martes, 26 de febrero de 2019
4.4 mecanismos de seguridad
4.4 mecanismos de seguridad
Mecanismos de seguridad física y lógica. El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo. Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la mayoría de los casos es una combinación de varios de ellos): • Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estándares y de personal suficientemente formado y concienciado con la seguridad. • Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de los centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas contra apagones y sobretensiones, sistemas de control de accesos, etc. • Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base muy confidencial se han protegido con dos niveles de firewall, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red, tendríamos un punto de vulnerabilidad. • Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de los datos personales del individuo o por comparación con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informáticos. El uso de certificados digitales mejora la seguridad frente al simple uso de contraseñas. • Vigilancia de red. Las redes transportan toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes de la misma. Por la red no solo circula la información de ficheros informáticos como tal, también se transportan por ella: correo electrónico, conversaciones telefónicas (VoIP), mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo de información. • Redes perimetrales de seguridad (DMZ): permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados. De esta forma, las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarán tras dos niveles de seguridad. • Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos, antispyware, antivirus, llaves para protección de software, etc. • Mantener actualizados los sistemas de información que más impacten en la seguridad. • Copias de seguridad y sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona (Redundancia de datos). • Controlar el acceso a la información por medio de permisos centralizados y mantenidos (Active Directory, LDAP, listas de control de acceso). Los medios para conseguirlo son: o Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. o Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan. o Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. o Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. o Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. o Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los entornos actuales, conocidos habitualmente como gestores de identidad. Autenticación Autenticación es el acto de establecimiento o confirmación de algo (o alguien) como auténtico. La autenticación de un objeto puede significar (pensar) la confirmación de su procedencia, mientras que la autenticación de una persona a menudo consiste en verificar su identidad. La autenticación depende de uno o varios factores. Los factores de la autenticación se clasifican, generalmente, en cuatro casos: • Algo que el usuario es (huella digital, patrón retiniano, secuencia de ADN, patrón de voz, señales bioeléctricas del por el cuerpo u otro identificador biométrico). • Algo que el usuario posee (tarjeta de la identificación, símbolo de la seguridad, símbolo del software o teléfono celular) • Algo que el usuario conoce (una contraseña, una frase o un número de identificación personal, PIN). • Algo que el usuario hace (reconocimiento de frases, firma, o el paso). Autenticación mediante combinación de factores: Dos factores: 1) "algo que posee" (la llave) + "algo que conoce" (PIN). 2) "algo que posee" (tarjeta de banco) + "algo que conoce" (PIN). Tres factores: "algo que posee" (dispositivo criptográfico) + "algo que conoce" (PIN) + "quién es" (huella dactilar). Cualquier sistema de identificación ha de poseer unas determinadas características para ser viable: • Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en los sistemas menos seguros). • Económicamente factible para la organización (si su precio es superior al valor de lo que se intenta proteger, tenemos un sistema incorrecto). • Soportar con éxito cierto tipo de ataques. • Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen. Los identificadores de usuarios pueden tener muchas formas siendo la más común una sucesión de caracteres conocida comúnmente como login. El proceso general de autenticación consta de los siguientes pasos: • El usuario solicita acceso a un sistema. • El sistema solicita al usuario que se autentique. • El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificación. • El sistema valida según sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o no. Ninguna computadora, programa de computadora o poder del usuario de la computadora “confirman la identidad” de otro partido. No es posible “establece” o “probar” una identidad, cualquiera. Es solamente posible aplicar una o más pruebas que, si están pasadas, se han declarado previamente para ser suficientes proceder. El problema es determinar qué pruebas son suficientes y cuales son inadecuadas. Respaldos Los respaldos o copias de seguridad tienen dos objetivos principales: • Permitir la restauración de archivos individuales • Permitir la restauración completa de sistemas de archivos completos Observe el tipo de dato procesados y almacenados por un sistema computacional típico, algunos de los datos raramente cambian y otros cambian constantemente. Los administradores de sistemas que tienen un buen entendimiento de sus sistemas, usuarios y aplicaciones deberían ser capaces de agrupar rápidamente sus sistemas en categorías. Un buen sistema de respaldo debe contar con ciertas características indispensables: • Continuo El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario. • Seguro Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envío de la información. • Remoto Los datos deben quedar alojados en dependencias alejadas de la empresa. • Mantenimiento de versiones anteriores de los datos Se debe contar con un sistema que permita la recuperación de, por ejemplo, versiones diarias, semanales y mensuales de los datos. Tipos de datos a respaldar • Sistema operativo Estos datos solamente cambian durante las actualizaciones, las instalaciones de reparaciones de errores y cualquier modificación específica al sitio. • Software de aplicaciones Estos datos cambian cuando se instalan, actualizan o eliminan aplicaciones. • Datos de aplicaciones Estos datos cambian tan frecuente como lo hacen las aplicaciones asociadas. Dependiendo de la aplicación específica y su organización, esto puede significar que los cambios toman lugar segundo a segundo o al final del año fiscal. • Datos de usuarios Estos datos cambian de acuerdo a los patrones de uso de su comunidad de usuarios. En la mayoría de las organizaciones, esto significa que los cambios toman lugar todo el tiempo.
