarios para la adecuada administración de los recursos tecnológicos y de la información que se maneja por esos medios [4].

1.4 ATAQUES Y AMENAZAS EN LA SEGURIDAD INFORMÁTICA. Ataque, es la explotación de una o varias vulnerabilidades utilizando un método de destrucción con una oportunidad dada, un acto inteligente y deliberado para eludir los servicios de seguridad y violar la política de seguridad de un sistema. La clasificación de los ataques se encuentra dada de la siguiente manera: Ataques Pasivos. Intenta conocer o hacer uso de información del sistema, pero no afecta a los recursos del mismo. En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida.



Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.

Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales.

Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información.

Entre los ataques pasivos más comunes se encuentran: Escuchas (Eavesdropping ) Es un proceso mediante el cual un agente capta información en claro o cifrada que no le iba dirigida. Aunque es en principio un ataque completamente pasivo, lo más peligroso del escuchas es que es muy difícil de detectar mientras que se produce, de forma que un atacante puede capturar información privilegiada y claves para acceder a más información sin que nadie se de cuenta hasta que dicho atacante utiliza la información capturada, convirtiendo el ataque en activo [5]. Analizador de protocolos (sniffer) Es un ataque pasivo que tiene como objetivo recoger información por parte de alguien al que no va dirigida, esta información puede ser desde una contraseña, hasta conversaciones de un programa de mensajería instantánea. Es bien conocido el modo de depuración de errores que tienen todas las tarjetas Ethernet denominado modo promiscuo y que es utilizado con frecuencia en los ataques a redes cableadas [6]. Ataques Activos. Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:

Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.



Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.

Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B".

Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc [7].

1.5 AMENAZAS A LA SEGURIDAD INFORMÁTICA.

Una amenaza es un peligro posible que podría explotar una vulnerabilidad. Esta posibilidad genera una circunstancia, capacidad, acción o evento que pudiera romper con la integridad, disponibilidad o la confidencialidad de la información. Hay formas en las cuales las amenazas se clasifican, esto va a depender la manera en como explotan las vulnerabilidades Interrupción. Es un recurso del sistema que es destruido o se vuelve no disponible. Esto significa una amenaza contra la disponibilidad. Intercepción. Una entidad no autorizada consigue acceso a un recurso. Esto es una amenaza contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Modificación. Una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es una amenaza contra la integridad. Fabricación. Una entidad no autorizada inserta objetos falsificados en el sistema. Este es una amenaza contra la autenticidad.



Las amenazas en la red se clasifican de 4 formas diferentes.

Amenazas no estructuradas.

Amenazas estructuradas.

Amenazas externas.

Amenazas internas. Amenazas no estructuradas. Las amenazas sin estructura o no estructuradas consisten en su mayoría individuos sin experiencia que usan herramientas típicas de hacker que se consiguen muy fácilmente en Internet. Amenazas estructuradas. Las amenazas estructuradas consisten en hackers muy motivados técnicamente competentes. Normalmente, conocen los diseños de los sistemas de redes y sus puntos vulnerables, pueden conocer y de igual forma crear códigos Hacking para penetrar en los sistemas de redes. Amenazas externas. Las amenazas externas son individuos u organizaciones que no trabajan en una empresa y que no tiene acceso autorizado a sus redes de computadoras. Trabajan principalmente desde Internet o desde los servidores de marcación telefónica. Amenazas internas. Las amenazas internas se producen de alguien que tiene autorizado el acceso a la red mediante una cuenta de los servicios así como el acceso físico al cable.

1.6 CONTROLES DE SEGURIDAD. Control es la función que permite la supervisión y comparación de los resultados obtenidos contra los resultados esperados originalmente. Control de acceso. Es limitar el acceso a los recursos en función de un conjunto de restricciones, el cual consta de dos pasos:

La autenticación, que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no.

La autorización, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc.



En seguridad informática a menudo se divide en categorías distintas, comúnmente llamados controles entre los cuales:

Controles Físicos

Controles Técnicos

Controles Administrativos Estas tres amplias categorías definen los objetivos principales de una implementación de seguridad apropiada. Dentro de estos controles hay subcategorías que detallan aún más los controles y como estos se implementan.

1.6.1 Controles físicos

El control físico es la implementación de medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial. Ejemplos de los controles físicos son:

Cámaras de circuito cerrado

Sistemas de alarmas térmicos o de movimiento

Guardias de seguridad

Identificación con fotos

Puertas de acero con seguros especiales

Biométrica (huellas digitales, voz, rostro, iris, escritura a mano, etc)

1.6.2 Controles técnicos Los controles técnicos utilizan la tecnología como una base para controlar el acceso y uso de datos confidenciales a través de una estructura física y sobre la red, de igual forma incluye una estructura lógica sobre la cual se ejecutan programas dedicados a controlar el acceso a la red.

Los controles técnicos son aquellos basados en un software o parte de él, que permitirán:

Identificar los usuarios de ciertos datos y/o recursos: hacer una

clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.

Restringir el acceso a datos y recursos de los sistemas: establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario común de un sistema no tendrá acceso a los datos financieros de la organización.



Los controles técnicos se pueden dividir en:

Controles lógicos basados en red

Controles lógicos basados en host

1.6.2.1 Controles lógicos basados en red. Como su nombre lo indica en esta clasificación se permite mantener la correcta administración de los recursos de la red entre los que se podrán encontrar:

Cortafuegos (firewall)

Sistema de detección de intrusos (IDS)

Sistema de prevención de intrusos (IPS)

Filtrado de contenido en internet.

Control de acceso a la red. Cortafuegos (FIREWALL). Cortafuegos es un filtro que controla todas las comunicaciones que pasan de una red a otra y en función de lo que se permite o deniega su paso. Para permitir o denegar una comunicación el cortafuego examina el tipo de servicio al que corresponde, dependiendo del servicio el firewall examina si la comunicación es entrante o saliente y dependiendo de su contenido y de las reglas establecidas decidir si permite la transmisión de datos y comunicación [8]. En esencia, un cortafuego es una barrera entre una red segura, privada e interna y otra red. El propósito de un firewall es prevenir comunicación no deseada o no autorizada con la red segura. Sus tareas son dos:

Evitar que los usuarios de la propia red intercambien información libremente con usuarios externos a ella.

Evitar la entrada de usuarios externos a la propia red que pretendan atacarla o comprometer su integridad.

Sistema de detección de intrusos (IDS). Un sistema de detección de intrusos o IDS, es un programa usado para detectar accesos no autorizados a un equipo de cómputo o a una red. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el



tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento [9]. Sistema de prevención de intrusiones (IPS). Un sistema de prevención de intrusiones IPS, es una red de seguridad del dispositivo que controla la red y/o actividades del sistema de comportamiento malicioso o no deseado y puede reaccionar, en tiempo real, para bloquear o impedir las actividades. El IPS tiene la capacidad de bloquear el acceso a los usuarios o las aplicaciones, lo hace sólo cuando el código malicioso se ha descubierto. El IPS es típicamente diseñado para funcionar completamente invisible en una red. Los productos de IPS no suelen reclamar una dirección IP en la red protegida, pero pueden responder directamente a una de tráfico en una variedad de maneras. (Los IPS incluyen las respuestas, el restablecimiento de conexiones, la generación de alertas, e incluso en cuarentena intrusos.) La tecnología IPS permite a las organizaciones proteger la información crítica de una forma proactiva, sin limitarse a emitir alertas en una consola luego de que los ataques han sucedido, esta tecnología supone un beneficio continuo y una inversión verdaderamente inteligente para cualquier entorno de red, así mismo protegen infraestructuras, aplicaciones y en muchos mejora el rendimiento de las redes porque a través de ella no circulará código dañino. Un buen sistema IPS debe cumplir como mínimo con características tales como bloqueo automático de ataques, protección de sistemas no parcheados, y optimización del rendimiento de la red [10]. Filtrado de contenido. Se refiere a un programa diseñado para controlar qué contenido se permite mostrar, especialmente para restringir el acceso a ciertos materiales de la Web. El filtro de contenido determina qué contenido estará disponible en una máquina o red particular [11]. El motivo del filtrado de contenido, suele ser para prevenir a las personas ver contenido que el dueño de la computadora u otras autoridades consideran censurables. Cuando se impone sin el consentimiento del usuario, puede constituir censura. Los usos comunes de estos programas incluyen padres que desean limitar los sitios que sus hijos ven en sus computadoras



domésticas, escuelas con el mismo objetivo, empleadores para restringir qué contenidos pueden ver los empleados en el trabajo. El filtrado de contenido puede operar por:

Por palabras clave.

Por listas "negras" o "blancas". Control de Acceso a la RED. Control de acceso a la red (NAC) es un enfoque para la seguridad de redes que intenta unificar los criterios de valoración de seguridad de tecnología (tales como antivirus, prevención de intrusiones, y evaluación de vulnerabilidades y autenticación [12]. Esto se consigue aplicando diversas políticas que describen cómo obtener acceso a una red. El NAC examina e identifica rápidamente a esos usuarios que no deberían poder acceder a nuestra red, al tiempo que se asegura de que funcionen políticas tan cruciales como los ajustes del firewall, o que los antivirus y parches de seguridad de los equipos estén actualizados. Objetivos del Control de Acceso a la Red. El control de acceso a red (NAC) representa una categoría emergente en productos de seguridad, su definición es controvertida y está en constante evolución. Los objetivos principales de este concepto se pueden resumir en: 1.6.2.2 Controles lógicos basados en Host.

