Control de Acceso Tesis

UNIVERSIDAD POLITÉCNICA SALESIANA
SEDE CUENCA
CARRERA DE INGENIERÍA DE SISTEMAS
Tesis previa a la obtención del título de:
Ingeniero de Sistemas
TÍTULO
Anàlisis de Soluciones de Acceso Seguro a la Red, e

Implementación de un Proyecto Piloto para la Unidad Educativa
"Técnico Salesiano"
AUTORAS
Julia Targelia Jiménez Orellana
Blanca Inés Rumipulla Castillo
DIRECTOR:
Ing. Byron Carrión
Cuenca, 05 de octubre del 2012

CERTIFICACIÓN
Certifico que el presente trabajo de tesis previo a la obtención del Título Ingeniero de Sistemas
fue desarrollado por las alumnas: Julia Targelia Jiménez Orellana y Blanca Inés Rumipulla
Castillo bajo mi supervisión.
Atentamente.
Ing.Byron Carrión
DIRECTOR DE TESIS
Página 2
Página 3
Página 4
DECLARATORIA
Nosotras: Julia Targelia Jiménez Orellana con CI 0301987582 y Blanca Inés Rumipulla
Castillo CI 0104662028 estudiantes de Ingenieria de Sistemas, declaramos que el trabajo aqui
descrito es de nuestra autoría; que no ha sido previamente presentado por ningún grado o
calificación personal y que hemos consultado de referencias bibliográficas que se incluyen en
este documento, todo el análisis, desarrollo del sistema y toda la información aqui vertida son
de exclusiva responsabilidad de los autores. Autorizo a la Universidad Politécnica Salesiana el
uso de esta información con fines académicos.
Atentamente.
Julia Jiménez Orellana Blanca Rumipulla Castillo

Estudiante Estudiante
Página 5
Página 6
DEDICATORIA.
Dedico este proyecto de tesis, en primer lugar a Dios por haberme brindado salud y
perseverancia para lograr mis objetivos propuestos, a mi esposo e hijo por su amor,
paciencia y por haber creído en mí, a mis padres y a toda mi familia por haber
depositado su entera confianza en cada reto que se me presentaba sin dudar ni un
solo momento de mi inteligencia y capacidades por ellos que logre mi meta con
mucho amor y cariño
Julia Jiménez Orellana.
Página 7
DEDICATORIA
Al cumplir una de las metas que me he propuesto, me siento muy motivada, muy
feliz y muy agradecida, mi mente hace un retroceso de todo lo que ha quedado atrás,
momentos alegres, momentos tristes, momentos difíciles, momentos de triunfo,
momentos que siendo buenos o malos nos han permitido aprender y a descubrir que
en cada persona existe un potencial infinito capaz de conseguir todo lo que se
proponga, somos dueños de nuestro destino y todas las tareas que se nos han
impuesto no son superiores a nuestra fuerza, todas las dificultades y problemas nunca
estarán por encimas de lo que somos capaces de soportar
Esta meta cumplida en primer lugar se la dedico a Dios que me ha regalo, la

sabiduría, la perseverancia, la fortaleza, la paciencia y me ha rodeado de personas
maravillosas: mi madre que me ha apoyado en cada momento, cuya motivación fue
mi inspiración, mis hermanas(os) en especial Galo y Juan siempre brindándome su
ayuda incondicional, mis amigas(os), mis maestros, mi amiga y compañera de tesis
con la que pasamos momentos difíciles, sin embargo el impulso mutuo nos ayudo a
hoy cumplir nuestra meta.
También dedico a todas las personas que me motivaron, me aconsejaron, me

ayudaron y han confiado en mi de tal manera que han dejado huellas en mi mente y
en especial en mi corazón por ello mi dedicación con todo respeto y afecto.
Blanca Rumipulla Castillo
Página 8
AGRADECIMIENTO.
Los resultados de este proyecto, quiero agradecer al Ing. Byron

Carrión tutor por habernos apoyado en la dirección de la tesis por
guiarnos en todo el trayecto aportando sus conocimientos. Al Ing.
Marco Timbi quien con su ayuda desinteresada compartió sus
conocimientos. Al Ing. Pablo Durazno por permitirnos implementar
el proyecto en la Institución. A mi esposo por su comprensión,
paciencia, apoyo económico y sobre todo por su amor. A mis padres
por su apoyo económico, sentimental, moral por haberme apoyado a
estudiar la Universidad y por confiar en mí hasta el final.
Julia Jiménez Orellana.
Página 9
AGRADECIMIENTO
Mi especial y mas emotivo agradecimiento a Dios

por ser mi guía en este largo camino
A mi madre por estar en todo momento apoyándome,

y a toda mi familia en especial mis hermanos
Juan y Galo que con su cariño, consejos, confianza y ayuda
me motivaron a continuar hasta llegar a la meta
Al Ing. Byron Carrión director de tesis por guiarnos

con sus grandes conocimientos y experiencias
,además por su verdadero interés y consideración
Al Ing. Marco Timbi, Ing. Juan Rodríguez, Ing. David Mogrovejo

por compartir desinteresadamente sus conocimientos,
Al Ing. Pablo Durazno Director del Departamento de Sistemas
de la Unidad Educativa “Técnico Salesiano” quien nos
permitió realizar la implementación del proyecto en la institución
Un especial agradecimiento a todos mis amigos, amigas

y para aquella personita especial que estuvo
siempre apoyándome, motivándome con
sus consejos y optimismo y sobre todo
por su entera confianza. Gracias de corazón
A mi amiga y compañera de tesis Julia

por todos los momentos compartidos
Blanca Rumipulla Castillo
Página
10
ÍNDICE
Contenido
1. SEGURIDAD .................................................................................................... 11
1.1. Introducción. ................................................................................................. 11
1.2. Objetivos de la Seguridad............................................................................. 11
1.3. Definición ....................................................................................................... 11
1.4. Tipos de Seguridad........................................................................................ 13
1.5. Principales Servicios de Seguridad.............................................................. 13

1.5.1. Servicio de Autenticación ........................................................................ 14
1.5.2. Servicio de Confidencialidad de los datos. .............................................. 17
1.5.3. Servicio de Integridad de los datos. ......................................................... 17
1.5.4. Servicio de no Repudio .......................................................................... 18
1.5.5. Servicio de control de acceso................................................................. 19
1.5.6. Servicio de Anonimato........................................................................... 20
1.6. Gestión de Riesgos......................................................................................... 20

1.6.1. Definición. ............................................................................................... 20
1.6.2. Fases de la Gestión de Riesgos. ............................................................. 20
1.7. Vulnerabilidad............................................................................................... 21
1.7.1. Tipos de vulnerabilidades ..................................................................... 21
1.8. Amenazas. .......................................................................................................... 22

1.8.1. Fuentes de amenaza. ..................................................................................... 23
1.9. Mecanismos de Seguridad ............................................................................ 29

1.9.1. Tipos de Mecanismos............................................................................. 29
1.10. Firma Digital.................................................................................................. 30

1.10.1. Tráfico de relleno ................................................................................... 30
2. ISO/IEC 27002 .................................................................................................. 32
2.1. Introducción ...................................................................................................... 32
Página
11
2.2. Objetivos: ........................................................................................................... 33
2.3. Seguridad de la información ........................................................................ 33
2.4. Importancia de la Seguridad de la Información ........................................ 33
2.5. Requerimientos de Seguridad ...................................................................... 34
2.6. Evaluación de los Riesgos ............................................................................. 34
2.7. Definición ....................................................................................................... 35
2.8. Ventajas y Desventajas ISO 27002 .............................................................. 37

2.8.1. Ventajas: .................................................................................................. 37
2.8.2. Desventajas .............................................................................................. 39
2.9. Control de Acceso.......................................................................................... 39

2.9.1. Introducción: .......................................................................................... 39
2.9.2. Definición ................................................................................................ 40
2.9.3. Control de Acceso por Identificación ................................................... 41
2.9.4. Control de acceso por autenticación .................................................... 42
2.9.5. Control de Acceso Criptográfico .......................................................... 43
2.9.6. Modelos de control de acceso ................................................................ 45
2.9.7. Requisitos previos para el control de acceso ....................................... 48
2.9.8. Gestión de acceso de usuario................................................................. 50
2.9.9. Responsabilidad del usuario .................................................................... 55
2.9.10. Control de Acceso a las Redes (NAC) .................................................. 58
2.9.11. Control del Acceso al Sistema Operativo ............................................ 65
2.9.12. Control de acceso a la aplicación y la información ............................. 71
2.9.13. Computación y Tele-Trabajo Móvil..................................................... 73
3. SOLUCIONES DE CONTROL DE ACCESOS A LA RED ........................ 79
3.1 Introducción .................................................................................................. 79
3.2 Soluciones NAC ............................................................................................. 80
3.3 Solución Protección de Acceso a la Red (NAP) .......................................... 80

3.3.1 Introducción ............................................................................................... 80
3.3.2 Características. .......................................................................................... 81
3.3.3 Aspectos importantes de NAP. ................................................................. 81
3.3.4 Escenarios para Protección de Acceso a la Red (NAP) .......................... 82
3.3.5 Infraestructura de la red. ......................................................................... 83
3.3.6 Componentes NAP. ................................................................................... 84
3.3.7 Seguridad del protocolo de internet (IPsec) ............................................ 85
3.3.8 IEEE 802.1X............................................................................................... 87
Página
12
3.4 Solución Cisco NAC ...................................................................................... 92
3.4.1 Introducción ............................................................................................... 92
3.4.2 Definición ................................................................................................... 92
3.4.3 Características y beneficios ...................................................................... 93
3.4.4 Beneficios para El Negocio ....................................................................... 93
3.4.5 Protocolo de autenticación extensible (EAP) .......................................... 94
3.4.6 Descripción de la Arquitectura ................................................................ 95
3.4. Soluciones Open Source.............................................................................. 111

3.4.1. Solución Freenac .................................................................................. 111
3.4.2. Características...................................................................................... 112
3.4.3. Ventajas a implementar freeNac ........................................................ 113
3.4.4. Modos de operación:............................................................................ 114
3.4.7. Requisitos del Sistema Operativo ....................................................... 117
3.4.8. Requerimientos de hardware.............................................................. 117
3.4.9. Conexión entre diferentes Sistemas Operativos .................................... 117
3.4.10. Configuración de la Base de Datos Mysql............................................. 118
3.4.11. Asignación de direcciones IP. ............................................................. 119
3.4.12. Portal web Freenac. ............................................................................. 119
3.4.13. Ingreso a la interfaz de usuario. ......................................................... 120
3.5. PACKETFENCE ........................................................................................ 121

3.5.1. Introducción: ........................................................................................ 121
3.5.2. Definición .............................................................................................. 121
3.5.3. Características...................................................................................... 121
3.5.4. Requisitos del Sistema ......................................................................... 125
3.5.5. Requerimientos de hardware.............................................................. 126
3.5.6. Requisitos del sistema operativo......................................................... 126
3.5.7. Administración Packetfence ............................................................... 130
CAPITULO IV ....................................................................................................... 153
4. ESTUDIO DE LA EMPRESA....................................................................... 154
4.1. Introducción. ................................................................................................... 154
4.2. Misión. .......................................................................................................... 154
4.3. Visión. ........................................................................................................... 154
4.4. Estructura organizacional .......................................................................... 155
4.5. Departamentos............................................................................................. 156
4.6. Servicios implementados sobre la red de datos. ....................................... 156
Página
13
4.7. Medios de transmisión. ............................................................................... 156
4.8. Identificación de dispositivos de conexión de la empresa ........................ 156
4.9. Estructura de la red LAN........................................................................... 157
4.10. Descripción de la VLAN implementadas. ................................................. 158
4.11. Tipos de seguridad actualmente implementadas ..................................... 158
5. IMPLEMENTACIÓN DE PACKETFENCE COMO UNA SOLUCIÓN

NAC ......................................................................................................................... 166
5.1 Objetivos de la institución. ......................................................................... 166
5.2 Análisis de la seguridad en la institución .................................................. 166
5.3 Descripción de la Infraestructura de la Solución NAC ........................... 167
5.4 Análisis de requerimientos de hardware. ................................................. 167
5.5 Análisis de requerimientos de software .................................................... 168
5.6 Implementación. .......................................................................................... 168
6. Anexos. ............................................................................................................. 189
6.1. MANUAL DE USUARIO............................................................................... 189
6.2. MANUAL TÉCNICO. .................................................................................... 200
7. CONCLUSIONES Y RECOMENDACIONES. .......................................... 222
7.1. Conclusiones. ............................................................................................... 222
7.2. Recomendaciones. ....................................................................................... 222
7.3. Bibliografía………………………………………………………………..225
Página
14
CAPITULO I
Página 10
Capítulo 1
1. Seguridad
1.1. Introducción.
En la actualidad, la seguridad informática ha adquirido gran incremento, por las
cambiantes condiciones y las nuevas plataformas de computación que se dispone.
La posibilidad de interconectarse a través de redes, ha abierto nuevos espacios que

permiten investigar más allá de las fronteras de la organización. Esta situación ha
llevado a la aparición de nuevas amenazas en los sistemas computarizados como son
que las organizaciones dependen de la presencia de internet, que es uno de los
principales motivos que provocan riesgos de seguridad, porque permite acceder a la
información y a los recursos de manera no autorizada.
Al analizar esta vulnerabilidad es necesario implementar medidas y técnicas de

seguridad en redes para proteger la información y recursos, estas deben ser
proporcionales a lo que se intenta proteger como son: servidores web, servidores de
correo, FTP, base de datos o cualquier tipo de red también se pretende crear
manuales que dirigen al uso adecuado de estas nuevas tecnologías, con
recomendaciones para obtener las mejores ventajas y no realizar un mal uso de las
nuevas tecnologías que se dispone.
1.2. Objetivos de la Seguridad.

a. Mantener la disponibilidad de los datos.
b. Mantener la integridad de los datos.
c. Mantener la confidencialidad de los datos, contra infracciones.
d. Asegurar la identidad de origen y destino
1.3. Definición
Es un conjunto de métodos y herramientas destinados a proteger la información y
sistemas informáticos contra las perdidas y modificaciones. Ante cualquier amenaza.
“Es un proceso mediante el cual se pretende minimizar la vulnerabilidad de los

sistemas”
Página 11
La seguridad se basa en cinco pilares muy importantes que son1:
 Evaluación
 Prevención
 Detección
 Reacción
 Recuperación
Seguridad en Redes.
Seguridad en redes es mantener bajo protección los recursos y la información con la

que cuenta la red a través de procedimientos basados en políticas de seguridad de
control de acceso para tener un control adecuado de acceso a la red2.
Seguridad de la red se inicia con la autenticación del usuario, generalmente con un

nombre de usuario y una contraseña para mantener bajo protección los recursos y la
información con que se cuenta en la red, a través de una serie de procedimientos
basados en una política de seguridad que permitan el control. Cabe recalcar que no
existe una seguridad absoluta, lo que se intenta es minimizar el riesgo.
Las tecnologías de seguridad de red protegen su red contra el robo y el uso incorrecto
de información confidencial de la empresa y ofrecen protección. Sin ningún tipo de
seguridad en red, la organización se enfrenta a accesos no autorizados que provocara
periodos de inactividad de red, interrupción del servicio, incumplimiento de las
normativas e incluso a acciones legales.
1
CARRACEÑO GALLARDO Justo. Redes Telemáticas p 18
2
Manual de Seguridad en Redes página 13 , Coordinación de emergencia en redes telemáticas
Página 12
Debemos tener en cuenta que seguridad comienza y termina con las personas es por
esto que debemos lograr de los usuarios concientización de conceptos, usos y
costumbres. .
1.4. Tipos de Seguridad3

La seguridad informática se plantea desde dos enfoques distintos aunque
complementarios:
 La Seguridad Física: puede asociarse a la protección del sistema ante las

amenazas físicas mediante la aplicación de barreras físicas y procedimientos
de control como medidas de prevención y contramedidas ante amenazas ante
recursos e información confidencial.
 La Seguridad Lógica: consiste en la aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo se permita acceder a ellos a las
personas autorizadas para hacerlo protección de la información en su propio
medio, mediante el enmascaramiento de la misma usando técnicas de
criptografía. Aplicación de barreras para resguardar el acceso a los datos y
solo puedan acceder a ellas personas autorizadas.
Técnicas de Seguridad Lógica.
 Control de acceso
 Autenticación.
 Encriptación.
 Firewall
 Antivirus.
1.5. Principales Servicios de Seguridad4.
Los principales servicios básicos de seguridad son:
a. Autenticación
b. Confidencialidad
c. Integridad
3
RAMIO AGUIRRE Jorge Madrid España edición 2006 capitulo 3 Introducción a la seguridad
Informática página 61
4
Madjid Nakhjiri and Nahsa Nakhjiri, AAA and Network Security for Mobile Access : Radius,
Diameter,EAP,PKI and IP Mobility.Edición 2005
Página 13
d. Control de acceso
e. No repudio
f. Anonimato recalcar
1.5.1. Servicio de Autenticación5

Son medidas dirigidas a garantizar que la persona o la maquina es quien dice ser. Por
medio de este servicio se protege contra el ataque de suplantación de personalidad
donde una entidad remota se hace pasar por alguien que no es.
Debemos recalcar las distintas situaciones de autenticación:
a. Autenticación de Entidad.-cuando una entidad se conecta al sistema debe

demostrar su identidad ante el sistema.
b. Autenticación de Origen de Datos.-se da cuando en una transferencia de
datos como por ejemplo en correo electrónico solamente se requiere
demostrar que los datos han sido originados por una determinada entidad.
Autenticación de Entidad.
Se puede llevar a cabo basándose en diferentes características que son:
a) Por algo que solo conoce la entidad o persona que trata de comunicarse y la
entidad que verifica la autenticación puede darse por medio de una clave,
palabra
b) Por algo que solo quien trata de comunicarse posee, puede ser por un
dispositivo físico, clave secretar
c) Por algo que una persona sabe hacer, podría ser una habilidad que la persona
posea para autenticarse.
d) Por cómo es la persona exhibiendo características biométricas que podría ser:
huella digital, iris del ojo.
La autenticación se basa en dos esquemas de autenticación:
a. Autenticación simple.
b. Autenticación fuerte.
5
CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 27
Página 14
Autenticación Simple
Solo uno de los participantes en la comunicación está obligado a demostrar su

identidad, se basa en contraseñas o palabra de paso más o menos protegida.
Ejemplo.- la entidad A trata de probar su identidad, envía a la entidad B su nombre

significativo y un testigo de autenticación T este testigo se construye a través de un
nombre y una contraseña pass-A todo protegido mediante una función
unidireccional f1.
Para que el esquema funcione el nombre significativo debe ser “claro” y la entidad B
conozca y tenga almacenada la contraseña de A en la base de datos.
Para que la contraseña sea almacenada con seguridad se debe proteger con una
función unidireccional que lo que almacene sea una función del testigo de
autenticación, es decir mientras no se comprueba que el valor recibido coincide con
el valor almacenado no se dará valido el proceso de autenticación.
El problema de este proceso de autenticación es la vulnerabilidad de ingreso y ataque

de terceras personas.
Autenticación Mediante Desafío.
Se basa en que la entidad A que trata de autenticarse comparte la información

secreta con la entidad B que verifica la autenticación.
La entidad A envía a la entidad B una petición de autenticación la entidad B le

responde con un reto o desafío que puede ser una pregunta que la respuesta solo la
Página 15
entidad A conoce, esta no ofrece un nivel de seguridad aceptable, por tanto se ve la
necesidad de implementar la autenticación fuerte.
Autenticación fuerte.- se basa en que cada una de las entidades participantes en el

escenario de autenticación está en posición de una clave privada que se mantiene en
secreto para este fin.
Se puede diferenciar los siguientes casos de autenticación fuerte.
Autenticación unidireccional.
Autenticación Mutua o bidireccional
Autenticación tridimensional.
a) Autenticación unidireccional.-que consiste en que solo uno de los participantes
que forman parte de la comunicación deben demostrar su identidad, comporta
una sola transferencia de información entre la entidad A que trata de autenticarse
con la entidad B que verifica la autenticación.
b) Autenticación bidireccional o mutua.- los participantes deben demostrar su
identidad en ambos sentidos de la comunicación es decir consiste en añadir una
respuesta de la entidad B al proceso de autenticación.
c) Autenticación Tridimensional.- ayuda a reforzar la autenticación bidireccional,
se añade una tercera transferencia de datos entre las entidades A y B
Autenticación de Origen de Datos.
Se basa en los siguientes métodos.
Página 16
a. MAC (Código de autenticación de mensaje).- es una pieza de información
de tamaño fijo que se genera mediante un criptosistema de clave secreta
b. Firma digital.- un determinado mensaje constituye un testigo autenticador de
extraordinaria fortaleza.
c. Valor hash.- es una pieza de información de tamaño fijo que se genera
mediante una función unidireccional, que puede servir como valor
autenticador de mensajes, son parte fundamental de los algoritmos de firma
digital.
1.5.2. Servicio de Confidencialidad de los datos6.

Proporciona protección para evitar que los datos sean revelados a usuarios no
autorizados, garantiza que los datos sean entendido solo por destinatarios autorizados
es decir si la información es robada no sea posible entender su significado. Con este
servicio se puede garantizar que la información que circula a través de las redes esté
disponible para usuarios legítimos.
1.5.3. Servicio de Integridad de los datos.

7
Este servicio garantiza que los datos recibidos por el receptor coincidan exactamente
con los enviados por el emisor, garantiza que la información no sea modificada,
añadida, sustraída es decir el receptor detectara si se ha producido un ataque a la
información y podrá aceptar los datos recibidos o rechazarlos.
Debe garantizar que la información es fiable y que no se ha modificado es decir que

la información no ha sido copiada, modificada, borrado en su origen o durante su
trayecto. Debemos tener en cuenta que es necesario proteger la información contra
la modificación sin el permiso del dueño.
La información a ser protegida no sólo debe estar almacenada en la computadora

sino que se debe considerar elementos menos obvios como respaldos,
documentación. Esto comprende cualquier tipo de modificaciones:
 Causadas por errores de hardware y/o software.

 Causadas de forma intencional.
6
CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 28 , 326
7
Página 17
 Causadas de forma accidental
Cuando se trabaja con una red, se debe comprobar que los datos no fueron
modificados durante su transferencia.
1.5.4. Servicio de no Repudio8

No repudio.- proporciona garantías respecto a la emisión y recepción de la
información, sirve para evitar que algún participante niegue haber formado parte de
ella
Casos de no repudio.
a). No repudio con prueba de origen.-el receptor que envía el mensaje adquiere una
prueba del origen de la información recibido por tanto el emisor no puede negar que
envío información porque el destinatario tiene pruebas del envío, el receptor recibe
una prueba infalsificable del origen del envío esto evita que el emisor niegue el
envío.
b). No repudio con prueba de envío.-El receptor o emisor adquiere una prueba que
no podrá negar que recibió el mensaje con la fecha y hora. Este servicio proporciona
al emisor la prueba de que el destinatario del envío, realmente lo recibió, evitando
que el receptor lo niegue.
8
CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 29, 30,31
Página 18
c). No repudio con prueba de entrega.- el emisor adquiere una prueba demostrando
a terceras personas que el receptor adecuado recibió el mensaje sin inconvenientes.
1.5.5. Servicio de control de acceso.

9
Sirve para evitar el uso no autorizado de los recursos de la red es decir permite que
solo personas autorizadas puedan tener acceso a una maquina cada usuario tenga los
permisos de acuerdo a sus funciones.
Permiso.- se refiere a que un usuario pueda hacer determinadas operaciones de

acuerdo a sus funciones.
Este servicio se implementa bajo la autenticación en la que el usuario demuestra

quien dice ser para poder acceder a los privilegios y restricciones correspondientes.
En el control de acceso se presenta dos servicios que son;
 El acceso a servidores de todo tipo base de datos, impresoras, servidores es decir

el usuario accede de forma cliente- servidor deben identificarse para acceder de
acuerdo a los servicios que requiera.
 El acceso a terminales desde lo que el usuario se conecta a la red
En algunos casos estos servicios se conecta utilizando el servicio de autenticación,
porque al comprobar que el usuario es quien dice ser se le aplican los privilegios que
tienen y las restricciones.
Otros casos puede ser por medio de credenciales que consiste en asignar privilegios
independientes de la identidad.
9
Página 19
1.5.6. Servicio de Anonimato10.
Se encarga de ocultar la identidad de la persona ante actores que forma parte de
dichas operaciones. Se trata de emular en la red situaciones de la vida real en la que
es conveniente mantener el anonimato.
1.6. Gestión de Riesgos.

1.6.1. Definición.
11
Son métodos, mecanismos de protección para reducir los riesgos a un nivel
apropiado, es un aspecto más básico y difícil de construir ya que se requiere amplios
conocimientos de riesgos, ámbitos de riesgo y métodos de mitigación. Es un
procedimiento que se diseña para implantar y mantener en el tiempo las
contramedidas establecidas en el análisis de riesgos para conseguir seguridad
implementando mecanismos para controlar el riesgo y un adecuado funcionamiento
del sistema.
Al aplicar la gestión de riesgos queremos proteger:
La información
Los procesos.
Las aplicaciones
El sistema operativo
El hardware
Las comunicaciones
Los soportes de información
Las instalaciones.
1.6.2. Fases de la Gestión de Riesgos.

Contiene cuatro fases:
 Análisis.-establece los componentes de un sistema que necesitan protección,

analizan sus vulnerabilidades lo que debilitan y las amenazas que lo ponen en
peligro, con el resultado de revelar su grado de riesgo
10
11
MAÑAS José Antonio. Gestión de Riesgos p4
Página 20
 Clasificación.- determina si los riesgos encontrados y los riesgos restantes son
aceptables.
 Reducción.-define e implementa las medidas de protección, sensibilizando y
capacitando a los usuarios conforme a las medidas
 Control.- realiza un análisis del funcionamiento, la efectividad y el
cumplimiento de las medidas, para determinar y concertar las medidas
deficientes y sancionar el incumplimiento.
1.7. Vulnerabilidad
Es un elemento de un sistema informático que puede ser víctima por un atacante para
violar la seguridad y puede causar algún daño.
La vulnerabilidad se considera como un elemento interno del sistema, por tanto los
administradores y usuarios deben detectarlos, valorarlos y reducirlos.
1.7.1. Tipos de vulnerabilidades

Las vulnerabilidades se producen por errores en el sistema, fallos en el diseño del
sistema, limitaciones tecnológicas etc.
Las vulnerabilidades se clasifican en:
 Física o Ambiental.
 Hardware.
 Software.
 Red.
 Factor humano.
Física.- se relaciona con el acceso físico al sistema, se refiere a las instalaciones de
los equipo de cómputo que forman parte del sistema. La vulnerabilidad se presenta
en las malas prácticas de las políticas de acceso del personal a los sistemas, usan
medio de almacenamiento para extraer información.
Natural.- se refiere al grado que el sistema se puede ver afectado por este tipo de
desastres, la vulnerabilidad se presenta por deficiencias de medidas para afrontar los
desastres.
Ejemplo.- baja ventilación calefacción.,
Página 21
Hardware.-presenta la probabilidad de que las piezas del sistema fallen, dejando el
sistema inoperable, trata de cómo las personas pueden utilizar el hardware para
atacar.
Software.- esto puede ocurrir por errores en la programación, o en el diseño
Red.- son muy vulnerables al tener equipos conectados entre sí compartiendo

recursos, es posible atacar a toda la red, al inicio ataca solo un equipo y luego
expandirse. La vulnerabilidad se basa en la intercepción de la información por
personas no autorizadas con fallas en la disponibilidad de servicios.
Factor humano.- son la parte más vulnerable del sistema son los más difíciles de
controlar, se origina por la falta de capacitación y concienciación provocando
negligencia en las políticas de seguridad y mal uso de los equipos
1.8. Amenazas.
El control de acceso se encarga de contrarrestar la amenaza que sufre alguna entidad

sobre operaciones no autorizadas en los recursos de la red.
Las amenazas pueden ser12:
Utilización indebida de los recursos de la red podría ser por suplantación de

personalidad.
Divulgación o repetición de contenido y dirigirlo a un destinatario no autorizado.
Modificación, alteración, destrucción del contenido del mensaje o información
contenida en el sistema.
12
CCNA Security
Página 22
Denegación de servicio a causa de alguien que acceda de manera indebida al
sistema
Para proteger la información es necesario:
Emplear mecanismo de seguridad específicos.