4.3 politicas de seguridad
1. Introducción
La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos.
La políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos.
Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos.
Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados. Las políticas consisten de declaraciones genéricas, mientras las normas hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle. Además las políticas deberían durar durante muchos años, mientras que las normas y procedimientos duran menos tiempo.
Las normas y procedimientos necesitan ser actualizadas más a menudo que las políticas porque hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado podría especificar el uso del estándar DES (Data Encryption Standard). Esta norma probablemente deberá será revisada o reemplazada en los próximos años.
Las políticas son distintas y de un nivel superior a los procedimientos, que son los pasos operacionales específicos que deben llevarse a cabo para lograr una cierta meta. Como ejemplo, hay procedimientos específicos para realizar copias de seguridad de la información contenida en los discos duros de los servidores.
Una declaración sobre políticas describe sólo la forma general de manejar un problema específico, pero no debe ser demasiado detallada o extensa, en cuyo caso se convertiría en un procedimiento.
Las políticas también son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto último sería un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las políticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad.
En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Las políticas podrían dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles sobre cómo aplicar esta política. Por ejemplo, la metodología a usar para probar el software.
Un documento sobre políticas de seguridad contiene, entre muchos aspectos: definición de seguridad para los activos de información, responsabilidades, planes de contingencia, gestión de contraseñas, sistema de control de acceso, respaldo de datos, manejo de virus e intrusos. También puede incluir la forma de comprobar el cumplimiento y las eventuales medidas disciplinarias.
La políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos.
Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos.
Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados. Las políticas consisten de declaraciones genéricas, mientras las normas hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle. Además las políticas deberían durar durante muchos años, mientras que las normas y procedimientos duran menos tiempo.
Las normas y procedimientos necesitan ser actualizadas más a menudo que las políticas porque hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado podría especificar el uso del estándar DES (Data Encryption Standard). Esta norma probablemente deberá será revisada o reemplazada en los próximos años.
Las políticas son distintas y de un nivel superior a los procedimientos, que son los pasos operacionales específicos que deben llevarse a cabo para lograr una cierta meta. Como ejemplo, hay procedimientos específicos para realizar copias de seguridad de la información contenida en los discos duros de los servidores.
Una declaración sobre políticas describe sólo la forma general de manejar un problema específico, pero no debe ser demasiado detallada o extensa, en cuyo caso se convertiría en un procedimiento.
Las políticas también son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto último sería un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las políticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad.
En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Las políticas podrían dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles sobre cómo aplicar esta política. Por ejemplo, la metodología a usar para probar el software.
Un documento sobre políticas de seguridad contiene, entre muchos aspectos: definición de seguridad para los activos de información, responsabilidades, planes de contingencia, gestión de contraseñas, sistema de control de acceso, respaldo de datos, manejo de virus e intrusos. También puede incluir la forma de comprobar el cumplimiento y las eventuales medidas disciplinarias.
¿Por qué son importantes las políticas?
a) Por que aseguran la aplicación correctas de las medidas de seguridad
Con la ilusión de resolver los problemas de seguridad expeditamente, en muchas organizaciones simplemente se compran uno o más productos de seguridad. En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware, software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin embargo, se genera una gran desilusión al darse cuenta que los resultados esperados no se han materializado. En un número grande de casos, esta situación puede atribuirse al hecho que no se ha creado una infraestructura organizativa adecuada para la seguridad informática.
Un ejemplo puede ayudar a aclarar este punto esencial. Supóngase que una organización ha adquirido recientemente un producto de control de acceso para una red de computadoras. La sola instalación del sistema hará poco para mejorar la seguridad. Sea debe primero decidir cuáles usuarios deben tener acceso a qué recursos de información, preferiblemente definiendo cómo incorporar estos criterios en las políticas de seguridad. También deben establecerse los procedimientos para que el personal técnicas implante el control de acceso de una manera cónsona con estas decisiones. Además debe definir la manera de revisar las bitácoras (logs) y otros registros generados por el sistema. Éstas y otros medidas constituyen parte de la infraestructura organizativa necesaria para que los productos y servicios de seguridad sean efectivos.
a) Por que aseguran la aplicación correctas de las medidas de seguridad
Con la ilusión de resolver los problemas de seguridad expeditamente, en muchas organizaciones simplemente se compran uno o más productos de seguridad. En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware, software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin embargo, se genera una gran desilusión al darse cuenta que los resultados esperados no se han materializado. En un número grande de casos, esta situación puede atribuirse al hecho que no se ha creado una infraestructura organizativa adecuada para la seguridad informática.
Un ejemplo puede ayudar a aclarar este punto esencial. Supóngase que una organización ha adquirido recientemente un producto de control de acceso para una red de computadoras. La sola instalación del sistema hará poco para mejorar la seguridad. Sea debe primero decidir cuáles usuarios deben tener acceso a qué recursos de información, preferiblemente definiendo cómo incorporar estos criterios en las políticas de seguridad. También deben establecerse los procedimientos para que el personal técnicas implante el control de acceso de una manera cónsona con estas decisiones. Además debe definir la manera de revisar las bitácoras (logs) y otros registros generados por el sistema. Éstas y otros medidas constituyen parte de la infraestructura organizativa necesaria para que los productos y servicios de seguridad sean efectivos.