Como su nombre lo indica en esta clasificación se permite mantener la correcta administración de los recursos del Host entre los que se pueden encontrar:

Antivirus

Antiespias

Antispam Antivirus. Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema [13]. Un antivirus tiene tres principales funciones y componentes:



Vacuna: Es un programa que instalado residente en la memoria, actúa como "filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.

Detector: Es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.

Eliminador: Es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.

La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada. Existen diferentes tipos de virus tales como:

Virus “Bombas de tiempo”: Las bombas de tiempo suelen ser virus que se activan un determinado día a una determinada hora, o bien cuando concurran una serie de circunstancias determinadas.

Caballos de Troya: Viajan en los ficheros ejecutables, y su misión es infestar todo disco duro o disquete que caiga en sus manos, con objeto de transmitirse.

Puertas traseras: Aprovechan las debilidades de los programas de acceso a Internet, los servidores de correo y otros errores de programación. De esta manera pueden ingresar al equipo de manera remota, robar datos e incluso hacer al equipo un “transmisor” de virus.

Antiespías (Antispyware). Este tipo de aplicaciones tiene como objetivo buscar, detectar y eliminar programas espías (spyware) que se instalan ocultamente en el ordenador. Los antiespías pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc) [14].



Antispam. Estas aplicaciones detectan y elimina el spam y los correos no deseados que circulan vía email [15]. Funcionan mediante filtros de correo que permiten detectar los emails no deseados. Estos filtros son totalmente personalizables. Además utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva alguna casilla en particular.

1.6.3 Controles administrativos.

Los controles administrativos definen los factores humanos de la seguridad. Incluye todos los niveles del personal dentro de la organización y determina cuáles usuarios tienen acceso a qué recursos e información usando medios tales como:

Políticas de seguridad

Política de seguridad. Directrices y objetivos generales de una empresa relativos a la calidad, expresados formalmente por la Dirección General". Es una de las vías para hacer operativa la estrategia [16].

Algunas empresas establecen Políticas de Seguridad muy extensas y complicadas, en otras son demasiado breves que no se alcanza a comprender el contenido, son las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños.

Objetivos de las Políticas de Seguridad. Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización. Componentes de una Política de Seguridad. Una política de seguridad debe asegurar cuatro aspectos fundamentales en una solución de seguridad:

Autenticación. Control de acceso. Integridad. Confidencialidad.

A partir de estos, surgen los principales componentes de una política de seguridad:



Política de privacidad. Define expectativas de privacidad con respecto a funciones como monitoreo, registro de actividades y acceso a recursos de la red. Política de acceso. Que permite definir derechos de acceso y privilegios para proteger los objetivos clave de una pérdida o exposición mediante la especificación de guías de uso aceptables para los usuarios con respecto a conexiones externas, comunicación de datos, conexión de dispositivos a la red, incorporación de nuevo software a la red, etc. Política de autenticación. Que establece un servicio de confiabilidad mediante alguna política de contraseñas o mecanismos de firmas digitales, estableciendo guías para la autenticación remota y el uso de dispositivos de autenticación. Un sistema de IT (tecnología de la información) y una política de administración de la Red: Describe como pueden manipular la tecnología los encargados de la administración interna y externa. De aquí surge la consideración de si la administración externa será soportada y, en tal caso, como será controlada. Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. Proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas, debilidades y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Importancia de las Políticas de Seguridad. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

Alcance de las políticas, incluyendo facilidades, sistemas y personal

sobre la cual aplica. Objetivos de la política y descripción clara de los elementos

involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos

informáticos aplicado a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los

sistemas que abarca el alcance de la política. Definición de violaciones y sanciones por no cumplir con las

políticas.



Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles, es decir deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, esto sin sacrificar su precisión. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son:

El aumento de personal. Cambios en la infraestructura computacional. Alta rotación de personal. Desarrollo de nuevos servicios. Regionalización de la empresa. Cambio o diversificación del área de negocios, etc.

Los parámetros para establecer políticas de seguridad. Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:

Efectuar un análisis de riesgos informáticos, para valorar los activos

y así adecuar las políticas a la realidad de la empresa. Reunirse con los departamentos dueños de los recursos, ya que

ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos, bienes y sus elementos de seguridad.

Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos de su área.

Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.

Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.



Razones que impiden la aplicación de las políticas de seguridad informática. A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad. Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía. Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión del negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.

1.7 ROLES. Un rol es un conjunto de permisos que puede asignarse a un usuario. Un permiso es un parámetro que especifica si su poseedor dispone de acceso a un determinado servicio o a una zona específica de la red. Normalmente, los roles se definen de modo que incluyan permisos relacionados con la función de una usuario dentro de una empresa [17]. Se pueden asignar varios roles a un mismo usuario. De este modo, se garantiza que el usuario disponga del conjunto de permisos definidos por tales roles, mientras se encuentre conectado al sistema. La asignación sólo permanecerá en vigor mientras dure la sesión. Esto significa que, si se modifica un rol mientras está conectado el



usuario al que se le ha asignado, la modificación no surtirá efecto hasta que ese usuario se desconecte y vuelva a conectarse. Existen dos tipos de roles: aplicados y automáticos. La diferencia entre ambos tipos radica sólo en el modo en que se asignan a los usuarios:

Un rol aplicado es un conjunto de permisos que se asocia a los usuarios que se ha seleccionado mediante una búsqueda en la base de datos.

Un rol automático es un conjunto de permisos que se asocia a todos los usuarios que se identifica en el directorio LDAP por medio de la cadena coincidente que se especifique.

Cada método de asignación de roles tiene sus ventajas. Una de las de asignar roles aplicados es que se pueden asignar varios roles a un mismo usuario en un solo paso. Y una de las ventajas de asignar roles automáticos es que se puede asignar un mismo rol a varios usuarios pertenecientes a la jerarquía de un directorio LDAP.



O II. ESCRIPCION DE UN NAC

CAPITULO II. DESCRIPCIÓN DE UN NAC.

2.1 QUE ES UN NAC (NETWORK ACCESS CONTROL). Las empresas cada vez más sienten la necesidad de abrir sus redes a socios comerciales y clientes, lo que supone serios retos de seguridad, pues, incluso cuando se trata de los propios empleados, no todos pueden ser tratados de igual forma. Así, las organizaciones necesitan un modo sencillo de garantizar a los diferentes grupos de usuarios el acceso a los recursos que ellos necesitan, aunque manteniéndoles fuera del alcance de los que no deben ver. Una solución para este problema es la implementación de un NAC, en el que el entorno de la red se difumina y se extiende debido a la movilidad. La idea es autenticar máquinas, y/o usuarios para permitir el acceso a red de esta forma solo se podrán tener acceso quienes tengan credenciales. Con un NAC se pretende garantizar que el PC tiene un conjunto de programas previamente establecidos y en todo momento activos(al iniciar y terminar la sesión en la red). Un NAC podrá aislarlo de la red de producción si el usuario desactiva alguno de estos programas y volver a admitirlo en el momento en que vuelva a activarlo, o forzar su activación automáticamente. Con una solución NAC se tiene control total del estado del puesto de trabajo porque hay un software en el puesto y así es posible comprobar qué software está instalado, en ejecución y es también posible tomar acciones correctivas (como ordenar la descarga e instalación de parches, etc.) en caso de incumplimiento de la política. NAC tiene un grado mucho más fino de control y de política de seguridad, ya que estar en red o no estarlo es bastante limitado, Una buena solución permite flexibilidad manteniendo la política de seguridad, ya que puede ubicar a una PC en diferentes redes (de invitados, de producción, de remediación, etc.) en función del estado de la PC en cada instante. Una PC puede no cumplir la política de seguridad en muchos grados, y algunos de ellos pueden, efectivamente, impedirles el acceso a red, pero algunos otros simplemente, pueden suponer restricciones de acceso a aplicaciones o recursos muy concretos y limitados, de forma que no se entorpezca el funcionamiento del negocio con una política demasiado estricta, y tampoco se tiene por qué tener una política demasiado permisiva para precisamente posibilitar la correcta y buena operación del negocio, tal y como sucede a menudo en muchas organizaciones.



En síntesis un NAC unifica en una única solución, el control de acceso a red, del estado del puesto de trabajo y de cumplimiento de las políticas de seguridad sin entorpecer la agilidad y manteniendo la integridad del negocio.