La cooperación con otros servicios de seguridad.
Puede originarse en cualquier lugar o momento, aprovechándose de las diferentes
vulnerabilidades que se pueda dar como; Sistema operativo, de las aplicaciones,
protocolos, psicológicas o de algún método de ingreso al sistema.
Considerando los riesgos.
En internet existen muchas personas que se dedican a robar información, pueden ser
personas de la misma organización o externa, estas pueden robar información y los
administradores pueden quizá darse cuenta luego de semanas o meses, esto trae como
consecuencia perdidas de dinero, clientes.
1.8.1. Fuentes de amenaza.

Las amenazas pueden tener diferentes orígenes, se las puede dividir en cinco tipos13.
1.8.1.1. Amenazas humanas.- las personas son la fuente principal de amenaza en las
que se invierte más recursos para controlarlos y equilibrar sus consecuencias. Implica
actos males intencionados, incumplimiento de medidas de seguridad.
Tipos de amenazas humanas.
 Curiosos.- ingresan al sistema sin autorización motivados por aprender,

curiosidad, desafío a personal, se debe tener bastante cuidado porque pueden
causar daño no intencional incluso perdidas económicas.
 Intrusos.- se encarga de ingresar al sistema con un objetivo fijo, se debe
tener precaución porque estas personas tienen la experiencia. Capacidad y
herramientas para ingresar al sistema sin importar el nivel de seguridad que
posea
13
CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 35,36
Página 23
 Personal enterado.-personal que tiene acceso autorizado puede ser personal
que labora en la actualidad o ex empleados que lo pueden hacer por
revanchas personales o motivados por el dinero.
 Terrorista –causar daño para diferentes fines.
 Robo.-extraer información en algún unidad de almacenamiento, robo físico
de hardware para otros fines.
 Sabotaje.-consiste en reducir la funcionalidad del sistema por medio de
acciones que impidan el normal funcionamiento por tanto daño de los
equipos, interrupción de los servicios, en algunos casos provocando la
destrucción completa del sistema.
 Fraude.-actividad que tiene como fin aprovechar los recursos para obtener
beneficios ajenos a la organización.
 Ingeniería social.- obtener información social a través de la manipulación a
los usuarios legítimos impulsándolos a revelar información sensible. De esta
manera los ingenieros sociales aprovechan la tendencia natural de la gente a
confiar en su palabra antes que aprovechar de los agujeros de seguridad de los
sistemas.
1.8.1.2. Amenazas de hardware.-las amenazas se da por las fallas físicas del
hardware ya sea defectos de fabricación o mal diseño de hardware que forma parte
del sistema de cómputo
Tipos de amenazas de hardware.
 Mal diseño.-cuando los componentes de hardware del sistema no cumple con

los requerimientos necesarios.
 Errores de fabricación.-cuando el hardware tienen desperfecciones de
fabricación y fallan en el momento de usarse. Esto trae consecuencias
negativas a la organización que a los fabricantes.
 Suministro de energía.- las variaciones de voltaje provocan daños en los
dispositivos, es por esto que debemos revisar las instalaciones de energía, que
proporcionen el voltaje que se requiere de acuerdo al hardware caso contrario
se acortara su vida útil.
 Desgaste.- al usar el hardware se da un desgaste de este hasta que no se
pueda utilizar.
Página 24
 Descuido y mal uso.-los componentes de hardware deben ser usados
tomando en cuenta los parámetros establecidos de los fabricantes como son:
Tiempo de uso, periodos y procedimientos de mantenimiento, no tomar en
cuenta esto provoca un mayor desgaste y reduce la vida útil de los recursos de
hardware.
1.8.1.3. Amenazas de red.- se presenta cuando la red no está disponible para su uso,
esto puede ocurrir por un ataque o por un error físico o lógico del sistema.
Las principales amenazas que se dan en la red son:
 No disponibilidad de la red.
 Extracción lógica de la información.
Tipos de amenazas en la red.
Topología seleccionada.- la topología es la disposición física que se conecta los

nodos de una red ordenadores o servidores, cada uno con sus ventajas y desventajas.
Dependiendo del alcance se puede implementar una topología sobre otra pero
debemos tener en cuenta que se puede limitar la comunicación hasta dejar la red
fuera de servicio.
1.8.1.4. Sistema operativo.- cada sistema operativo tiene diferente nivel de

protección que los hace susceptibles a ataques, a partir de esto los atacantes pueden
tomar acciones contra los sistemas operativos con mayor seguridad
Incumplimiento de las normas de instalación de la red.- las instalaciones se deben

seguir ciertas normas y estándares que se conoce como cableado estructurado.
Cableado estructurado.- son normas y estándares que consiste en un tendido de

cables en el interior de un edificio con el propósito de implantar una red, utiliza una
serie de cables, canalizaciones, conectores, etiquetas y demás dispositivos que se
necesitan para establecer una infraestructura de telecomunicación en un edificio, se
debe tener limitaciones dependiendo de lo que se vaya a implementar. Debemos
considerar los siguientes puntos para tener éxito al implementar para evitar fallas o
problemas de transmisión, operatividad y disponibilidad de recursos en la red.
 Segmentación del tráfico de red

 Longitud máxima de cada segmento de red
Página 25
 La presencia de interferencias electromagnéticas
 Redes locales virtuales.
1.8.1.5. Amenazas de Software.-fallas dentro del software dentro del sistema
operativo, puede ser por software mal desarrollado, diseñado, implantado
Tipos
Software de desarrollo.- es personalizado, puede ser creado para atacar un sistema

completo, aprovechando las características de violar la seguridad.
Software de aplicación.- fue creado especialmente para realizar ataques, tiene

características que pueden ser usadas para atacar un sistema.
Código malicioso.- el software que ingresa al sistema e intenta romper las reglas
son; caballos de Troya, virus gusanos y otras amenazas programadas.
1.8.1.6. Amenazas de desastres naturales.- eventos que tienen origen por la fuerzas
de la naturaleza, estas afectan a la información de los sistemas y a la amenaza de
integridad del sistema completo, trae como consecuencia un sistema inoperable.
Tipos de desastres naturales.
Entre los diferentes desastres naturales que afectan al sistema son: inundaciones,
terremotos, incendios, huracanes, tormentas eléctricas, por esta razón debemos tener
en cuenta la importancia de un cableado de red de datos, redes de energía, suministro
de agua ya que una falla de estos puede dañar la información de la organización.
1.8.1.7. Amenazas de seguridad.
El propósito de esta sección es realizar un análisis de cada uno de las posibles

amenazas que puede ingresar o interrumpir los sistemas. Entre las amenazas
tenemos.
 Virus.-programas maliciosos que se propagan mediante código ejecutable,

modifican otros programas insertando copias del mismo para propagarse a
través de la red.
Los virus no pueden ejecutarse como un programa independiente necesitan
un programa anfitrión que los inicialice
Página 26
Recomendaciones para proteger un sistema de virus.
 Centralizar la responsabilidad de mover un cualquier archivo entre

subsistemas
 Implementar una política de respaldos completos del sistema
 Mantener los archivos temporales fuera del directorio del sistema operativo y
de los que soportan productos de software a terceros.
 Gusanos (worms).-paquetes que se transmiten por la red y aprovechan la
vulnerabilidad del sistema operativo
 Trampas.- son programas o parte de programas que permite el acceso no
autorizado al sistema, permite a los usuarios a entrar en programas para
realizar evaluación, depuración, mantenimiento y monitoreo en el proceso de
desarrollo de sistemas
 Caballo de Troya.- son amenazas fáciles y comunes de implantar, son
programas que imitan a un programa que quieren implantar pero son
diferentes, se utiliza para capturar passwords, cambiar permisos, crear
programas
 Bacterias.-son programas que existen para recuperarse a sí mismo, afecta a
un sistema porque consumen recursos computacionales que le pertenece a ese
sistema, estas bacterias no destruyen archivos ni alteran datos, su propósito es
degradar todo el servicio del sistema provocando que se detenga.
 Huecos de seguridad.- son imperfecciones del diseño de software que
otorgan privilegios a usuarios comunes
Los huecos de seguridad se dan en cuatro clases.
1. Huecos de seguridad físicos.-permiten el acceso físico al equipo a
personas no autorizadas
2. Huecos de seguridad de software.-el problema se da al otorgar mal los
privilegios de usuarios
3. Huecos de seguridad de uso incompatible.- el administrador del sistema
ensambla una combinación de software y hardware el mismo que es
usado como un sistema dañado desde un punto de vista de seguridad.
4. Selección de una filosofía de seguridad y mantenimiento.-está basado
en la percepción y entendimiento, es decir si tenemos un software
Página 27
perfecto un hardware bien protegido, compatibilidad entre componentes
pero no concientizamos a los usuarios esto de nada nos servirá.
 Insectos (bugs).- defecto de un programa que provoca que este realice algo
inesperados
 Phishing.-es una táctica mediante la cual el usuario hace clic en un enlace
falso el cual lo lleva a un sitio web donde le roban información personal.
 Spyware.-es un sitio web que supervisa el comportamiento del usuario,
transmite la información a un hacker para robar información.
Tipos de Amenazas.
Las diferentes fuentes de amenazas a las cuales se expone a un computador a

conectar a internet son:
 Vulnerabilidad de información.- mediante firewalls se puede dar una

incorrecta configuración o poseer una tecnología de firewalls muy antigua.
 Vulnerabilidad de software.- permite controlar las computadoras, robar
información, acceder indebidamente a los sistemas.
o Debilidades del sistema físico.
o Transmisión de debilidades.
Los diferentes ataques que puede sufrir al conectarse a internet en redes corporativas
son;
 Ataques basados en passwords

 Ataques en base de escuchar el tráfico de la red
 Ataques que explotan los accesos confiables
 Basados en direcciones IP
 Introducir información sin darse cuenta
 Predicción de números secuenciales
 Secuestrando sesiones
 Ataques a las debilidades de la tecnología
 Explotando el sistema de librerías compartidas.
 DNS
 Keyloggers
 Ingeniería social.
Página 28
1.9.Mecanismos de Seguridad14
Es una técnica para implementar los servicios está diseñado para detectar, prevenir y
recuperarse de un ataque de seguridad.
Los mecanismos de seguridad se basan en tres componentes principales que son:
a. Información secreta como claves, contraseñas, conocidas por las entidades

certificadoras
b. Algoritmos para llevar a cabo el cifrado, descifrado y generación números
aleatorios
c. Procedimientos para definir como usaron los algoritmos es decir quien envía,
a quien y cuando.
1.9.1. Tipos de Mecanismos
1.9.1.1. Mecanismos de seguridad generalizados
Están relacionados con la administración de seguridad, permiten determinar el grado
de seguridad del sistema ya que la aplican para cumplir la política general
1.9.1.2.Etiquetas de seguridad
Está relacionado con números para medir el nivel de seguridad de la información
clasificándola como información secreta, confidencial, no clasificada
1.9.1.3.Detección de eventos
Detecta movimientos peligrosos dentro del sistema utilizando auditorias de seguridad
para así conocer las políticas establecidas y los procedimientos operacionales.
1.9.1.4.Recuperación de seguridad
Realiza la recuperación de la información basada en reglas, las acciones de
recuperación pueden ser inmediatas como desconexión, invalidación temporal de
una entidad o de largo plaza intercambio de clave.
1.9.1.5.Mecanismos de seguridad específicos

Definen la implementación de servicios concretos, los más importantes son los
siguientes:
Intercambio de Autenticación.-verifica la entidad de quienes envían los mensajes y

datos, se clasifica en mecanismos fuertes y débiles.
14
Página 29
Fuertes.-utiliza técnicas criptográficas propiedades de los sistemas criptográficos de
clave pública para proteger los mensajes que se van a intercambiar, el proceso es el
siguiente. El usuario se autentica mediante un identificador y contraseña o clave
privada, en la que el interlocutor verifica que las claves, también lo realiza por
certificados que es un documento firmado por una autoridad certificadora válido
hasta un periodo determinado de tiempo y que se asocia con la clave del usuario
Débiles.- está basado en técnicas de control de acceso, el emisor envía su

identificador y una contraseña al receptor el cual la comprueba.
Integridad de datos.-garantiza que los datos no sean alterados o destruidos
1.10. Firma Digital

Se define como un conjunto de datos códigos y claves criptográficas privadas que se
añaden a la unidad de datos para proteger contra cualquier falsificación, permitiendo
al receptor verificar el origen y la integridad de los datos.
“Es una pieza de información añadida a una entidad de datos, que es el resultado de
una transformación criptográfica de esta en la que se ha usado una información
privada del signatario, que permite a una entidad receptora probar la autenticidad del
origen y la integridad de los datos recibidos”15
Ventajas de la Firma Digital.
 La firma es autentica
 La firma no puede ser violada
 El documento firmado no puede ser alterado
 La firma no es reutilizable
1.10.1. Tráfico de relleno
Es un mecanismo que provee una generación de tráfico falso, generan eventos de
comunicación, unidades de datos y datos falsos e forma aleatoria para confundir a un
analizador de tráfico.
15
CARREÑO GALLARDO Justo - Seguridad en Redes Telemáticas p 343,344
Página 30
CAPITULO II
Página 31
Capítulo 2
2. ISO/IEC 27002
2.1. Introducción
Actualmente las tendencias que han ido adquiriendo la gran mayoría de las empresas
dedicadas o relacionadas con las tecnologías de información, es permitir que cada
uno de sus procesos se orienten a operaciones y servicios en red de manera
distribuida, con el objetivo de que todos los miembros (clientes, empleados,
proveedores) de una organización tengan conectividad desde una gran variedad de
dispositivos y plataformas, sin embargo el creciente aumento de los puntos de acceso
expondrá aún más la infraestructura y los activos digitales de las empresas, surge
entonces la necesidad de contar con buenos mecanismos de seguridad para riesgos y
amenazas, los mismos que no solamente consiste en robos de información inducido
por personal dentro de la misma área geográfica donde estén las computadores, sino
también existen riesgos de robos o accesos no autorizados a la información mediante
las diferentes redes que interconectan a las computadoras o a cualquier equipo
tecnológico utilizado para transmitir información digital.
La réplica elemental frente a este entorno de conectividad más exigente, consiste

entonces en un conjunto de decisiones tecnológicas orientadas a la seguridad,
tecnología que permita a las empresas garantizar la imposición de las políticas de
seguridad corporativas a los puntos finales conectados a sus redes. Por ejemplo, que
los terminales tengan completamente actualizados las herramientas antivirus o los
parches de seguridad, es muy importante considerar los estándares internacionales,
los mismos que han sido muy bien aceptados, porque proporcionan mecanismos de
seguridad que han sido estudiados detenidamente y cuyas pruebas han sido exitosas,
concluyendo que los resultados que ofrecen son los ideales y que deberían ser
implementados por todas las organizaciones relacionadas a las tecnologías de la
información, dicho estándar internacional es ISO/IEC 27002, el cual trata
específicamente sobre aspectos de seguridad en las tecnologías de información.
Página 32
2.2. Objetivos:
1. Gestionar y proteger los activos de información de una organización
2. Aplicar habilidades prácticas para ayudar a concientizar a la organización

sobre la seguridad
3. Permite supervisar continuamente el rendimiento y la mejora.
4. Ayuda a demostrar independientemente que se respetan las leyes y

normativas que sean de aplicación. Proporciona una ventaja competitiva al
cumplir los requisitos contractuales y demostrar a los clientes que la
seguridad de su información es primordial.
5. Permite verificar independientemente que los riesgos de la organización

estén correctamente identificados, evaluados y gestionados al tiempo que
determina unos procesos, procedimientos y documentación de protección de
la información.
2.3.Seguridad de la información
“La seguridad de la información es la protección de la información contra una

gran variedad de amenazas con el fin de asegurar la continuidad del negocio,
minimizar el riesgo para el negocio y maximizar el retorno de inversiones y
oportunidades de negocio”
La seguridad de la información se puede conseguir mediante la implementación

de un conjunto apropiado de controles incluyendo políticas procesos,
procedimientos, estructuras organizacionales y funciones de software y hardware,
estos controles necesitan ser, establecidos, implementados, monitoreados,
revisados y mejorados, donde sea necesario, para asegurar que se cumplan los
objetivos específicos de seguridad y del negocio de la organización. 16
2.4.Importancia de la Seguridad de la Información
La información y los procesos, sistemas y redes de apoyo son activos comerciales

importantes. Definir, lograr, mantener y mejorar la seguridad de la información
16
NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la información, Técnicas de Seguridad,
Código de práctica para la gestión de la seguridad de la información Pág. 7
Página 33
puede ser esencial para mantener una ventaja competitiva, el flujo de caja,
rentabilidad, observancia legal e imagen comercial.
Las organizaciones y sus sistemas y redes de información enfrentan amenazas de

seguridad de un amplio rango de fuentes; incluyendo fraude por computadora,
espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de daño como
código malicioso, pirateo computarizado o negación de ataques de servicio se
hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas.
La seguridad de la información es importante tanto para negocios del sector

público como privado, y para proteger las infraestructuras críticas. En ambos
sectores, la seguridad de la información funcionará como un facilitador; por
ejemplo para evitar o reducir los riesgos relevantes. La interconexión de redes
públicas y privadas y el intercambio de fuentes de información incrementan la
dificultad de lograr un control del acceso. La tendencia a la computación
distribuida también ha debilitado la efectividad de un control central y
especializado17
2.5.Requerimientos de Seguridad
Es esencial que una organización identifique sus requerimientos de seguridad.

Existen tres fuentes principales de requerimientos de seguridad. Una fuente se
deriva de evaluar los riesgos para la organización, tomando en cuenta la
estrategia general y los objetivos de la organización. A través de la evaluación
del riesgo, se identifican las amenazas para los activos, se evalúa la
vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.18
2.6.Evaluación de los Riesgos
Los requerimientos de seguridad se identifican mediante una evaluación

metódica de los riesgos de seguridad. El gasto en controles debiera ser
equilibrado con el daño comercial probable resultado de fallas en la seguridad.
17
http://isvoc.com/download/ISO_27002_EN.pdf
18
NORMA TÉCNICA NTC-ISO/IEC 27002 Tecnologías de la información, Técnicas de Seguridad,
Página 34
Los resultados de la evaluación del riesgo ayudarán a guiar y determinar la acción de
gestión apropiada y las prioridades para manejar los riesgos de seguridad de la
información, e implementar los controles seleccionados para protegerse contra esos
riesgos.
La evaluación del riesgo se debiera repetir periódicamente para tratar cualquier

cambio que podría influir en los resultados de la evaluación del riesgo.
2.7.Definición
ISO
ISO es el acrónimo de International Organization for Standardization y se deriva del

griego "isos", que significa "igual". Se trata de la organización desarrolladora y
publicadora de Estándares Internacionales más grande en el mundo. ISO es una red
de instituciones de estándares nacionales de 157 países, donde hay un miembro por
país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema
La misión de la ISO es promover el desarrollo de las actividades de normalización y

afines en el mundo con el fin de facilitar el intercambio internacional de bienes y
servicios, para desarrollar la cooperación en la actividad intelectual, la actividad
científica, tecnológica y económica.19
La ISO es un órgano consultivo de la Organización de las Naciones Unidas. Coopera

estrechamente con la Comisión Electrotécnica
Internacional (International Electrotechnical Commission, IEC) que es responsable

de la normalización de equipos eléctricos.
IEC
19
http://trace.wisc.edu/docs/taacmtg_sep96/iso.htm
Página 35
Fundada en 1906, la IEC (International ElectrotechnicalCommission) es la
organización líder en el mundo para la preparación y publicación de normas
internacionales para todas las tecnologías eléctricas, electrónicas y relacionadas.
Éstos se conocen colectivamente como "electrotécnica".20
ISO/IEC JTC1
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1
(ISO/IEC JointTechnicalCommittee). Este comité trata con todos los asuntos
de tecnología de la información, este se encarga de las técnicas de seguridad de las
tecnologías de información. Dicho subcomité ha venido desarrollando una familia de
Estándares Internacionales para el Sistema Gestión y Seguridad de la
Información. La familia incluye Estándares Internacionales sobre requerimientos,
gestión de riesgos, métrica y medición, y el lineamiento de implementación del
sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de
numeración utilizando las series del número 27000 en secuencia.
ISO 27002:
ISO / IEC 27002, es la última versión de la "tecnología de la información, es

definida como técnicas de seguridad o como el Código de buenas prácticas para la
gestión de seguridad de la información, dirigida a los responsables de implementar o
mantener activa la seguridad de la información, esta norma es aceptada
internacionalmente, por lo que decenas o cientos de miles de organizaciones en todo
el mundo siguen la norma ISO / IEC 27002.21
PDCA
El "Plan-Do-Check-Act" (PDCA) que significa "Planificar-Hacer-Controlar-Actuar"

siendo este un enfoque de mejora continua:
20
http://www.iec.ch/about/
21
http://www.itnews.ec/marco/000124.aspx
Página 36
Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de
riesgos de seguridad de la información y la selección de controles adecuados.
Do (hacer): es una fase que envuelve la implantación y operación de los

controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
desempeño (eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para
llevar de vuelta el SGSI a máximo rendimiento.
PDCA permite seguir un proceso cuando se necesita hacer un cambio o resolver un

problema, un proceso que asegure planificar, probar e incorporar retroalimentación
antes de comprometerse con la implementación.22.
2.8.Ventajas y Desventajas ISO 27002
2.8.1. Ventajas:
Es importante considerar que una seguridad al 100% no existe, sin embargo esta
norma establece una metodología y una serie de medidas que al menos busca una
mejora continua y que, sin lugar a dudas, aumentará el porcentaje actual de cualquier
empresa, entre estas ventajas tenemos:
22
http://www.mindtools.com/CXCtour/PDCA.php
Página 37
Competitividad: es un factor que le interesa a cualquier empresa., por lo que
poco a poco las grandes empresas, emprenderán una búsqueda de dicha
certificación para abrir y compartir sus sistemas con cualquier empresa.
Calidad a la seguridad, transformando a la seguridad en una actividad de

gestión, es decir se convierte en un ciclo de vida sistemático y controlado,
que se busca y exige hoy en toda empresa.
Reduce riesgos, partiendo de un Análisis de Riesgos, que impone la norma,

hasta la implementación de los controles, entonces este conjunto de acciones
adoptadas reducirá al mínimo todo riesgo por robo, fraude, error humano
(intencionado o no), mal uso de instalaciones y equipo a los cuales está
expuesto el manejo de información.
Concienciación y compromiso: El estándar crea conciencia y compromiso de

seguridad en todos los niveles de la empresa, no sólo al implantarla, sino que
será permanente
Visión externa y ordenada del sistema donde implica rigidez y

responsabilidad que impone al personal de la empresa, para que aporten con
elementos de juicio y acciones de mejora.
Establecimiento de una metodología de gestión de la seguridad de la

información clara y bien estructurada.
Los riesgos y sus respectivos controles son revisados constantemente.
Garantiza el cumplimiento de las leyes y reglamentos establecidos en materia

de gestión de la información.
Incrementa el nivel de concientización del personal con respecto a los tópicos

de seguridad informática, además de proporciona confianza y reglas clara al
personal de la empresa.
Página 38
2.8.2. Desventajas
Tal vez la mayor problemática es el poder convencer a la alta dirección la
importancia que reviste todo el proceso para la implementación de esta
norma.
El conjunto de tareas, que se deben realizar, será una sobrecarga al ritmo

habitual de trabajo que tiene la organización, entonces es importante ser
consciente de que habrá una mayor exigencia en el esfuerzo, o esfuerzos
adicionales.
No tiene retorno, Una vez que se ha empezado el camino de implementación

de la norma no hay retorno por lo que se deberán cumplir con
mantenimiento y mejora continua, sin dejar a un lado el Sistema de Gestión
de la Seguridad de la Información
Requiere esfuerzo continuo, se requerirá infaliblemente un esfuerzo

continuado de toda la organización.
2.9.Control de Acceso
2.9.1. Introducción:
Lo fundamental es poder contar con una política para el control de acceso con el
objetivo de evitar o minimizar todos aquellos accesos que no son autorizados, por lo
que se puede controlar mediante:
Registros de usuarios
Gestión de privilegios
Autenticación por contraseñas o usuarios, etc.
Página 39
Además de la autenticación es necesario poder asegurar a los equipos que son
descuidados por un lapso de tiempo determinado, es decir se podría realizar una
activación automática de un protector de pantalla después de cierto tiempo de
inactividad, el mismo que impedirá el acceso mientras no se introduzca una
contraseña autorizada. Así mismo son de vital importancia los controles de acceso a
la red, al sistema operativo, a las aplicaciones y a la información, para ello deben
existir registros y bitácoras de acceso. Para el caso de existir comunicación móvil,
redes inalámbricas, ordenadores portátiles, etc. también es necesario implementar
políticas que contemplen cada uno de estos aspectos.23
2.9.2. Definición
El control de acceso es el proceso de conceder permisos a usuarios o grupos y poder

conocer quienes están autorizados para acceder a los sistemas de información y
recursos. Su concepto se resume en tres pasos que son: identificación, autenticación
y autorización, gracias a estos principios y con el buen uso de los mismos el
administrador del sistema puede controlar que recursos están disponibles para los
usuarios de un sistema.
Se debe establecer, documentar y revisar una política de control de accesos en base a

las necesidades de seguridad y de negocio de la organización. Las reglas para el
control del acceso deberían tener en cuenta las políticas de distribución y
autorización de la información, es decir establecer una serie de controles referidos a:
Control de acceso a la información, análisis de requisitos necesarios para el

control de acceso
o Crear una Política de control de accesos.
Control de accesos, únicamente a usuarios autorizados
o Registro de usuario, gestión de privilegios, gestión de contraseñas de
usuarios.
Control de accesos a usuarios no autorizados, contribución y responsabilidad
por parte de los usuarios
o Uso de contraseña, equipo de usuario desatendido, Política de puesto
despejado y mesa limpia.
Control de acceso no autorizado a la red.
23
http://www.novenca.com/site/index.php?option=com_content&view=article&id=86&Itemid=164
Página 40
o Política de uso de los servicios en la red, autenticación de los usuarios
para conexiones externas, identificación de los equipos en las redes,
segregación de las redes.
Control de acceso no autorizados al sistema operativo
o Procedimiento seguro de inicio de sesión, identificar y autentificación
de usuarios, sistemas de gestión de contraseñas, desconexión
automática de sesión, limitación del tiempo de conexión.
Control de acceso a las aplicaciones y a la información para evitar accesos no
autorizados.
o Restricciones de acceso a la información, aislamientos de sistemas
sencillos.
Ordenadores portátiles, garantizando la información de los ordenadores
portátiles.
o Política formal de ordenadores portátiles y comunicaciones móviles.
2.9.3. Control de Acceso por Identificación
Es una acción que el sistema realiza para reconocer la identidad de los usuarios,
habitualmente se usa un identificador de usuarios, todas las acciones que se llevan a
cabo en el sistema son de responsabilidad de los usuarios, entonces hablamos de la
necesidad de registros de auditorías que permiten guardar las acciones realizadas
dentro del sistema y rastrearlas hasta el usuario autenticado, es decir es el medio por
el cual los usuarios del sistema se identifica quiénes son.24
24
http://www.subinet.es/guias-y-tips/guias-tips-internet/%C2%BFque-es-el-control-de-acceso-en-
sistemas-informaticos/
Página 41
2.9.4. Control de acceso por autenticación
Autenticación es verificar que el usuario que trata de identificarse es válido, por lo

general se implementa con una contraseña en el momento de iniciar una sección, es
el segundo paso del proceso de control de acceso. Existen 4 tipos de técnicas que
permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser
utilizadas individualmente o combinadas:
1. Algo que solamente el individuo conoce: ejemplo una contraseña.

