PROTOCOLOS DE

SEGURIDAD
INFORMÁTICA
 OBJETIVO:

Monitorear con base a estándares de seguridad informática y de acuerdo a un protocolo

establecido a una red de mínimo 3 equipos.

INSTRUCCIONES:

Con base a las lecturas clave de la Unidad 1, realiza un protocolo de seguridad

informático enfocado a monitorear virus, intrusos, malware, pishing, etc.

Considerar una red (alámbrica o inalámbricas de mínimo tres equipos).

Tener en cuenta que deben enlazarse diferentes dispositivos (Tablet, celular, desktop,
laptop), sin importar cuál sea, mientras se controle su acceso por medio de un administrador.

Considerar el uso de la herramienta de su elección, pero utilizándola de forma adecuada

para mantener la red de computadoras monitoreada y controlando los accesos a la misma.

Imprima pantallas y genere un reporte de la salida de resultados.

Finalmente, concluye con una reflexión donde describas tu experiencia en la

implementación de un protocolo de seguridad informático.
 INTRODUCCIÓN.

Todo administrador de redes se ha enfrentado alguna vez a una pérdida del rendimiento
de la red que gestiona. En ese caso no siempre será sencillo ya sea, por falta de tiempo y
recursos o por desconocimiento de las herramientas apropiadas, debemos tener claros los
motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la
conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.

En la mayoría de ocasiones, las causas de estos problemas tienen un origen no

premeditado y se deben a una mala configuración de la red como puede ser tormentas
broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras ocasiones,
puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un
servidor web mediante un ataque DoS, husmear tráfico mediante un envenenamiento ARP o
simplemente infectar los equipos con código malicioso para que formen parte de una red zombi
o botnet. Para descubrir el problema existen en el mercado dispositivos avanzados como el
appliance MARS (Monitoring, Analysis and Response System de Cisco o IDS/IPS basados en
hardware de diversos fabricantes. Pero estas soluciones no siempre están al alcance de todas
las empresas ya que su coste puede ser elevado. Para ellos también existe software gratuito los
cuales realizan una función eficaz.

En la actualidad la seguridad de la información ha tomado mayor importancia y se a

convertido en un elemento importante considerado en toda estrategia con miras a logras metas
importantes.

Por lo que las organizaciones tienen la necesidad de definir estrategias efectivas que
garanticen estándares de seguridad para darle un mayor resguardo a la información y así poder
adaptarse a los cambios de la organización como consecuencia de las exigencias del mercado.

Los sistemas de información constituyen una herramienta importante para realizar las
funciones de cualquier organización, ya sea pequeña o una empresa grande, ya que este
permite recopilar, clasificar, procesar interpretar y resumir cantidades de datos que permitirá la
toma de decisiones.
 A medida que el rol de Seguridad de la Información evoluciona, los directivos y
ejecutivos de negocio reconocen que éste es sin duda el primer pasó en la relación entre la
organización, sus clientes, socios de negocio, proveedores y empleados. En este sentido, la
Seguridad de la Información acarrea enormes implicaciones para las organizaciones debido a
que la confianza es la base para el intercambio, y su ausencia es una buena razón para hacer
negocios con la competencia.

La política de seguridad es el conjunto de principios y reglas, propios de la organización,

que declaran como se gestionará la protección de los recursos informáticos y activos de
información.

Una política de seguridad ha de ser explícita y bien definida, identificando todos los
sujetos y objetos en el sistema e incluir un conjunto de reglas que permitan determinar qué
sujetos pueden acceder a qué objetos.

El análisis de tráfico de red involucra muchas actividades dependiendo de la naturaleza

de la investigación y la evidencia presentada.

 Re-ensamblado de paquetes.
 Captura de tráfico.
 Examinar flujo/flows de tráfico.
 Inspeccionar encabezados de los paquetes.
 DESARROLLO:

 Riesgo
Proximidad o posibilidad de un daño, peligro, etc. Cada uno de los imprevistos, hechos
desafortunados, etc., que puede cubrir un seguro.
Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

 Seguridad
Cualidad o estado de seguro Garantía o conjunto de garantías que se da a alguien
sobre el cumplimiento de algo. Se dice también de todos aquellos objetos, dispositivos,
medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa.
Con estos conceptos claros podemos avanzar y hablar la criminología ya ha calificado
los "delitos hechos mediante computadora "o por "sistemas de información" en el grupo de
delitos de cuello blanco.

 Delitos accidentales e incidentales

Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y
variedad. En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en
un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por
medio de computadoras estos son:
-fraudes
-falsificación
-venta de información

MEDIDAS A TOMAR EN CUENTA:

 Identificar y acceder a las políticas de administración para definir los controles de
acceso a los recursos y a las aplicaciones de TI.
 Políticas de configuración para definir cómo los recursos de TI se deben configurar
para protegerlos.
 Una infraestructura de seguridad de TI para proteger una organización de los intrusos
y ataques externos.
 Procesos de control de vulnerabilidades para descubrir y mitigar vulnerabilidades y
errores en las políticas de seguridad.
  Herramientas y procedimientos de monitoreo intenso para detectar las amenazas
internas y externas

EN LA EMPRESA DONDE ACTUALMENTE LABORO IMPLEMENTAMOS LO SIGUIENTE:

 Políticas de seguridad específicas que se centren en los comportamientos y procesos

principales considerados más importantes con el fin de respaldar la estrategia y los
objetivos empresariales.