2.2 TIPOS DE NAC. Basado en hardware. Tanto si es “in-line” o “out-of-band”, esta opción necesita habitualmente de un equipo (appliance) que tendrá que estar instalado en casi cualquier ubicación donde sea preciso contar con NAC. Algunos de estos appliances han sustituido a los switches de acceso, mientras que otros operan entre la capa de acceso a red y los switches de red. Basado en agentes software. El siguiente paso es el basado en pequeños programas residentes en los ordenadores y dispositivos, instalándose estos agentes en cada uno de los sistemas que deban ser controlados por el NAC. Dichos agentes escanean y monitorizan el dispositivo, generalmente enviando los resultados a un servidor central. Los sistemas que no cumplen con los requisitos no tendrán autorización de acceso a la red, y a menudo se les envía algún tipo de medida correctora para que cumplan las directivas de seguridad. Sin agentes software. El NAC sin agentes es otra de las variantes, y consiste en partes software que se ejecutan puntualmente. Con esta configuración, la idea es que un agente temporal (generalmente algún tipo de control ActiveX) escanee el cliente periódicamente en búsqueda de vulnerabilidades o incumplimientos en la política de seguridad. Los resultados del escaneo son enviados al servidor central de políticas, y se ejecuta una acción si es necesario en caso de que el sistema no cumpla con los requerimientos. Cuando el proceso se completa, el agente se descarga. NAC dinámico. El NAC dinámico, que utiliza agentes sólo en un porcentaje determinado de equipos. También se conoce como NAS peer-to-peer, siendo una opción que no requiere cambios a nivel de red o software que deba ser instalado en cada equipo. Los agentes, que en ocasiones pueden llegar a ser obligatorios, son instalados en sistemas seguros. A partir de aquí, como una verdadera fuerza policial, sólo se necesita controlar el cumplimiento de una serie de normas y leyes en la red, para hacer que la “población” cumpla las reglas.

2.3 OPERACIÓN DE UN NAC.

A continuación se describe la operación de un NAC:



Detección e Identificación de nuevos dispositivos conectados a la red. Esto se lleva a cabo por la identificación de peticiones de autenticación lo anterior se realiza a través de los switches. Autenticación de usuarios y dispositivos. La Autenticación hablando de sistemas informáticos es un procedimiento que consiste en comprobar la identidad de una entidad (persona, equipo…), con vistas a la autorización del acceso de dicha entidad a ciertos recursos (sistemas, redes, aplicaciones…). La autenticación se realiza utilizando el estándar 802.1x y un servidor RADIUS, mismos que se describen más adelante. Evaluación o revisión de sistemas finales en cuanto a su cumplimiento y/o vulnerabilidades. En esta parte se hace una revisión de las condiciones en las que se encuentra el equipo, que busca conectarse a la red en cuanto a su cumplimento con políticas previamente establecidas como son sistema operativo, programas y aplicaciones instalados, actualizaciones de antivirus así como nivel de parcheo. Esto se realiza con el objetivo de que si un equipo de usuario deja de cumplir con las políticas establecidas, este será redireccionado a la zona de remediación. Autorización para usar la red basado en los resultados de la autenticación y evaluación. Como ya se menciono esta fase depende de los resultados obtenidos previamente, entonces se determina el roll o función (si es empleado, Invitado, administrador) que desempeña la estación o equipo final de usuario, y de acuerdo con esto se autoriza el uso de recursos de red. Remediación para equipos con problemas de cumplimiento de políticas de seguridad. Aquí se resuelven problemas de cuarentena de sistema finales, y/o usuarios para evitar impacto negativamente sobre el ámbito general de la red, así como remediación de problemas con los sistemas finales y/o usuarios. Cabe señalar que se tiene salida a Internet en todo momento para la descarga de programas necesarios.

2.4 ELEMENTOS DE UN NAC. Los elementos que conforman un NAC son:

Equipo cliente

Autenticador

Nac Gateway



Servidor de autenticación

Servidor de remediación

2.4.1 Equipo cliente. En una red, los equipos clientes son empleados por los usuarios de una red tales como PC’s, impresoras, servidores, entre otros.

2.4.2 Autenticador. Entidad en un extremo de un segmento punto a punto de una LAN que facilita la autenticación de la entidad conectada al otro extremo del enlace.

2.4.3 NAC Gateway. Es un dispositivo que se encuentra entre el servidor de autenticación y el equipo de usuario final. Este dispositivo permite controlar las acciones de autenticación y autorización mediante la manipulación de los atributos que entrega el servidor de autenticación, a fin de indicar al autenticador la acción a seguir.

2.4.4 Servidor de autenticación. Entidad que facilita servicio de autenticación al Autenticador. La autenticación se puede llevar a cabo a través de los siguientes métodos de autenticación en red:

2.4.4.1 Autenticación basada en MAC.

Este método basado en MAC utiliza los mismos elementos básicos de autenticación como 802.1X. La diferencia es el abandono de certificados y datos de registro.

El switch utiliza la dirección MAC del sistema final como un reemplazo para el nombre de usuario y verifica esto con el servidor RADIUS. Este método puede utilizarse en redes que admiten 802.1X para verificar todos los sistemas finales sin el agente con el servidor RADIUS. Una estrategia común de la aplicación es empezar con el método de autenticación basado en MAC para toda la red y más tarde migrar a 802.1X para los sistemas finales donde hay soporte. Este método (MAC) sólo ofrece un nivel limitado de la seguridad y sólo se debe utilizar en combinación con la autorización restrictiva. Información adicional, como el nombre de usuario, es desconocida y autorizaciones posteriores deben ir ligadas a la dirección hardware del sistema final. Una ventaja de este método es la administración centralizada de todos los usuarios a través del servicio RADIUS.

En conclusión este método de autenticación es una solución para sistemas finales especiales.

http://www.carlospes.com/minidiccionario/red_cliente_servidor.php



Ventajas

Estándar para sistemas actuales.

Administración centralizada.

Detección en tiempo real.

Buena escalabilidad.

Desventajas

Muchos requerimientos.

Baja seguridad.

La información adicional del sistema final es limitada.

2.4.4.2 Autenticación basada en 802.1X. La autenticación 802.1X es uno de los métodos de autenticación más seguro ya que permite la detección de sistemas finales en el puerto de switch de red mediante la autenticación. Esto requiere capacidades específicas en el switch, el cliente y la entidad local de autenticación (como puede ser un servidor RADIUS).

La especificación IEEE 802.1X es un estándar de control de acceso desarrollado por el IEEE que permite utilizar diferentes mecanismos de autenticación. Su funcionamiento se basa en el concepto de puerto, visto éste como el punto a través del que se puede acceder a un servicio proporcionado por un dispositivo, que en este caso será el punto de acceso. En principio todos los puertos están desautorizados, excepto uno que es el punto de acceso que se utiliza para comunicarse con el cliente. Cuando un nuevo cliente (equipo de usuario) solicita conexión, le pasa al punto de acceso información de autenticación, que éste reenvía al servidor de autenticación. Cuando éste le contesta, si la respuesta es que el cliente puede hacer uso de la red, autoriza un puerto para que lo utilice el cliente. La Figura 2.1 muestra la estructura general de un sistema IEEE 802.1X.



Figura 2. 1 Arquitectura IEEE 802.1X

En esta arquitectura, la información de autenticación se encapsula en el protocolo EAP (Extensible Authentication Protocol), un mecanismo genérico de transmisión de datos de autenticación.

802.1x es un estándar que define claramente las entidades y protocolos necesarios para llevar a cabo procesos de control de acceso a cualquier servicio ofrecido por una red.

802.1X plantea un escenario con tres entidades básicas como son el cliente, el elemento que proporciona la conectividad a la red (punto de acceso) y el servidor de autenticación encargado de averiguar si un determinado cliente ha sido autorizado a hacer uso de dicha red. En lo que respecta a los protocolos que componen la especificación 802.1X, la propuesta es bastante flexible al no limitar los mecanismos de autenticación a ninguna solución concreta, sino que es posible hacer uso de cualquier tipo de especificación convenientemente adaptada al marco 802.1X. Esta flexibilidad va a permitir hacer uso de protocolos basados en certificados digitales como elementos fundamentales a la hora de constatar la autenticidad de los participantes.

La importancia del uso de certificados digitales radica en su capacidad para aliviar los problemas de escalabilidad asociados a las soluciones fundamentadas en el uso de bases de datos. Estos elementos permiten que un usuario desconocido para el sistema pueda hacer uso de la red con solo proporcionarle el certificado adecuado. Además en este certificado pueden incluirse ciertos atributos acerca del usuario, como el tiempo máximo que puede utilizar la red, los servicios a los que puede acceder o los recursos que puede utilizar.

Un certificado es una estructura que contiene información del usuario en cuanto a identidad o permisos, y que va firmado digitalmente por una entidad de confianza.



Hay situaciones donde el método de autenticación 802.1X no es apropiado. Algunos sistemas finales puede que no admitan o no contengan a un solicitante 802.1X (el agente de software para la autenticación).

Ejemplos de dispositivos que no soportan 802.1X podrían ser impresoras antiguas o cámaras de vídeo IP. Además, hay algunos switches de red que no son compatibles con 802.1X. Por último, invitados que no estén configurados correctamente, basadas en los estándares de TI, para ser autenticados a través de 802.1X.

Las empresas a menudo tienen redes heterogéneas que pueden soportar parcialmente la autenticación o no. El objetivo aquí es implementar tecnología mejorada, siempre que sea posible. Sin embargo, un reemplazo completo de la red es generalmente una propuesta de costo prohibitivo. El objetivo debe ser garantizar el uso de nuevos conmutadores de red compatibles con 802.1X, así como múltiples sesiones de autenticación individual por el puerto. También se deben soportar autenticaciones diferentes para varios tipos de sistema finales permitiendo la flexibilidad de puerto (por ejemplo, teléfono VoIP más PC).