2. Algo que una persona posee: ejemplo un tarjeta magnética, tarjeta
con circuito integrado
3. Algo que el individuo es y que lo identifica de manera única : ejemplo
las huellas digitales, reconocimiento de voz
4. Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de
escritura.
2.9.4.1.Características de la Autenticación
Cualquier sistema de identificación ha de poseer unas determinadas características

para ser asequibles:
 Que cumpla su función bajo condiciones fijadas y durante un período

determinado, es decir que sea fiable.
 En lo económico deberá ser asequible para la organización por ejemplo si
el costo es superior al valor de lo que se intenta proteger, el sistema es
incorrecto
 Sobrellevar con éxito cuando se den algún tipo de ataques.
 Ser admisible para los usuarios, pues ellos serán quienes lo utilicen.
Página 42
2.9.4.2.AUTORIZACIÓN
La autorización se origina después de que un usuario del sistema se autentica y luego

es autorizado a utilizar el sistema. Por lo general un usuario es autorizado a usar
únicamente una parte de los recursos del sistema, lo que esto significa es que un
usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo, sin
embargo esto dependerá de la función que cumple en la organización. Por ejemplo el
personal de finanzas o contabilidad tiene menos accesos a diferentes aplicaciones y
archivos con respecto al personal de ingeniería. Además del principio de menor
privilegio, es importante considerar los accesos en tiempo permitidos, Por, ejemplo, a
veces, puede no ser aconsejable permitir el acceso a los registros financieros a horas
en las cuales las instalaciones deberían estar cerradas.
Existen diferentes modos para hacer cumplir el acceso además del uso de software,
gracias al control de acceso se puede mantener con algo tan simple como una puerta
cerrada, es decir solo, los usuarios con su clave correcta, o con el uso de su tarjeta se
les admitirá ingresar.
2.9.5. Control de Acceso Criptográfico
Existen mecanismos de control de acceso criptográfico donde se combina algunas

técnicas de la criptografía para desarrollar protocolos, modelos y mecanismos de
autenticación para el control de acceso
Página 43
Kerberos
Es un protocolo de autentificación de red. Está diseñado para suministrar una

autentificación poderosa para aplicaciones cliente/servidor usando criptografía
secret-key. Una versión libre de este protocolo Internet es un lugar inseguro.
Muchos de los protocolos usados en internet no proporcionan seguridad.
Herramientas para "rastrear" contraseñas fuera de la red son usadas comúnmente por
piratas informáticos maliciosos. Por lo tanto, aplicaciones que envían una contraseña
no encriptado sobre la red son sumamente vulnerables. Peor aún, otras aplicaciones
de cliente/servidor dependen de la honestidad sobre la identidad del usuario que lo
está usando.25
Algunos sitios intentan que cortafuegos (Firewall) solucionen sus problemas de

seguridad de la red. Desafortunadamente, los cortafuegos suponen que "los villanos"
están en el exterior, que es a menudo una suposición muy mala. La mayoría de los
incidentes muy perjudiciales del delito informático son llevados por miembros. Los
cortafuegos también tienen una desventaja importante, restringen cómo pueden usar
Internet por sus usuarios.Después de todo, los cortafuegos son sólo un ejemplo
menos extremista del dictamen de que no hay nada más seguro que una computadora
que está desconectada de la red. En muchos lugares, estas restricciones son sólo
irrealistas e inaceptables.
Kerberos fue creado por MIT como una solución para estos problemas de seguridad
de la red. El protocolo de Kerberos usa criptografía fuerte con el propósito de que un
cliente pueda demostrar su identidad a un servidor (y viceversa) al otro lado de una
conexión de red insegura. Después de que un cliente/servidor ha conseguido que
Kerberos demuestre su identidad, también pueden cifrar todas sus comunicaciones
para garantizar la privacidad y la integridad de los datos cuando continúa en su
empresa. Kerberos está disponible libremente en MIT, bajo los permisos de derecho
de autor muy similares a aquellos que usaron para el sistema operativo de BSD y el
25
http://galiciacuamatzi.wikispaces.com/4.4+Control+de+acceso+criptogr%C3%A1fico
Página 44
X WindowSystem. MIT provee el código fuente de Kerberos con el propósito de que
alguien que desea usarlo pueda estudiar el código y así asegurarse que el código es
digno de confianza. Además, para aquellos que prefieren depender de un producto
soportado de manera profesional, Kerberos está disponible como un producto de
muchos distribuidores diferentes. 26
El protocolo de autenticación de Kerberos es un proceso en el que diferentes

elementos colaboran para conseguir identificar a un cliente que solicita un servicio
ante un servidor que lo ofrece; este proceso se realiza en tres grandes etapas que a
continuación se describen.
C : Cliente que solicita un servicio

S : Servidor que ofrece dicho servicio
A : Servidor de autenticación
T : Servidor de tickets
K : Clave secreta del cliente trasferencia
K : Clave secreta del servidor
K : Clave secreta del servidor de tickets
K : Clave de sesión entre el cliente y el servidor de tickets
K : Clave de sesión entre cliente y servidor
2.9.6. Modelos de control de acceso
Un modelo de control de acceso es un conjunto definido de criterios que un administrador

del sistema utiliza para definir derechos/permisos de los usuarios del/al sistema27
26
http://yoalo.wikispaces.com/4.4+Control+de+acceso+criptogr%C3%A1fico
27
http://www.subinet.es/guias-y-tips/guias-y-tips-seguridad/%C2%BFcuales-son-los-modelos-de-
control-de-acceso/
Página 45
Los modelos principales de control de acceso son :
Control de Acceso Obligatorio (Mandatory Access Control) (MAC),
Control de Acceso Discrecional (Discretionary Access Control) (DAC)
Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC)
2.9.6.1.Control de acceso obligatorio (Mandatory Access Control) (MAC)
En este modelo se determinan cada una de las funciones asignadas a los usuarios, los
mismos que son rigurosamente ajustados a las pretensiones del administrador del
sistema, siguiendo el principio de mínimos privilegios, este método de control de
acceso es considerado como el más restrictivo ya que los usuarios finales no pueden
establecer controles de acceso en los archivos. Generalmente los controles de accesos
obligatorios son implementados en instalaciones altamente secretas, es decir donde la
pérdida o robo de archivos pueden afectar la seguridad nacional.28
2.9.6.2.Control de Acceso Discrecional (Discretionary Access Control) (DAC)
El modelo de control de acceso discrecional es el menos restrictivo de los otros

modelos, está definido de acuerdo a los criterios de evaluación de un sistema, en este
modelo el usuario final tiene una libertad integral para asignar los derechos de los
objetos que desea, por lo que este nivel de control completo sobre los archivos puede
28
http://www.subinet.es/guias-y-tips/guias-y-tips-seguridad/%C2%BFcuales-son-los-modelos-de-
control-de-acceso/
Página 46
ser peligroso a causa de que si un atacante o algún Malware compromete la cuenta a
continuación, el usuario malicioso o código tendrá un control completo también.29
2.9.6.3.Controles de Acceso Basado en Roles (Rule Based Access Control)

(Rbac)
Por lo general todas las aplicaciones empresariales necesitan contar con buenos
niveles de control de acceso con el objetivo de restringir diferentes acciones u
operaciones que puede realizar un usuario, entonces uno de los esquemas más
comunes es el control de accesos basado en roles, conocido también como RBAC
(Role Based Access Control), por sus siglas en inglés30
Las principales características que un sistema de control de acceso basado en roles

debe cumplir:
 Funcionalidad. Un sistema RBAC debe cumplir como mínimo los niveles
de funcionalidad de: autenticación, autorización y auditoria.
o Autenticación. Capacidad de validar la identidad de un usuario.
Típicamente se realiza por medio de nombres de usuario y
contraseña.
o Autorización. Es la definición de qué es lo que un usuario específico
puede hacer dentro de una aplicación, es decir a qué información y
operaciones tiene acceso.
o Auditoría. Se refiere a la capacidad de mantener un registro de las
transacciones sensitivas de una aplicación. La auditoría permite saber
29
http://es.paperblog.com/cuales-son-los-modelos-de-control-de-acceso-255170/
30
http://www.yiiframework.com/wiki/120/introduccion-al-control-de-acceso-basado-en-roles-rbac/
Página 47
quién hizo qué, cuando lo hizo, y quién le dio los permisos necesarios
a ese usuario.
 Componentes
o Repositorio. Se requiere de un lugar seguro para almacenar los
usuarios, contraseñas, roles y permisos.
o Interfaz entre aplicación y repositorio. Este es el componente
intermedio que sirve de interfaz entre una aplicación y el repositorio
de seguridad.
o Consola de administración. La consola que permite administrar las
cuentas de usuario, roles y permisos. Debe ser sencilla de usar, de
forma que gente no técnica pueda realizar estas tareas.
o Documentación. Un elemento comúnmente olvidado, que sin
embargo es necesario para tener un proceso de seguridad confiable y
que no dependa de personas específicas.
2.9.7. Requisitos previos para el control de acceso
Objetivo
Controlar los accesos a la información.31
Principios
Los accesos a la información, así como a cada uno de los servicios de

procesamiento de información y a los procesos de negocio, deben ser
controlados con base a los requisitos, obligaciones y necesidades de
seguridad y de negocio que requiera la organización
Para el control de acceso las pautas deberían tener en cuenta todas las
políticas de distribución y autorización
Tanto las reglas de control de acceso como otros controles de seguridad,

deberían ser definidas y aprobadas por los propietarios de activos de
información los mismos que son responsables ante la dirección
31
http://isvoc.com/download/ISO_27002 NORMA TÉCNICA NTC-ISO/IEC 27002Tecnologías de la
información, Técnicas de Seguridad, Código de práctica para la gestión de la seguridad de la
información Pág. 72
Página 48
Asegúrese también de que se les responsabiliza de incumplimientos, no
conformidades y otros incidentes.
2.9.7.1.Política de Control de Accesos
Control
La política definida para el control de acceso debe quedar basada en los
requerimientos de seguridad además de ser implantada, documentada y revisada
Guía Para Su Implementación

En una política de accesos se debe establecer de manera detallada y clara las reglas y
los derechos que son asignados a cada usuario o grupo de usuarios. Es importante
que se considere de manera conjunta los controles de acceso lógicos y físicos.
También es primordial dar a los usuarios y proveedores de servicios una explicación
detallada y clara de cada uno de los requisitos de negocio protegidos por los
controles de accesos. La política debería contemplar lo siguiente:
1. Requerimientos de seguridad que serán analizados de manera individual para
cada aplicación de negocio
2. Recopilación e identificación de la información con referencia a las
aplicaciones y riesgos que la información está afrontando.
3. Políticas para la distribución de la información y las autorizaciones (niveles
de seguridad para la clasificación de la información)
4. Coherencia entre las políticas de control de accesos y las políticas de
clasificación de la información en los distintos sistemas y redes;
5. Reglamentación aplicable y las obligaciones establecidas con respecto a la
protección del acceso a los datos o servicios
6. Perfiles de acceso de usuarios estandarizados según las categorías comunes
de trabajos
7. Administración de los derechos de acceso en un entorno distribuido en red
que reconozca todos los tipos disponibles de conexión;
8. Segregación de los roles de control de acceso, como el pedido de acceso,
autorización de acceso, administración de accesos;
9. Requerimientos para la autorización formal de los pedidos de acceso
10. Requerimientos para la revisión periódica de controles de acceso
11. Retiro de los derechos de acceso
Página 49
Precauciones:
Al especificar las reglas de los controles de acceso se debe considerar:
La distinción entre reglas a cumplir siempre y reglas adicionales o
condicionales
El establecimiento de las reglas basándose en la premisa “está prohibido todo
lo que no esté permitido explícitamente” , considerada más débil o más
permisiva
Los cambios en las etiquetas de información iniciadas automáticamente por
los recursos de tratamiento de la información y las que inicia el usuario
manualmente
Los cambios en las autorizaciones al usuario realizados automáticamente por
el sistema de información y los que realiza un administrador
La distancia entre reglas que requieren o no la aprobación del administrador o
de otra autoridad antes de su promulgación
Las reglas de control de acceso deben ser apoyadas por procedimientos formales y
por responsabilidades claramente definidos.
2.9.8. Gestión de acceso de usuario
Objetivo
Asegurar el acceso de usuarios autorizados e impedir el acceso de usuarios no
autorizados a los sistemas de información.32
Principios
Es importante definir procedimientos con el objetivo de poder controlar la
asignación de los derechos de accesos tanto a los sistemas como a los
servicios de información.
Todas las fases del ciclo de vida del acceso del usuario deben estar
comprendidas dentro de los procedimientos, desde el registro inicial para
32
Página 50
usuarios nuevos hasta la cancelación final del registro, es decir usuarios que
ya no requieren acceso a los servicios y sistemas de información. Además es
primordial controlar a los usuarios que se les permite o se les otorga el
privilegio de anular los controles del sistema, es decir poder controlar la
asignación de derechos y así obtener eficacia de los mismos
2.9.8.1.Registro de usuario.
Control
Se debería determinar un procedimiento de registro de altas y bajas de usuarios para

garantizar el acceso a los sistemas y servicios de información multiusuario
Guía De Implementación
Se debería controlar el acceso a los servicios de información multiusuario mediante

un proceso formal de registro que debería incluir:
a) La utilización de un identificador único para cada usuario, de esta forma

puede vincularse a los usuarios y responsabilizarles de sus acciones. Se
debería permitir el uso de identificadores de grupo cuando sea conveniente
para el desarrollo del trabajo y estos deben ser aprobados y documentados;
b) La comprobación de la autorización del usuario por el propietario del
servicio para utilizar el sistema o el servicio de información. También puede
ser conveniente que la gerencia apruebe por separado los derechos de acceso
c) Verificación de la adecuación del nivel de acceso asignado al propósito del
negocio y su consistencia con la política de seguridad de la organización (por
ejemplo, su no contradicción con el principio de segregación de tareas
d) La entrega a los usuarios de una relación escrita de sus derechos de acceso;
e) La petición a los usuarios para que reconozcan con su firma la comprensión
de las condiciones de acceso;
f) La garantía de que no se provea acceso al servicio hasta que se hayan
completado los procedimientos de autorización;
g) El mantenimiento de un registro formalizado de todos los autorizados para
usar el servicio;
Página 51
h) La eliminación inmediata de las autorizaciones de acceso a los usuarios que
dejan la organización o cambien de trabajo en ella;
i) La revisión periódica y eliminación de identificadores y cuentas de usuario
redundantes
j) La garantía de no reasignación a otros usuarios de los identificadores de
usuario redundantes
Otra Información
Se debería considerar el establecimiento de roles de acceso a usuario basado en

requisitos de negocio que resuman un numero de derechos de acceso
en un expediente típico de acceso de usuario. Los pedidos y revisiones
de acceso son manejadas más fácilmente al nivel de dichos roles que
los niveles de derechos particulares. Se debería considerar la inclusión
de cláusulas en los contratos laborales y de servicio que especifiquen
sanciones si sus signatarios realizan accesos no autorizados
2.9.8.2. Gestión de Privilegios.
Control
Debería restringirse y controlarse el uso y asignación de privilegios.
Guía De Implementación
Se debería controlar la asignación de privilegios por un proceso formal de
autorización en los sistemas multiusuario. Se deberían considerar los pasos
siguientes:
a) Identificar los privilegios asociados a cada elemento del sistema, por

ejemplo, el sistema operativo, el sistema gestor de base de datos y cada
aplicación; así como las categorías de empleados que necesitan de ellos;
b) Asignar privilegios a los individuos según los principios de “necesidad de su
uso” y “caso por caso” y en línea con la política de control de acceso, por
ejemplo, el requisito mínimo para cumplir su función sólo cuando se
necesite;
Página 52
c) Mantener un proceso de autorización y un registro de todos los privilegios
asignados. No se otorgarán privilegios hasta que el proceso de autorización
haya concluido
d) Promover el desarrollo y uso de rutinas del sistema para evitar la asignación
de privilegios a los usuarios;
e) Promover el desarrollo y uso de programas que evitan la necesidad de correr
con privilegios;
f) Asignar los privilegios a un identificador de usuario distinto al asignado para
un uso normal.
Otra información
Un uso inapropiado de los privilegios de la administración del sistema (cualquier

característica o facilidad de un sistema de información que habilite al usuario
sobrescribir los controles del sistema o de la aplicación) pueden ser un gran factor
contribuidor de fallas o aberturas en los sistemas
2.9.8.3.Gestión de contraseñas de usuario.
Control
Se debería controlar la asignación de contraseñas por medio de un proceso de gestión
formal.
Guía de Implementación
El proceso debe incluir los siguientes requisitos:
a) Requerir que los usuarios firmen un compromiso para mantener en secreto
sus contraseñas personales y las compartidas por un grupo sólo entre los
miembros de ese grupo (compromiso que podría incluirse en los términos y
condiciones del contrato de empleo);
b) Proporcionar inicialmente una contraseña temporal segura que forzosamente
deben cambiar inmediatamente después
c) Establecer procedimientos para verificar la identidad de un usuario antes de
proveer una contraseña nueva, de reemplazo o temporal
d) Establecer un conducto seguro para hacer llegar las contraseñas temporales a
los usuarios. Se debería evitar su envío por terceros o por mensajes no
cifrados de correo electrónico
Página 53
e) Las contraseñas temporales deben ser únicas para cada individuo y no deben
ser obvias
f) Los usuarios deberían remitir acuse de recibo de sus contraseñas
g) Las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin
ser protegidos
h) Las contraseñas por defecto de los vendedores deben ser alteradas después
de la instalación de los sistemas o software.
Otra Información
Las contraseñas son un medio común de verificar la identidad del usuario antes de
que el acceso a un sistema de información o servicio sea dado de acuerdo a la
autorización del usuario. Se deben considerar, si son apropiadas, otras tecnologías
para identificación y autentificación de usuario como las biométricas (como la
verificación de huellas, la verificación de la firma) o el uso de dispositivos hardware
(como las tarjetas inteligentes)
2.9.8.4.Revisión de los derechos de acceso de los usuarios.
CONTROL
La gerencia debería establecer un proceso formal de revisión periódica de los

derechos de acceso de los usuarios.
La revisión de los derechos de acceso de usuario debería considerar las siguientes

pautas:
a) Revisar los derechos de acceso de los usuarios a intervalos de tiempo

regulares(se recomienda cada seis meses) y después de cualquier cambio
como promoción, degradación o termino del empleo
b) Los derechos de acceso de los usuarios deben ser revisados y reasignados
cuando se traslade desde un empleo a otro dentro de la misma organización;
c) Revisar más frecuentemente (se recomienda cada tres meses) las
autorizaciones de derechos de acceso con privilegios especiales.
Página 54
d) Comprobar las asignaciones de privilegios a intervalos de tiempo regulares
para asegurar que no se han obtenido privilegios no autorizados;
e) Los cambios en las cuentas privilegiadas deben ser registradas para una
revisión periódica.
Otra Información
Es necesario revisar regularmente los derechos de los accesos de los usuarios para
mantener un control efectivo del acceso a los datos y los sistemas de información.
2.9.9. Responsabilidad del usuario

Objetivos:
Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la
información y de las instalaciones de procesamiento de información
Una protección eficaz necesita la cooperación de los usuarios autorizados.
Los usuarios deberían ser conscientes de sus responsabilidades en el
mantenimiento de la eficacia de las medidas de control de acceso, en
particular respecto al uso de contraseñas y a la seguridad del material puesto a
su disposición
Un escritorio limpio, así como una política de pantalla clara debe ser
implementado con el fin de reducir el riesgo de acceso no autorizado o de
daño a los papeles, medios e instalaciones del procesamiento de información
33
2.9.9.1.Uso de contraseñas
Control
Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de
sus contraseñas.
Todos los usuarios deberían ser informados acerca de:
a. Mantener la confidencialidad de las contraseñas;
33
Página 55
b. Evitar guardar registros (papel, archivos de software o dispositivos) de las
contraseñas, salvo si existe una forma segura de hacerlo y el método de
almacenamiento ha sido aprobado;
c. Cambiar las contraseñas si se tiene algún indicio de su vulnerabilidad o de la
del sistema;
d. Seleccionar contraseñas de buena calidad, con una longitud mínima
caracteres, que sean:
1. fáciles de recordar;
2. No estén basadas en algo que cualquiera pueda adivinar u obtener
usando información relacionada con el usuario, por ejemplo, nombres,
fechas de nacimiento, números de teléfono, etc.
3. No sean vulnerables a ataques de diccionario (no consisten en
palabras incluidas en diccionarios);
4. Estén carentes de caracteres consecutivos repetidos o que sean todos
números o todas letras;
e. Cambiar las contraseñas a intervalos de tiempo regulares o en proporción al
número de accesos (las contraseñas de las cuentas con privilegios especiales
deberían cambiarse con más frecuencia que las normales), evitando utilizar
contraseñas antiguas cíclicas;
f. Cambiar las contraseñas temporales asignadas para inicio, la primera vez que
se ingrese al sistema;
g. No incluir contraseñas en ningún procedimiento automático de conexión, que,
las deje almacenadas permanentemente;
h. No compartir contraseñas de usuario individuales
i. No utilizar la misma contraseña para propósitos personales o de negocio.
Si los usuarios necesitan acceder a múltiples servicios o plataformas y se les pide
que mantengan contraseñas múltiples, deberían ser aconsejados sobre la posibilidad
de usar una sola contraseña de calidad para todos los servicios, que brinde un nivel
razonable de protección para la contraseña almacenada.
Otra Información
La gestión de los sistemas de ayuda que tratan con problemas de perdida u olvido de
contraseña necesitan un cuidado especial ya que esto también significa medios de
ataque al sistema de contraseñas
Página 56
2.9.9.2.Equipo informático de usuarios desatendidos
Control
Los usuarios deberían asegurar que los equipos informáticos desatendidos estén
debidamente protegidos.
Todos los usuarios y proveedores de servicios deberían conocer los requisitos de
seguridad y los procedimientos para proteger los equipos desatendidos, así como sus
responsabilidades para implantar dicha protección. Se les debería recomendar:
a. Cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de
una herramienta de bloqueo general, por ejemplo, una contraseña para
protector de pantalla;
b. Desconectar (log-off)los servidores o los computadores centrales cuando se
ha terminado la sesión (y no sólo apagar el terminal o el computador
personal);
c. Proteger el terminal o el puesto de trabajo cuando no estén en uso con un
bloqueador de teclado o una medida similar, por ejemplo, una contraseña de
acceso
Otra Información
El equipo instalado en áreas de usuarios, como las estaciones de trabajo o los
servidores de archivo, pueden requerir protección específica para un acceso no
autorizado cuando se desatienda por un periodo extenso.
2.9.9.3.Política de pantalla y escritorio limpio control
Control
Se debería adoptar una política de escritorio limpio para papeles y medios
removibles de almacenamiento así como una política de pantalla limpia para
instalaciones de procesamiento de información.
La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la
información los requerimientos legales y contractuales los riesgos correspondientes y
Página 57
los aspectos culturales de la organización. Las siguientes pautas deben ser
consideradas:
a. La información crítica o sensible del negocio (papel o medios electrónicos de
almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u
otras formas de muebles de seguridad) cuando no sea requerido,
especialmente cuando la oficina este vacía;
b. Los computadores y terminales deben ser apagados o protegidos con un
mecanismo de protección de pantalla o de teclado controlado por contraseña
u otro mecanismo de autentificación, cuando estas se encuentren
desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro
tipo de control cuando no sean utilizados;
c. Los puntos salientes o entrantes de correo y los faxes desatendidos deben ser
protegidos;
d. Debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías
de reproducción como scanner o cámaras digitales;
e. Los documentos que contienen información sensible y clasificada deben ser
removidos de las impresoras de inmediato.
Otra Información
Una política de pantalla y escritorio limpio reduce los riegos de un acceso no
autorizado y de la pérdida o daño de la información durante horas de trabajo no
establecidas. Las cajas fuerte su otras formas de instalaciones de almacenamiento
pueden también proteger información almacenada contra desastres como incendio,
terremotos, inundación u explosión. Considere el uso de impresoras con código pin
de modo tal que los creadores sean los únicos que puedan sacar sus impresiones y
solo cuando se encuentren al costado de la impresora.
2.9.10. Control de Acceso a las Redes (NAC)
Objetivo
Evitar el acceso no autorizado a los servicios de la red.34
34
Página 58
Se debiera controlar el acceso a los servicios de redes internas y externas.
El acceso del usuario a las redes y servicios de las redes no debieran
comprometer la seguridad de los servicios de la red asegurando:
a. Que existan las interfaces apropiadas entre la red de la organización y
las redes de otras organizaciones, y redes públicas;
b. Que se apliquen los mecanismos de autenticación apropiados para los
usuarios y el equipo;
c. Que el control del acceso del usuario a la información sea obligatorio
Otra información
Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a

toda la organización. Este control es particularmente importante para las conexiones
de la red con aplicaciones comerciales confidenciales o críticas o con usuarios en
ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de
la gestión y control de seguridad de la organización.
2.9.10.1. Política sobre el Uso de los Servicios de la Red Control
Los usuarios sólo debieran tener acceso a los servicios para los cuales hayan sido
específicamente autorizados.
Guía de implementación
Se debiera formular una política relacionada con el uso de las redes y los servicios de
la red.
Esta política debiera abarcar:
a) Las redes y servicios de la red a las cuales se tiene acceso;

b) Los procedimientos de autorización para determinar quién está autorizado a
tener acceso a cuáles redes y servicios en red;
c) Controles y procedimientos gerenciales para proteger el acceso a las
conexiones de la red y los servicios en red;
d) Los medios utilizados para tener acceso a las redes y los servicios de la red
(por ejemplo, las condiciones para permitir acceso vía discado a un proveedor
del servicios de Internet o sistema remoto)
Página 59
Otra información
Las conexiones no autorizadas e inseguras a los servicios de la red pueden afectar a

toda la organización. Este control es particularmente importante para las conexiones
de la red con aplicaciones comerciales confidenciales o críticas o con usuarios en
ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de
la gestión y control de seguridad de la organización.
2.9.10.2. Autenticación del usuario para las conexiones externas
Control
Se debieran utilizar métodos de autenticación apropiados para controlar el acceso de

usuarios remotos.
La autenticación de los usuarios remotos se puede lograr utilizando, por ejemplo, una
técnica basada en criptografía, dispositivos de hardware o un protocolo de
desafío/respuesta. Las posibles implementaciones de tales técnicas se pueden
encontrar en varias soluciones de la red privada virtual (VPN). También se pueden
utilizar las líneas privadas dedicadas para proporcionar la seguridad de la fuente de
conexiones.
Los procedimientos y controles de discado; por ejemplo, utilizando módems de