Una empresa necesita de documentación sobre políticas, definiciones de responsabilidades, directrices, normas y procedimientos para que se apliquen las medidas de seguridad, los mecanismos de evaluación de riesgos y el plan de seguridad. Las políticas y una estimación preliminar de los riesgos son el punto de partida para establecer una infraestructura organizativa apropiada, es decir, son los aspectos esenciales desde donde se derivan los demás.
Continuando con el mismo ejemplo anterior de control de acceso, se debería primero llevar a cabo un análisis de riesgo de los sistemas de información . Esta evaluación de los riesgos también ayudará a definir la naturaleza de las amenazas a los distintos recursos , así como las contramedidas pertinentes. Luego pueden establecerse las políticas a fin de tener una guía para la aplicación de tales medidas.
4.2 tipos de riesgo
Tipos de riesgos
El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún
atacante pueda entrar en ella, y con esto, se puede hacer robo de información o alterar el
funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un
entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con
el Computer Security Institute (CSI) de San Francisco aproximadamente entre el 60 y 80
por ciento de los incidentes de red son causados desde dentro de la misma.
Clasificación de las amenazas basado en el origen del ataque
• Amenazas internas.
Podrían tener por origen vulnerabilidades que permiten acceder a la red
directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin
vigilancia, etc. Generalmente estas amenazas pueden ser más serias que las
externas por varias razones como son:
o Si es por usuarios o personal técnico, conocen la red y saben cómo es su
funcionamiento, ubicación de la información, datos de interés, etc. Además
tienen algún nivel de acceso a la red por las mismas necesidades de su
trabajo, lo que les permite unos mínimos de movimientos.
o Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos
no efectivos en amenazas internas porque habitualmente no están
orientados al tráfico interno.
• Amenazas externas
Son aquellas amenazas que se originan fuera de la red. Al no tener información
certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer
qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene
en este caso es que el administrador de la red puede prevenir una buena parte de
los ataques externos.
Clasificación de las amenazas por el efecto
• Robo de información.
• Destrucción de información.
• Anulación del funcionamiento de los sistemas.
• Robo de dinero, estafas
• Suplantación de la identidad, publicidad de datos personales o confidenciales,
cambio de información, venta de datos personales.
Clasificación de las amenazas por el modus operandi
• Virus informáticos, malware.
• Phishing.
• Ingeniería social.
• Denegación de servicio.
• Spoofing de DNS, IP, DHCP, etc.
No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo
de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras
circunstancias que deben ser tomadas en cuenta e incluso «no informáticas». Muchas son
a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son la
redundancia y la descentralización.
Las amenazas pueden ser causadas por:
• Usuarios: causa del mayor problema ligado a la seguridad de un sistema
informático. En algunos casos sus acciones causan problemas de seguridad, si bien
en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se
les han restringido acciones innecesarias, etc.
• Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito
de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador,
abriendo una puerta a intrusos o bien modificando los datos. Estos programas
pueden ser un virus informático, un gusano informático, un troyano, una bomba
lógica, un programa espía o spyware, en general conocidos como malware.
• Errores de programación: La mayoría de los errores de programación que se
pueden considerar como una amenaza informática es por su condición de poder ser
usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo
es, en sí mismo, una amenaza. La actualización de parches de los sistemas
operativos y aplicaciones permite evitar este tipo de amenazas.
• Intrusos: persona que consiguen acceder a los datos o programas a los cuales no
están autorizados (crackers, defacers, hackers, script kiddie, viruxers, etc.).
• Siniestro (robo, incendio, inundación): una mala manipulación o una mala
prevención derivan a la pérdida del material o de los archivos.
• Problemas con la ética del personal: técnicos de sistemas, administradores de
bases de datos, técnicos de desarrollo que actúan maliciosamente siguiendo
motivos entre los que se encuentran habitualmente: disputas internas, problemas
laborales, despidos, fines lucrativos, espionaje, etc.
• Desperfectos: fallos electrónicos o lógicos de los sistemas informáticos en general.
• Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
Riesgos que suele enfrentar una red
Ingeniería social.
Son ataques que aprovechan la buena voluntad de los usuarios de los sistemas atacados
o la mala elección de passwords que los hacen fáciles de adivinar o de obtener por fuerza
bruta. Por ello es importante educar a los usuarios acerca de qué tareas no deben realizar
jamás, reconocer qué información no deben suministrar a nadie, además de dejar los
equipos bloqueados o bajo llave tal como se vigila alguna cosa de valor.
Spoofing
Intento del atacante por ganar el acceso a un sistema haciéndose pasar por otro, ejecutado
en varios niveles, tanto a nivel MAC como a nivel IP. Variantes:
ARP Spoofing (que una IP suplantada tenga asociada la MAC del atacante).
El atacante falsifica paquetes ARP indicando gratuitamente su MAC con la
IP de la máquina suplantada. Los hosts y los switches que escuchan estos
mensajes cambiarán su tabla ARP apuntando al atacante.
IP Spoofing (suplanta la IP del atacante).