 Se documenta las normas de seguridad básicas que protejan todos los componentes
de la infraestructura de la información.

 Como es una empresa que cuenta con una oficina central personal especializado
realiza cada cierto periodo evaluaciones rigorosas de los sistemas a fin de que den
cumplimiento de las políticas y de las normas técnicas de seguridad y arreglarlas
discrepancias inmediatamente.

 Educar a los empleados sobre las razones para crear las políticas y normas puesto
que los empleados son la clave del éxito.

 Debido a ser una empresa de gobierno a las oficinas únicamente están permitidas el
ingreso de USB oficiales de la misma empresa las cuales ya han sido previamente
registradas por su número de serie. Mediante el antivirus y así evitar ingreso de
dispositivos foráneos.

 Otras de las medidas que se ha adoptado es evitar el uso de ingreso de teléfonos

celulares así como computadoras personales con el fin de que no exista fugas de
información que ponga riesgo a nuestra empresa.

 Todas las computadoras y las redes y servidor solo tiene el acceso el oficial de
seguridad de la información (OSI) así como el encargado de redes.

 Otro punto vital es la separación de los equipos con internet y los equipos con intranet,
así mismos la utilización de software de encriptación, como es el veracrypt.
 EN NUESTRA EMPRESA LE PONEMOS ENFASIS A LA SEGURIDAD EN
REDES.

Hoy en día el riesgo mayo que se ha presentado son los ataques a las redes, ya sea de
virus o robos de información, y por ende se debe invertir en seguridad de redes.

Uno de las formas de asegurar el PC, es la utilización de lo que se denomina

cortafuegos, los que permiten ver la información de otros equipos autorizados conectados en
red. Sin embargo, los ataques cada vez se hacen más sofisticados, por lo que los cortafuegos
no garantizan seguridad absoluta. Por ende es necesario mantener permanentemente
actualizados los sistemas, a través de los diversos parches que las empresas de software van
creando, para evitar que aquellas vulnerabilidades que existan sean mal utilizadas.

Otra técnica de seguridad, es la creación de claves de acceso, pero lo importante es

crear una clave que sea difícil, pues muchas personas utilizan password fáciles de descifrar,
como la fecha del cumpleaños, y por ende arriesgan del mismo modo la seguridad de sus PCs y
de su entorno, en la organización que laboro la creación de contraseñas se lleva a cabo por
departamento evitando que personal de otros departamentos puedan ingresar a equipos que no
les corresponde.

MONITOREO DE TRAFICO DE RED.

Otro punto que realizamos en nuestra organización es la de monitoreo de tráfico por

medio de software.

Las redes de cómputo de las organizaciones, se vuelven cada vez más complejas y la
exigencia de la operación es cada vez más demandante. Las redes, cada vez más, soportan
aplicaciones y servicios estratégicos de las organizaciones. Por lo cual el análisis y monitoreo
de redes se ha convertido en una labor cada vez más importante y de carácter pro-activo para
evitar problemas.

Anteriormente, cuando no se disponía de las herramientas que hoy existen, por lo que
era necesario contratar a una empresa especializada para esta labor, con un costo muy
elevado.
 ALGUNOS CONCEPTOS BÁSICOS DE TRÁFICO DE RED:

CAPTURA: El proceso de capturar paquetes que viajan en un medio.

REGISTRO: El proceso de escribir paquetes capturados en dispositivos de

almacenamiento.

ANALISIS: El objetivo de analizar paquetes.

OBJETIVOS: Reconstruir eventos pasados en redes, Extraer

La principal pregunta que nos hacemos es ¿Dónde empezar?

HUB:

 Fácil de adquirir información.

 Son muy ineficientes.

SWITCH:

 Validar si tiene métodos de seguridad.

 Habilitar port spanning en alguno de los puertos a conectar.

Adquisición básica, recopilar todo el tráfico visto en la interfaz de red.

• Herramienta más popular para captura de trafico: tcpdump y wireshark.

ANÁLISIS DE TRÁFICO CON WIRESHARK.

En la empresa donde laboro para análisis de tráfico utilizamos el WIRESHARK. Este

software es un analizador de protocolos open-source, actualmente se encuentra disponible para
plataforma Windows y Linux. Su principal objetivo es realizar análisis de tráfico, es un software
excelente para el estudio de las comunicaciones y para solucionar problemas de red.

Esta aplicación implementa una amplia gama de Wireshark soporta una gran cantidad de
protocolos (más de 450), como ICMP, HTTP, TCP, DNS, etc. Que facilitan la definición de
criterios de búsqueda, y todo ellos por medio de una interfaz sencilla y a la vez intuitiva. El cual
permite desglosar por capas cada uno de los paquetes capturados, gracias a que wiresshark
puede comprender la estructura de los protocolos, podemos visualizar los campos de cada una
de las cabeceras y capas que componen los paquetes monitorizados, proporcionando un sinfín
de posibilidades al administrador para poder realizar su análisis de tráfico.