discado; pueden proporcionar protección contra conexiones no autorizadas e
indeseadas a los medios de procesamiento de la información de una organización.
Este tipo de control ayuda a autenticar a los usuarios que tratan de establecer una
conexión con la red de la organización desde ubicaciones remotas. Cuando se utiliza
este control, una organización no debiera utilizar los servicios de red, los cuales
incluyen reenvío de llamadas, y si lo hacen, debieran deshabilitar el uso de tales
dispositivos para evitar las debilidades asociadas con el reenvío de llamadas. El
proceso de llamada de verificación debería asegurar que ocurra una desconexión real
en el lado de la organización. De otra manera, el usuario remoto podría tomar la línea
abierta pretendiendo que ha ocurrido la llamada de verificación. Los procedimientos
y controles de la llamada de verificación debieran ser comprobados
concienzudamente para evitar esta posibilidad.
Página 60
La autenticación del nodo puede servir como un medio alternativo para la
autenticación de los grupos de usuarios remotos, cuando están conectados a un medio
de cómputo seguro y compartido. Se pueden utilizar técnicas criptográficas; por
ejemplo, basadas en los certificados de las máquinas; para la autenticación del nodo.
Otra información
Las conexiones externas proporcionan un potencial para el acceso no autorizado a la

información comercial; por ejemplo, acceso mediante métodos de discado. Existen
diferentes tipos de métodos de autenticación, algunos de estos proporcionan un
mayor nivel de protección que otros; por ejemplo, los métodos basados en el uso de
las técnicas criptográficas pueden proporcionar una autenticación sólida. Es
importante determinar el nivel de protección requerido mediante una evaluación del
riesgo. Esto es necesario ara la selección apropiada de un método de autenticación.
Un medio para la conexión automática con una computadora remota podría
proporcionar una manera de obtener acceso no autorizado a la aplicación comercial.
Esto es especialmente importante si la conexión utiliza una red que esté fuera del
control de la gestión de seguridad de la organización.
2.9.10.3. Identificación del equipo en las redes
Control
La identificación automática del equipo se debiera considerar como un medio para

autenticar las conexiones de ubicaciones y equipos específicos.
La identificación del equipo se puede utilizar si es importante que la comunicación

sólo sea iniciada desde una ubicación o equipo específico. Se puede utilizar un
identificador dentro o incorporado en el equipo para indicar si este equipo está
autorizado a conectarse a la red. Estos identificadores debieran indicar claramente a
cuál red está autorizado a conectarse el equipo, si existe más de una red y
particularmente si estas redes tienen diferentes grados de confidencialidad. Puede ser
necesario considerar la protección física del equipo para mantener la seguridad del
identificador del equipo.
Página 61
2.9.10.4. Protección del puerto de diagnóstico y configuración remoto
Control
Se debiera controlar el acceso físico y lógico a los puertos de diagnóstico y

configuración.
Los controles potenciales para el acceso a los puertos de diagnóstico y configuración

incluyen el uso de un seguro y procedimientos de soporte para controlar el acceso
físico al puerto. Un ejemplo de un procedimiento de soporte es asegurar que los
puertos de diagnóstico y configuración sólo sean accesibles a través de un acuerdo
entre el gerente del servicio de cómputo y el personal de soporte de
hardware/software que requiere acceso.
Los puertos, servicios y medios similares instalados en una computadora o red, que
no son requeridos específicamente por funcionalidad comercial, debieran ser
desactivados o removidos.
Otra información
Muchos sistemas de cómputo, sistemas de redes y sistemas de comunicaciones están

instalados con un medio de diagnóstico o configuración remoto para ser utilizado por
los ingenieros de mantenimiento. Si no están protegidos, estos puertos de diagnóstico
proporcionan un medio de acceso no autorizado
2.9.10.5. Segregación en Redes
Control
Los grupos de servicios de información, usuarios y sistemas de información debieran

ser segregados en redes.
Un método para controlar la seguridad de grandes redes es dividirlas en dominios de

red lógicos separados; por ejemplo, dominios de red internos y dominios de red
externos de una organización; cada uno protegido por un perímetro de seguridad
definido. Se puede aplicar un conjunto de controles graduados en dominios de red
Página 62
lógicos diferentes para segregar aún más los ambientes de seguridad de la red; por
ejemplo, sistemas de acceso público, redes internas y activos críticos. Los dominios
debieran ser definidos en base a una evaluación del riesgo los requerimientos de
seguridad diferentes dentro de cada uno de los dominios.
Este tipo de perímetro de red se puede implementar instalando un gateway seguro

entre dos redes para mantenerlas interconectadas y controlar el acceso y el flujo de
información entre los dos dominios. Este gateway debiera estar configurado para
filtrar el tráfico entre estos dominios y para bloquear el acceso no-autorizado en
concordancia con la política de control de acceso de la organización. Un ejemplo de
este tipo de Gateway es lo que comúnmente se conoce como un firewall. Otro
método para segregar dominios lógicos separados es restringir el acceso a la red
utilizando redes privadas virtuales para grupos de usuarios dentro de la organización.
Las redes también pueden ser segregadas utilizando la funcionalidad del dispositivo
de red; por ejemplo, IP switching. Los dominios separados también se pueden
implementar controlando los flujos de data a la red utilizando capacidades
routing/switching, como listas de control de acceso.
El criterio de segregación de las redes en dominios se debiera basar en la política de

control de acceso y los requerimientos de acceso, y también debiera tomar en cuenta
el costo relativo y el impacto en el desempeño al incorporar una adecuada tecnología
de routing o gateway de red. Además, la segregación de las redes se debiera basar en
el valor y la clasificación de la información almacenada o procesada en la red,
niveles de confianza o líneas comerciales; para así reducir el impacto total de una
interrupción del servicio.
Se debiera tener en consideración la segregación de las redes inalámbricas de las

redes internas y privadas. Como los perímetros de las redes inalámbricas no están
bien definidos, se debiera llevar a cabo una evaluación del riesgo para identificar los
controles (por ejemplo, autenticación sólida, métodos criptográficos y selección de
frecuencia) para mantener la segregación de la red.
Otra información
Las redes se están extendiendo cada vez más allá de los límites organizacionales
tradicionales, conforme se forman sociedades comerciales que puedan requerir la
Página 63
interconexión o intercambio de medios de procesamiento de la información y redes.
Estas extensiones podrían incrementar el riesgo de un acceso no-autorizado a los
sistemas de información existentes que utilizan la red, algunos de los cuales pueden
requerir protección de otros usuarios de la red debido a la confidencialidad o grado
crítico.
2.9.10.6. Control de conexión a la red
Control
Para las redes compartidas, especialmente aquellas que se extienden a través de las
fronteras de la organización, se debiera restringir la capacidad de los usuarios para
conectarse a la red, en línea con la política de control de acceso y los requerimientos
de las aplicaciones comerciales.
Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar

conforme lo requiera la política de control de acceso. Se puede restringir la
capacidad de conexión de los usuarios a través de gateways de la red que filtran el
tráfico por medio de tablas o reglas predefinidas. Los ejemplos de aplicaciones a las
cuales se pueden aplicar las restricciones son:
a) Mensajes; por ejemplo, correo electrónico,

b) Transferencia de archivos,
c) Acceso interactivo,
d) Acceso a una aplicación.
Se debieran considerar vincular los derechos de acceso a la red con ciertos días u
horas.
Otra información
La política de control de acceso puede requerir la incorporación de los controles para

restringir la capacidad de conexión de los usuarios en las redes compartidas,
especialmente aquellas que se extienden a través de los límites o fronteras
organizacionales.
Página 64
2.9.10.7. Control de Routing de la Red
Control
Se debieran implementar controles de routing en las redes para asegurar que las
conexiones de la computadora y los flujos de información no violen la política de
control de acceso de las aplicaciones comerciales.
Si se emplean tecnologías “proxy” (en inglés, representante o apoderado) y/o de

traducción de direcciones de la red, se pueden utilizar los gateways de seguridad para
validar las direcciones de la fuente y el destino en los puntos de control de las redes
internas y externas. Los encargados de la implementación debieran estar al tanto de
las fuerzas y debilidades decualquier mecanismo empleado. Los requerimientos para
el control del routing de la red se debieran basar en la política de control de acceso
Otra información
Las redes compartidas, especialmente aquellas que se extienden a través de las

fronteras organizacionales, pueden requerir controles de routing adicionales. Esto se
aplica particularmente cuando las redes son compartidas con terceros (no-
organización).
2.9.11. Control del Acceso al Sistema Operativo
Objetivos:
Evitar el acceso no autorizado a los sistemas operativos.

Se debieran utilizar medios de seguridad para restringir el acceso a los
sistemas operativos a los usuarios autorizados. Los medios debieran tener la
capacidad para
a) Autenticar a los usuarios autorizados, en concordancia con una
política de control de acceso definida;
b) Registrar los intentos exitosos y fallidos de autenticación del sistema;
c) Registrar el uso de los privilegios especiales del sistema;
d) Emitir alarmas cuando se violan las políticas de seguridad del sistema;
e) Proporcionar los medios de autenticación apropiados;
f) Cuando sea apropiado, restringir el tiempo de conexión de los
usuarios.
Página 65
2.9.11.1. Procedimientos para un Registro Seguro
Control
El acceso a los sistemas operativos debiera ser controlado mediante un

procedimiento de registro seguro.
Guía de implementación:
El procedimiento para registrarse en un sistema de operación debiera ser diseñado de

manera que minimice la oportunidad de un acceso no autorizado. Por lo tanto, el
procedimiento para registrarse debiera divulgar el mínimo de información acerca del
sistema para evitar proporcionar al usuario no-autorizado ninguna ayuda innecesaria.
Un buen procedimiento de registro:
a) No debiera mostrar identificadores del sistema o aplicación hasta que se haya

completado satisfactoriamente el proceso de registro;
b) Debiera mostrar la advertencia general que a la computadora sólo pueden
tener acceso los usuarios autorizados;
c) No debiera proporcionar mensajes de ayuda durante el procedimiento de
registro que ayuden al usuario no-autorizado;
d) Sólo debiera validar la información del registro después de completar todo el
input de data. Si surge una condición de error, el sistema debiera indicar qué
parte de la data es correcta o incorrecta;
e) Debiera limitar el número de intentos de registro infructuosos permitidos; por
ejemplo, tres intentos; y debiera considerar:
1. registrar los intentos exitosos y fallidos;
2. forzar un tiempo de espera antes de permitir más intentos de registro o
rechazar cualquier otro intento sin una autorización específica;
3. desconectar las conexiones de vínculo a la data;
4. establecer el número de re-intentos de clave secreta en conjunción con
el largo mínimo de la clave secreta y el valor del sistema que se está
protegiendo;
f) Debiera limitar el tiempo máximo y mínimo permitido para el procedimiento
de registro. Si se excede este tiempo, el sistema debiera terminar el registro;
Página 66
g) Debiera mostrar la siguiente información a la culminación de un registro
satisfactorio:
1. fecha y hora del registro satisfactorio previo;
2. detalles de cualquier intento infructuoso desde el último registro
satisfactorio;
h) No debiera mostrar la clave secreta que se está ingresando o considerar
esconder los caracteres de la clave secreta mediante símbolos;
i) No debiera transmitir claves secretas en un texto abierto a través de la red.
Otra información
Si las claves secretas se transmiten a través de la red en un texto abierto durante la

sesión, estas pueden ser capturadas por un programa espía en la red.
2.9.11.2. Identificación y autenticación del usuario
Control
Todos los usuarios tienen un identificador único (ID de usuario) para su uso
personal, y se debiera escoger una técnica de autenticación adecuada para sustanciar
la identidad de un usuario.
Se debiera aplicar este control a todos los tipos de usuarios (incluyendo el personal
de soporte técnico, operadores, administradores de redes, programadores de sistemas
y administradores de bases de datos).Se debieran utilizar los IDs de usuarios para
rastrear las actividades hasta la persona responsable. Las actividades de usuarios
regulares no debieran realizarse desde cuentas privilegiadas.
En circunstancias individuales, cuando existe un beneficio comercial claro, se puede

utilizar un ID de usuario compartido para un grupo de usuarios o un trabajo
específico. Para tales casos la aprobación de la gerencia debiera estar documentada.
Se pueden requerir controles adicionales para mantener la responsabilidad.
Sólo se debiera permitir el uso de IDs genéricos para una persona cuando las
funciones accesibles o acciones llevadas a cabo por el ID no necesitan ser rastreadas
(por ejemplo, sólo acceso de lectura), o cuando existen otros controles establecidos
(por ejemplo, la clave secreta para un ID genérico sólo es emitido para una persona a
Página 67
la vez y se registra dicha instancia).Cuando se requiere autenticación y verificación
de identidad sólidas, se debieran utilizar métodos de autenticación alternativos para
las claves secretas, como los medios criptográficos, tarjetas inteligentes, dispositivos
o medios biométricos.
Otra información
Las claves secretas son una manera muy común para proporcionar identificación y
autenticación en base a un secreto que sólo conoce el usuario.
Se puede lograr lo mismo con medios criptográficos y protocolos de autenticación.

La fuerza de la identificación y autenticación del usuario debiera ser la adecuada para
la confidencialidad de la información a la cual se va a tener acceso. Los objetos
como los dispositivos de memoria o tarjetas inteligentes que poseen los usuarios
también pueden ser utilizados para la identificación y autenticación. También se
pueden utilizar tecnologías de autenticación biométrica que utilizan las
características o atributos singulares de una persona para autenticar su identidad. Una
combinación de tecnologías y mecanismos vinculados de manera segura
proporcionarán una autenticación más sólida.
2.9.11.3. Sistema de Gestión de Claves Secretas
Control
Los sistemas para el manejo de claves secretas debieran ser interactivos y debieran
asegurar claves secretas adecuadas.
Un sistema de gestión de claves secretas:
a) Aplicar el uso de IDs de usuarios individuales y claves secretas para

mantener la responsabilidad;
b) Permitir a los usuarios seleccionar y cambiar sus propias claves secretas e
incluir un procedimiento de confirmación para permitir errores de input;
c) Aplicar la elección de claves secretas adecuadas
d) Aplicar los cambios de claves secretas
Página 68
e) Obligar a los usuarios a cambiar las claves secretas temporales en su primer
ingreso o registro
f) Mantener un registro de claves de usuario previas y evitar el re-uso;
g) No mostrar las claves secretas en la pantalla en el momento de ingresarlas;
h) Almacenar los archivos de claves secretas separadamente de la data del
sistema de aplicación;
i) Almacenar y transmitir las claves secretas en un formato protegido (por
ejemplo, codificado o indexado).
Otra información
Las claves secretas son uno de los principales medios para validar la autoridad del
usuario para tener acceso a un servicio de cómputo. Algunas aplicaciones requieren
que una autoridad independiente asigne claves secretas de usuario; en tales casos, no
se aplican los puntos b), d) y e) del lineamiento anterior. En la mayoría de los casos,
las claves secretas son seleccionadas y mantenidas por los usuarios.
2.9.11.4. Uso de las Utilidades del Sistema
Control
Se debiera restringir y controlar estrechamente el uso de los programas de utilidad

que podrían ser capaces de superar los controles del sistema y la aplicación.
Se debieran considerar los siguientes lineamientos para el uso de las utilidades del
sistema:
a) Uso de los procedimientos de identificación, autenticación y autorización

para las utilidades del sistema;
b) Segregación de las utilidades del sistema del software de la aplicación;
c) Limitar el uso de las utilidades del sistema a un número práctico mínimo de
usuarios autorizados y confiables
d) Autorización para el uso ad hoc de las utilidades del sistema;
e) Limitación de la disponibilidad de las utilidades del sistema; por ejemplo, por
la duración de un cambio autorizado;
f) Registro de todo uso de las utilidades del sistema;
Página 69
g) Definir y documentar los niveles de autorización de las utilidades del sistema;
h) Eliminación o inutilizar todas las utilidades innecesarias basadas en software,
así como los software del sistema que sean innecesarios;
i) No poner las utilidades a disposición de los usuarios que tienen acceso a las
aplicaciones en los sistemas donde se requiere la segregación
Otra Información
La mayoría de las instalaciones de cómputo tienen uno o más programas de

utilidades del sistema que podrían superar los controles del sistema y la aplicación.
2.9.11.5. Cierre de una Sesión por Inactividad
Control
Las sesiones inactivas debieran ser cerradas después de un período de inactividad

definido.
Un dispositivo de cierre debiera borrar la pantalla de la sesión y también,

posiblemente más adelante, cerrar la aplicación y las sesiones en red después de un
período de inactividad definido. El tiempo de espera antes del cierre debiera reflejar
los riesgos de seguridad del área, la clasificación de la información que está siendo
manejada y la aplicación siendo utilizada, y los riesgos relacionados con los usuarios
del equipo. Una forma limita del dispositivo de cierre puede ser provista para
algunos sistemas, este dispositivo borra la pantalla y evita el acceso no autorizado
pero no cierra las sesiones de la aplicación o la red.
Otra información
Este control es particularmente importante en las ubicaciones de alto riesgo, las

cuales incluyen áreas públicas o externas fuera de la gestión de seguridad de la
organización. Se debieran cerrar las sesiones para evitar el acceso no autorizado de
personas y la negación de ataques del servicio
2.9.11.6. Limitación del tiempo de conexión
Control
Página 70
Se debieran utilizar restricciones sobre los tiempos de conexión para proporcionar
seguridad adicional para las aplicaciones de alto riesgo.
Se debieran considerar controles sobre el tiempo de conexión para las aplicaciones

de cómputo sensibles, especialmente desde ubicaciones de alto riesgo; por ejemplo,
áreas públicas o externas que están fuera de la gestión de seguridad de la
organización. Los ejemplos de tales restricciones incluyen:
a) Utilizar espacios de tiempo predeterminados; por ejemplo, para transmisiones

de archivos en lotes, o sesiones interactivas regulares de corta duración;
b) Restringir los tiempos de conexión a los horarios laborales normales, si no
existe ningún requerimiento para sobre-tiempo o una operación de horario
extendido;
c) Considerar la re-autenticación cada cierto intervalo de tiempo.
Otra información
Limitar el período permitido para las conexiones con los servicios de cómputo
reduce la ventana de oportunidad para el acceso no autorizado. Limitar la duración
de las sesiones activas evita que los usuarios mantengan sesiones abiertas para evitar
la re-autenticación.
2.9.12. Control de acceso a la aplicación y la información
Objetivo:
Evitar el acceso no autorizado a la información mantenida en los sistemas de

aplicación.
Se debieran utilizar medios de seguridad para restringir el acceso a y dentro
de los sistemas de aplicación.
El acceso lógico al software de la aplicación y la información se debiera
limitar a los usuarios autorizados. Los sistemas de aplicación debieran:
a) Controlar el acceso del usuario a la información y las funciones del
sistema de aplicación, en concordancia con una política de control de
acceso definida;
Página 71
b) Proporcionar protección contra un acceso no autorizado de cualquier
utilidad, software del sistema de operación y software malicioso que
sea capaz de superar o pasar los controles del sistema o la aplicación;
c) No comprometer a otros sistemas con los cuales se comparten
recursos de información.35
2.9.12.1. Restricción del acceso a la información
Control
El acceso de los usuarios y el personal de soporte a la información y las funciones

del sistema de la aplicación debiera limitarse en concordancia con la política de
control de acceso definida.
Las restricciones para el acceso se debieran basar en los requerimientos de las

aplicaciones comerciales individuales. La política de control de acceso también
debiera ser consistente con la política de acceso organizacional.
Se debiera considerar aplicar los siguientes lineamientos para reforzar los

requerimientos de restricción del acceso:
a) Proporcionar menús para controlar el acceso a las funciones del sistema de

aplicación;
b) Controlar los derechos de acceso de los usuarios; por ejemplo, lectura,
escritura, eliminar y ejecutar;
c) Controlar los derechos de acceso de otras aplicaciones;
d) Asegurar que los outputs de los sistemas de aplicación que manejan
información confidencial sólo contengan la información relevante para el uso
del output y sólo sea enviada a las terminales y ubicaciones autorizadas; esto
debiera incluir revisiones periódicas de dichos outputs para asegurar que se
descarte la información redundante
35
Página 72
2.9.12.2. Aislar el sistema confidencial
Control
Los sistemas confidenciales debieran tener un ambiente de cómputo dedicado

(aislado).
Se debieran considerar los siguientes lineamientos para aislar el sistema sensible o

confidencial:
a) El propietario de la aplicación debiera identificar y documentar

explícitamente la sensibilidad o confidencialidad del sistema de aplicación;
b) Cuando una aplicación confidencial va a correr en un ambiente compartido,
el propietario de la aplicación confidencial debiera identificar y aceptar los
sistemas de aplicación con los cuales va a compartir recursos y los riesgos
correspondientes.
2.9.13. Computación y Tele-Trabajo Móvil
Objetivos:
Asegurar la seguridad de la información cuando se utiliza medios de

computación y tele-trabajo móvil.
La protección requerida se debiera conmensurar con los riesgos que causan
estas maneras de trabajo específicas. Cuando se utiliza computación móvil, se
debieran considerar los riesgos de trabajar en un ambiente desprotegido y se
debiera aplicar la protección apropiada. En el caso del tele-trabajo, la
organización debiera aplicar protección al lugar del tele-trabajo y asegurar
que se establezcan los arreglos adecuados para esta manera de trabajar.36
2.9.13.1 Computación y comunicaciones Móviles
Control
36
Página 73
Se debiera establecer una política y adoptar las medidas de seguridad apropiadas para
proteger contra los riesgos de utilizar medios de computación y comunicación móvil.
Cuando se utiliza medios de computación y comunicación móvil; por ejemplo,

notebooks, laptops, tarjetas inteligentes y teléfonos móviles; se debiera tener especial
cuidado en asegurar que no se comprometa la información comercial. La política de
computación móvil debiera tomar en cuenta los riesgos de trabajar con equipo de
computación móvil en ambientes desprotegidos. La política de computación móvil
debiera incluir los requerimientos de protección física, controles de acceso, técnicas
criptográficas, respaldos (back-up) y protección contra virus. Esta política también
debiera incluir reglas y consejos para la conexión de medios móviles con las redes y
lineamientos para el uso de estos medios en lugares públicos.
Se debiera tener cuidado cuando se utiliza medios de computación móvil en lugares

públicos, salas de reuniones y otras áreas desprotegidas fuera de los locales de la
organización. Se debiera establecer la protección para evitar el acceso no autorizado
o divulgación de la información almacenada y procesada por estos medios; por
ejemplo, utilizando técnicas criptográficas
Los usuarios de los medios de computación móvil que se encuentran en lugares
públicos debieran tener cuidado en evitar que personas no autorizadas vean su
trabajo. Se debiera establecer procedimientos contra los software maliciosos y se
debieran mantener actualizados
Los respaldos (back-up) de la información comercial crítica se debieran realizar con
regularidad. Debiera estar disponible el equipo para permitir realizar un respaldo
rápido y fácil de la información. Se debiera dar a estos respaldos la protección
adecuada; por ejemplo, contra el robo o pérdida de información.
Se debiera dar la protección adecuada al uso de medios móviles conectados a las
redes. El acceso remoto a la información comercial a través de una red pública
utilizando medios de computación móvil sólo debiera realizarse después de una
satisfactoria identificación y autenticación, y con los controles de acceso adecuados
en funcionamiento.
Los medios de computación móvil también debieran estar físicamente protegidos
contra robo especialmente cuando se les deja en, por ejemplo, autos y otros medios
Página 74
de transporte, cuartos de hotel, centros de conferencias y lugares de reunión. Se
debiera establecer un procedimiento específico tomando en cuenta los requerimientos
legales, de seguros y otros requerimientos de seguridad de la organización para casos
de robo o pérdida de los medios móviles. El equipo que contiene información
comercial importante, confidencial y/o crítica no se debiera dejar desatendido y,
cuando sea posible, debiera estar asegurado físicamente, o se pueden utilizar seguros
para proteger el equipo
Se debiera planear capacitación para el personal que utiliza computación móvil para
elevar el nivel de conciencia sobre los riesgos adicionales resultantes de esta forma
de trabajo y los controles que se debieran implementar.
Otra información
Las conexiones inalámbricas a la red móvil son similares a otros tipos de conexión
en red, pero tienen diferencias importantes que se debieran considerar cuando se
identifican los controles. Las diferencias típicas son:
a) Algunos protocolos de seguridad inalámbricos aún son inmaduros y tienen
debilidades conocidas
b) La información almacenada en las computadoras móviles tal vez no tiene
respaldo (back-up) debido a la banda ancha limitada de la red y/o porque el
equipo móvil puede no estar conectado en las horas en que se realizan los
respaldos.
2.9.13.2 Tele-Trabajo
Control
Se debiera desarrollar e implementar una política, planes operacionales y
procedimientos para las actividades de tele-trabajo.
Las organizaciones sólo debieran autorizar las actividades de tele-trabajo si están
seguros que se cuenta con los arreglos y controles de seguridad apropiados, y que
estos cumplen con la política de seguridad de la organización.
El lugar del tele-trabajo debiera contar con una protección adecuada contra; por
ejemplo, el robo de equipo e información, la divulgación no autorizada de
información, acceso remoto no autorizado a los sistemas internos de la organización
o el mal uso de los medios. Las actividades de tele-trabajo debieran ser autorizadas y
Página 75
controladas por la gerencia, y se debiera asegurar que se hayan establecido los
arreglos adecuados para esta forma de trabajo.
Se debieran considerar los siguientes puntos:
a) La seguridad física existente en el lugar del tele-trabajo, tomando en cuenta la
seguridad física del edificio y el ambiente del local:
b) El ambiente de tele-trabajo físico propuesto;
c) Los requerimientos de seguridad de las comunicaciones, tomando en cuenta
la necesidad de acceso remoto a los sistemas internos de la organización, la
confidencialidad de la información a la cual se tendrá acceso y el vínculo de
comunicación y confidencialidad del sistema interno;
d) La amenaza de acceso no autorizado a la información o recursos por parte de
otras personas que utilizan el medio; por ejemplo, familia y amigos;
e) El uso de redes en casa y los requerimientos o restricciones en la
configuración de los servicios de la red inalámbrica;
f) las políticas y procedimientos para evitar las disputas relacionadas con los
derechos de propiedad intelectual desarrollados en equipo de propiedad
privada;
g) acceso a equipo de propiedad privada (para chequear la seguridad de la
máquina o durante una investigación), el cual puede ser evitado por la
legislación
h) contratos de licencias de software que hacen que las organizaciones sea
responsables por las licencias del software del cliente en las estaciones de
trabajo de propiedad de los empleados, contratistas y terceros;
i) requerimientos de protección anti-virus y firewall.
Los lineamientos y arreglos a considerarse debieran incluir:

a) la provisión de equipo y muebles de almacenaje adecuados para las
actividades de tele-trabajo, donde no está permitido el uso del equipo de
propiedad privada que no esté bajo el control de la organización;
b) una definición del trabajo permitido, el horario de trabajo, la clasificación de
la información que se puede mantener y los sistemas y servicios internos a los
cuales tiene autorización de acceso la persona que realiza el tele-trabajo;
c) la provisión de un equipo de comunicación adecuado, incluyendo métodos
para asegurar el acceso remoto;
Página 76
d) seguridad física;
e) reglas y lineamientos sobre el acceso de la familia y amigos al equipo y la
información;
f) la provisión de soporte y mantenimiento de hardware y software; la provisión
de un seguro; los procedimientos para el respaldo (back-up) y la continuidad
del negocio; monitoreo de la auditoría y la seguridad;
g) revocación de los derechos de autoridad y acceso, y la devolución del equipo
cuando terminan las actividades de tele-trabajo.
Otra información
El tele-trabajo utiliza tecnología de comunicaciones que permite al personal trabajar
remotamente desde un lugar fijo fuera de su organización.
Página 77
CAPITULO III
Página 78
Capítulo 3
3. Soluciones de Control de Accesos a la red
3.1 Introducción
Actualmente las empresas disponen de estructuras de redes cada vez más

distribuidas, tanto sus oficinas como los centros de negocio están ubicados en
diferentes lugares, todos con las mismas necesidades de acceder a la red y a cada
uno de los sistemas de la empresa desde cualquier dispositivo y ubicación,
utilizando tecnologías inalámbricas, internet, VPN, etc., donde dichos accesos no
deberían comprometer la integridad y confidencialidad de la información, sin
embargo la aparición de puntos débiles en los accesos se hacen presentes,
provocando circunstancias que implican nuevos riesgos y amenazas, por lo tanto las
empresas buscan dar soluciones para solventarlas, en se respuestas a esta demanda
surgen iniciativas, tecnologías y estándares que permiten encontrar soluciones,
englobándose en lo que se conoce como Control de Acceso a la Red, el mismo que es
un enfoque de seguridad en redes de computación que permiten unificar tecnologías
de seguridad en los equipos finales, en usuarios o sistemas de autenticación y permite
implementar seguridad en el acceso a la red, es decir permite controlar a quien se
permite el acceso a la red, ya sea bloqueando a los usuarios no autorizados,
controlando a los ordenadores que entran ocasionalmente y garantizando que se
cumplan las políticas de seguridad , con esto obtenemos una reducción de los
riesgos que la red pueda ser afectada ya sean estos ordenadores no autorizados,
conexiones ocasionales, ordenadores que no cumplan la política de seguridad,
pudiendo ser ordenadores que se conecten a la red con cable o inalámbrica, la
solución NAC nos permite garantizar que únicamente los ordenadores autorizados
obtengan el acceso a la red.
Página 79
3.2 Soluciones NAC
Las soluciones NAC son diferentes pero pueden ser clasificadas en dos grupos:
Clienless no necesita de ningún software instalado en los dispositivos
Client-based un componente de software es preinstalado en los dispositivos
para poder asistir al proceso de NAC
Pre admisión NAC
Determina que un dispositivo cumpla con ciertos criterios predeterminados antes de

permitirle el acceso a la red. Si esos criterios no se cumplen, no permite que el
dispositivo se conecte a la red, o le asigna un acceso restringido. La Pre-Admisión en
NAC se encuentra en las siguientes soluciones:
Microsoft NAP
Cisco NAC
Open Source NAC
o Freenac
o PacketFence
3.3 Solución Protección de Acceso a la Red (NAP)