El atacante debe de estar en la misma LAN que el suplantado, y modifica su
IP en combinación con ARP spoofing, o simplemente “sniffea” todo el tráfico
en modo promiscuo.
DNS Spoofing (el intruso se hace pasar por un DNS).
El atacante puede entregar o bien información modificada al host, o bien
engañar al DNS local para que registre información en su cache.
Protección ante Spoofing: introducir autenticación y cifrado de las conexiones para ARP e
IP Spoofing. Aunque la intrusión se realice en capa 2 ó 3 se puede detectar en capa 7. En
el caso de ARP, configurar que el host o switch aprenda MAC’s sólo de paquetes ARP
unicast. Para DNS Spoofing, utilizar certificados para comprobar fidedignamente la
identidad del servidor.
Denegación de servicios
Estos ataques no buscan ninguna información si no a impedir que sus usuarios legítimos
puedan usarlas. Un caso particular de este método es la generación masiva de conexiones
a servidores http o ftp, a veces con dirección origen inexistente para que no pueda realizar
un RST.
Protección: en el servidor aumentar el límite de conexiones simultáneas, acelerar el proceso
de desconexión tras inicio de sesión medio-abierta, limitar desde un cortafuegos el número
de conexiones abiertas
Sniffing
Consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la que
corresponden, principalmente para obtener passwords, y/o información confidencial.
Protección: basta con emplear mecanismos de autenticación y encriptación, red conmutada
Hijacking
Consiste en robar una conexión después de que el usuario (a suplantar) ha superado con
éxito el proceso de identificación ante el sistema remoto. Para ello el intruso debe sniffear
algún paquete de la conexión y averiguar las direcciones IP, los ISN y los puertos utilizados.
Protección: uso de encriptación o uso de una red conmutada.
Malware
Programas diseñados para causar daños al hardware, software, redes... Está creado para
insertar gusanos, spyware, virus, troyanos o incluso bots, intentando conseguir algún
objetivo, como por ejemplo recoger información sobre el usuario de internet.
Virus informático
Es un malware que tiene como objetivo alterar funcionamiento del ordenador, sin el permiso
o el conocimiento del usuario. Los virus pueden destruir, de manera intencionada,
los datos almacenados en un ordenador. Tienen distintos objetivos que van desde una
simple broma hasta realizar daños importantes en los sistemas o bloquear las redes
informáticas generando tráfico inútil.
Gusano informático
Es un malware que tiene la propiedad de duplicarse a sí mismo. Utilizan las partes
automáticas de un sistema operativo que generalmente son invisibles al usuario y se
propagan de ordenador a ordenador sin la ayuda de una persona.
Troyano o caballo de Troya
Es una pieza de software dañino disfrazado de un software muy limpio que se introduce en
tu equipo sin que te des cuenta. No son cap
Ad-aware
Los Ad-Aware son programas que automáticamente se ejecutan descargando o mostrando
publicidad web en la pc después de instalar el programa o mientras se está utilizando la
aplicación.
Pop-ups
Un pop-up (ventana emergente) es un tipo de ventana web que aparece delante de la
ventana de un navegador al visitar una página web. Suelen ser molestos porque obstruyen
la vista, además que suelen utilizarse para publicidad.
Spyware
Es un software que recopila información de un ordenador y después transmite esta
información a una entidad externa sin el conocimiento o el consentimiento del propietario
del ordenador
Dialers
Son programas que se instalan en el ordenador y que llaman a números de tarifación
adicional sin que el usuario lo sepa. Se suelen instalar mediante un fichero ejecutable o
mediante la descarga de un control.
Bugs
Un bug es un error o un defecto en el software o hardware que hace que un programa
funcione incorrectamente. A menudo los bugs son causados por conflictos del software
cuando las aplicaciones intentan funcionar en tándem.
Exploits
Es el nombre con el que se identifica un programa informático malicioso, o parte del
programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa.
El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente
se trata de violar las medidas de seguridad para poder acceder al mismo de forma no
autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros
El ataque consiste en que los hackers se hacen con una copia del software a explotar y lo
someten a una batería de pruebas para detectar alguna debilidad que puedan aprovechar.
Protección: correcta programación o incluir parches actualizando los servicios instalados.
Spam
Se llama spam, correo basura o mensaje basura a los mensajes no solicitados
habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso
masivas) que perjudican de alguna o varias maneras al receptor.
Coockies
Son una pequeña pieza de información enviada por un sitio web, las cuales son
almacenadas en el navegador del usuario del sitio, de esta manera el sitio web puede
consultar dicha información para notificar al sitio de la actividad previa del usuario.
Su principal función es llevar un control de usuarios (cuando un usuario introduce su nombre
de usuario y contraseña, se crea una cookie que almacena una combinación de
computador-navegador-usuario para que no tenga que estar introduciéndolas para cada
página del servidor) sin embargo a través de ellas es posible conseguir información sobre
los hábitos de navegación del usuario lo que puede causar problemas de privacidad y es
una de las razones por la que las cookies tienen sus detractores
Phising
Es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de
las estafas cibernéticas. Se comete mediante el uso de un tipo de ingeniería
social caracterizado por intentar adquirir información confidencial de forma fraudulenta
(como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra
información bancaria).