A continuación muestro una serie de pantallazos del wireshark

Vamos a ver como se ve una petición de “PING” y ARP en wireshark y que es lo que
pasa a nivel de red.
Quitar columna No.

Para ver la hora en wireshark de manera más amigable.

 Ejemplo de un ataque DoS.

La siguiente figura representa un ejemplo de ataque de denegación de servicio (DoS) a

pequeña escala, llevado a cabo por hping2 y que también salta a la vista nada más comenzar la
captura. En este caso tenemos un Apache instalado en la máquina 10.0.0.101 y observamos
gran cantidad de segmentos TCP con el flagSYN activados desde la misma IP, que no reciben
respuesta alguna por parte del servidor web.

Podemos ver, de forma gráfica, la secuencia de paquetes pinchando en el menú

Statistics > > Flow Graph. Esta herramienta nos facilitará en numerosas ocasiones seguir el
comportamiento de conexiones TCP, ya que, como vemos en la imagen, describe de forma muy
intuitiva mediante flechas, el origen y destino de cada paquete, resaltando los flag activos que
intervienen en cada sentido de la conexión.

En nuestro caso se observa que, en un intervalo muy corto de tiempo, existen

numerosos intentos de conexión por parte de la IP 10.0.0.200 al puerto 80 de la máquina
10.0.0.101, situación algo inusual. El servidor ha tratado de resolver la MAC de la máquina
cliente en numerosas ocasiones, una de ellas la podemos ver en el paquete 7852, pero, al no
recibir respuesta alguna y, por tanto, al carecer de la dirección física del host, no puede enviar
un ACK-SYN al mismo para continuar con el establecimiento de la conexión a tres pasos.

Esto conlleva que la pila TCP/IP de nuestro servidor tenga que esperar por cada
conexión un tiempo determinado, durante el cual seguirán llegando más paquetes que irán
creando nuevas conexiones. Por cada conexión que se intente establecer se creará una
estructura en memoria denominada TCB (Transmission Control Block) que es usada por la pila
TCP/IP del sistema operativo para identificar cada una de las conexiones (sockets local y
remoto, segmento actual, punteros a buffers de envío y recepción, etc.) y que, con un número
muy elevado, pueden acabar con los recursos de la máquina produciendo que el equipo deje de
contestar más solicitudes de conexión.

Similar a este tipo de ataques fue el llevado a cabo recientemente por el grupo
Anonymous de 4chan contra los servidores de Amazon y PayPal mediante las herramientas
LOIC (Low Orbit Ion Cannon) y HOIC (High Orbit Ion Cannon) debido a los altercados con
Wikileaks. Estas herramientas constan de una interfaz muy amigable desde la cual se puede
elegir entre diversas opciones de ataque como son peticiones UDP, TCP o HTTP así como la
velocidad y la cantidad de threads simultáneos. (inteco.es).
 CONCLUSIÓN.

Al analizar el impacto que tiene las TIC en la vida actual, podemos concluir que la
seguridad de muchos sistemas de información, es crítica ya que abarcan todo tipo de
empresas, negocios, etc.

Por otro lado la integración de internet, como herramienta cotidiana de trabajo, también
ha provocado un impacto en el desarrollo de metodologías, políticas, normativas y soluciones
tecnológicas para la seguridad, tanto para su administración como evaluación, la razón es que
fundamentalmente internet, es una red abierta y compleja, por lo que evidentemente no se
puede tener un buen sistema de seguridad, sin embargo hoy en día para las organizaciones es
casi fundamental su uso para interrelacionarse con otras empresas.

Aparte de aplicar las medidas o políticas de seguridad, también tenemos que analizar el
tráfico en la red. Por lo cual utilizamos el software Wiresshark.

Como hemos visto esta aplicación cuenta con innumerables funcionalidades gracias a
las cuales podremos identificar y analizar múltiples de problemas que nos podrían presentar. No
solo aquellas causadas por malas configuraciones, sino también un sin número de ataques,
tanto externos como internos, que puedan tomar diversas formas.

Por lo que podemos concluir que wireshark aparte de ser uno de los mejores
analizadores de protocolos actuales, es una excelente fuente de conocimiento para todo
entusiasta de las redes y las comunicaciones.
 BIBLIOGRAFÍA:

manageengine.com.mx (2018). ¿Por qué netflowanalyzer? Consultado 8 de julio 2018.

Integracion-de-sistemas.com (2018). Consultores-en-informática-de-redes. Consultado 9 de junio 2018.

incibe.es (2018) análisis de tráfico con wireshark. Consultado 9 de junio 2018.

seguridadyredes.wordpress.com (2018). Análisis de red con Wireshark. Interpretando los datos.

Consultado 9 de junio 2018.

www.adictosaltrabajo.com (2018). Analiza tu tráfico de red con Wireshark. Consultado 9 de junio 2018.