3.3.1 Introducción
Network Access Protection(NAP) es una herramienta incorporada al sistema

operativo de Windows Server 2008, Windows Vista y Windows XP Service Pack 3,
proporciona una serie de componentes tanto en el cliente como el servidor para
aplicar los requisitos de mantenimiento, inspeccionar y evaluar el estado de los
equipos cliente, limitar el acceso a la red cuando se considera que los equipos cliente
no cumplen los requisitos y soluciona este incumplimiento enviando a los equipos
Página 80
cliente para que tengan un acceso a la red ilimitada hasta que cumplan las políticas
de salud.
Es una gran alternativa para los administradores de la red ya que les ayuda a hacer un
mantenimiento de salud del equipo y de esta forma mantener la integridad de la red,
con esta alternativa los desarrolladores y los administradores pueden crear soluciones
para la validación de equipos que se conectan a sus redes, proporcionan
actualizaciones necesarias o el acceso a los recursos necesarios de actualización, y
limitar el acceso o la comunicación de los equipos que no cumplen
3.3.2 Características.
 Conjunto de componentes del sistema operativo que proporcionan una plataforma
para proteger el acceso a las redes privadas
 Proporciona una manera integrada de detectar el estado de un cliente de red que
esté intentando conectarse o comunicarse con una red
 Aislar a ese cliente de red hasta que cumpla los requisitos de salud
 supervisa y determina el estado de los equipos cliente cuando intentan conectarse
a una red o comunicarse a través de ella
3.3.3 Aspectos importantes de NAP.
1. Validación del estado de salud.- un equipo intenta conectarse a la red se realiza

un análisis del estado de salud del equipo basándose en las políticas de salud
definidos como requisito por el administrador. En un entorno de acceso limitado,
los equipos que cumplan con las políticas de salud se permiten el acceso
ilimitado a la red caso contrario sucede con los equipos que no cumplan con las
políticas requisito de salud pueden tener un acceso limitado la red.
2. Cumplimiento de las políticas de salud.- los administradores puede ayudar a
garantizar el cumplimiento de las políticas mediante la elección requisito para
actualizar automáticamente los equipos que no cumplen con las actualizaciones
de software que faltan o los cambios de configuración a través de software de
gestión, tales como Microsoft System Management Server.
3. Acceso limitado a la red.- los administradores de la red puede limitar el acceso y
proteger las redes a computadores que no cumplan las normas para tener acceso.
Página 81
Definen una red restringida que contiene los recursos de salud de actualización y
el acceso limitado durará hasta que el equipo que no cumplen las normas se
ponga en conformidad. Los administradores también pueden configurar las
excepciones para que los equipos que no son compatibles no tengan acceso
limitado a la red.37
3.3.4 Escenarios para Protección de Acceso a la Red (NAP)

Verificación el estado de salud de las computadoras portátiles.
La portabilidad y la flexibilidad son dos ventajas principales de computadoras

portátiles, pero estas características también presentan una amenaza para la salud.
Portátiles de la empresa con frecuencia salir y entrar a la red de la empresa. Mientras
que los portátiles están fuera de la empresa, no puede recibir las actualizaciones de
software más recientes o los cambios de configuración. Computadoras portátiles
pueden ser infectados, mientras que vienen están expuestos a redes como Internet.
Mediante el uso de NAP, los administradores de red pueden verificar el estado de

salud de cualquier ordenador portátil cuando se conecte a la red de la empresa, ya sea
mediante la creación de una conexión VPN a la red de la empresa o físicamente a
regresar a la oficina
Verificación del estado de salud de las computadoras de escritorio
Las computadoras de escritorio pueden presentar una amenaza es por esta razón que
se debe minimizarla los equipos deben tener actualizaciones y el software requerido.
Ya que se corre el riesgo de infección de sitios web, correo electrónico, archivos de

carpeta compartidas y otros recursos de acceso público. Al implementar el uso de la
herramienta NAP, los administradores de red pueden automatizar los controles de
salud de los equipos para verificar el cumplimiento de cada uno de acuerdo con las
políticas de requisitos de salud, caso contrario los administradores pueden comprobar
los archivos de registro para determinar qué equipos no cumplen. En el caso de no
cumplir las políticas se puede generar informes automáticos y actualizar los equipos
que no cumplan
Verificación del estado de salud de las computadoras visitantes.
37
Network Access Protection Platform Architecture p 4
http://www.microsoft.com/en-us/download/details.aspx?id=8415
Página 82
Las organizaciones permiten a los consultores, socios e invitados para conectarse a
sus redes privadas. Las maquinas portátiles pueden presentar algún riesgo porque no
cumpla con los requisitos y políticas de salud.
Al implementar NAP los administradores pueden limitar el acceso a las

computadoras que no pertenezcan a la red de la empresa.
Verificar el estado de salud de los ordenadores no administrados
Ordenadores no administrados que no es miembro de Active Directory de la

empresa Servicios de dominio puede conectarse a una red a través de una conexión
VPN.
Estos ordenadores ofrecen un reto adicional para los administradores, ya que no
tienen acceso físico a estos equipos. La falta de acceso físico hace exigir el
cumplimiento de los requisitos de salud, tales como el uso de software antivirus. Sin
embargo, con el NAP, los administradores de red pueden verificar el estado de salud
de una computadora en casa cada vez que se establece una conexión VPN a la red de
la empresa y limitar el acceso a una red restringida hasta que los requisitos del
sistema de salud se cumplan.
Dependiendo de sus necesidades, los administradores pueden configurar una
solución para hacer frente a cualquiera o todos estos escenarios para sus redes
3.3.5 Infraestructura de la red.
Para validar el acceso a una red basada en sistema de salud, una infraestructura de
red tiene que proporcionar las siguientes áreas de funcionalidad:
 Validación del estado de salud.- determina si las computadoras cumplen con los
requisitos de la política de salud.
 Limitación de acceso a la red.- Limita el acceso a equipos que no cumplen.
 Limpieza Automática.-proporciona las actualizaciones necesarias para permitir
que un equipo que no cumpla las normas las puedan llegar a cumplir sin
intervención de un usuario.
Página 83
 El cumplimiento continuo.- se actualiza automáticamente los equipos
compatibles para que se adhieran a los continuos cambios en los requisitos de la
política de salud.38
3.3.6 Componentes NAP

Protección de acceso a redes (NAP) incluye varios componentes de cliente y servidor
dependiendo de la implementación que se va a realizar39
La plataforma NAP es extensible proporciona componentes de infraestructura y una

interfaz de programación de aplicaciones de Windows para poder agregar
componentes, modificar y verificar la salud de las computadoras y para que se
cumpla los distintos tipos de acceso a la red
Agentes del Sistema de Salud (SHA) y validadores del Sistema de Salud (SHV)
Componentes de la infraestructura NAP su función principal es realizar un

seguimiento del estado de salud y validación. NAP está diseñado para ser flexible y
38
Microsoft Network Access Protection Web page at http://www.microsoft.com/nap
39
Página 84
extensible, se puede interactuar con el software de cualquier fabricante que
proporciona SHA y SHV que utilizan la API NAP.
Componentes de la aplicación y métodos.
Componentes de la infraestructura del NAP conocida como clientes de cumplimiento

(EC) y servidores de aplicación (ESS) requieren la validación de salud y forzar un
acceso limitado a la red de equipos que no cumplen para tipos específicos de acceso
a la red o la comunicación.
Tipos De Acceso A La Red o la Comunicación40
 Seguridad del protocolo Internet (IPsec),

 IEEE 802.1X con autenticación de conexiones de red
 El acceso remoto VPN conexiones
 Dynamic Host Configuration Protocol (DHCP) de configuraciones de
direcciones
 Terminal Server (TS) las conexiones de puerta de enlace
3.3.7 Seguridad del protocolo de internet (IPsec)41
Es un conjunto de protocolos, su función principal es asegurar la comunicación sobre
el protocolo de internet, autenticando y cifrando cada paquete en un flujo de datos, se
encarga también de incluir protocolos para establecer claves de cifrado.
Características.
IPsec actúa en la capa de red del modelo OSI.

Es más flexible que otros protocolos ya que se lo puede utilizar para proteger
otros protocolos de la capa de transporte (capa 4)
Para implementar IPsec en capas superiores no es necesario realizar ningún
cambio en su código.
Estándar está diseñado para ser indiferente a las versiones de IP
Arquitectura de seguridad IPsec
40
41
Introduction to Network Access Protection at http://go.microsoft.com/fwlink/?LinkId=49884
Página 85
IPsec utiliza un conjunto de protocolos criptográficos para:
 Asegurar el tráfico de la red
 Garantizar la autenticación mutua
 Establecer parámetros criptográficos.
La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad como

base para construir funciones de seguridad en protocolo de internet (IP).
Asociación de seguridad.-es un paquete de algoritmos y parámetros que se está

usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto la
decisión final de los algoritmos de cifrado y autenticación le corresponde al
administrador de IPsec.
Para disponer qué protección se va a proporcionar a un paquete saliente, IPsec utiliza

el índice de parámetro de seguridad (SPI), un índice a la base de datos de
asociaciones de seguridad (SABD), junto con la dirección de destino de la cabecera
del paquete, que juntos identifican de forma única una asociación de seguridad para
dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este
caso IPsec toma las claves de verificación y descifrado de la base de datos de
asociaciones de seguridad.
En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se

duplica para todos los receptores autorizados del grupo. Puede haber más de una
asociación de seguridad para un grupo, utilizando diferentes IP, y por ello
permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo
Propósito de diseño IPsec
IPsec fue implementado para proporcionar seguridad en el modo de transporte del

tráfico de paquetes en el que las computadoras de los extremos finales realizan el
procesado de seguridad o en el modo túnel en el que la seguridad del tráfico de
paquetes es proporcionada a varias máquinas por un único nodo
Cumple con los siguientes servicios de seguridad como son:
 Cifrar el tráfico.
 Validación de integridad
 Autenticar a los extremos
Página 86
 Anti-repetición.
Protocolos IPsec
Consta de dos protocolos que han sido desarrollados para proporcionar seguridad a
nivel de paquete, tanto para IPv4 como para IPv6:
 AuthenticationHeader (AH) proporciona integridad, autenticación y no repudio

si se eligen los algoritmos criptográficos apropiados.
 Encapsulating Security Payload (ESP) proporciona confidencialidad y la
opción altamente recomendable de autenticación y protección de integridad.
Cumplimiento NAP para comunicaciones IPsec42
El cumplimiento NAP para el tráfico protegido mediante IPsec se implementa con un

servidor de certificados de mantenimiento, un servidor HRA, un servidor NPS y un
cliente de cumplimiento IPsec.
El servidor de certificados de mantenimiento emite certificados X.509 para clientes

NAP cuando éstos son compatibles con los requisitos de mantenimiento del sistema.
Estos certificados se usan entonces para autenticar clientes NAP cuando inician
comunicaciones protegidas mediante IPsec con otros clientes NAP en una intranet.
El cumplimiento IPsec limita la comunicación en la red a los clientes compatibles y
ofrece la forma de implementación más segura de NAP.
3.3.8 IEEE 802.1X43
Es una norma para el control de acceso a la red basada en puertos
42
43
Página 87
Con la aplicación de 802.1X, un equipo debe ser compatible para obtener acceso a la
red sin límite a través de una conexión de red 802.1X con autenticación, tales como
la autenticación de un conmutador Ethernet o IEEE 802.11 punto de acceso
inalámbrico (AP). Los equipos que no cumplen, acceder a la red se restringe a través
de un perfil de acceso restringido puesto en la conexión por el conmutador Ethernet o
punto de acceso inalámbrico. El perfil de acceso restringido puede especificar filtros
de paquetes IP o una LAN virtual (VLAN) identificador (ID) que corresponde a la
red restringida.
Aplicación de 802.1X debe cumplir los requisitos de las políticas de salud cada vez
que un equipo intenta una conexión de red 802.1X con autenticación, también vigila
activamente el estado de salud del cliente NAP conectado y se aplica el perfil de
acceso restringido a la conexión si el cliente no cumplen las normas.
Aplicación VPN
Con la aplicación de VPN, un equipo debe ser compatible para obtener acceso a la
red sin límite a través de una conexión de acceso remoto VPN. Para equipos que no
cumplen, acceder a la red se limita a través de un conjunto de filtros de paquetes IP
que se aplican a la conexión VPN por el servidor VPN.
Cumplimiento NAP para VPN
El cumplimiento NAP para VPN se implementa con un componente de servidor y un

componente de cliente para la aplicación de VPN. Al usar el cumplimiento NAP para
VPN, los servidores VPN pueden aplicar directivas de mantenimiento cuando los
equipos cliente intentan conectarse a la red a través de una conexión VPN de acceso
remoto.
La aplicación de VPN proporciona acceso de red limitado seguro a todos los equipos
que obtienen acceso a la red por medio de una conexión VPN de acceso remoto.
Cumplimiento NAP para DHCP
El cumplimiento DHCP se implementa con un componente de servidor de

cumplimiento NAP para DHCP, un componente cliente de cumplimiento DHCP y
NPS. Con el cumplimiento DHCP, los servidores DHCP y NPS pueden aplicar
Página 88
directivas de mantenimiento cuando un equipo intente conceder o renovar una
dirección IP versión 4 (IPv4).
El servidor NPS limita el acceso a red del cliente a la red restringida indicándole al
servidor DHCP que asigne una configuración de dirección IP limitada. No obstante,
si los equipos cliente se configuran con una dirección IP estática o se configuran para
evitar la configuración de direcciones IP limitada, el cumplimiento DHCP no es
efectivo.
Cumplimiento NAP para Puerta de enlace de TS
El cumplimiento NAP para Puerta de enlace de TS se implementa con un

componente de servidor de cumplimiento de Puerta de enlace de TS y un
componente cliente de cumplimiento de Puerta de enlace de TS. Con el
cumplimiento NAP para Puerta de enlace de TS, el servidor Puerta de enlace de TS
puede aplicar la directiva de mantenimiento en equipos cliente que intenten
conectarse a los recursos corporativos internos a través del servidor Puerta de enlace
de TS. El cumplimiento de Puerta de enlace de TS ofrece acceso limitado seguro a
todos los equipos que obtengan acceso a la red a través de un servidor Puerta de
enlace de TS.
NPS
Servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a

la red en toda la organización con fines de mantenimiento de clientes, autenticación
de solicitudes de conexión y autorización de solicitudes de conexión. Además, puede
usar NPS como un proxy RADIUS (Servicio de autenticación remota telefónica de
usuario) para reenviar solicitudes de conexión a un servidor que ejecute NPS u otros
servidores RADIUS que configure en grupos de servidores RADIUS remotos.
Para la autenticación y autorización, utiliza Active Directory para verificar el usuario

olas credenciales del equipo y obtenerlas propiedades del usuario de un equipo
cuando el equipo intenta realizar una conexión802.1X autenticado una conexión
VPN.
NPS también actúa como un servidor NAP política de salud. Los administradores
pueden definirlos requisitos del sistema de salud en forma de políticas de salud en el
servidor.
Página 89
Servidores NPS evaluar la información del estado de salud proporcionado por los
clientes NAP para determinar el cumplimiento de la salud, y en caso de
incumplimiento, el conjunto de acciones de remediación que se debe hacer por el
cliente NAP para llegar a cumplir.
Servidor de Actualización.
Son servidores que se encargan de verificar que un computador no cumple las

normas que se ha colocado en la red restringida. Estos recursos pueden realizar la
resolución de nombre o almacenar las actualizaciones de software más recientes o los
componentes necesarios para hacer que un equipo no compatible cumplir con los
requisitos del sistema de salud.
3.3.9 Arquitectura de la Plataforma NAP
Los componentes que forman parte de esta arquitectura son:44
Clientes NAP.- equipos que soportan la plataforma NAP para validar el sistema de
salud de acceso a la red o la comunicación.
Puntos de aplicación NAP.- son equipos de acceso a la red que pueden utilizar
NAP para exigir una evaluación del estado de salud de las computadores y de esta
manera permitir el acceso a la red, para implementar NAP utiliza el servidor de
44
Network Access Protection Platform Architecture p 5,6,7,8
Página 90
directivas de redes (NPS) que está relacionado con el servidor de políticas NAP para
evaluar el estado de salud de los clientes de esta manera permitir o no el acceso
Autoridad de registro de salud (HRA).- una computadora que Windows Server

2008 e Internet Information Services (IIS) que obtiene los certificados de salud de
una autoridad de certificación (CA) para las computadoras compatibles.
Servidor VPN.-un equipo ejecuta Windows Server 2008, routing, acceso remoto que
permite las conexiones VPN a internet
Servidor DHCP.- un equipo ejecuta Windows Server 2008 y el servicio de servidor

DHCP que proporciona automáticamente direcciones IP para la configuración de la
intranet de DHCP cliente.
Dispositivos de acceso a la red.-conmutadores Ethernet, acceso inalámbrico que

soportan la autenticación IEEE 802.1X
Servidores de políticas de salud45.-equipos que ejecutan Windows Server 2008 y el

servidor de NPS que almacenan las políticas de salud y proporcionar la validación de
requisitos de salud del estado para el NAP.
NPS es el reemplazo para el servicio de autenticación de Internet (IAS), usa

Servicio (RADIUS) y el proxy se proporciona con Windows Server 2003. NPS
también puede actuar como la autenticación, autorización y contabilidad (AAA) del
servidor de acceso a la red. Al actuar como un servidor AAA o el servidor de
políticas de salud NAP, NPS normalmente se ejecuta en un servidor
independiente para la configuración centralizada de acceso a la red y las políticas de
requisitos de salud.
Servidores de requerimientos de salud.-equipos que proporcionan el estado

actual del sistema de salud para los servidores de políticas de salud NAP
Active directory.- servidor de dominio, donde almacena las credenciales de

cuentas, sus propiedades y la configuración de directiva de grupo.
Active Directory es necesario para las comunicaciones protegidas por IPsec, las
conexiones autenticadas por 802.1X, y las conexiones remotas de acceso a la VPN.
45
Network Access Protection Platform Architecture p 27,28,29
Página 91
Restricción de la red.-red independiente separada la red física de la lógica.
Remediación de equipos.
Clientes NAP con límites de acceso.
3.4 Solución Cisco NAC
3.4.1 Introducción
Cisco NAC es una solución para el control de acceso a la red, cuya arquitectura es
propietaria, que permite autenticar, autorizar, evaluar y remediar posible
vulnerabilidades, antes de permitir que los usuarios se conecten en la red, conexiones
que pueden ser alámbricas, inalámbricas, accesos remotos, etc., decir se identifica a
los dispositivos, ordenadores portátiles, ordenadores de sobremesa y otros activos
que sean autorizados, compatibles y que cumplan con la política, antes de permitir el
acceso. El primer paso se produce en el punto de autenticación, antes de que el
código malicioso pueda causar daños, entonces su tarea es evaluar si las máquinas
cumplen con las políticas de seguridad. Las políticas de seguridad pueden variar por
el tipo de usuario, el tipo de dispositivo o sistema operativo, es así que cuando no se
cumple la política se toman las acciones de bloquear, aislar o reparar maquinas que
no cumplan. Las máquinas son redirigidas a un área de cuarentena, donde se produce
la remediación.
3.4.2 Definición
Cisco define a NAC como: El control de la admisión de la red de Cisco (NAC) es
una solución que utiliza la infraestructura en red para hacer cumplir políticas de
seguridad en todos los dispositivos que intentan tener acceso a recursos de
computación de la red NAC ayuda a asegurar que todos los hosts cumplan con las
últimas políticas de seguridad corporativa, tales como antivirus, software de la
Página 92
seguridad, y patch (remiendo) del sistema operativo, antes de obtener el acceso de
red normal.46
3.4.3 Características y beneficios

Impide el acceso no autorizado a redes para proteger sus activos de
información
Ayuda a mitigar proactivamente las amenazas de red tales como virus,

gusanos y software espía
Identifica las vulnerabilidades en los equipos de los usuarios mediante la

evaluación periódica y la remediación
Permite reducir costos mediante el seguimiento automático, reparación y

actualización de equipos cliente
Reconoce y clasifica a los usuarios y sus dispositivos antes de que el código

malicioso puede causar daños
Evalúa el cumplimiento de la política de seguridad basada en el tipo de

usuario, tipo de dispositivo y sistema operativo
Aplica las políticas de seguridad mediante el bloqueo, aislamiento y

reparación de máquinas no compatibles en un área de cuarentena sin
necesidad de la atención del administrador
Aplica el servicio de evaluación y remediación a una variedad de

dispositivos, sistemas operativos, dispositivos y métodos de acceso
incluyendo LAN, WLAN, WAN y VPN
Aplica las políticas de todos los posibles escenarios de funcionamiento sin

necesidad de productos independientes o módulos adicionales
Compatible con el inicio de sesión único sin fisuras a través de un agente con
la reparación automatizada
3.4.4 Beneficios para El Negocio
Período completo de control mediante la evaluación de todos los puntos

finales a través de todos los métodos de acceso, incluyendo LAN,
conectividad inalámbrica, acceso remoto y WAN
46
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t8/feature/guide/gt_nac.html
Página 93
La visibilidad y el control de punto final para ayudar a garantizar que logró,
no administrado, invitados y dispositivos no autorizados cumplir con las
políticas corporativas de seguridad
Apoyo del ciclo de vida para el control de punto final que automatiza la
evaluación, la autenticación, autorización y remediación de los criterios de
valoración
La admisión granular de control de gestión mediante la combinación de la

gestión central de la política, los dispositivos de red inteligente y servicios de
red con soluciones de docenas de los principales antivirus, seguridad y
gestión de proveedores
3.4.5 Protocolo de autenticación extensible (EAP)
El Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol)

es una extensión del Protocolo punto a punto (PPP) que admite métodos de
autenticación arbitrarios que utilizan intercambios de credenciales e información de
longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda
de métodos de autenticación que utilizan dispositivos de seguridad, como las tarjetas
inteligentes, tarjetas de identificación y calculadoras de cifrado. EAP proporciona
una arquitectura estándar para aceptar métodos de autenticación adicionales junto
con PPP.
Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos

como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación,
contraseñas de un solo uso, autenticación por clave pública mediante tarjetas
inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un
componente tecnológico crítico para las conexiones de red privada virtual (VPN)
seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor
seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas,
que otros métodos de autenticación basados en contraseña, como CHAP o MS-
CHAP.
Página 94
Soporte 802.1X
Cisco NAC ayuda a reducir la pérdida potencial de información sensible permitiendo

a las organizaciones verificar el nivel de privilegios de un usuario antes de conceder
el acceso a la red. Esto ayuda a prevenir el acceso no autorizado a través del cable,
inalámbrica o red de acceso remoto. Cisco NAC proporciona una integración
completa con la tecnología inalámbrica, VPN y 802.1X, y puede ser implementado
en un single-sign-on (SSO) de manera de maximizar los beneficios y minimizar el
impacto de seguridad del usuario.47
El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de