En conclusión si se cumplen todos los requisitos, 802.1X ofrece una identificación muy escalable y dinámica con un alto nivel de seguridad en el puerto del switch. Ventajas

Estándar para sistemas actuales.

Administración centralizada.

Detección en tiempo real.

Alto nivel de seguridad.

Buena escalabilidad.

Información adicional de host y usuario

Desventajas

Muchos requerimientos.

Subsecuentes actualizaciones caras.



2.4.4.3 EAP-MS-CHAP v2.

EAP con la versión 2 del Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol) es un método de autenticación mutuo que permite la autenticación de usuarios y equipos basada en contraseñas. Durante el proceso de autenticación con EAP-MS-CHAP v2, tanto el servidor como el cliente deben demostrar que conocen la contraseña del usuario para que la autenticación sea correcta. Con EAP-MS-CHAP v2, tras una autenticación correcta, los usuarios pueden cambiar sus contraseñas y se les notifica cuándo caducan.

Figura 2. 2 Proceso de Autenticación con EAP

Los servidores de autenticación se clasifican en:

2.4.4.4 Servidor RADIUS. RADIUS (Remote Authentication Dial In User Service). Es un protocolo de autentificación comúnmente utilizado por el estándar de seguridad 802.1x.

Aunque en la especificación 802.1X se habla de los servidores de autenticación en términos genéricos, en la práctica se trata de elementos diseñados según los criterios del marco AAA (Authentication, Authorization and Accounting). Este marco define los elementos básicos necesarios para autenticar usuarios, manejar peticiones de autorización y realizar la contabilidad del sistema. Un servidor AAA debe ser capaz de recibir peticiones, examinar el contenido de dichas peticiones, determinar qué autorización se está pidiendo, recuperar las políticas que necesite de un repositorio, evaluar la petición y obtener la respuesta a la petición, o bien reenviar la petición a otro servidor AAA.



RADIUS es un protocolo encuadrado dentro del marco AAA y utilizado principalmente en entornos donde los clientes son elementos de acceso a la red (como los puntos de acceso). Estos elementos mandan información al servidor cuando un nuevo cliente intenta conectarse, tras lo cual el servidor realiza el proceso de autenticación del usuario y devuelve al elemento de acceso la información de configuración necesaria para que éste trate al cliente de la manera adecuada.

Muchos ISP (proveedores de acceso a Internet por dial up, DSL, cable, módem, Ethernet, Wi-Fi) requieren que se ingrese un nombre de usuario y contraseña para conectarse a la red. Antes de que el acceso a la red sea concedido, los datos de acceso son pasados hacia un servidor RADIUS. El servidor RADIUS revisa que esta información sea correcta usando diversos esquemas de autentificación como EAP. Si es aceptada, el servidor autorizará el acceso al sistema del ISP y seleccionará una dirección IP, etc.

RADIUS también es comúnmente usado para notificar eventos como:

El inicio de sesión del usuario.

El final de sesión del usuario.

El total de paquetes transferidos durante la sesión.

El volumen de datos transferidos durante la sesión.

La razón para la terminación de la sesión.

2.4.4.5 Servidor Kerberos. Kerberos es un protocolo de validación de identificación usado en muchos sistemas reales, se diseñó para permitir a los usuarios de equipos finales, el acceso a recursos de una manera segura.

La arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de Sesión, Ticket y Autenticador.

La clave de sesión es una clave secreta generada por Kerberos y

expedida a un cliente para uso con un servidor durante una sesión; no es obligatorio utilizarla en toda la comunicación con el servidor, sólo si el servidor lo requiere (porque los datos son confidenciales) o si el servidor es un servidor de autenticación. Se suele denominar a esta clave KCS, para la comunicación entre un cliente C y un servidor S.

Las claves de sesión se utilizan para minimizar el uso de las claves secretas de los diferentes agentes: éstas últimas son válidas



durante mucho tiempo, por lo que es conveniente para minimizar ataques utilizarlas lo menos posible.

El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un servidor; garantiza que el cliente ha sido autenticado recientemente. A un ticket de un cliente C para acceder a un servicio S se le denomina {ticket (C, S)} KS = { C, S, t1, t2 }KS . Este ticket incluye el nombre del cliente C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesión KS asociada para uso de cliente y servidor. Kerberos siempre proporciona el ticket ya cifrado con la clave secreta del servidor al que se le entrega.

El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la comunicación; sólo puede ser utilizado una vez. Un autenticador de un cliente C ante un servidor S se denota por { auth ( C ) KCS = { C, t } KCS . Este autenticador contiene, cifrado con la clave de la sesión, el nombre del cliente y un timestamp.

2.4.4.6 Protocolo de autenticación de contraseña (PAP).

El Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol) es un protocolo de autenticación simple en el que el nombre de usuario y la contraseña se envían al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseñas pueden leerse fácilmente en los paquetes del Protocolo punto a punto (PPP, Point-to-Point Protocol) intercambiados durante el proceso de autenticación. PAP suele utilizarse únicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten métodos de autenticación más seguros.

2.4.4.7 Protocolo de autenticación de contraseña (CHAP).

CHAP es un método de autentificación que verifica periódicamente la identidad del cliente remoto usando un intercambio de información de tres etapas. Esto ocurre cuando se establece el enlace inicial y puede pasar de nuevo en cualquier momento de la comunicación. La verificación se basa en un secreto compartido (como una contraseña).

2.4.5 Servidor de Remediación. El servidor de remediación permite La notificación y remediación basadas en las condiciones de la red, ya que estas pueden ser integradas. La notificación es un aspecto crítico de una de una solución NAC. Donde un sistema final puede ser puesto dentro de una configuración de red de cuarentena. Si la PC o equipo de un usuario es repentinamente puesto en cuarentena y no es capaz de acceder los tipos de servicios que el usuario espera. Este probablemente creerá que se trata de un problema de comunicación en la red.



Cabe mencionar primero que es importante que la información de este evento esté disponible para el equipo de TI pero también que el usuario sea directamente notificado de la causa de la interrupción del servicio. Una implementación NAC que no notifica de la puesta en cuarentena puede provocar repentinamente un incremento en las llamadas al centro de ayuda a usuarios que no entienden porque los servicios no están disponibles por esta razón es muy importante la notificación. Una vez que el sistema o equipo es puesto en el estado de cuarentena, la notificación se puede redireccionar al sistema a través de una página web de remediación. Esta página Web puede ser mantenida por el equipo de TI de la organización, y puede incluir detalles acerca de porque el sistema ha sido puesto en cuarentena y como el usuario puede reparar cuestiones que están provocando que el sistema no cumpla con las políticas de seguridad de la organización.

2.5 MODOS DE OPERACIÓN DE UN NAC. Sin agente. El alcance de las pruebas del sistema final en parte depende del software utilizado para la evaluación, pero también está limitado por lo que puede hacerse. Existe un mercado grande para escáneres de vulnerabilidad que ofrece una amplia gama de programas que sólo están diseñados para esto y se actualizan continuamente con nuevos conjuntos de prueba. Generalmente, una evaluación incluye los pasos siguientes (en ningún orden particular):

Disponibilidad y la identificación – ping, búsqueda DNS

Portscan – TCP/UDP

Identificación de las vulnerabilidades

Exploit de las vulnerabilidades Cada uno de estos pasos debe ser configurable por separado y se podrán utilizar los resultados para cualquier paso siguiente. Algunos escáneres de red también pueden conectar con el propio cliente (con nombre de usuario y contraseña) y para pruebas localmente en el cliente. Se requiere atención para realizar un análisis de vulnerabilidad, ya que esto puede provocar una caída del sistema final. La desventaja de este método es la exactitud de los resultados, ya que por un lado sólo es capaz de buscar las vulnerabilidades conocidas y por otro lado los servicios y



las versiones no pueden con precisión identificarse a través de comunicaciones remotas a través de la red. Otra cuestión es la mayor carga (causada por el diagnostico al equipo) dentro del propio servidor de búsqueda. Una ventaja de este método de evaluación es la magnitud de las pruebas que son generalmente mayores de lo que podría proporcionar un agente. Además, en un entorno con huéspedes no es necesario obligarlos a instalar ningún software. La principal ventaja de este método es la capacidad para explorar sistemas finales que no permiten a los agentes, que por supuesto aumenta el número de dispositivos incluidos en una aplicación NAC. En Conclusión con el uso de Scanners de red se automatizan muchas pruebas manuales y se llevan a cabo por servidores centralizados dentro de la red. Es Especialmente recomendado si los agentes no son una opción. Ventajas

Implementación rápida.

Actualizaciones Frecuentes.

Pruebas extensibles.

Información detallada del cliente.