Hoax (engaño, burla)
Es un mensaje de correo electrónico con contenido falso o engañoso y normalmente
distribuido en cadena. Algunos informan sobre virus desastrosos, otros contienen fórmulas
para hacerse millonario o crean cadenas de la suerte como las que existen por correo
postal.
[https://sites.google.com/site/ticomayteylucia/seguridad-en-la-red]
[http://www.criptored.upm.es/guiateoria/gt_m445d.htm]
[https://sites.google.com/site/ticomayteylucia/seguridad-en-la-red/malware]
4 seguridad basica
4.1 Elementos de seguridad
La red mundial Internet y sus elementos asociados son mecanismos ágiles que proveen una alta gama de posibilidades de comunicación, interacción y entretenimiento, tales como elementos de multimedia, foros, chat, correo, comunidades, bibliotecas virtuales entre otros que pueden ser accedidos por todo tipo de público. Sin embargo estos elementos deben contener mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos y potencializados a través del mismo servicio de Internet. La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. La seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. Conceptos generales de seguridad Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados. Integridad: Se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada ya sea durante el proceso de transmisión o en el equipo de origen. Disponibilidad: Se refiere a que la información pueda ser recuperada o esté disponible en el momento que se necesite. Seguridad de la Información: Son aquellas acciones que están encaminadas al establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y disponibilidad de la información, así como la continuidad de las operaciones ante un evento que las interrumpa. Activo: Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles (servidores, desktop, equipos de comunicación) o intangibles (Información, políticas, normas, procedimientos). Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad detectado en algún programa o sistema informático. Amenaza: Cualquier situación o evento posible con potencial de daño, que pueda presentarse en un sistema. Riesgo: Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente la seguridad, los costos, la programación o el alcance de un proceso de negocio o de un proyecto. [http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica] [https://sites.google.com/site/ticomayteylucia/seguridad-en-la-red] [http://www.etp.com.co/images/media/regulacion/ELEMENTOS_DE_SEGURIDAD_EN_LA _RED_Abril_2012.pdf]
La red mundial Internet y sus elementos asociados son mecanismos ágiles que proveen una alta gama de posibilidades de comunicación, interacción y entretenimiento, tales como elementos de multimedia, foros, chat, correo, comunidades, bibliotecas virtuales entre otros que pueden ser accedidos por todo tipo de público. Sin embargo estos elementos deben contener mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos y potencializados a través del mismo servicio de Internet. La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. La seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. Conceptos generales de seguridad Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados. Integridad: Se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada ya sea durante el proceso de transmisión o en el equipo de origen. Disponibilidad: Se refiere a que la información pueda ser recuperada o esté disponible en el momento que se necesite. Seguridad de la Información: Son aquellas acciones que están encaminadas al establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y disponibilidad de la información, así como la continuidad de las operaciones ante un evento que las interrumpa. Activo: Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles (servidores, desktop, equipos de comunicación) o intangibles (Información, políticas, normas, procedimientos). Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad detectado en algún programa o sistema informático. Amenaza: Cualquier situación o evento posible con potencial de daño, que pueda presentarse en un sistema. Riesgo: Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente la seguridad, los costos, la programación o el alcance de un proceso de negocio o de un proyecto. [http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica] [https://sites.google.com/site/ticomayteylucia/seguridad-en-la-red] [http://www.etp.com.co/images/media/regulacion/ELEMENTOS_DE_SEGURIDAD_EN_LA _RED_Abril_2012.pdf]
miércoles, 20 de febrero de 2019
3.5 qos
La asociación del Calidad de Servicio (QoS) del cliente se utiliza para controlar a los clientes
de red inalámbrica conectados con la red, y permite que usted maneje el ancho de banda
que los clientes pueden utilizar. La asociación de QoS del cliente también permite que usted
controle el tráfico tal como el tráfico HTTP o el tráfico de una subred específica por el uso
del Listas de control de acceso (ACL). Un ACL es una colección de permiso y niega las
condiciones, llamadas las reglas, que proporcionan a la Seguridad y bloquean a los usuarios
no autorizados y permiten que los usuarios autorizados tengan acceso a los recursos
específicos. Los ACL pueden bloquear cualquier tentativa injustificable de alcanzar a los
recursos de red.
Este documento explica cómo configurar las configuraciones de la asociación de QoS del
cliente en los Puntos de acceso WAP121 y WAP321.
Dispositivos aplicables
• WAP121
• WAP321
Versión de software
• 1.0.3.4
Asociación de QoS del cliente
Paso 1. Ábrase una sesión a la utilidad de Configuración de punto de acceso y elija el
cliente QoS > la asociación de QoS del cliente. La página de la asociación de QoS del
cliente se abre:
Paso 2. De la lista desplegable VAP, elija el VAP para el cual usted quiere configurar los
parámetros de QoS del cliente. Una punta de acceso virtual (VAP) se utiliza para dividir el
LAN de la Tecnología inalámbrica en segmentos en los dominios de broadcast múltiples.
Cada radio puede contener hasta un máximo de 16 VAPs.
Paso 3. Controle el permiso para que la casilla de verificación del modo de QoS del cliente
active el modo de QoS del cliente. Esto activa el servicio de QoS para el VAP elegido.