2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya
sea por cable o inalámbrica). Esto se hace a través del uso de un servidor de
autenticación. El 802.1x se basa en el protocolo EAP (Protocolo de autenticación
extensible), definido por el IETF. Este protocolo se usa para transportar la
información de identificación del usuario.
3.4.6 Descripción de la Arquitectura
Se trata de la solución de control de acceso a redes de Cisco. Es una arquitectura

propietaria, que en el lado del cliente se compone de un agente denominado Cisco
Trust Agent cuya función es la de recibir la información del estado de la seguridad
del equipo a conectar a la red proporcionando toda la información recogida, para
recopilar esta información pueden usarse aplicaciones de distintos fabricantes o una
47
http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns466/net_implementation_whi
te_paper0900aecd80557152.html
Página 95
propietaria de Cisco, el CiscoSecure Access. Para el Trust Agent Cisco ha
desarrollado un protocolo propietario el EAP, en dos versiones: una sobre UDP y
otra sobre 802.1X. La diferencia entre ambas es que sobre UDP se hace solo
validación y en 802.1X se hace validación y autenticación. Además no todos los
equipos Cisco soportan todos los escenarios posibles a través del protocolo EAP,
muchos switches y routers requieren de una actualización. En cuanto a servidores
Cisco la implementa en base al Access Control Server que ha desarrollado para tal
fin, completando con interfaces de verificación, auditoria y autenticación de otros
fabricantes. Cisco también ofrece una solución basada en appliances permitiendo una
más rápida implementación
Cisco define a NAC como: El control de la admisión de la red de Cisco (NAC) es
una solución que utiliza la infraestructura en red para hacer cumplir políticas de
seguridad en todos los dispositivos que intentan tener acceso a recursos de
computación de la red… NAC ayuda a asegurar que todos los hosts cumplan con las
últimas políticas de seguridad corporativa, tales como antivirus, software de la
seguridad, y patch (remiendo) del sistema operativo, antes de obtener el acceso de
red normal.48
Cisco NAC está presente a través de todos los métodos de acceso a la red. La
información de la situación puede ser recogida y la política de acceso aplicadas para
los host que tratan de acceder a la red a través de routers, switches, puntos de acceso
inalámbricos, concentradores VPN, etc.
Los procesos en el escenario de validación de cisco NAC incluyen los siguientes
componentes arquitectónicos
COMPONENTES:
Host: Máquina de acceso a la red en la que se aplicaNAC
Compostura del Plugins (PP). Un Cisco o la tercera parte de un DLL que
reside en un host y proporciona la situación de las identificaciones o
credenciales de un agente y este que reside en el mismo dispositivo.
48
Libro Cisco System NAC Network Admission control. Deployment guide
Página 96
Agente de Postura (PA). Agente host de software que actúa como un
intermediario en el host para la agregación de credenciales potenciales de
múltiples situaciones, plugins y la comunicación con la red.
Remediación del cliente: Un componente de una solución de gestión
de recuperación que funciona en combinación con un servidor
de recuperación para actualización de software cliente específico, tales
como parches del sistema operativo.
CUMPLIMIENTO:
Dispositivo de acceso a la red (NAD) dispositivo de red que actúa como un
punto de aplicación NAC. Estos pueden incluir routers de acceso Cisco (800 -
7200), puertas de enlace VPN (VPN3000 serie), Catalyst Capa 2 y Capa
3, switches y puntos de acceso inalámbricos.
Decisión y Remediación
Servidor AAA(servidor de autenticación, autorización y contabilidad)-El
servidor de políticas central que agrega una o más autenticaciones y/o
autorizaciones en una decisión del sistema único de autorización y de los
mapas de decisión a un perfil de acceso a la red cumplimiento por
el NAD. Cisco Secure Access Control Server (ACS) es producto de
servidor AAA de Cisco que soporta NAC.
Servidor de Directorios, un servidor de directorio centralizado para la
creación de usuario y/o autenticación de la máquina. Los posibles
Servidores de directorios son: Lightweight Directory Access
Protocol (LDAP), Microsoft Active Directory (AD),
Novell DirectoryServices (NDS), y al mismo tiempo Servidor de contraseñas
(OTP).
Servidor de validación situación (PVS)- Un servidor de validación actúa
como una política específica de la aplicación, es decir como punto de
decisión en el NAC para la autorización de un conjunto de credenciales de la
postura de uno o más plugins validada frente a un conjunto de políticas. Los
ejemplos incluyen servidores de antivirus o servidores de seguridad de las
aplicaciones.
Página 97
Servidor de Remediación. Una solución de gestión utilizada para llevar el
cumplimiento de la normas. Esto podría ser un parche especializado gestión
de aplicaciones, o tan simple como un sitio Web para la distribución
de software. cuando mejor y más eficiente es el anfitrión de parches y
remediación, menor será el riesgo
La siguiente figura muestra los principales componentes de NAC y proporciona una

visión general del proceso de autorización utilizados para conceder o denegar
acceso a la red.
1. La validación de postura ocurre cuando un dispositivo de acceso a la red

detecta que un host se quiere conectar o usar los recursos de la red
2. Una vez detectado el nuevo dispositivo el NAD (dispositivo de acceso a la
red) habilita una conexión entre el AAA server )servidor de autorización
autenticación y auditoria y el access control server ACS o server de control
de acceso, una vez establecida el Server AAA requiere las credenciales de
postura al host desde uno o más plugins de posturas
3. El host responde a la petición con sus credenciales de postura desde los
software compatibles con NAC
4. El server AAA valida la información de las posturas localmente, o puede
delegar esta decisión a otros servers de validación de posturas
Página 98
5. El server AAA agrega los resultados individuales de la postura, o símbolo
(tokens)de postura, de todos los servers para determinar la conformidad total
del host, o del símbolo de postura del sistema
6. La autenticación de identidad y el token de postura del sistema son luego
chequeadas por una red de autorización , que puede consistir en : server
Radius, asignación de VLANs o listas de acceso descargables
7. Estas cualidades del Radius se envían al NAD para la aplicación en el host
8. El CTA en el host envía el estado de su postura para notificar los plugins
respectivos de su postura individual del uso así como la postura entera del
sistema
9. Se puede enviar opcionalmente un mensaje al usuario final usando el diálogo
de la notificación de CTA's notificando el estado actual del anfitrión en la
red.
FIREWALL, IPS E IDS PREVIENEN DE ATAQUES DE HACKERS.
En muchas de las compañías no se tiene un control de sus propias pc`s, laptops del
personal que accede desde afuera, oficinas remotas de la organización.
Página 99
Y no podríamos saber si todos ellos cumplen con las políticas de seguridad en todos
los puntos de acceso a la red, quizás en un primer momento en su implementación
pero hace falta una política global para todos aquellos que usan nuestra red, esto es
una política de control de admisión de acceso49
¿Qué y quien se conecta y por cuánto tiempo?
¿Cuáles son los requerimientos para garantizar un acceso seguro a la red?
¿Qué pasos se deben seguir para conseguir que se cumpla este acceso seguro?
¿Cuáles son los requerimientos creados y cuáles modificaremos?
Cisco introduce el concepto de NAC o Control de Admisión a la red
NAC permite la seguridad entre los puntos finales y la red
Una verdadera solución de NAC debe:
o Autenticar e identificar accesos
o Hacer cumplir la política de accesos, impidiendo aquellos no
permitidos
o Identificar e impedir el acceso a usuarios que no cumplan con la
política de seguridad establecida
Eliminar o en su defecto mitigar la vulnerabilidades
El control de acceso a la red se define como una tecnología o arquitectura que
permite controlar el acceso de los usuarios a la red en un punto de acceso
verificando además de su identidad el cumplimiento de todas las políticas se
seguridad establecidas por la organización, es decir que el equipo que trate de
conectarse este actualizado, tenga todas las herramientas de seguridad
exigidas por la empresa, etc. se incluye además el control sobre lo que pueden
hacer, a que contenidos e información pueden acceder estos usuarios y que
sistemas o recursos son accesibles una vez admitidos en la red
Un usuario se conecta a la red corporativa con su laptop, pero su sistema
operativo es vulnerable
49
http://postgrado.info.unlp.edu.ar/Carreras/Especializaciones/Redes_y_Seguridad/Trabajos_Finales/E
smoris.pdf
Página 100
Su autenticación es validada
El sistema de control de admisión a la red escanea el dispositivo que se quiere
conectar y encuentra que el sistema operativo de esa laptop es vulnerable a un nuevo
gusano que acaba de aparecer
Esta vulnerabilidad es chequeada por el o los servers de políticas de validación
Página 101
Si no cumple con lo estipulado sus credenciales no son aceptadas
Por tal motivo su acceso no es otorgado
El sistema redirección la conexión a un server llamado server de remediación, el cual

actualiza el sistema operativo con los últimos fixes haciendo que el dispositivo
cumpla con las normas de seguridad establecidas por la organización
Página 102
El dispositivo es nuevamente chequeado y ya remediado se le otorgan las
credenciales de acceso
La siguiente figura muestra los principales componentes de NAC y proporciona una

visión general del proceso de remediación utilizado para mover una gran cantidad de
host que están en cuarentena a un estado saludable.
Estado: Saludable ahora el Antivirus está al día. También puede comprobar el nivel
de ruta, la política de actualización, etc. El filtro puede ser aplicado para facilitar el
acceso del grupo (invitado, administrador de recursos humanos) pero es opcional50
50
Página 103
Consulte los números en la figura anterior por cada paso adelante que describe
el proceso de remediación NAC.
1. Un host que ha sido colocado en el estado de cuarentena está dirigida a un

servidor de remediación tercero a fin de actualizar su software AV.
2. Las encuestas de Cisco Trust Agent del plug-in para el software de la
postura AV, descubre que ha habido un cambio, y desencadena
una revalidación
desde el NAD. El NAD establece una ruta de comunicación entre el servidor
AAA (AEC) y el agente de la postura. Después de que la vía de
comunicación se ha establecido, el servidor AAA pide al extremo de las
credenciales de la postura de una o más posturas plugins.
3. El host responde a la solicitud con sus credenciales de la postura de los
plugins disponibles postura de software compatible con NAC componentes
en el host
4. El servidor AAA valida la información de la postura localmente o que a su
vez puede delegar partes a la decisión de la postura externa servidores de
validación
5. Los agregados de servidor AAA de los resultados individuales, la
postura o posturas, fichas de todos los servidores de delegados para
determinar el host de cumplimiento general de la postura o ficha sistema.
6. La autenticación de la identidad y el símbolo de sistema de posturas se
asignan a una autorización de la red en el perfil de acceso a la red que
consisten en los atributos de RADIUS de los temporizadores, las asignaciones
de VLAN, o descargar las listas de control de acceso(ACL).
7. Estos atributos de RADIUS se envían a la NAD para la aplicación en el host.
8. La CTA en el host se envía su condición de postura para notificar a
los respectivos plugins de su postura de aplicación individual, así como
la postura sistema entero.
9. Un mensaje puede, opcionalmente, se envía al usuario de la máquina usando
el diálogo de la CTA de notificación para que sepan su estado en la red.
10. Software antivirus El anfitrión es ahora hasta la fecha y ha sido verificado
por el servidor AV validación de postura. Como resultado de ACS se ha
movido el anfitrión de un estado de cuarentena a un estado saludable.
Página 104
Todos los puntos de decisión son considerados si el servidor AAA o PVS, evalúa
uno o más conjuntos de credenciales de host en los motores de políticas basadas en
reglas, con resultados en una o más tokens de aplicación (APT). Un APT representa
un control de cumplimiento de las aplicaciones en el host dados a un proveedor El
servidor AAA a continuación, combina todos los APTs con los PVs delegados en su
propio motor de políticas dentro de un único token de sistema de la postura (SPT)
que representa el cumplimiento general del host. Por lo tanto, si uno de los APTs que
componen el SPT en general, no pasa la prueba de conformidad, el SPT general
refleja esto. Tanto APTs y SPTs se representan mediante las siguientes fichas pre-
definidas:
Saludable- El Host es compatible, no tiene restricciones sobre el acceso a la

red.
Chequeo- El Host está dentro de la política, pero hay una actualización
disponible. Este chequeo se utiliza para remediar de forma proactiva el
estado de salud.
Transición. El Host de postura es un proceso, para facilitar el acceso
provisional en espera de la validación de la postura completa. Este estado es
aplicable durante el arranque del host, cuando todas las aplicaciones NAC no
se están ejecutando o durante una auditoria cuando la información de la
postura aún no se ha obtenido a partir del host.
Cuarentena. El host no cumple las políticas de control; restringir el acceso a
la red, colocando en una red de cuarentena para la remediación. El host no es
una amenaza activa pero es vulnerable a un ataque conocido o infección.
Infectado Host es una amenaza activa a otras máquinas, acceso a la red debe
ser severamente restringido o totalmente negado todo acceso a la red.
Desconocido. La postura de un host no se puede determinar. se debe poner en
un estado de cuarentena el host, auditoría o remediación hasta que se puede
determinar una postura definitiva.
Página 105
COMPONENTES DE CISCO NAC
CISCO TRUST AGENT (CTA)
El software Cisco Trust Agent, es un sistema, instalado en los dispositivos de

sobremesa y en los servidores situados en los extremos de la red, obtiene
información sobre el nivel de seguridad en cada punto por medio de múltiples
aplicaciones, como el software antivirus. Una vez obtenida la información, Trust
Agent la transmite a la red de Cisco, donde se toman y se hacen cumplir las
decisiones relativas al control de acceso a la red. Para facilitar el despliegue, este
software puede integrarse con Cisco Security Agent, una solución de seguridad para
los extremos de la red que la protege contra ataques por virus desconocidos (day-
zeroattacks) y otras amenazas diseñada con el propósito de asegurar una total
compatibilidad de los parches con los sistemas operativos de los dispositivos
finales.51
CARACTERÍSTICAS Y BENEFICIOS
Permite la NAC para validar la postura de las aplicaciones en activos

administrados
Funciona en redes cableadas, inalámbricas, de acceso remoto, y los

entornos de oficinas remotas
Está respaldada por una amplia gama de proveedores
Está disponible en sistemas operativos Windows y Red Hat Linux
Es fácil de instalar, ligero para correr
Actúa como un componente de middleware que toma la información de la

política de acogida y con seguridad se comunica la información a la
51
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps5923/product_data_sheet0900aecd8
0119868.html
Página 106
autenticación, autorización y contabilidad (AAA) del servidor de
políticas.
Cisco Trust Agent se comunica con las aplicaciones habilitados con NAC
a través de los canales de comunicación integrados por los participantes
del NAC en sus aplicaciones
Incluye un suplicante 802.1x para las comunicaciones de Capa 2 en

entornos cableados.
Autentica el servidor AAA. Cisco Trust Agent valida el solicitante a

través de comunicaciones cifradas con el servidor AAA.
Permite a los clientes para crear secuencias de comandos para la

recopilación de información personalizada.
CTA suplicante
El suplicante CTA es un NAC - suplicante 802.1x habilitada. NAC- habilitada,
significa que el solicitante es capaz de utilizar el protocolo EAP-FAST al llevar a la
identidad y la información postura en el transporte 802.1x. Esto permite al solicitante
proporcionar no sólo la identidad del usuario y de la máquina, sino también la
información de la postura de la maquina En la actualidad, el suplicante CTA soporta
interfaces cableadas. Si la tecnología inalámbrica de Cisco NAC es necesaria, un
suplicante que soporta tanto por cable e inalámbrica puede ser obtenido a partir de
uno de los socios de Cisco NAC.
SERVIDOR DE CONTROL DE ACCESO

El Cisco ACS es un servidor AAA (autenticación, autorización y contabilidad)
servidor RADIUS con capacidades que van más allá de la autenticación de la
identidad para el manejo de la autorización de las credenciales de la postura de un
host. El servidor ACS continuación, asigna la política resultante de decisión de un
perfil de acceso a la red que se proporciona en el NAD para su ejecución. El servidor
ACS puede ser configurado para delegar las decisiones de autorización a uno o más
servidores de validación de posturas externas. Esto se puede realizar para mejorar la
escalabilidad, delegar la decisión de un dominio de políticas específicas, o manejar
los atributos de propiedad.
Página 107
El servidor ACS mantiene un registro de bases de datos de políticas locales y
externos utilizando el tipo de proveedor y la aplicación de los atributos como un
dominio o espacio de nombres. El Servidor ACS multiplex y de-multiplex requieren
solicitudes y respuestas hacia y desde las bases de datos.
Cada base de datos tiene una política o varias políticas, cada uno con un conjunto de
reglas definidas por el administrador. Cada política evalúa un conjunto de
credenciales postura (por proveedor y tipo de aplicación) para crear una postura
aplicación token (APT), que define el nivel de cumplimiento de dicho componente.
El servidor ACS luego consolida todos los APTs en una evaluación de la postura
final llamado postura token(SPT) que es el APT que representa la mayor cantidad de
incumplimientos. El SPT es entonces asignado a un perfil de acceso que se
proporciona a la NAD para la aplicación en el host. Los APTs, SPT y cualquier
usuario configurado opcionalmente o notificaciones de acción también se envían a la
PA para completar el ciclo de autorización.52
SERVIDOR DE REMEDIACIÓN
Un servidor de remediación es un repositorio de actualizaciones de software de host

que se ponen a disposición para un host o cliente para satisfacer las conformidades
políticas dentro de una organización. El servidor puede albergar elementos tales
como actualizaciones del sistema operativo, parches de seguridad, software de agente
de host y otros componentes de software.
Cuando un host determina que un estado no es compatible con la postura basada en

la información actual, el usuario puede ser reenviado a un servidor de recuperación a
través de la redirección de URL. Allí, el proceso de reparación puede comenzar por
encaminar a los usuarios para descargarse los software necesarios que cumpla con la
política de seguridad. Un servidor de recuperación es a menudo parte de una
solución de recuperación más amplio que incluye tanto el servidor como parte
cliente.
52
Página 108
SERVIDOR DE VALIDACIÓN DE POSTURA
El servidor de validación de postura se utiliza para determinar si un host permite el

acceso a un dispositivo. Un servidor de validación de postura (PVS) es cualquier
servidor que autoriza a los conjuntos de credenciales de la postura en una o más
APT. Mientras que el servidor ACS es una instancia de un EVP, el término se utiliza
normalmente para describir a un servidor delegado para asistir en la autorización del
dominio específico de la postura credencial. Por ejemplo, un Servidor de anti-virus-
(AV) puede actuar como un EVP para hacer AV de decisiones específicas de la
postura desde el servidor AV sabe el último motor de exploración y las versiones de
archivos de firmas. Un PVS se espera poner en práctica las siguientes funciones
utilizando el protocolo de autorización de credenciales de host (HCAP) para la
comunicación entre el servidor AAA y las PVS:
Aceptar una solicitud de credencial postura de un servidor AAA o PVS

Autorizar las credenciales frente a una política de cumplimiento o más
delegarlas a otros PVS
Responder a las que el servidor AAA con lo siguiente:
o Aplicación de Postura Tokens (APT), el resultado de la validación de
las credenciales de la postura
o
(Opcional) Notificaciones postura para ayudar en el dominio específico de la

rehabilitación de la máquina. Los ejemplos incluyen las acciones a ejecutar, la URL
de servidor de actualizaciones, etc.
Servidor de auditoria
El último componente de la solución NAC es el servidor de auditoría, que se aplica

para la evaluación de vulnerabilidades (VA) tecnologías para determinar el nivel de
confianza o de riesgo de un host antes de la admisión a la red. VA usa técnicas tales
como el escaneo en red, acceso remoto, o basada en requisitos
Los agentes se suelen utilizar para recopilar la información que normalmente se

proporcionan por el solicitante IEEE 802.1X o CTA. El servidor de auditoría
Página 109
componente es suministrada por ciertos proveedores en el Programa Cisco NAC para
dar a los clientes la posibilidad de elegir un proveedor de VA y la tecnología que
mejor se adapte a sus necesidades políticas y los requisitos de implementación.
El servidor de auditoría utiliza el mensaje genérico Protocolo de autorización de

Exchange para comunicarse con la información de auditoría de la AEC. ACS es
responsable de desencadenar el proceso de auditoría para las máquinas sin agente
con el servidor de auditoría. Mientras que el servidor de auditoría está realizando el
proceso de auditoría,
ACS sondea periódicamente el servidor de auditoría para una decisión de la

auditoría. Cuando el servidor de auditoría completa el proceso de auditoría se
informa sobre el estado de la postura de la sede de ACS.
REPORTE
La información sobre los eventos relacionados con NAC, como autenticaciones

fallidas y pasado y las razones de cada uno se pueden ver en los informes de la AEC.
Los campos que se muestran en cada informe se pueden personalizar para que la
información relevante o adicional se puede ver si es necesario. Los informes en
ACS es el principal medio para solucionar problemas de autenticación NAC.
Además, la información de la NAC en pacientes con SCA se puede exportar a la de

Cisco CS-MARS (Análisis de Vigilancia y Respuesta de Cisco SecureSystem)
aparato. El aparato MARS ofrece tanto la correlación de eventos, así como un
conocimiento visual en la red para los eventos de NAC.
Existen varias opciones de presentación de informes por defecto están disponibles

para la NAC en el aparato MARS. Un administrador puede optar por ver una de las
NAC informes predeterminados, como el número total de los actuales anfitriones de
cuarentena, así como crear informes personalizados.
MARS también permite al administrador ver rápidamente un incidente relacionado

con NAC y determinar dónde el cliente se encuentra físicamente dentro de la red al
nivel del interruptor específico y switchport.
Página 110
3.4.Soluciones Open Source
3.4.1. Solución Freenac
Es una solución para el control de acceso a la red detectando dispositivos que tratan de
obtener acceso, negando su acceso y registrando el evento ocurrido, en los dispositivos
que forman parte de la red son registrados y colocados en una red virtual.
Esta solución utiliza un conjunto de protocolos para lograr la protección de acceso a la

red, con FreeNAC, tan pronto como un nuevo dispositivo es conectado al puerto del
switch, su dirección MAC se pasa al servidor, donde será almacenada y comprobada
para determinar si este dispositivo tiene acceso a la red. Si el dispositivo está autorizado
a tener acceso, el servidor le regresará al switch la red virtual a la que este dispositivo
pertenece. Si este dispositivo todavía no está registrado, su acceso es bloqueado o se
coloca en una red virtual limitada, dependiendo en la política. 53
53
http://www.freenac.net
Página 111
3.4.2. Características.
Freenac versión comunitaria.
Asignación dinámica de redes virtuales

Control de acceso a redes
Flexibilidad en mecanismos de autentificación para redes: 802.1x, VMPS,
Cisco Mac-Auth-Bypass
Altamente automatizado
Redundancia y repartición de carga de red para una mejor disponibilidad
Inventario en tiempo real de los aparatos conectados a la red
Documentación del cableado de la red
Reportes flexibles
Comparación entre Freenac versión comunitaria y versión Empresarial
La versión empresarial provee características adicionales, como se detalla a

continuación:
Comparación de características Comunitaria Empresarial

Autentificación basada en dirección MAC (VMPS
mac-auth-bypass)
Autentificación 802.1x
Interfaz de usuario Windows
Interfaz de usuario basada en Web
Integración con Active Directory
Integración inteligente de hubs
Comprobación de puertos abiertos e identificación
del sistema operativo en los dispositivos
Documentación de cableado
Inventario automatizado de nombres de
computadoras
Página 112
Establecer una fecha de validez para cada
dirección MAC (para permitir el acceso a los
visitantes por un día por ejemplo)
Soporte para el manejo de máquinas virtuales
Asignación de redes virtuales dependiendo de la
localización del switch
Scripts para ayudar en la importación inicial de
sistemas desde un archivo CSV
Alertas de eventos claves del sistema
Detección automática de dispositivos no X
manejados activamente por NAC, para
proporcionar un inventario completo de los
dispositivos en la red
Integración con servidores de antivirus McAfee X
EPO
Integración con servidores SMS de Microsoft X
(Software package/gestión del sistema)
Herramienta web para ayudar en documentar la X
localización de cables/puertos de switches
Herramienta de "paro" de emergencia la cual X
puede desactivar NAC y rápidamente configurar
redes virtuales estáticas en los puertos del switch
(recuperación en un desastre o en una situación
extrema)
Módulos personalizados para entornos de clientes X
específicos (por ejemplo, interfaces a sistemas
corporativos "estáticos" de inventario)
Soporte prioritario de parte del equipo FreeNAC X
3.4.3. Ventajas a implementar FreeNac
Página 113
 Una red dinámica le permite un mejor uso de los puertos de switches disponibles,
lo cual reduce costos y aumenta la eficiencia.
 Facilita la configuración de los switches y hace posible tener menos cambios en
el cableado durante reorganizaciones.
 No requiere software instalado en los dispositivos en modo VMPS. En modo
'802.1x', un software 'suplicante' necesita ser instalado. Clientes que ya usan
"acceso manual basado en puerto" ahorrarán tiempo y ganarán efectividad.
 Funciona con antiguos switches Cisco, no es necesario adquirir nuevo hardware
Cisco.
 Inventario automatizado de la red.
 Permite que el cableado de red sea más dinámico y eficiente.
 Altamente automatizado y fácil de usar, lo que reduce costos por soporte.
 Extensible permite agregar sus propios módulos o interfaces a sus sistemas
 NAC corre sobre hardware y sistemas operativos estándar (Linux/Unix).
 Más eficiente que "acceso manual basado en puerto" o VMPS clásico.
3.4.4. Modos de operación:
VMPS
802.1X
VMPS (VLAN Management Policy Server).- es un método para asignar puertos de un

switch a redes virtuales específicas de acuerdo a la dirección MAC del dispositivo que
busca acceso a la red.
En modo VMPS, un switch compatible con VMPS detecta una nueva PC y crea una
petición VMPS pidiendo autorización de FreeNAC, el cual revisa en su base de datos
ypermite o niega el acceso a la red basándose en la dirección MAC. El switch se encarga
de respaldar la decisión tomada por FreeNAC y niega acceso o en caso contrario, coloca
el dispositivo de manera dinámica en su red virtual por defecto.
802.1X.- es un estándar creado por la IEEE para el control de acceso a redes basándose
en el puerto del switch. Proporciona autentificación a dispositivos conectados a un
Página 114
puerto de la red, estableciendo una conexión punto a punto o restringiendo el acceso en
caso de que la autentificación falle.
802.1x está disponible en algunos modelos recientes de switches y puede ser

configurado para autentificar equipos los cuales cuenten con un software suplicante, no
permitiendo accesos no autorizados a la red en la capa de enlace.
En modo 802.1x, FreeNACverifica las credenciales de los usuariosa través del uso de un
servidor de autentificación externo y usa la dirección MAC del dispositivo que se
conecta para asignarlo a una red virtual. Esto crea un par nombre de usuario/dispositivo
que es único para cada cliente que se conecta.
3.4.5. Arquitectura FreeNac
Página 115
3.4.6. Componentes FreeNac
Para implementar debemos tener en cuenta los siguientes componentes:
1. Autenticación de direcciones MAC

2. GUI de Windows
3. Interfaz Web
4. Active Directory.
5. La detección automática y el inventario de los dispositivos finales no gestionados
activamente por NAC, para garantizar un inventario completo de los dispositivos
finales de la red
6. Escaneo de puertos abiertos y la identificación del sistema operativo en
dispositivos finales
7. Emergencia 'stop' herramienta que puede desactivar NAC y rápidamente
configurar VLAN estáticas en los puertos del switch
8. Autenticación de usuario 802.1x
9. McAfee Anti-Virus Epo consultas de servidor
10. Microsoft SMS paquete de software / sistema de gestión de las consultas del
servidor
11. Microsoft WSUS (Windows Update) consultas de servidor.
Página 116
3.4.7. Requisitos del Sistema Operativo
Freenac soporta los siguientes sistemas operativos en las arquitecturas i386:
Ubuntu servidor
SUSE
Requisitos de la herramienta freenac
Freenac necesita los siguientes componentes previos a la instalación
Mysql
Apache.
Freeradius
Php5
libxml
FreeTDS
3.4.8. Requerimientos de hardware
A continuación se proporciona una lista de recomendaciones de hardware del servidor:
CPU Intel o AMD a 3 GHz
2GB de RAM
40 GB de espacio en disco (RAID 1 se recomienda)
1 Tarjeta de red
1 para alta disponibilidad
1 para detección de intrusos
3.4.9. Conexión entre diferentes Sistemas Operativos

FreeNac está configurado para utilizar el modo bridge para activar la red y recibir
paquetes en una dirección IP dedicada
En el momento de instalar la aplicación podemos tener acceso a la interfaz web
Página 117
En la cual podemos visualizar los dispositivos con el cual trabajara el servidor, revisar
los dispositivos, direcciones permitidas.
3.4.10. Configuración de la Base de Datos Mysql