Alta compatibilidad con los equipos. Desventajas

Consumo de tiempo por escaneos

Carga para la red Basado en agente. Un agente es una pieza independiente de software que se ejecuta en un sistema final y proporciona información acerca de las condiciones de un sistema final y en algunos casos también trabaja activamente contra amenazas. La gran ventaja de un agente es la opción de solicitar y comprobar todos los datos en un sistema. Pero también hay desventajas con este método. Dado que tiene un agente que instalarse en el sistema final, puede haber limitaciones en la capacidad de cobertura en un entorno de red de empresa. La mayoría de los proveedores NAC también ofrecen su propio agente para fortalecer sus soluciones NAC y restringir cualquier integración con otras soluciones. Ha habido algunos trabajos para diseñar mejores marcos interoperables para incluir opciones de agente multiproveedor. Microsoft ofrece su protección de acceso a redes



(NAP) como una interfaz entre agentes y NAC en el sistema operativo. Por lo general, debe considerarse la sostenibilidad y la compatibilidad, ser flexible para cualquier futura decisión que implica una implementación NAC. Normalmente, un agente de evaluación ofrece la siguiente información:

Verifica si está el cortafuegos en ejecución o no

Si hay un programa antivirus instalado y actualizado

Sistema operativo que se ejecuta

Nivel de parcheo del sistema

Verifica si hay una conexión con el agente

Software que está instalado

Procesos o servicios que se ejecutan Las posibilidades son muchas, pero pruebas específicas agregan complejidad, ya que el agente primero tiene que aprender lo que debe ser evaluado y cómo diferenciar un sistema capaz de ingresar de manera segura a la red a un sistema que no cuenta con los requisitos suficientes para ingresar a la red. Un agente es capaz de realizar una evaluación y proporciona los resultados más rápidos que otros métodos. También relocaliza la mayoría de la carga en el sistema final. Esto hace la solución basada en el agente más conveniente para entornos de red más grandes. En algunos casos, el agente también puede realizar corrección automática como activar el Firewall del sistema final. Equipos invitados también son más fáciles de administrar con el uso de agentes temporales, donde el agente se instala en la RAM en el sistema final y se elimina después del siguiente reinicio del sistema. Ventajas.

Acceso directo a la información del cliente

Se pueden realizar acciones de remediación directamente

Muy buena escalabilidad

Poca carga para la red

Muy corto tiempo de escaneo Desventajas



Falta de compatibilidad de sistemas.

Comúnmente único proveedor.

Grandes esfuerzos de configuración. Ambos métodos se complementan mutuamente, y en entornos con un alto nivel de seguridad a veces incluso tiene sentido usar ambos al mismo tiempo. Otra ventaja, aparte de la información sobre el nivel de seguridad de los sistemas finales, es la amplia documentación de todos los dispositivos de red. En conclusión un Agente puede hacerlo casi todo pero no en cada sistema final. Se pueden ejecutar acciones localmente en el cliente y la carga y escalabilidad de la red son ideales.



3 PITULO III. ANALISIS Y DISEÑO DEL PROYECTO

CAPITULO III. ANALISIS Y DISEÑO DEL PROYECTO.

3.1 ANTECEDENTES DE LA EMPRESA. La empresa pertenece al ramo financiero, y su objetivo es ofrecer créditos o programas en beneficio de los trabajadores, a fin de satisfacer no sólo sus necesidades materiales y patrimoniales, sino también las que apoyan su pleno desarrollo, como son: Servicios de Salud, Capacitación y Formación Educativa, Apoyo a Empresas Familiares, Esparcimiento y Cultura, Mejoramiento y Equipamiento a la Vivienda, Vehículos y Seguridad Patrimonial. Por lo anterior y por obligaciones regulatorias que obligan a mantener los sistemas fuertemente protegidos, es de gran importancia para esta empresa, el garantizar que cualquiera que se conecte a la red corporativa sea no sólo identificado y autorizado apropiadamente, sino también asegurarse que está utilizando un dispositivo seguro. Un objetivo que, bajo diversas denominaciones y enfoques, representa el cambio más significativo en la seguridad de redes.

3.2 INFRAESTRUCTURA TECNOLÓGICA INSTALADA. La infraestructura tecnológica con la que actualmente cuenta la empresa y que está relacionada directamente con este proyecto se compone de los siguientes elementos:

Equipo/ Servicio Características

Switch Marca Enterasys Modelo Matrix E1 Switch de acceso

Switch Marca Enterasys Modelo Matrix E7 Equipo de core

Firewall

Marca Netscreen Modelo NS-204 Equipo de frontera de Internet



Suite de administración Marca Enterasys Netsight Atlas Policy Manager

Directorio Activo Windows Server 2003 Active Directory

Equipo de usuario final Windows XP

Tabla 3.1 Infraestructura instalada A continuación se muestra el diagrama de la topología de red.

INTERNET

MATRIX E7ENTERASYS

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

Site

Central

2do

Piso

1er

Piso

Planta

Baja

Active

Directory

Switches de Acceso

Switches de Core

Firewall de

Frontera

Router

ISP

Figura 3. 1 Diagrama de conexión de red local

3.3 POLÍTICA DE SEGURIDAD DE ACCESO A LA RED.

La empresa cuenta con una política de seguridad de acceso a la red, en la cual se establecen los lineamientos a seguir por los usuarios que requieran integrarse a la red local corporativa. A continuación se describe el documento de la política de seguridad de la empresa:



Información del documento:

Nombre del documento: Política de control acceso a la red local de una empresa.

Fecha de creación 25 de Mayo de 2009

Última modificación: 25 de Mayo de 2009

Versión: 1.0

Aprobó Dirección de Seguridad Informática

Revisó: Dirección de Planeación Estratégica

Elaboró Dirección de Tecnología de la Información.

Objetivo. Establecer las políticas y lineamientos que debe seguir el usuario, para lo cual se emiten los siguientes lineamientos que son de cumplimiento obligatorio para todos los usuarios que requieran acceso a la red local corporativa. Alcance. El uso de la red y recursos de información de la empresa, están disponibles para fortalecer el flujo de información interna, la investigación y apoyar a las diferentes tareas encomendadas para mejoramiento de las labores. Todos los usuarios están sujetos a esta política y a una actuación con altos principios morales y éticos al utilizar los recursos, el uso inapropiado de la red será sancionado con la eliminación del acceso a este recurso y puede conllevar a la aplicación de las sanciones disciplinarias respectivas, además de las consecuencias de índole legal que sean aplicables. El uso de los recursos deberá tomar en cuenta que se guarden las medidas de seguridad que garanticen la integridad de la información. El principio básico en el uso de la red en la empresa será:

"Lo que no se permite expresamente, está prohibido" Verificación de perfil de seguridad. Un equipo antes de ingresar a la red local de la empresa, deberá someterse a un proceso automatizado de validación de políticas de seguridad, conforme a los siguientes requerimientos:

Parámetro Permitido

Sistema Operativo Windows XP SP 2 o Vista, permitiendo nuevos SP.

Antivirus Instalado y ejecutándose

Anterioridad de definición Antivirus Máximo 10 días (Básico)



Máximo 3 días (Avanzado)

Auto actualización de Windows Deshabilitado (Básico) Habilitado (Avanzado)

Firewall equipo Deshabilitado (Básico) Habilitado (Avanzado)

Aplicaciones P2P Sin ejecutarse (Básico) No Instalado (Avanzado)

Niveles de acceso a la red. El acceso a la red para los usuarios es asignado en dos diferentes niveles: invitado y empleado. Los niveles de acceso determinan los servicios permitidos.

Perfil Descripción Rol

Cuarentena Usuarios que no cumplan con la validación de su equipo.

Zona de remediación

Básico Validación básica del equipo Internet e Intranet

Avanzado Usuarios que hayan cumplido con la validación total del equipo

Internet, Intranet, Correo Electrónico, Servicios Corporativos

Sanciones. El incumplimiento de las políticas y lineamientos establecidos podrán acarrear la suspensión de servicio de la siguiente forma:

Incumplimiento por primera vez de las políticas establecidas: se suspenderá el servicio por quince días naturales.

Incumplimiento de las políticas establecidas por segunda vez, se suspenderá el servicio por un mes calendario.

Tercera vez de incumplimiento, se suspenderá el servicio por dos meses o suspensión permanente.

Asimismo se establece que la acción de suspensión no impide que se establezcan procedimientos administrativos, para aplicar sanciones disciplinarias

Las sanciones a las que se refiere el párrafo anterior, son independientes de todas aquellas acciones que correspondan en material laboral, penal y civil, así como a la restitución del daño o reparación del mismo.



3.4 PROBLEMÁTICA DETECTADA EN LA EMPRESA. Actualmente la empresa, para controlar el acceso a la red de los equipos de cómputo, utiliza un procedimiento manual que considera las siguientes actividades que se muestran en la figura 3.2:

Figura 3. 2 Procedimiento Manual de Acceso a la Red

Este procedimiento implica, las siguientes desventajas:

Mayor riesgo al efectuar una validación manual

Incremento en la cantidad de recursos humanos para efectuar la validación

Bastante tiempo para otorgar el acceso a la red,

Únicamente se valida el equipo al ingresar a la red por primera vez

En ocasiones los usuarios no permiten la actualización de sus equipos

Es complicado identificar vulnerabilidades por puertos abiertos

Se complica la identificación de aplicaciones no autorizadas.

Los socios, invitados e incluso empleados con dispositivos personales representan otro problema. Estos dispositivos sin gestión ni control del departamento de tecnología de información a menudo se conectan



directamente a la red obviando los controles perimetrales y sin garantías del estado de su software de seguridad. Por ello, es clave validarlos a fin de mantener la accesibilidad y disponibilidad de la red.