Paso 4. En el límite del ancho de banda abajo coloque, ingrese el número de Mbps permitió
para la transmisión del dispositivo al cliente.
Paso 5. En el límite del ancho de banda encima del campo, ingrese el número de Mbps
permitió para la transmisión del cliente al dispositivo.
3.4 Análisis de desempeño de la red: Tráfico y Servicios
Un análisis de tráfico en redes basadas en tecnología Ethernet se basa normalmente en el uso de sondas (software) con interfaz Ethernet. Dichas sondas capturan el tráfico a ser analizado y constituye la plataforma en la que se pueden ejecutar aplicaciones propietarias o de dominio público; Con dichas aplicaciones se puede determinar el tipo de información que circula por la red y el impacto que tiene sobre la misma.
Protocolo IPV4
La versión 4 de IP (IPv4) es la versión de IP más ampliamente utilizada, siendo el único protocolo de Capa 3 que se utiliza para llevar datos de usuario a través de Internet. La versión 6 de IP (IPv6) está desarrollada y se está implementando en algunas áreas. IPv6 operará junto con el IPv4 y podrá reemplazarlo en el futuro. Los servicios provistos por IP, así como también la estructura y el contenido del encabezado de los paquetes están especificados tanto por el protocolo IPv4 como por el IPv6. Estos servicios y estructura de paquetes se usan para encapsular datagramas UDP o segmentos TCP.
Protocolo RTP
El protocolo de transporte en tiempo real (RTP) es un protocolo basado en IP que proporciona soporte para el transporte de datos en tiempo real (flujos de vídeo y de audio). Fue sido diseñado para funcionar junto con el protocolo de control auxiliar RTCP para conseguir mantener la calidad en la transmisión de datos y proporcionar información sobre los participantes al iniciarse la sesión.
3.3 Analizadores de protocolos
Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP,ICMP...) y muestra al usuario la información decodificada. De esta forma, el usuario puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando
EJEMPLOS DE ANALIZADORES DE PROTOCOLOS.
Appsniffing:
Analizador de protocolos con una poderosa interface gráfica que le permite rápidamente diagnosticar problemas y anormalidades en su red.
ProductosObserver:
Sirven para Ethernet, Inalámbricos 802.11b y 802.11a, Token Ring yFDDI.
OptiViewConsole:
La consola de funcionamiento centralizado de Optiview, con función de acceso remoto, detecta rápidamente y supervisa continuamente los dispositivos de red, al mismo tiempo que documenta su conectividad.
OptiViewProtocolExpert:
Protocol Expert es una aplicación basada en Windows que ofrece análisis de protocolos autónomos para paquetes capturados de WorkgroupAnalyzer, Link Analyzer e Integrated Network Analyzer de Optiview.
3.2 bitacoras
3.2 Bitácoras
BITÁCORAS DEL SISTEMA
La seguridad y administración de un sistema operativo tiene en las bitácoras un gran aliado, ya que en ellas se registran los eventos que ocurren el sistema operativo, es decir eventos que el administrador pasaría inadvertidos sin el respaldo de las bitácoras. Para una buena administración de bitácoras es necesario conocer 3 cosas:
1. Conocer el propósito de cada bitácora.
2. Conocer el formato en el que se presenta la información.
3. Conocer los ataques propios de cada servicio.
BITÁCORAS BÁSICAS
Messages.
Este archivo contiene bastante información, por lo que debemos buscar
sucesos inusuales, aquí podemos ver todos los mensajes que el sistema mando
a la consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERSmandan aquí la información, el cortafuegos de paquetes IP también la manda aquí, etc.
Xferlog.
Si el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas han subido y que archivos han bajado de nuestro servidor.
Wtmp.
Cada vez que un usuario entra al servidor, sale del mismo, la máquina resetea, este archivo es modificado. Este archivo al igual que el anterior esta en binario por lo que tendremos que usar alguna herramienta especial para ver el contenido de este archivo
u3 analisis y monitoreo
3.1 Protocolos de administración de red (SNMP)
SNMP (Protocolo Simple de Administración de Red - Simple Network Management Protocol)
Como una araña en su red, una estación de administración de red SNMP tiene la tarea de monitorear un grupo de dispositivos en una red, dichos dispositivos administrados son servidores, enrutadores, hubs, switches, estaciones de trabajo, impresoras, etc; los cuales poseen un software llamado Agente de gestión (Managment Agent) que proporciona información de su estado y ademas permite su configuración.
SNMP hace parte de la suite de protocolos de Internet (TCP/IP) y está compuesto por un conjunto de normas de gestión de redes, incluyendo un protocolo de capa de aplicación, un esquema de base de datos, y un conjunto de objetos de datos. SNMP expone la gestión de datos en forma de variables que describen la configuración del sistema administrado. Estas variables pueden ser consultadas y configuradas por medio de sus aplicaciones de gestión.
Es el identificador único para cada objeto en SNMP, que proviene de una raíz común en un namespace jerárquicamente asignado por la IANA, Los OIDs están organizados sucesivamente para identificar cada nodo del árbol MIB desde la raíz hasta los nodos hojas.