Debemos configurar que la base de datos inicie de forma automática, lo podemos hacer
mediante la siguiente línea de comandos.
Update –rc.dmysql defaults
Debemos configurar el archivo my.cnf
En este archivo podemos configurar para que inicie la base de datos, el nombre de la
base, los usuarios que pueden acceder, el puerto que va a escuchar.
A continuación se muestra los parámetros de configuración del archivo my.cnf
El parámetro server-id indica el número de servidor maestro y tiene el nombre vmps1,

tenemos que agregar el tiempo de espera para evitar desconexiones con las siguientes
líneas de comando.
Página 118
El puerto por defecto de Mysql es 3306
3.4.11. Asignación de direcciones IP.
3.4.12. Portal web Freenac.
El dispositivo de control de acceso en este caso el switch detecta el nuevo pc y solicita la

autorización de la herramienta freenac que utiliza el servidor de autenticación freeradius,
este verifica en la base de datos y concede o niega el acceso a la red, basándose en la
dirección mac.
También lo podemos hacer con el mecanismo de control de acceso 802.1x para esto
utilizamos un usuario y contraseña los cuales ya están registrados en la base de datos con
el mismo procedimiento de verificación de datos concede o niega el acceso.
Edición de archivos:
Página 119
Para realizar la autenticación freeradius cuenta con diversos archivos que deben
configurarse los siguientes archivos, los principales son:
radiusd.conf→ /etc/freeradius/radiusd.conf
eap.conf→ /etc/freeradius/eap.conf
users→ /etc/freeradius/users
Este archivo es el que contiene la información de los usuarios que pueden acceder a la red, en caso de
que no se use otro método. En nuestro caso, este archivo no tiene mucho uso, puesto que se usará un
directorio ldap.
Lo que si hay que modificar en este fichero "/etc/freeradius/users" es "System" por "LDAP"por lo que
debería quedar algo asi:DEFAULTFramed-Protocol == PPP.
default→ /etc/freeradius/sites-enabled/default -> ../sites-available/default
clients.conf→ /etc/freeradius/clients.conf
Configuramos clients.conf que indica los hosts desde los que se aceptan las peticiones.Aquí se
especifican los IPs o subredes desde las cuales se aceptarán peticiones. Si llegauna petición de acceso
desde un IP que no esté registrada, el servidor RADIUSsimplemente la ignora, negándole el acceso.
sql.conf→ /etc/freeradius/sql.conf
ldap→ /etc/freeradius/modules/ldap
3.4.13. Ingreso a la interfaz de usuario.
Aquí podemos ingresar verificar los switch conectados, crear usuarios, dar privilegios a
los usuarios, verificar los accesos a la red por la dirección mac, generar reportes, crear
vlans.
Es una herramienta de gran ayuda y sobre todo es de código abierto, en la que el
administrador podrá manejarlo de acuerdo a las necesidades de la organización.
Página 120
3.5.PACKETFENCE
3.5.1. Introducción:
PacketFence que actualmente está en su versión 3.5 es una solución de código abierto
(Open Source) preparada para instalar un Sistema de Control de Acceso a la Red, es
decir un NAC (Network Access Control). Es una distribución Linux basada en Centos
diseñada especialmente para proporcionar un completo sistema de control de acceso a
las redes. PacketFence es totalmente compatible, de confianza, es un sistema libre y de
fuente abierta para el Control de Acceso a la Red. Permite impulsar un impresionante
conjunto de características, incluyendo un portal para el registro y remediación,
administración centralizada con cable e inalámbrica, soporta 802.1x, permite el
aislamiento de los dispositivos problemáticos, integración con Snort, escaneo de
vulnerabilidades. Packetfence se puede utilizar de manera efectiva para la seguridad en
las redes, desde redes pequeñas hasta redes heterogenias de gran tamaño
3.5.2. Definición
PacketFence es un código abierto para el Control de Acceso a la Red, sistema que
proporciona las siguientes funciones: registro, detección de actividades de la red
anormales a partir de sensores remotos de Snort, exploraciones preventivas de
vulnerabilidad, aislamiento de los dispositivos problemáticos, reparación a través de un
portal cautivo (vigila e intercepta el trafico http), 802.1X, integración inalámbrica y
Agente-Usuario/DHCP que toma huellas dactilares. 54
3.5.3. Características.
1) Sitio web cautivo para autenticación y registro de dispositivos que solicitan el acceso
a la red.
2) Detección de actividades de la red anormales
54
http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-3.5.0.pdf
Página 121
3) Exploraciones preventivas de vulnerabilidades
4) Aislamiento de los dispositivos problemáticos
5) Servicio de DHCP
6) Control de acceso basado en roles
7) Integración con escáneres de vulnerabilidades diferentes y soluciones de detección
de intrusos
8) Ancho de banda controlada para cada dispositivo
9) Soporte 802.1x con FreeRadius incluido
10) Gestión centralizada de las redes tanto cableada como inalámbrica.
11) Integración con el sistema para la detección de intrusos SNORT y NESSUS.
12) Soporte VLAN y aislamiento de redes.
13) Autenticación, PacketFence tiene soporte para: Microsoft Active Directory, Novell e
Directory, OpenLDAP, Cisco ACS, RADIUS (FreeRADIUS, Radiator, etc.) y local
user file).55
En linea
Seguridad cuello de botella
o Inmune a la subversión
Cierre por falla
o Ejecución de cuello de botella
Punto único de fallo
55
http://puchunguis.com/blog/2012/08/packetfence-software-gratuito-para-controlar-el-acceso-a-la-red/
Página 122
Pasivo
Falla a abrir la solución
o Preferiblemente en el ambiente académico
No hay cuellos de botella en el ancho de banda
Visibilidad de la red
o Hub, puerto de monitor, conectar
Fácil integración - no hay cambios en la infraestructura
o Conexión/ejecución
Manipula el cliente de caché ARP
o "Virtualmente" en línea
Arquitectura pasiva
Integración de la red
La aplicación de la VLAN se representa en el diagrama anterior. La aplicación en línea debe ser visto como un
simple plano de red en donde PacketFence actúa como un firewall / gateway.
Página 123
Componentes.
Página 124
3.5.4. Requisitos del Sistema
PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto, requiere
los siguientes:
Base de datos del servidor (MySQL)
Servidor web (Apache)
Dependiendo de su configuración puede que tenga que instalar componentes adicionales
como:
Servidor DHCP (ISC DHCP)
Servidor DNS (BIND)
Servidor RADIUS (FreeRADIUS)
NIDS (Snort / Suricata)
En esta guía, se supone que todos esos componentes se están ejecutando en el mismo
servidor (es decir, "localhost" o"127.0.0.1") que PacketFence se instalará en el.
El buen entendimiento de los componentes subyacente y GNU / Linux es necesario para
instalar PacketFence. La siguiente tabla proporciona recomendaciones para los
componentes necesarios, junto con la versión necesaria 56
MySQL server MySQL 4.1 or
5.1
Web server Apache 2.2
DHCP server DHCP 3
DNS server BIND 9
RADIUS FreeRADIUS
server 2.1.12
Snort Snort 2.8 or 2.9
Suricata Suricata 1.x
Se recomienda utilizar las versiones más recientes del software mencionado en la tabla
anterior
56
http://www.packetfence.org/downloads/PacketFence/doc/PacketFenceZEN_Installation_Guide-
3.5.1.pdf
Página 125
3.5.5. Requerimientos de hardware
A continuación se proporciona una lista de recomendaciones de hardware del servidor:
2GB de RAM
1 Tarjeta de red
3.5.6. Requisitos del sistema operativo
PacketFence soporta los siguientes sistemas operativos en las arquitecturas i386 y
x86_64:
Red Hat Enterprise Linux 5.x/6.x servidor
Comunidad Sistema Operativo Empresarial (Centos) 5.x/6.x
Asegúrese de que usted puede instalar paquetes adicionales de su distribución estándar.
Por ejemplo, si está usando Red Hat Enterprise Linux, tienes que estar suscrito a la Red
Hat Network antes de continuaron la instalación del software PacketFence.
Otras distribuciones como Debian, Fedora se sabe que funcionan
Servicios Activos
Servidor web (httpd)
Servidor DHCP (dhcpd)
Servidor DNS (nombre)
FreeRADIUS servidor (radiusd)
Snort / Suricata IDS de red (snort / suricata)
Firewall (iptables)
Asegúrese de que todos los demás servicios se inician automáticamente por el Sistema
Operativo
Página 126
Ejecución.
Distribución fuera banda
Operación de PacketFence es completamente fuera de banda que permite la solución a

escala geográfica y es muy resistente a los fallos. Un servidor PacketFence puede ser
usado para asegurar cientos de switch y muchos miles de nodos conectados a ellos.
Despliegue en línea
Mientras quela opción fuera de la banda es la forma preferida de la implementación de

PacketFence, un modo en línea también es compatible con equipos inmanejables por
cable o inalámbricos. La implementación PacketFence usando el modo en línea también
puede llevarse a cabo en cuestión de minutos.
AUTENTICACIÓN Y REGISTRO
Soporte 802.1x
802.1X inalámbrico y por cable se apoya por un FreeRADIUS módulo que se incluye en
PacketFence.
Voz Sobre Ip (Voip) Apoyo
También se llama telefonía IP (IPT), voz sobre IP es totalmente compatible (incluso en

entornos heterogéneos) para los fabricantes de conmutadores múltiples (Cisco, Edge-
Core, HP, Linksys, Nortel Networks y muchos más).
Página 127
Integración Wireless
PacketFence se integra perfectamente con las redes inalámbricas a través de un módulo

FreeRADIUS. Esto le permite asegurar sus redes alámbricas e inalámbricas de la misma
manera puede set usando la base de datos de usuario y la misma base del portal cautivo,
proporcionando una experiencia de usuario consistente.57
Registro de Dispositivos
PacketFence cuenta con un mecanismo de registro opcional similares a "soluciones de

portales cautivos". Contrariamente a la mayoría de soluciones de portal cautivo,
PacketFence recuerda a los usuarios que previamente registrados y automáticamente les
dará acceso sin otra autenticación. Por supuesto, esto es configurable. Una política de
uso aceptable se puede especificar de forma que los usuarios no pueden permitir el
acceso de la red sin haberlo aceptado.
Conformidad.
Detección de Actividades anormales en la red
Actividades anormales de la red (virus informáticos, gusanos, software espía, el tráfico

denegado por la política de establecimiento) pueden ser detectados local o remotamente
utilizando sensores Snort. Más allá de la simple detección, Las propias capas
57
http://www.packetfence.org/en/about/advanced_features.html#c1485
Página 128
PacketFence presentan mecanismos de alerta y supervisión en cada tipo de alerta Un
conjunto de acciones configurables para cada violación está disponible para los
administradores.
Estado de Salud
Mientras que hace una autenticación de usuario 802.1x, PacketFence puede realizar una
evaluación completa de la ubicación del dispositivo de conexión con la Declaración del
protocolo de la Salud TNC. Por ejemplo, PacketFence puede verificar si los antivirus
están instalado y actualizado, si hay parches que se aplican al Sistema Operativo y
mucho más todo sin ningún agente instalado en el dispositivo de punto final.
Proactivos de vulnerabilidad
NessusoOpenVAS análisis de vulnerabilidad se puede realizar en el registro,

programado o sobre una base ad-hoc. PacketFence correlaciona el Nessus / OpenVAS
ID de la vulnerabilidad de cada exploración a la configuración de violación, volviendo
Página 129
las páginas de contenido web específicas sobre las que la vulnerabilidad del huésped
pueda tener.
Remediación a través de un portal cautivo
Una vez atrapado, todo el tráfico de la red se termina mediante el sistema de

PacketFence. Con base en el estado actual de los nodos (violación no registrado, abierto,
etc.), se redirige al usuario a la URL correspondiente. En el caso de una violación, el
usuario será presentado con las instrucciones para la situación particular que él / ella se
encuentra, la reducción de la intervención costosa mesa de ayuda.
Aislamiento de los dispositivos problemáticos
PacketFence compatible con varias técnicas de aislamiento, como el aislamiento VLAN

con soporte para VoIP (incluso en entornos heterogéneos) para múltiples fabricantes de
conmutadores.
3.5.7. Administración Packetfence
Gestión desde línea de comandos y en la Web
Página 130
Basada en Web y las interfaces de línea de comandos para todas las tareas de gestión.
Administración basada en Web compatible con diferentes niveles de permisos para los
usuarios y la autenticación de usuarios contra LDAP o Microsoft Active Directory.
Funciones avanzada
En el texto siguiente, el nodo se utiliza para referirse a un dispositivo de red, considere
que es controlado y monitoreado por PacketFence, y puede ser una PC, un ordenador
portátil, una impresora, un teléfono IP, etc.58
Flexible VLAN de administración y basado en el rol de control de acceso
La solución se basa en el concepto de aislamiento de la red a través de la asignación de

VLAN. Debido a su larga experiencia y los despliegues de varios, la gestión de VLAN
de PacketFence llegó a ser muy flexible con los años. Su configuración VLAN pueden
ser lo que es y sólo dos nuevos VLAN tendrá que ser añadido en toda la red: el registro
de VLAN y VLAN aislada. Por otra parte, PacketFence también pueden hacer uso de las
funciones de apoyo de muchos proveedores de equipos.
VLAN y roles pueden ser asignados utilizando diversos medios:
Por switch (por defecto para la VLAN)
58
http://www.packetfence.org/en/about/advanced_features.html#c1485
Página 131
Por categoría de cliente (por defecto para los roles)
Por cliente
El uso decisión arbitraria (si utiliza nuestros puntos de extensión de perl)
Además, el método por el switchse puede combinar con los otros. Por ejemplo, con una
configuración por defecto PacketFence, una VLAN o una función puede ser asignada a
las impresoras y los ordenadores (si se clasifican correctamente) sobre la base de los
equipos que están conectados. Esto implica que usted puede fácilmente tener por cada
dispositivo de creación de un tipo de VLAN
Acceso de invitados
Hoy en día, la mayoría de las organizaciones hacen frente a una gran cantidad de
consultores de diversas empresas en el terreno que requieren acceso a Internet para su
trabajo. En la mayoría de los casos, un acceso a la red corporativa se da con poca o
ninguna auditoría de la persona o dispositivo. Además, rara vez se requiere que tengan
acceso a la infraestructura corporativa interna, y evitar una carga administrativa (por
puerto VLAN de administración).
PacketFence es compatible con una VLAN de invitada especial, VLAN o el papel de la

caja. Si utiliza una VLAN de invitados, a configurar su red para que la VLAN invitada
sólo sale a la Internet y el registro de VLAN y el portal cautivo son los componentes que
se utilizan para explicar al cliente cómo registrarse para tener acceso y cómo funciona su
acceso. Esto generalmente se marca por la organización que ofrece el acceso. Varios
medios de registro de los huéspedes son posibles:
El registro manual de los invitados (por adelantado o por)

Contraseña del día
Auto-registro (con o sin credenciales)
El acceso de invitados patrocinar (empleado que dé fe de un invitado)
El acceso de invitado activada por correo electrónico de confirmación
El acceso de invitado activada por la confirmación de teléfono móvil (mediante
SMS)
Página 132
PacketFence también soporta los huéspedes creaciones a granel de acceso y las
importaciones. PacketFence también se integra con la solución de facturación en línea,
como Authorize.net .Utilizando esta integración, que puede manejar los pagos en
línea, necesarios para obtener acceso a la red correcta.
Registro Automático
Debido a que la mayoría de las redes de producción son ya muy grande y complejo,
PacketFence ofrece varios medios para registrar de forma automática a un cliente o
dispositivo.
Al dispositivo de red.
Un dispositivo de red (Switch, AP, WirelessController) se puede configurar para

registrar automáticamente todas las direcciones MAC que solicite acceso a la
red. Muy útil para una transición a la producción.
Por las huellas dactilares de DHCP
Toma de huellas dactilares de DHCP se puede utilizar para registrar

automáticamente los tipos específicos de dispositivos (ej. teléfonos VoIP,
impresoras).
Al proveedor de direcciones MAC
La parte vendedora de una dirección MAC se puede utilizar para registrar

automáticamente los dispositivos de un proveedor. Por ejemplo, todos los
productos de Apple podría ser automáticamente registrados con dicha regla.
Y más
Snort, Nessus, OpenVAS, navegador de agente de usuario e incluso las técnicas

más también podría ser utilizado para registrar automáticamente los dispositivos.
Página 133
Vencimiento del tiempo de acceso a la red
La duración de acceso a la red se puede controlar con los parámetros de

configuración. Se puede ser una fecha absoluta (por ejemplo, "Jue Ene 20 20:00:00 EST
2011"), una ventana (por ejemplo, "cuatro semanas a partir de primer acceso de red") o
tan pronto como el dispositivo se vuelve inactiva. En la expiración dispositivos
registrados quedado registrada. Con poco de personalización también es posible hacer
esto sobre una base categoría de dispositivos. Vencimiento también puede ser editado
manualmente en función de cada nodo.
Administración de Ancho de banda
PacketFence puede seguir automáticamente la cantidad de consumo de ancho de banda

de los dispositivos de en la red. Gracias a su compatibilidad integrada con violaciones,
se puede poner en cuarentena o el cambiar el nivel de acceso de los dispositivos que
están consumiendo ancho de banda en exceso durante un tiempo en
particular. PacketFence también presenta informes sobre el consumo de ancho de banda.
Los dispositivos flotantes en la red
Un dispositivo de red flotante es un punto de cambio o de acceso (AP) que se puede

mover alrededor de su red y que está conectado a los puertos de acceso. Una vez
configurado correctamente, PacketFence reconocerá los dispositivos de red flotante y
configurar los puertos de acceso se suele permitir varias VLAN y más direcciones
MAC. En este punto, el dispositivo de red flotante también puede realizar acceso a la red
a través de PacketFence o no. Una vez que el dispositivo está desconectado PacketFence
entonces volver a configurar de nuevo a su configuración original.
Autenticación flexible
PacketFence puede autenticar a los usuarios que utilizan varios protocolos y

normas. Esto le permite integrar PacketFence en su entorno sin necesidad de que los
usuarios recuerden otro nombre de usuario y contraseña. Se sabe que funcionan las
fuentes de autenticación son los siguientes:
Página 134
Microsoft Active Directory
Novell e Directory
OpenLDAP
Cisco ACS
RADIUS (FreeRADIUS, radiador, etc)
Archivo de usuario local
Redes enrutadas
La arquitectura de PacketFence le permite trabajar en redes enrutadas. El servidor puede

estar ubicado en el centro de datos y todavía se puede conseguir con eficacia las
sucursales.
Implementación gradual
Debido a la naturaleza intrusiva de control de acceso a la red, PacketFence viene con

controles de grano fino a la hora de la implementación. Como se describe en otro lugar,
automáticamente se puede pre-registrarse nodos, pero también se puede controlar el
nivel de un carnero por interruptor y por puerto-o no debería PacketFence cumplimiento
de sus funciones. Esto le permite desplegar en la velocidad que desee, por el interruptor,
por piso, por ubicación, etc.
El mismo nivel de control está también disponible en las características de

aislamiento. Al principio, sólo se puede iniciar sesión en los eventos de
violación. Entonces, como usted se siente más familiarizado con lo que se puede aislar y
validado frente a falsos positivos, se puede habilitar el aislamiento de la VLAN. Juntas,
estas dos características hace que el despliegue de una PacketFence tan fácil como
podría ser.
Pass-Through
PacketFence puede ser configurado para permitir el acceso a los recursos especificados
incluso cuando el nodo está en el aislamiento. Esto le permite dar acceso a herramientas
específicas o parches a través del portal cautivo.
Página 135
De alta disponibilidad
PacketFence se desarrolla con una alta disponibilidad en mente. Todos los despliegues
se realizan utilizando activo-pasivo de alta disponibilidad así que la solución se ha
demostrado en ese sentido. La información sobre cómo configurar PacketFence en ese
modo de operación se encuentra disponible en nuestra Guía de administración .
Hardware soportado
PacketFence compatible con hardware de red de los proveedores de varias de ellas en

una forma integrada. Ver los parámetros admitidos y la AP de página para la lista
completa. Si usted es un vendedor y que le gustaría ver a su hardware soportado en
contacto con nosotros .
Basado en estándares
PacketFence está construido utilizando estándares abiertos para evitar la dependencia de

un proveedor. Entre las normas que apoyamos y el uso, se encuentran:
802.1X
Simple Network Management Protocol (SNMP)
La gestión estándar de SNMP base de información (MIB), como BRIDGE-MIB,
Q-BRIDGE-MIB, IF-MIB, IEEE8021-PAE-MIB
RADIUS
Netflow / IPFIX
Wireless ISP Roaming (WISPr)
Wired: 802.1X + eludir la autenticación MAC (MAB)
802.1X proporciona autenticación basada en puerto, lo que implica la comunicación

entre un suplicante, autenticador (conocido como NAS), y el servidor de autenticación
(conocida como AAA). El suplicante es a menudo el software en un dispositivo cliente,
como un ordenador portátil, el autenticador es un conmutador Ethernet con cable o
punto de acceso inalámbrico y el servidor de autenticación es en general una base de
datos RADIUS.
Página 136
El solicitante (es decir, el dispositivo cliente) no se permite el acceso a través de la
autentificación de la red hasta que la identidad del solicitante está autorizado. Con
802.1X autenticación basada en puerto, el solicitante proporciona las credenciales, como
el nombre de usuario / contraseña o certificado digital, para el autenticador, y el
autenticador reenvía las credenciales para el servidor de autenticación para su
verificación. Si las credenciales son válidas (en la base de datos de servidor de
autenticación), el solicitante (dispositivo cliente) se le permite acceder a la red. El
protocolo para la autenticación se llama Extensible AuthenticationProtocol (EAP), que
tiene muchas variantes. Tanto el solicitante y servidores de autenticación deben hablar el
mismo protocolo EAP. Entre los más populares son EAP-MD5, PEAP MSCHAPv2
(utilizado por Windows para la autenticación en Active Directory) o EAP-TLS
En este contexto, PacketFence ejecuta el servidor de autenticación (una instancia de

FreeRADIUS) y volverá la VLAN adecuada en el interruptor. Un módulo que se integra
en FreeRADIUS hace una llamada remota en el servidor PacketFence para obtener esa
información. Más y más dispositivos tienen suplicante 802.1X, que hace que este
enfoque cada vez más popular.
Derivación de autenticación MAC (MAB) es un nuevo mecanismo introducido por

algunos proveedores de conmutadores para manejar los casos en que un suplicante
802.1X no existe. Después de un período de tiempo de espera, el cambio dejará de
intentar llevar a cabo 802.1X y reserva voluntad de MAB. Tiene la ventaja de utilizar el
mismo enfoque que 802.1X, salvo que la dirección MAC se envía en lugar del nombre
de usuario y que no hay extremo a terminar la conversación EAP (sin autenticación
fuerte). Usando el MAB, los dispositivos como impresora de red o no 802.1X teléfonos
IP capaces (IPT) todavía puede tener acceso a la red y el derecho de VLAN.
En este momento esta integración no es agradable, ya que podría ser la participación de

la modificación manual de nuestro módulo de FreeRADIUS pero nuestro último código
inédito que ya se encarga de 802.1X + MAB integrado en la configuración PacketFence
principal. Si usted es aventurero no dude en probarlo.
Página 137
Integración Inalámbrica
Inalámbricas 802.1X funciona muy parecido a la autenticación por cable 802.1X y MAC
es como el MAB. Cuando las cosas cambian es que el 802.1X se utiliza para configurar
las claves de seguridad para la comunicación encriptada (WPA2-Enterprise), mientras
que la autenticación de MAC sólo se utiliza para autorizar a permitir o no un MAC en la
red inalámbrica.
Compatibilidad de dispositivos de red

Soporte de conexión cableada 59
Switch SNMP MAC Authentication 802.1X
3COM NJ220

3COM SS4200 
3COM SS4500 
3COM 4200G   
3COM E4800G   
3COM E5500G   
Accton ES3526XA 
Accton ES3528M 
AlliedTelisis  
AT8000GS
Amer SS2R24i 
Avaya (seeNortels) 
Brocade ICX64XX  
Brocade ICX66XX  
BrocadeFastIron 
4802
Brocade 
FCXXXXX
Brocade FI-SXXXX 
59
http://www.packetfence.org/about/supported_switches_and_aps.html
Página 138
Cisco 2900XL 
Cisco 2900XL 
Cisco 2950  
Cisco 2960 / 2970   
Cisco 3500XL 
Series
Cisco 3550   
Cisco 3560   
Cisco 3750   
Cisco 4500   
Cisco 6500 
Cisco ISR 1800 
Series
Dell PowerConnect 
3424
D-Link DES3526 
D-Link DES3550 
D-Link DGS3100  
D-Link DGS3200  
Enterasys D2 
EnterasysMatrix N3 
EnterasysSecureStac 
k C2
EnterasysSecureStac 
k C3
Extreme Networks   
Summit (XOS)
Extreme Networks  
EAS
HP E4800G   
Página 139
HP E5500G   
HP Procurve 2500   
Series
Series
HP Procurve 3400cl 
Series
HP Procurve 4100 
Series
Series
Series
HP/H3C S5120  
Intel Express 460 
Intel Express 530 
Juniper Networks   
EX Series
LG iPecs Series   
Linksys SRW224G4 
Netgear FGS Series 
Nortel BayStack 
470
Nortel BayStack 
4550
Nortel BayStack 
5500 Series
Nortel ERS 2500 
Series
Nortel ERS 4500 
Página 140
Series
Nortel ERS 5500 
Series
Nortel ES325 
Nortel BPS2000 
SMC TS6128L2 
SMC TS6224M 
SMC SMC8824M - 
SMC8848M
Soporte inalámbrico
Hay dos enfoques para redes inalámbricas. Un controlador que se encarga de los puntos
de acceso (AP) y un AP para funcionar individual. PacketFence apoya ambos enfoques.
Los controladores inalámbricos
Cuando se utiliza un controlador, no importa lo que PacketFence AP individuales son

compatibles o no. Mientras que la propia AP es compatible con el controlador y que el
controlador es compatible con PacketFence que funciona bien.
PacketFence compatible con los mandos inalámbricos siguientes:
Aerohive Serie AP
Aruba Networks (200, serie 600, 800, 2400, 3000, 6000)
AvayaWireless controladores
BrocadeMobility controladores de LAN inalámbrica
Cisco Wireless Services Module (WiSM, WiSM2)
Cisco WLC (2100, 2500, 4400, 5500)
D-Link DWS 3026
Extricom EXSW WirelessSwitches (controladores)
HP ProCurve MSM710 el controlador de movilidad
Meru Networks Wireless controladores
Página 141
Motorola RF Interruptores (controladores)
RuckusWireless controladores
Los controladores inalámbricos de Trapeze
XirrusWi-Fi matrices
Puntos de acceso
Algunos puntos de acceso se comportan de la misma, si están unidos a un controlador o

no. Debido a que es posible que desee probar un módulo de controlador si un
controlador del mismo proveedor se apoya en la lista anterior.
PacketFence apoya los puntos de acceso siguientes:
Aerohive Serie AP
Cisco 1130AG
Cisco 1240AG
Cisco 1250
D-Link DWL Puntos de Acceso
HP ProCurve
XirrusWi-Fi matrices
Página 142
TABLA DE COMPARACIÓN ENTRE SOLUCIONES DE CONTROL DE ACCESO A LA RED NAC
PARAMETROS SOLUCIONES PROPIETARIO SOLUCIONES OPEN SOURCE
CISCO NAC MICROSOFT NAP FREENAC PACKETFENSE

REQUERIMIENTO DEL NEGOCIO PARA EL CONTROL DE ACCES
Cisco Clean Manager para Servidor de políticas NAP para Son políticas definidas por la Se debe cumplir una política de
crear políticas de seguridad y evaluar el estado de salud de los institución una de ellas seria que uso aceptable, los usuarios no
gestionar los usuarios clientes de esta manera permitir o mientras un usuario no este pueden habilitar el acceso a la
Política de control de conectados, puede hacer la no el acceso SHVs viene registrado en la base de datos no
red, sin antes haberse
acceso función de servidor de incorporado dentro de las políticas puede tener acceso a la red.
autenticado
autenticación Proxy hacia los de red, y determina la acción a
servidores de autenticación del tomar basándose en el estado de
back end. Este dispositivo salud del equipo que se conecta
gestiona y se comunica con el
servidor Cisco Clean Access
que es el dispositivo que se
encarga de permitir o no el
acceso desde la red
Página 143
GESTIÓN DE ACCESO AL USUARIO
Freenac permite realizar Packetfence permite un registro