3.5 SOLUCIÓN PROPUESTA. Con base en la problemática detectada, se propone implementar una solución automatizada de control de acceso a la red (Network Access Control- NAC), ya que cada día es más fuerte la necesidad de abrir su red a socios comerciales y clientes, lo que supone un serio control en el acceso a la red, incluso cuando se trata de los propios empleados, no todos pueden ser tratados de igual forma. Así, esta empresa busca un modo sencillo de garantizar a los diferentes grupos de usuarios el acceso a los recursos que ellos necesitan, aunque manteniéndoles fuera del alcance de los que no deben ver. La adquisición de la herramienta es un proceso que conlleva una serie de actividades, que con base en los resultados permitirán a la empresa seleccionar la mejor opción en soluciones de NAC a fin de cubrir sus diversas necesidades. Cabe mencionar que para una empresa el factor costo beneficio es determinante para la toma de decisión. Las actividades a considerar durante esta etapa son las siguientes:

Definición de características técnicas.

Estudio de Mercado

Selección y compra de la solución Definición de características técnicas. La definición de características técnicas, se realiza con base en las necesidades operacionales de la empresa, así mismo otro facto importante para establecer los requerimientos técnicos es considerar el aprovechamiento de la infraestructura tecnológica con la que hoy en cuente la institución. Las características técnicas requeridas son las siguientes:

Debe soportar los siguientes tipos de políticas:

Autenticación.

Acceso a la red basado en los perfiles de usuario.

Asignación de Políticas de control de tráfico por usuario sin importar el puerto físico o VLAN a la que pertenezca.



Capacidad de implementar las políticas en los switches Enterasys de la empresa.

Debe autenticar a los usuarios vía Radius.

El sistema puede ser capaz de clasificar a los usuarios (por nombre de usuario), con base en su perfil o política cuando se tenga habilitada la autenticación de la red.

Puede configurar un perfil por omisión (default) en puertos específicos.

El sistema es capaz de configurar los switches para que mantengan las políticas aun cuando el sistema de administración este apagado.

Soporta la autenticación de los usuarios a la red basándose en el protocolo 802.1x.

Tiene la funcionalidad de aplicar políticas de control de tráfico a una o varias direcciones físicas (Mac Address) por puerto estática como dinámicamente.

Estudio de mercado. Una vez que se establecieron las características técnicas, es necesario realizar el estudio de mercado correspondiente, considerando tres fabricantes distintos. Los resultados se muestran en la siguiente figura:

Figura 3. 3 Estudio de mercado

Selección y compra de solución. Con base en los resultados obtenidos en el estudio de mercado, y las recomendaciones del área técnica correspondiente, la empresa tomo la decisión de adquirir la solución ofertada por el fabricante Enterasys, ya que como se describe



anteriormente la infraestructura de red con la que cuenta esta empresa esta soportada por dicha marca, lo que representa un costo beneficio mucho mayor con respecto al resto de los fabricantes.

3.6 DISEÑO DEL PROYECTO. Considerando las limitaciones que representa el procedimiento manual utilizado por la empresa para validar los equipos de los usuarios que requieren integrarse a la red local corporativa, y una vez, validado que la infraestructura tecnológica de la empresa soportar autenticación (802.1X o por dirección MAC), se propone una solución basada en una herramienta, que permita automatizar el procedimiento de validación establecido. Por lo anteriormente expuesto, la siguiente figura presenta una descripción del diseño que se utilizara para este proyecto.

Figura 3. 4 Diseño de solución

La Figura 3.4 muestra el diseño de la solución. En ella se puede observar la arquitectura y las cinco fases de las que consta el proceso.



Detección. El proceso de Detección, se realizara por medio de la identificación de peticiones “request”, de autenticación, entre el equipo cliente y el switch de acceso con el objeto de obtener acceso a la red. Autenticación. La autenticación de usuarios se realizara a través del protocolo 802.1X, el cual se validara ante un servidor Radius, mismo que actualiza su base de datos de usuarios, directamente del directorio activo de la empresa. Los métodos de autenticación que pueden ser utilizados en esta fase son:

802.1X

Dirección MAC Para el diseño de este proyecto y dado que los equipos cliente de la empresa utilizan un sistema operativo de plataforma Windows, se utilizara el método basado en 802.1X, con protocolo EAP-MSCHAP, el cual efectúa la autenticación de usuarios con credenciales basadas en nombre de usuario y contraseña, en lugar de certificados o tarjetas inteligentes. El uso de este tipo de autenticación supone una mayor seguridad, pues impide que un servidor no autorizado negocie el método de autenticación menos seguro y permite generar claves con TLS. Evaluación. Para la evaluación de los equipos se estableció un esquema de operación basado en Agente, por lo que cualquier equipo que requiera ingresar a la red requerirá tener instalado el agente correspondiente. Así mismo durante esta fase el usuario tendrá asignado un rol de cuarentena, con el objeto de evitar que puedan alcanzarse servicios no autorizados mientras se evalúa el equipo. Para efectuar las actividades de evaluación, se empleara un servidor que utiliza internamente una herramienta que interactúa con del agente instalado, permitiendo validar los huecos de seguridad relacionados con los puertos y aplicaciones de un equipo cliente. La fase de evaluación se apegara a la política de seguridad establecida por la empresa. Autorización. La autorización de acceso a la red se efectúa posterior a la evaluación del equipo, donde dependiendo de los resultados obtenidos se asigna el rol de privilegios al equipo y al usuario.



En esta fase se establecen los roles de acuerdo con la política de seguridad de la empresa. Los perfiles establecidos son:

Perfil Descripción Rol

Cuarentena Usuarios que no cumplan con la validación de su equipo.

Zona de remediación

Básico Validación básica del equipo Internet, e Intranet,

Avanzado Usuarios que hayan cumplido con la validación total del equipo

Internet, Intranet, Correo Electrónico, Servicios Corporativos

Es importante mencionar que continuamente se estarán escaneando los equipos de usuario, con el objeto de confirmar el cumplimiento de la política de seguridad de acuerdo con el rol asignado. Si en algún momento se detecta algún incumplimiento en algún equipo, se le asignara un rol de cuarentena, hasta que sea evaluado nuevamente. Remediación. Esta fase consiste en ofrecer a todos aquellos usuarios que se les asigne un rol de cuarentena, las facilidades para solucionar los incumplimientos durante la fase de evaluación. Para llevar a cabo esta actividad se habilitara un servidor, que se encuentra integrado en el NAC, el cual puede ser accedido vía WEB para llevar a cabo las actividades de remediación correspondientes. Una vez concluida la remediación correspondiente, el equipo será evaluado nuevamente a fin de permitir el acceso a la red. Es importante mencionara que como parte del diseño de la solución se está considerando utilizar la suite de administración del fabricante correspondiente. 4 ITULO IV. IMPLEMENTACION DEL PROYECTO.



CAPITULO IV. IMPLEMENTACION DEL PROYECTO. La implementación del proyecto consiste en materializar el diseño de la solución NAC que se presento en el capitulo anterior, considerando desde la puesta en operación en un ambiente controlado, hasta su liberación en producción. Para esto se presentara un plan de trabajo que permitirá conocer las tareas que conforman las diferentes etapas así como dar un adecuado seguimiento de dicho proyecto.

4.1 ACTIVIDADES DE IMPLEMENTACIÓN. A continuación se muestra el plan de trabajo que se seguirá para la implementación de un sistema de control de acceso a la red LAN.

Figura 4. 1 Plan de actividades

4.2 FASE 1. ESCENARIO DE PRUEBAS. La fase de laboratorio, consiste en instalar un esquema de operación de la solución bajo un ambiente controlado, con el objeto de validar el adecuado funcionamiento de la solución, sin afectar las actividades normales de la empresa. La fase de laboratorio considera las siguientes actividades:



Diagrama de conectividad.

Configuración de NAC.

Configuración de equipo cliente.

Configuración de switch.

Validación de pruebas.

4.2.1 Diagrama de conectividad.

La siguiente figura muestra el esquema de conectividad que se considera instalar para el ambiente de laboratorio.

INTERNETENTERASYS

MATRIX 1H582-51 Radius

Laboratorio

Firewall de

FronteraSwitch

Laboratorio

NAC Gateway

Laboratorio

Equipo Usuario

Laboratorio

Evaluacion

Laboratorio

Remediación

Laboratorio

Figura 4. 2 Diagrama de conexión de red Laboratorio

Configuración de NAC Gateway. La configuración del equipo NAC consiste en llevar a cabo todas las actividades correspondientes para establecer los parámetros que se estarán evaluando cuando un equipo de un usuario requiera ingresar a la red. Los parámetros que se configurarán en esta etapa son:

Política. Perfiles. Roles de acceso.

Política: Determina el modo en el que se evalúa el cumplimiento de las políticas en los equipos de usuario, de acuerdo con el perfil establecido y las acciones a llevar a cabo. Existen tres modos



Informativo: Los equipos de usuario se verifican según el perfil de la política aplicada y la Información se envía a NAC Manager; sin embargo, no se muestra ningún mensaje, no se realizan acciones remediadoras ni se realiza ninguna acción restrictiva. Remediación: Los equipos de usuario se verifican según el perfil de la política aplicada, la información se envía a NAC Manager, se muestra un mensaje y se realizan las acciones remediadoras correspondientes; sin embargo, no se realiza ninguna acción restrictiva. Imposición: Los equipos de usuario se verifican según el perfil de la política aplicada, la información se envía al NAC Manager, se muestra un mensaje y se realizan las acciones remediadoras correspondientes, para finalmente aplicar la plantilla de acceso según el estado de cumplimiento. Esta configuración se muestra en la siguiente figura.