MIB Management Information Base
Notificaciones y Trampas(Traps)
Las versiones más utilizadas son la versión SNMPv1 y SNMPv2. El SNMPv3 última versión tiene cambios importantes con relación a sus predecesores, sobre todo en temas de seguridad, sin embargo, no ha sido ampliamente aceptada en la industria.
SNMPv2Incluye mejoras en rendimiento, seguridad, confidencialidad y comunicación entre estaciones de administración. Introduce GetBulkRequest, una alternativa a GetNextRequests iterativo para la recuperación de grandes cantidades de datos de administración en una sola solicitud. Sin embargo, no fue ampliamente aceptado debido a su complejidad y a la poca compatibilidad con los NMSs de la versión anterior; sin embargo este inconveniente se solucionó utilizando agentes proxy y NMS bilingües para ambas versiones de NMS; adicionalmente se desarrolló la versión SNMPv2c un poco más simple, pero sin embargo más segura que la primera versión.
SNMPv3
Proporciona importantes características de seguridad y configuración remota:
Algunos de los objetivos SNMP
· Gestión, configuración y monitoreo remoto de los dispositivos de red
· Detección, localización y corrección de errores
· Registro y estadísticas de utilización
· Inventario y Topología de red
· Planificación del crecimiento de la red.
Componentes SNMP
Una red con aplicaciones SNMP posee al menos uno o varias estaciones de Administración, cuya función es supervisar y administrar un grupo de dispositivos de red por medio de un software denominado NMS (Network Management System- Sistema de gestión de redes), este se encarga de proporciona los recursos de procesamiento y memoria requeridos para la gestión de la red administrada, la cual a su vez puede tener una o más instancias NMS.
El dispositivo administrado es un nodo de red que implementa la interfaz SNMP, este tambien intercambia datos con el NMS y permite el acceso (bidireccional o unidimensional -solo lectura) a la información específica del nodo. Cada dispositivo administrado ejecuta permanentemente un componente de software llamado agente, el cual reporta y traduce información a través de SNMP con la estación de administración.
En esencia, los agentes SNMP exponen los datos de gestión a las estaciones de administración en forma de variablesorganizadas en jerarquías, dichas jerarquías junto con otros metadatos (como el tipo y la descripción de las variables), son descritos en una Base de Gestión de Información (MIB Managment Information Base).El protocolo también permite ejecutar tareas de gestión activa, como la modificación y la aplicación de una nueva configuración de forma remota, a través de la modificación de dichas variables.
OID Object Identifier
Es el identificador único para cada objeto en SNMP, que proviene de una raíz común en un namespace jerárquicamente asignado por la IANA, Los OIDs están organizados sucesivamente para identificar cada nodo del árbol MIB desde la raíz hasta los nodos hojas.
MIB Management Information Base
Base de datos con información jerárquicamente organizada en forma de arbol con los datos de todos los dispositivos que conforman una red. Sus principales funciones son: la asignación de nombres simbólicos, tipo de datos, descripción y parámetros de accesibilidad de los nodos OID.
PDU (Protocol Data Unit - Unidad de datos del Protocolo)
SNMP utiliza un servicio no orientado a conexión como UDP (User Datagram Protocol) para realizar las operaciones básicas de administración de la red, especialmente el envío de pequeños grupos de mensajes (denominados PDUs) entre las estaciones de administración y los agentes. Este tipo de mecanismo asegura que las tareas de gestión no afectan el rendimiento global de la red. SNMP utiliza comúnmente los puertos 161 UDP para obtener y establecer mensajes y 162UDP para capturar mensajes y traps.
=============================================================
| Tipo de | ID de | ... | ... | ... Variables ... |
| PDU |Petición | ... | ... | MIB |
=============================================================
Petición y Respuesta GET (SNMPv1)
La estación de administración hace UNA petición al agente para obtener el valor de una o muchas variables del MIB, las cuales se especifican mediante asignaciones (los valores no se utilizan). el agente recupera los valores de las variables con operaciones aisladas y envía una respuesta indicando el éxito o fracaso de la petición. Si la petición fue correcta, el mensaje resultante contendrá el valor de la variable solicitada.
Petición GETNext
La estación de administración hace una petición al agente para obtener los valores de las variables disponibles. El agente retorna una respuesta con la siguiente variable según el orden alfabético del MIB. Con la aplicación de una petición GetNextRequest es posible recorrer completamente la tabla MIB si se empieza con el ID del Objeto 0. Las columnas de la tabla pueden ser leídas al especificar las columnas OIDs en los enlaces de las variables de las peticiones.
Petición GETBulk (SNMPv2)
La estación de administración hace una petición al agente para obtener múltiples iteraciones de GetNextRequest. El agente retorna una respuesta con múltiples variables MIB enlazadas. Los campos non-repeaters y max-repetitions se usan para controlar el comportamiento de las respuesta.
Set-Request & -Response
La estación de administración hace una petición al agente para cambiar el valor de una variable, una lista de variables MIB o para la configuración de los agentes. El acceso a las variables se especifica dentro de la petición para que el agente cambie las variables especificadas por medio de operaciones atómicas., despues se retorna una respuesta con los valores actualizados de las variables preestablecidas y con los valores de las nuevas variables creadas. Así mismo existen conjunto de parámetros de configuración (por ejemplo, direcciones IP, switches, ...)