Figura 4. 3 Elementos de una política

Para este caso se utilizara una política en modo de imposición.

Perfiles: Definen los elementos que desea evaluar en los equipos, como el sistema operativo, los parches y las aplicaciones. Los perfiles definen condiciones, estados de cumplimiento, mensajes y acciones de remediación. Las figuras 4.4 y 4.5 muestran los perfiles que se utilizaran.



Figura 4. 4 Perfil Básico

Figura 4. 5 Perfil Avanzado

Roles de acceso: Determinan el acceso a la red que se les concede a las estaciones al estar asociadas con estados de acceso específicos, definiendo el tratamiento que recibirán. La siguiente figura muestra la configuración de un rol.

Figura 4. 6 Roles

Configuración de equipo cliente. Como parte de la implementación del NAC es necesario que los equipos de los usuarios cumplan con los siguientes requerimientos:



Autenticación 802.1x Agente NAC instalado

La autenticación por 802.1x es necesaria, toda vez que como se ha comentado a lo largo de este trabajo, la aplicación utilizara este protocolo para autenticar o validar los usuarios en un servidor RADIUS. A continuación se describe brevemente el procedimiento para llevar a cabo la activación de este servicio en un equipo que cuenta con sistema operativo Windows XP. Primero: Dentro de las propiedades de la tarjeta de red se encuentra una pestaña de “Autenticación”, dentro de la cual se habilita el protocolo IEEE 802.1X, tal y como se muestra en la siguiente figura:

Figura 4. 7 802.1x

Segundo: Una vez habilitado el protocolo de autenticación, se debe de elegir el método, que para casos prácticos de este trabajo se considerara EAP (Protocolo de Autenticación Extensible), ya que esto permitirá contar con un mecanismo seguro de autenticación. La siguiente figura muestra la configuración correspondiente



Figura 4. 8 EAP

Tercero: Se define, que el tipo de contraseña a utilizar por EAP, sea MSCHAP V2, tal y como se muestra en la siguiente figura

Figura 4. 9 MSCHAP



Con este procedimiento queda habilitado el protocolo 802.1X de Autenticación, que se requiere para que opere la solución NAC de la empresa. Configuración de switch. La configuración del switch consiste en habilitar los puertos para que reciban peticiones del protocolo 802.1x y este a su vez valide la autenticación contra el servidor RADIUS de la empresa. Es importante mencionar que esta configuración se debe realizar una vez que se hayan concluido los procedimientos anteriormente descritos, ya que de lo contrario ningún equipo podrá ingresar a la red, debido a que el switch estará esperando las peticiones 802.1x provenientes de los equipos de usuario. A continuación se describe brevemente el procedimiento para llevar a cabo la activación correspondiente en los puertos del switch. Para esto es necesario hacer uso de la herramienta de administración propietaria Policy Manager. Primero: En este paso se agregara el servidor Radius contra el cual el switch realizara la validación de las peticiones de autenticación. La siguiente figura muestra los campos que se configuran en este paso.

Figura 4. 10 Radius

Para efectos de este trabajo, se consideran los siguientes datos:

Dirección IP del servidor Radius: 128.99.5.252 Puerto de comunicación: 1812 (default) Password: NACEMPRESA

Segundo: Este paso indica como configurar en los switches la autenticación mediante Radius utilizando el protocolo 802.1x, tal y como se muestra en la figura 4.11.



Figura 4. 11 Radius Switch

Tercero: Este paso permite configurar en cada puerto del switch la autenticación por 802.1x, con el objeto de poder procesar las peticiones provenientes de los equipos de usuario. La siguiente pantalla muestra la configuración correspondiente.

Figura 4. 12 Radius Puertos



Con estas actividades se concluyen las configuraciones necesarias para validar la adecuada operación de la solución NAC en un ambiente controlado dentro de la empresa. Escenarios de pruebas de funcionamiento. El proceso de validación de pruebas, consiste en verificar la adecuada operación de la solución NAC, por lo que la dinámica a seguir, considera los siguientes escenarios: Escenario 1. Usuario que no cumple con Políticas de Seguridad- Se considera un equipo que requiere ingresar a la red local de la empresa, no obstante no cuenta con agente de NAC instalado, con lo cual incumpliría en la política de seguridad establecida, toda vez que se estableció que esta solución trabajaría bajo el esquema de operación “Con Agente”. Lo anterior implica que el usuario deberá instalar el agente correspondiente, por lo que el NAC le ofrecerá ingresar a la zona de remediación a fin de solventar la violación de la política. Una vez solucionada la situación, el NAC volverá a validar el equipo del usuario, identificando que cumple al 100% con lo establecido en las políticas, por lo que el usuario podrá acceder a la red.

A continuación se muestra la secuencia de las pruebas: Primero: El switch detecta que un usuario requiere ingresar a la red, por lo que se procede a solicitar autenticación, tal y como lo muestra la siguiente figura.

Figura 4. 13 Autenticación

Segundo: El NAC gateway detecta una violación a la política de seguridad. La figura 4.14 muestra un mensaje de ejemplo de violación de política.



Figura 4. 14 Violación a Política

Tercero: Como lo muestra la siguiente figura, al no cumplir con la política de seguridad, el NAC Gateway, envía al equipo del usuario a una zona de cuarentena, donde solo podrá acceder a la zona de remediación.

Figura 4. 15 Cuarentena



Cuarto: Como se muestra en la imagen 4.1, el usuario requiere tomar la decisión de ingresar a la zona de remediación del NAC.

Figura 4. 16 Remediación

Quinto: Una vez que el usuario sale de la zona de remediación, el servidor de evaluación valida nuevamente que el equipo cumpla con las políticas de seguridad establecidas. La siguiente figura muestra la autorización de acceso a la red.

Figura 4. 17 Revalidación



Concluidas las etapas anteriores, el usuario puede hacer uso de los servicios informáticos de la empresa, tal y como se muestra en la siguiente figura:

Figura 4. 18 Acceso Autorizado_1

Escenario 2. Usuario que cumple con las Políticas de Seguridad.- Se considera un equipo que requiere ingresar a la red local de la empresa, el cual cuenta con agente de NAC instalado y cumple con la política de seguridad establecida, por lo que el sistema NAC le permite el acceso a la red local. Este escenario se muestra en la siguiente figura:



Figura 4. 19 Acceso Autorizado_2

4.3 FASE 2. PUESTA EN PRODUCCIÓN. Una vez que se valido la adecuada operación de la solución NAC en un ambiente de laboratorio se procede a implementarlo en esquema de producción, lo cual consiste en replicar las configuraciones en los equipos de usuario y switches de acceso. Es importante comentar, que una implementación de este tipo, implica un cambio de cultura informática en el personal de la organización, por lo que primeramente se recomienda propagar o distribuir la política de seguridad correspondiente a fin de sensibilizar al personal. Por último es importante que la liberación del proyecto se realice de manera paulatina, por área o pisos, a fin de reducir los riesgos que implicaría, el tomar alguna acción de retorno.

A continuación la figura 4.20 muestra el esquema de conectividad de red, considerando la solución de NAC implementada.



INTERNET

Fibra Optica

Cable Cobre

(Ethernet)

MATRIX E7ENTERASYS

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

ENTERASYS

MATRIX 1H582-51

Site

Central

2do

Piso

1er

Piso

Planta

Baja

Active

Directory

Radius

Switches de Acceso

Switches de Core

Firewall de

Frontera

Router

ISP

NAC

Gateway

Evaluacion

RemediacionEste servidor debe tener conectividad permanente hacia internet , toda

vez que es el que permitira la remediacion a los usuarios que violen

algun parametro de la politica de seguridad establecida

Fase 3

Fase 2

Fase 1El Firewall, debera tener una politica

configurada, la cual permita el trafico

desde internet hacia el servidor de

remediacion

Figura 4. 20 Diagrama de conexión de red NAC



CONCLUSIONES.

Puesto que se lograron los objetivos propuestos y con base en la información, la forma la forma en que se elaboro este sistema automatizado fue el indicado para brindar seguridad en la información para una organización.

Este trabajo es un control eficiente que va a permitir tener un uso y funcionamiento adecuados de la red corporativa, no se debe pasar por alto la importancia que se tiene en el manejo de las políticas y más importante aún las sanciones de las que se harán acreedores se corrompe en alguna de ellas.

Este sistema mejorado tiene un impacto favorable en los recursos financieros y en el capital humano. El impacto se verá reflejado en que habrá un estricto control que solo personal autorizado podrá tener acceso a servicios que puedan modificar la información; otro impacto es, en el momento que se implementa el NAC, ya no se tendrá que tener un departamento de soporte técnico que valué los recursos que se necesitan para tener acceso a la red corporativa, este sistema renueva la forma de que no solo se va a validar sino que además va autenticar y autorizar la conexión a la red de forma automatizada.

Es muy importante destacar que a medida que transcurre el tiempo y debido a la existencia de nuevos ataques y amenazas, se tiene la obligación de estar actualizando los roles de conexión y las políticas de seguridad, sin embargo la estructura que se diseño y se implemento cuenta con una alta escalabilidad lo que proporciona una ventaja al momento de actualizar la solución NAC.