Notificaciones y Trampas(Traps)
Son mensaje SNMP generados por el agente que opera en un dispositivo monitoreado, estos mensajes no son solicitados por la consola y están clasificados según su prioridad (Muy importante, urgente,... ) . Estas notificaciones se producen cuando el agente SNMP detecta un cambio de parámetros en las variables MIB. Estos mensajes son utilizados por los sistemas de alerta sin confirmación. Los tipos estándar de trampas indican los siguientes eventos:
· (0) Coldstart: El agente se ha reiniciado
· (1) Warmstart: La configuración del agente ha cambiado.
· (2) Linkdown: Alguna interfaz de comunicación está fuera de servicio (inactiva)
· (3) Linkup: Alguna interfaz de comunicación está en servicio (activa).
· (4) Authenticationfailure: El agente ha recibido una solicitud de un NMS no autorizado
· (5) EGPNeighborLoss: Un equipo, junto a un sistema donde los routers están utilizando el protocolo EGP, está fuera de servicio;
· (6) Enterprise: Incluye nuevas traps configuradas manualmente por el administrador de red.
Versiones SMNP
Las versiones más utilizadas son la versión SNMPv1 y SNMPv2. El SNMPv3 última versión tiene cambios importantes con relación a sus predecesores, sobre todo en temas de seguridad, sin embargo, no ha sido ampliamente aceptada en la industria.
SNMPv1
Esta es la versión inicial y la mas utilizada, principalmente debido a la simplicidad del esquema de autenticación y a las políticas de acceso que utiliza el agente SNMP para determinar cuales estaciones de administración pueden acceder a las variables MIB. Una política de acceso SNMP es una relación administrativa, que supone asociaciones entre una comunidad SNMP, un modo de acceso, y una vista MIB.
Esta es la versión inicial y la mas utilizada, principalmente debido a la simplicidad del esquema de autenticación y a las políticas de acceso que utiliza el agente SNMP para determinar cuales estaciones de administración pueden acceder a las variables MIB. Una política de acceso SNMP es una relación administrativa, que supone asociaciones entre una comunidad SNMP, un modo de acceso, y una vista MIB.
· Una comunidad SNMP es un grupo de uno o más dispositivos y el nombre de comunidad (cadena de octetos que una estación de administración debe agregar en un paquete de solicitud SNMP con fines de autenticación).
· El modo de acceso especifica como se accede a los dispositivos de la comunidad se les permite con respecto a la recuperación y modificación de las variables MIB de un agente SNMP específico. El modo de acceso: ninguno, sólo lectura, lectura-escritura o sólo escritura.
· Una vista MIB define uno o más sub-árboles MIB a los cuales una comunidad SNMP específica puede tener acceso. La vista MIB puede ser el árbol MIB o un subconjunto limitado de todo el árbol MIB.
Cuando el agente SNMP recibe una solicitud de una estación de administración, este verifica el nombre de la comunidad a la que pertenece y la dirección IP para determinar si el host solicitante en realidad es miembro de la comunidad que dice pertenecer. El agente SNMP determina si concede el acceso hasta las variables MIB según lo defina la política de acceso asociada a esa comunidad. Si todos los criterios son verificados y se cumplen. De lo contrario, el agente SNMP genera una captura authenticationFailure o devuelve el mensaje de error correspondiente a la máquina solicitante.
Formato del mensaje SNMP
======================================================================
| Versión | Nombre de Comunidad | ... PDU ... |
| (Integer) | (Octet Str.) | (Sequence) |
======================================================================
El diseño de esta versión fue realizado en los años 80, cuando la prioridad era atender la demanda de protocolos generado por el rápido crecimiento de las redes, así que es de esperarse que nadie se haya preocupado por los problemas deautenticación y de seguridad, siendo estas sus principales falencias. La autenticación de los clientes se realiza sólo por la cadena de octetos de Comunidad, en efecto tenemos un tipo de contraseña, que se transmite en texto plano.
SNMPv2Incluye mejoras en rendimiento, seguridad, confidencialidad y comunicación entre estaciones de administración. Introduce GetBulkRequest, una alternativa a GetNextRequests iterativo para la recuperación de grandes cantidades de datos de administración en una sola solicitud. Sin embargo, no fue ampliamente aceptado debido a su complejidad y a la poca compatibilidad con los NMSs de la versión anterior; sin embargo este inconveniente se solucionó utilizando agentes proxy y NMS bilingües para ambas versiones de NMS; adicionalmente se desarrolló la versión SNMPv2c un poco más simple, pero sin embargo más segura que la primera versión.
SNMPv3
Proporciona importantes características de seguridad y configuración remota:
· Autenticación: Firmas digitales MD5 y SHA1 basadas en usuarios garantiza que el mensaje proviene de una fuente segura.
· Confidencialidad: Cifrado de paquetes DES y AES para garantizar mayor privacidad
· Integridad: Asegurar que el paquete no ha sido alterado en tránsito, incluye un mecanismo opcional de protecciónde paquetes reenviados.
Suscribirse a:
Entradas (Atom)