Los resultados obtenidos después de la implementación de la solución NAC en comparación con los que se obtienen mediante un procedimiento manual fueron bastante alentadores a los ejecutivos de la empresa ya que se redujo la cantidad de recursos que se necesitan para controlar el acceso a la red lo que se traduce en una reducción de recursos humanos así como la reducción de tiempo para el acceso a la red.

Como consecuencia de la implementación del sistema NAC se redujeron costos esto debido a la reducción de los recursos para evaluar el ingreso a la red.

A futuro se considera ir actualizando las políticas de control de acceso de acuerdo a los requerimientos que la empresa vaya teniendo. Así como la actualización de roles para garantizar que los usuarios accedan a los servicios requeridos por estos.

Un punto importante a resaltar en este trabajo de tesina, es que sirve de base para la implementación de este tipo de control de acceso a red, en un gran número de organizaciones ya que desde un principio se concibe la idea de un trabajo aplicable al campo laboral.



REFERENCIAS BIBLIOGRAFICAS.

[1]. www.iso27000.es

[2]. www.cert.org

[3]. www.sei.cmu.edu

[4]. www.inegi.gob.mx/contenidos/espanol/ciberhabitat/redes/seguridad

[5]. www.clusterfie.epn.edu.ec/ibernal/html/CURSOS/Inalambricas/Trabajo1

[6]. www.alerta-antivirus.red.es/seguridad/ver_pag.html?tema=S&articulo=9&letra=]

[7]. www.delitosinformaticos.com/seguridad/clasificacion.shtml

[8]. www.firewalls-hardware.com/articulos-firewalls-cortafuegos

[9]. www.labs.dragonjar.org/conceptos-y-definiciones-basicas/IDS

[10]. www.channelplanet.com/index.php?idcategoria=13968

[11]. wwwlliurex.net/home/files/.../es/Manual_Buen_Uso_Internet_es.pdf

[12].www.slideshare.net/anei2009/tecnologa/seguridad/empresa/manual.pdf

[13]. www.perantivirus.com/sosvirus/pregunta/antiviru.htm

[14]. www.shrukenwindows.blogspot.com/2009/01/tipos-de-antivirus.html

[15]. www.taringa.net/posts/info/1960248/Tipos-de-Virus-y-Antivirus.html

[16]. www.textoscientificos.com/redes/firewalls-distribuidos/seguridad/politicas

[17].www.equipom45.es/m45blog/25-seguridad/135-control-acceso-basado-roles.html

[18].www.iti.upv.es:81/seguridad [19].www.elsitio.com/scripts/elsitio/global/tecnología/informes/ template.asp/glsitt.intro [20].www.cisco.com/en/US/products/ps6128 [21].www.enterasy.com/products/advanced-security-apps/enterasy-nac.aspx [22].www.iso27000.es [23].www.seguridadinformatica.es [24].Amoroso, Edward, (1994), Fundamentals of computer security technology, Prentice-Hall. [25].CODA, (1996), SIC. Seguridad en Informática y comunicaciones, CODA. [26].Fisch, Eric, (2000), Secure computers and networks: analysis, design, and implementation, CRC Press. [27].Enterasys Education Services (2008), Enterprice Network Access Control.



GLOSARIO.

802.1x Estándar de seguridad para redes inalámbricas y cableadas. Se apoya en el protocolo EAP y establece la necesidad de autenticar y autorizar a cada usuario que se conecte a una red.

Agente Programa inteligente que facilita la operatoria del usuario. Un ejemplo de agente son los Asistentes (wizards) que existen en la mayoría de los programas modernos.

Ataque Intento organizado y deliberado de una o más personas para causar daño o problemas a un sistema informático o red.

Autenticación Proceso en el que se da fe de la veracidad y autenticidad de un producto, de unos datos o de un servicio, así como de la fiabilidad y legitimidad de la empresa que los ofrece.

Biométrica Ciencia que estudia las características biológicas del ser humano (el iris, la huella dactilar, la voz, etc...) para su aplicación a la seguridad informática como medio de identificación del usuario.

Cisco Empresa dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones tales como: Dispositivos de conexión para redes informáticas: Routers, Switches y Hubs, dispositivos de seguridad como Cortafuegos y Concentradores para VPN, productos de telefonía IP como teléfonos y el CallManager.

Confidencialidad Consiste en asegurar que a la información solo accede quien está autorizado para ello.

Control de Accesos

Se utiliza para restringir el acceso a determinadas áreas del PC, de la red, mainframes, Internet, ftp, web, etc. El permiso o la denegación de acceso puede realizarse en función de la dirección IP, el nombre de dominio, nombre de usuario y password, certificados del clientes, protocolos de seguridad de redes, etc...

Cracker Persona que elimina las protecciones lógicas y físicas de los sistemas para acceder a los mismos sin autorización y generalmente con malas intenciones.

Delito Informático Delito cometido utilizando un PC; también se entiende por delito informático cualquier ataque contra un sistema de PC's.

Disponibilidad Es el proceso de identificar al cliente de la aplicación o servicio. No olvidar que los clientes pueden ser tanto personas, como otros servicios, procesos y otros ordenadores.

Disponibilidad Forma parte de la seguridad el poder disponer de la información cuando se necesite. Por ello se deben proteger los sistemas de forma que se mantengan en funcionamiento y se pueda acceder a la información en cualquier momento.

Enterasys Networks

Compañía que diseña y manufactura una amplia diversidad de equipo para redes que incluye routers, switches así como controles y puntos de acceso bajo el protocolo 802.11

Hacker Término utilizado para llamar a una persona con grandes conocimientos en informática y telecomunicaciones y que los utiliza



con un determinado objetivo. Este objetivo puede o no se maligno o ilegal. La acción de usar sus conocimientos se denomina hacking o hackeo.

Hardware Equipo informático. Todo aquello de un sistema informático que es tangible.

Host Máquina conectada a una red. Tiene un nombre que la identifica, el Hostname. La máquina puede ser una computadora, un dispositivo de almacenamiento por red, una impresora, etc.

Infraestructura Topología de una red inalámbrica que consta de dos elementos básicos: estaciones cliente wireless y puntos de acceso.

Integridad Conjunto de acciones que garantizan que la información no se ha transformado durante su procesado, transporte o almacenamiento.

MAC Dirección hardware de 6 bytes (48 bits) única que identifica únicamente cada nodo (tarjeta) de una red y se representa en notación Hexademinal.

NAC Controla el acceso seguro a las redes corporativas, aplica las políticas de seguridad de endpoints y se integra fácilmente con las infraestructuras de red existentes.

Política Referencia a la traza con que se conducen las actividades o emplean los medios para alcanzar los objetivos fijados.

Protección de datos

Conjunto de técnicas utilizadas para preservar la confidencialidad, la integridad y la disponibilidad de la información.

Protocolo Estándar establecido. En lo referente a conectividad de redes, el empleo de un protocolo se realiza para direccionar y asegurar la entrega de paquetes a través de la red.

Punto de Acceso (PA)

Dispositivo inalámbrico central de una WLAN que mediante sistema de radio frecuencia (RF) se encarga de recibir información de diferentes estaciones móviles bien para su centralización, bien para su enrutamiento.

RADIUS Sistema de autenticación y accounting empleado por la mayoría de proveedores de servicios de Internet (ISPs) si bien no se trata de un estándar oficial. Cuando el usuario realiza una conexión a su ISP debe introducir su nombre de usuario y contraseña, información que pasa a un servidor RADIUS que chequeará que la información es correcta y autorizará el acceso al sistema del ISP si es así.

Red Una red de computadoras es una interconexión de computadoras para compartir información, recursos y servicios. Esta interconexión puede ser a través de un enlace físico (alambrado) o inalámbrico.

Router Dispositivo que transmite paquetes de datos a lo largo de una red. Un router está conectado al menos a dos redes, generalmente dos LANs o WANs o una LAN y la red de un ISP. Los Routers emplean cabeceras y tablas de comparación para determinar el mejor camino para enviar los paquetes a su destino, y emplean protocolos como el ICMP para comunicarse con otros y configurar la mejor ruta entre varios hosts.

Seguridad característica de cualquier sistema (informático o no) el cual indique que esté libre de peligro, daño o riesgo

Servidor de Autenticación

Servidores que gestionan las bases de datos de todos los usuarios de una red y sus respectivas contraseñas para acceder a determinados recursos. Permiten o deniegan el acceso en función de los derechos atribuidos.

Sistema Como todo sistema, es el conjunto de partes interrelacionadas,



Informático hardware, software y de Recurso Humano. Software En computación, todo programa o aplicación, programado para realizar

tareas específicas. Virus Programa que está diseñado para copiarse a sí mismo sin

conocimiento del usuario y con la intención de infectar el sistema operativo y/o aplicaciones, cuyos efectos pueden variar dependiendo de cada virus: mostrar un mensaje, sobrescribir archivos, borrar archivos, enviar información confidencial mediante emails a terceros, etc.

WLAN También conocida como red Wireless. Permite a los usuarios comunicarse con una red local o a Internet sin estar físicamente conectado. Opera a través de ondas y sin necesidad de una toma de red (cable) o de teléfono.

Documents

Implementación de un sistema automatizado de control de