Servidor de Directorio. Un un registro de usuarios en de usuario y un registro de
servidor de directorio la base de datos mysql. dispositivos conectados a la red,
centralizado para registro de tanto un registro de archivos
usuario y / o autenticación. Los Active directory planos como un registro de
Registro de usuario servicios de directorio posibles usuarios en la base de datos
son: LightweightDirectory OpenLdap, para dicho registro se
Access Protocol(LDAP), ha creado una aplicación amigable
Microsoft ActiveDirectory para ingresar los datos de los
(AD), Novell DirectoryServices usuarios, así como sus
(NDS), y por una sola vez respectivas contraseñas
servidores de tokens OTP
(contraseña).
Servidor RADIUS sobre el Permite determinar Todos los usuarios que tenga los
protocolo RADIUS. El servidor WSv Protege a las VM del sistema privilegios el momento privilegios para acceder a la red
RADIUS comprueba que la operativo host y viceversa, al de crear los usuarios. serán registrados en OpenLdap,
Gestión de privilegios información es correcta permitir que las VM se ejecuten en usuario que no esté registrado no
utilizando esquemas de una cuenta de servicio sólo con los podrá acceder a la red, a los
autenticación como EAP sobre privilegios necesarios usuarios se les asigna el privilegio
802.1X como
Administrador o invitado
Página 144
Cisco TrustSec ofrece controles El momento de crear los Se registrará un usuario y una
de acceso a la red basados en usuarios se utiliza mecanismos contraseña, dichos usuarios serán
una política uniforme para los criptográficos de autenticación almacenados en OpenLdap, donde
usuarios (incluidos empleados, Mediante la herramienta IPsec está las contraseñas de cada uno de los
como peap. Eap.
contratistas o usuarios implementado por un conjunto usuarios serán almacenas de
Gestión de claves secretas temporales), los dispositivos de protocolos criptográficos para manera segura, es decir cifradas-
de los usuarios terminales (equipos portátiles, asegurar el flujo de paquetes,
teléfonos IP, impresoras) y los garantizar la autenticación
dispositivos de red (switches, mutua y establecer parámetros
routers, etc.). Cisco TrustSec es criptográficos
capaz de controlar el modo en
que se le otorga acceso a un
usuario o dispositivo, las
políticas de seguridad que
deben cumplir los dispositivos
terminales, como el
cumplimiento de una postura, y
los recursos de red que un
usuario está autorizado a usar
dentro de la red
Página 145
Freenac emite informes Para la revisión de los derechos de
Cisco TrustSec protege el NPS como un servidor RADIUS detallados de los acceso de los usuarios al intentar
acceso a la red y los recursos, para procesar solicitudes de usuarios que acceden a conectarse a la red se revisará en
así sea una red cableada, conexión, así como para realizar la la base de datos que el usuario
la red
Revisión de los derechos inalámbrica o VPN, y se autenticación, la autorización y la suplicante está registrado, caso
de acceso del usuarios asegura de que los dispositivos administración de cuentas para contrario el usuario no puede
terminales conexiones inalámbricas 802.11 ingresar a la red
tengan autorización y se
mantengan en buen estado
RESPONSABILIDADES DEL USUARIO
Se debería concientizar a Se debe recomendar a los usuarios

Active directory los clientes sobre el uso el cumplimiento de buenas
Uso de claves secretas Servidor de directorios Combinación de Kerberos, LDAP, de las claves secretar su prácticas de seguridad en la
Samba selección y el uso de las
importancia etc.
NIS(YP) and NIS+ para autenticar contraseñas, sin embargo al
usuarios en la red ingresar los usuarios a la base de
datos las contraseñas están
validadas para que las mismas
cumplan con un cierto grado de
seguridad.
 Equipo de usuario No cumple No cumple No cumple Una vez que el usuario se
desatendido autentique, si este deja a su
equipo desatendido por un lapso
Página 146
de tiempo determinado el acceso
será bloqueado y le pedirán
nuevamente autenticarse.
Política de escritorio y
pantallas limpios No cumple No Cumple No cumple No cumple
CONTROL DE ACCESO A LA RED

Configuración en los servidores NPS permite crear y aplicar Los usuarios deberían basarse Los usuarios deberán cumplir
de políticas, de puntos de políticas de acceso a la red para toda en las políticas de control de con la política de acceso a la
decisión y de Auditoria la organización referidas al estado acceso red, es decir todos los usuarios
de salud de los equipos clientes, y
necesitan autenticarse.
Políticas sobre el uso de los requisitos de autenticación y
los servicios de red autorización para la conexión.
Se usan políticas (orientada a
objetos), con funciones pre y post
conexión.
Con Freenac se Establecen una
fecha de validez para cada dirección
MAC
Autenticación del usuario Cisco dispone de un servidor de Switches con autenticación No cumple
para las conexiones autenticación propio basada en protocolo 802.1x
externas denominado Cisco Security NPS para habilitar el proceso de
Access que soporta tanto autenticación segura de passwords
Página 147
RADIUS como TACACS con protocolo PEAP
Protected Extensible
AuthenticationProtocol (PEAP)-
MS-CHAP v2 para conexiones
inalámbricas
servicio Routing and Remote
Access Service (RRAS) disponen de
los servicios de enrutamiento para
red de área local (LAN) y redes de
área extensa (WAN) utilizados para
conectar segmentos de red en
entornos de conexión remota o
infraestruturas de redes de oficina
certificados X.509
Servidor de autorización SHVs (SystemHealthValidators) El momento que una maquina Todos los equipos una vez
Identificación del equipo autenticación y auditoria para analizar el estado de salud del accede se registra la dirección autenticados serán identificados
en las redes Servidor de control de acceso equipoSHAServidor de MAC de la maquina por tanto por su dirección MAC
cumplimiento NAP
se tiene un registro de acceso a
la red
Protección del puerto de Secure Sockets Layer (SSL) No cumple No cumple
diagnostico y Basado en una autenticación 802.1X podemos hablar de ports
configuración remota controlados y ports no controlados.
Un port controlado es aquel que nos
Página 148
habilita a ciertas direcciones de red.
Un port no controlado nos permite
un acceso irrestricto a la red.
PacketFence es el servidor que
Se puede crear bosques mediante el asigna la VLAN a un dispositivo.
No cumple active directory Permite crear vlan. Esta VLAN puede ser una de sus
Un bosque de Active Directory tiene VLAN o puede ser una VLAN
Segregación de redes el esquema ampliado con las especial donde PacketFence actúa
extensiones de esquema del como un servidor DHCP / DNS /
Administrador de configuración, y HTTP en el que se ejecuta el
se dotará de un contenedor de portal cautivo. Vlans, permiten
administración del sistema en al crear redes lógicamente
menos un dominio. independientes dentro de una
misma red física lo que permiten
una administración de la red
separando segmentos lógicos de
una red de área local
Control de conexión a la Una vez detectado el nuevo PacketFence es completamente
red dispositivo el NAD (dispositivo Permitir el acceso a la red compatible, confiable de código
de acceso a la red) habilita una Permitir el acceso a la red por abierto, sistema de control de
conexión entre el Servidor tiempo limitado acceso( a la red NAC), basados en
AAA, el servidor de Permitir el acceso limitado la norma 802.1x que permiten
autorización autenticación y Si un servidor que ejecuta NPS es la autenticación de dispositivos
Página 149
auditoria y el access miembro de un dominio de Active conectados a un
control server ACS o server de Directory®, NPS usa el servicio de puerto LAN, estableciendo una
control de acceso, una vez directorio como su base de datos de conexión punto a punto o
establecida la conexión con el cuentas de usuario y forma parte de previniendo el acceso por ese
Server AAA se requiere las una solución de inicio de sesión puerto si la autenticación falla
credenciales para la respectiva único. El mismo conjunto de
conexión credenciales se usa para controlar de
acceso a la red (autenticación y
autorización del acceso a una red) y
para iniciar sesión en un dominio de
Active Directory. Debido a esto, se
recomienda usar NPS con los
Servicios de dominio de Active
Directory (AD DS)
Control de enrutamiento a
la red No cumple No cumple No cumple No cumple
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Procedimiento para un WSv Protege a las VM del sistema No Cumple

registro seguro operativo host y viceversa, al
Página 150
permitir que las VM se ejecuten en
una cuenta de servicio sólo con los
privilegios necesarios
.
Los servicios de directorio Active directory Se realiza la autenticación por Todos los usuarios tendrán un
posibles son: NPS como un servidor RADIUS medio de protocolo de identificador único, para poder
Identificación y LightweightDirectory Access para procesar la autenticación, la autenticación 802.1x ingresar a la red, es decir cada
autenticación del usuario Protocol(LDAP), Microsoft autorización y la administración de usuario tendrá que autenticarse
ActiveDirectory (AD), Novell cuentas inalámbricas, alambricas, antes de ingresar a la red
DirectoryServices (NDS), VPN
usando servidor RADIUS
comprueba que la información
es correcta utilizando esquemas
de autenticación como EAP
sobre 802.1X R
Sistema de gestión de Configuración dentro del Las contraseñas al momento de
contraseñas servidor de control de acceso, Active directory ser almacenadas en OpenLdap
políticas de control de acceso serán validadas para que las
mismas sean de calidad, es decir
cumplan con ciertas condiciones
de seguridad, además dichas
contraseñas serán almacenadas en
Página 151
formatos protegidos(encriptación)
X
Uso de las utilidades del Servidor de Control de Acceso
sistema usando servidores Radius
Cierre de una sesión por X
inactividad
Limitación del tiempo de X Packetfence permite limitar los
conexión tiempos de conexión, es decir
asignar un tiempo especifico para
su conexión.
CONTROL DE ACCESO A LA APLICACIÓN Y A LA INFORMACIÓN
Restricción de acceso a la Trafico protegido mediante (IPsec) X
información Secure Sockets Layer (SSL)
Aislar el sistema
confidencial
El papel de NAC Appliance 4.0
Trabajo remoto de Cisco Systems responde al
acceso a la red en todos los
segmentos de la misma de una
empresa: alámbricos,
inalámbricos y conexiones
remotas;
Página 152
CAPITULO IV
Página 153
Capítulo 4
4. Estudio de la Empresa
4.1. Introducción.
La Unidad Educativa “Técnico Salesiano”, de la ciudad de Cuenca, se encuentra

ubicado en la Av. Felipe II y Don Bosco, al ser una institución que alberga a una
gran cantidad de alumnos tanto en horarios matutino como vespertino, así como
también personal docente y administrativo, tienen que estar a la par con las
tecnologías necesarias para mantener segura la información, especialmente por la
gran cantidad de personal en la institución, es por ello que día a día se mantienen
actualizando y buscando maneras de mejorar la seguridad y automatización se sus
sistemas.
4.2.Misión.
La misión del Colegio Técnico Salesiano es educar evangelizando y evangelizar

educando con excelencia humana y académica a los adolescentes y jóvenes de la
región. Fieles al ideal de Don Bosco, formamos “buenos cristianos y honrados
ciudadanos”, actores sociales responsables con visión crítica de la realidad
4.3.Visión.
El Colegio Técnico Salesiano es un centro educativo líder en la excelencia

académica y humana que estimula la creatividad y la investigación. Bajo los
principios de reciprocidad y solidaridad desarrolla procesos educativo-pastorales
integrales, significativos y de calidad gracias a la corresponsabilidad de los actores
sociales de la Comunidad Educativo Pastoral y del protagonismo juvenil.
Página 154
La visión tiene las siguientes implicaciones:
 Fortalece la identidad carismática mediante la formación permanente y

conjunta de SDB y Seglares.
 Hace de la escuela salesiana un contexto de crecimiento humano y
realización profesional.
 Vivencia el Sistema Preventivo manifiesto en un clima de familiaridad y
solidaridad.
Cultiva la dimensión asociativa y la ciudadanía para asumir opciones
transformadoras en la sociedad y en la Iglesia.
 Aplica una gerencia y gestión educativa participativa, eficiente y eficaz.
Mejora su capacidad de sostenibilidad para mantenerse al servicio de los
destinatarios preferenciales.
 Desarrolla un currículo integral, actualizado y articulado en sus distintos
niveles educativos.
 Incorpora dimensiones humanistas: educación para la paz y no violencia;
educación al amor y la sexualidad, equidad de género, formación ciudadana,
interculturalidad, ecología, educación en y para el mundo del trabajo
4.4.Estructura organizacional
Página 155
4.5.Departamentos.
Departamentos de campo Yanuncay

 Departamento psicopedagógico
 Departamento de bienestar estudiantil
 Secretaria
 Departamento Financiero
 Biblioteca
 Departamento de Pastoral
 Departamento de Asistencia
 Departamento de Sistemas Informáticos
 Departamento de Talento Humano
 Departamento de Construcción.
 Departamento de Comunicación.
 Departamento de Trabajo Social
4.6.Servicios implementados sobre la red de datos.
 Seguridad del puerto Vlan especifica

 Subredes por departamento
 ACL
 VPN configuradas
 Seguridad del puerto en switch de acceso
 Asignación de un puerto a una determinada VLAN
4.7.Medios de transmisión.
Medio de transmisión Velocidad (bps) Ancho de banda (Hz)

Par trenzado 100 Mbps, 1 Gbps
Cable coaxial Xxx
Fibra óptica 1 Gbps
Inalámbrica 54bps
4.8.Identificación de dispositivos de conexión de la empresa
NOMBRE CISCO CATALYST 3560

Puertos 24 x Ethernet 10Base-T, Ethernet
Página 156
100Base-TX, Ethernet 1000Base-T
Protocolo de gestión. SNMP 1, RMON 1, RMON 2, RMON 3,
RMON 9, Telnet, SNMP 3, SNMP 2c,
HTTP, SSH-2
Protocolo de Transmisión de datos Ethernet, Fast Ethernet, Gigabit Ethernet
Nombre Cisco Catalyst 2960G (24,48)

Puertos 24 puertos 10BASE-T/100BASE-T con
auto negociación.
Dos puertos gigabit de uso dual para
poder habilitar 10/100/1000
Protocolos de gestión telnet, RMON 1, RMON 2, SNMP 1,
SNMP 3, SNMP 2C, TFTP, SSH
Protocolo de Transmisión de Datos Ethernet, Fast Ethernet, Gigabit Ethernet
4.9.Estructura de la red LAN
Página 157
4.10. Descripción de la VLAN implementadas.
Se ha implementado una Vlan para cada uno de los departamentos y laboratorios de
cómputo
 Vlan de administrativos
 Vlan de profesores
 Vlan inalámbrica
 Vlan Colegio Mario Rizzini
 Vlan aulas
 Vlan profesores laboratorios
 Vlan laboratorios
4.11. Tipos de seguridad actualmente implementadas
 A través de shorewall
 A través de firewall Cisco
 Claves para accesos a sistemas, desde la propia Base de Datos
Página 158
Resultados de la obtención de la información previo a la implementación al proyecto.
Comentarios
Control
Control de título Control de la descripción Aplicabilidad Comentarios Evidencia de Auditoría
implementado / s Interna
Política de Seguridad
Se debe establecer, documentar y revisar las políticas de control de acceso en base a los requisitos del negocio y a la
Politicas de control de acceso
seguridad para el acceso
Una política de control de acceso se
ha establecido, documentado y Seguridad de
Políticas de control de acceso a la
revisado sobre la base de los SI SI puerto
red
negocios y los requisitos de Vlan Especifica
seguridad para el acceso
Gestión de Usuarios
Debe existir un procedimiento formal para el registro y cancelación de los usuarios para autorizar y denegar acceso
Registro de usuarios
a los sistemas
El administrador otorgara un
identificador único para cada
Registro de usuarios NO NO
usuario, los mismos que deben estar
aprobados y documentados
Gestión de privilegios Se debe restringir y controlar la asignación y el uso de privilegios a través de un proceso formal de autorización
Se asignará los respectivos
privilegios de acuerdo a las
funciones de los usuarios
identificación de usuarios y basándonos en las políticas de por
SI SI
asignación de p rivilegios control de acceso nto
Página 159
Gestión de contraseñas para
Se debe crear un proceso de gestión para la asignación de contraseñas
usuarios
Los requisitos para los acuerdos de
confidencialidad o no divulgación Todos tienen
de contraseñas ya sean individuales contraseñas
Los acuerdos de
o de grupo para la protección de la SI NO pero NO bajo
confidencialidad de contraseñas
información., considerando los políticas
parámetros y normas de seguridad predeterminadas
para crear y definir contraseñas
Revisión de derechos de acceso
Se debe establecer un revisión periódica de los derechos de acceso de los usuarios
de los usuarios
Los derechos de usuarios se debe
Se tienen
revisar en intervalos regulares de
distribuidos los
tiempo, o cuando se da algún
derechos de Accesos a
revisión de derechos de acceso cambio, términos de contrato se
SI SI usuario pero no sistemas y a la
de los usuarios recomienda realizarlo en caso de
se realizan red(no
usuarios privilegiados cada 3 meses
revisiones documentados
y en otros usuarios se lo realizar
periódicas
cada 6 meses
Responsabilidad de los usuarios
Uso de contraseñas Exigir a los usuarios el uso de buenas prácticas de seguridad en el uso de contraseñas
los usuarios deberán aplicar las
reglas de seguridad para crear
No se aplican
contraseñas seguras es decir que no
reglas para la
Uso de contraseñas sean fáciles de deducir como fecha SI NO
revisión de
de cumpleaños, nombre, caracteres
claves
consecutivos
Página 160
concientizar a los usuarios sobre las No existen
medidas de seguridad a seguir políticas
equipo y usuario desatendido cuando los equipos están SI NO definidas solo
desatendidos es decir cierre de se realizan
sesiones, apagar el computador verbalmente
Se debería informar a los usuarios
No existen
sobre los riesgos de pérdida de
políticas
Política de escritorio despejado y información, copias no autorizadas,
SI NO definidas solo
de pantalla despejada o robos, considerando la
se realizan
importancia de la información que
verbalmente
maneje cada uno de ellos.
Control de acceso a las redes tanto externos como internos
Política sobre el uso de los
Los usuarios deberán tener acceso únicamente a los servicios autorizados
servicios de red
Los usuarios podrán tener acceso
solo a los servicios de red
Políticas de control de acceso a la autorizados. Las políticas de uso de Creación de
SI SI
red los servicios de red deberían ser ACL´s
consistentes con las políticas de
control de acceso de la organización.
autenticación utilizando métodos
Autenticación de usuarios para VPN
apropiados para controlar el acceso SI SI
conexiones externas Configurado
de usuarios remotos
se debe considerar la autenticación
de equipos desde un lugar específico
con el objetivo de saber a qué red
Identificación de los equipos en Creación de
está permitido conectarse dicho SI SI
las redes ACL´s
equipo
Página 161
controlar los puertos acceso de Seguridad de
protección de los puertos de
manera física y lógica ya que son puerto
configuración y diagnostico SI SI
medios vulnerables para el acceso en switch de
remoto
no autorizado acceso
Se debería separar los grupos de
servicios de información, usuarios,
sistemas de información es decir
dividirla en dominios lógicos de red
separación de las redes separados. Para separar las redes se SI SI subredes Vlans
debe considerar las políticas de
control de acceso, teniendo en
cuenta los costos y el impacto que
puede causar en la organización
Para redes grandes que se extiende
más allá de las fronteras se debe
restringir el acceso a los usuarios
control de conexión de la red para conectarse a la red de acuerdo SI SI Acl 's
con la política de control de acceso
ya establecidas con anterioridad y de
los requisitos de la institución.
Se debe implementar controles de
enrutamiento para asegurar que las
computadoras y los flujos de
Inter. VLAN
información no incumplan con las
Routing
políticas de control de acceso a las
control de enrutamiento de la red SI SI Routing con
políticas del negocio. Las redes que
OSPF
van más allá de la organización
ACL's
requieren controles adicionales de
enrutamiento.
Página 162
Control de Acceso al Sistema Operativo.
Procedimiento de registro de
Controlar el acceso al sistema operativo de manera seguro
inicio seguro
Está diseñado para minimizar el
acceso al sistema operativo a
usuarios no autorizados, por tanto se
No existen
Procedimiento de registro de debe tener cuidado en la no
SI NO registros de
inicio seguro divulgación de la información,
accesos
registrar los acceso exitosos y
fallidos, no mostrar contraseñas
esconderla mediante símbolo
Se tiene
Cada usuario debería tener un
implementados
Identificación y autenticación de identificador para uso personal, se
SI NO pero no en
usuarios debe implementar técnicas para
todos los
comprobar la identidad
usuarios
Deben ser interactivas y debe
Sistema de gestión de contraseñas asegurar la calidad de las SI NO
contraseñas
Se debe restringir y controlar el uso
de programas utilitarios que puedan
anular los controles del sistema y de
la aplicación, se recomienda utilizar
Uso de utilidades del sistemas SI NO
procedimientos de identificación,
autorización, autorización para las
utilidades del sistema
las sesiones inactivas se deben

Tiempo de inactividad de sesión desactivar después de un periodo SI NO
indefinido de inactividad
Página 163
Se debe establecer restricciones del
tiempo de conexión para brindar
limitación del tiempo de conexión SI NO
seguridad a las aplicaciones de alto
riesgo
Control de acceso a las
Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación y dentro de ellos
aplicaciones de la información
Restringir el acceso y las funciones
de aplicación por parte de los
Restricción de acceso a la
usuarios y personal de soporte de SI NO
información
acuerdo con las políticas definidas
en el control de acceso a la red
Control de
asignación de
acceso definido
aislamiento de los sistemas Los sistemas sensibles tendrán un un puerto a una
SI SI en los SGBD
sensibles canal aislado al entorno informático determinada
pero no están
VLAN
documentados
Computación móvil y trabajo
Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de teletrabajo
remoto
Se debe establecer una política
formal que deben adoptar las
medidas de seguridad apropiadas
Computación y comunicaciones con la protección bajo riesgo por el
SI NO
móviles uso de dispositivos de computación
y comunicaciones móviles porque la
información se puede poner en
peligro
desarrollar e implementar, planes
Trabajo Remoto operativos y procedimientos para las SI NO
actividades de trabajo remoto
Página 164
CAPITULO V
Página 165
C
Capitulo 5
5. Implementación de Packetfence como una solución NAC
5.1 Objetivos de la institución.

Controlar el acceso a la red de la institución.
Generar reportes de las conexiones a la red
Limitar el acceso a usuarios no registrados que no pertenecen a la
institución.
Establecer un tiempo de conexión de acuerdo a las políticas de seguridad.
5.2 Análisis de la seguridad en la institución
La Unidad Educativa Técnico Salesiano cuenta con una infraestructura de red de un

tamaño considerable tanto por el espacio físico, así como por el ambiente dinámico
principalmente por las actividades y por la gran cantidad de usuarios que se tiene, en
dicha institución tanto los estudiantes, docentes, personal administrativo entre otros,
tienen acceso a la red y a conexiones externa como es el Internet, para la conexión
externa los usuarios pueden usar los puntos de red o de manera inalámbrica usando
una clave que es general para toda la institución, en definitiva el control de acceso a
la red no está controlado, por este motivo es necesario e importante un control de
seguridad en la red, como tal la institución ha implementado: seguridades en los
puertos, existen subredes por cada departamento, se han creado Acl`s, existen VPN
configuradas, entre otros, sin embargo surge la necesidad de una mayor seguridad en
el acceso a la red, se requiere que los usuarios antes de ingresar a la red se
autentiquen, es decir el administrador asignará un identificador único para cada
usuario antes de acceder a la red, tanto para una conexión por cable como para
conexiones inalámbrica, con esto se consigue que solamente usuarios registrados
puedan acceder a la red, además de poder realizar reportes sobre las diferentes
conexiones realizadas, en las que se registra;la dirección Mac del dispositivo
conectado, fecha y hora de conexióny así como el nombre usuario conectado, con
esto conseguimos accesos únicamente autorizados impidiendo conexiones de terceras
personas ajenas a la institución.
Página 166
5.3 Descripción de la Infraestructura de la Solución NAC
En base al análisis de la situación actual de la institución y sobre todo a las
necesidades de un control de acceso a la red, planteamos la siguiente estructura de
seguridad, que consta de un servidor de autenticación que se agregaría a la estructura
de red actual, este servidor permite una autenticación 802.1x vía PEAP, es decir
acceder a la red siempre y cuando sea un usuario autorizado, dicho usuario será
registrado con sus datos y su contraseña las mismas que serán almacenadas en
OpenLdap y en la base de datos Mysql, se contará con una aplicación para el
registro de usuarios nuevos,además en el servidor Packetfense se registra la
dirección Mac, la hora de conexión de cada usuario que accede a la red.
5.4 Análisis de requerimientos de hardware.
Página 167
Para la implementación de este proyecto se utilizó un computador con las
siguientes características.
 Procesador Intel core duo 3ghz

 Memoria RAM 2gb
 Disco duro 80 gb
 2 tarjetas de red
 Switch Cisco Catalyst 2950, 2960
5.5 Análisis de requerimientos de software
 Centos 6x de 32 bits
 Packetfence v3.5.1
 Dhcp server
 Radius Server Freeradius
 DNS server
 Servidor de Base de datos mysql
 Openldap
 Web Server Apache
 Servidor de aplicaciones Glash Fish
 JDK 7
5.6 Implementación.
5.6.1. Introducción
El Anàlisis de soluciones de acceso seguro a la red, nos han permitido indagar sobre una
herramienta que nos permita un control de acceso, y para implemantar como un proyecto
piloto en el Colegio “Tècncio Salesiano”, con el fin de restringir los accesos, identificar a
los usaurios, registrar horas y tiempos de conexiòn, asignaciòn de privilegios necesarios ,
etc, todas estas opciones y muchas màs alternativas nos permite la herramienta
Packetfense , la cual ha sido diseñada para proporcionar un completo Sistema de Control
de Acceso a la Red, es una distribución libre basada en Centos, es totalmente
compatible, libre, de confianza y estable.
Por lo tanto es necesario, e importante conocer el procedimeitno para la intalaciòn, manejo

y mantenimiento del servidor y otros dispositivos, con el objetivo de garantizar su buen
funcionamiento y eficacia.
Página 168
5.6.2. Descripción del Esquema de Red
Para el planteamiento del esquema de red, nos basamos en el esquema de red que nos aporto
el adminsitrador de red a efímeros rasgos, cuya estructura es cliente servidor a nivel de 3
capss, es por ello que el switch central se conectarà a nuestro servidor Packetfence que usa
muchos componentes en su infraestructura como: base de datos (Mysql), servidor
apache, dependiendo de la configuración necesitará componentes adicionales, este
servidor se conectará a una base de datos OpenLDAP que almacenará los usuarios y
las contraseñas para su respectiva validación, tiene dos interfaces de red: una interfaz
eth1 para conexiones externas como por ejemplo Internet y una interfaz eth0 para la
administración del packetfence, desde esta interfaz nos conectamos hacia el switch
Cisco 2960, este switch tendrá habilitados sus puertos para autenticación
802.1x/PEAP vía Packetfence, donde a este switch se conectarán los usuarios, en el
instante que el usuario quiera acceder a la red se le notificará que necesita
Página 169
proporcionar información adicional ( usuario y contraseña) antes de acceder a la red,
una vez digitado correctamente los datos solicitados, el usuario tiene acceso a la red,
el mismo caso se daría para la conexión inalámbrica ya que el Access Point 1130
estará conectado a al swich que solicita autenticación antes del ingreso.
5.6.3. Instalación
5.6.4. Requisitos del Sistema
PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto,

requiere los siguientes:
Dependiendo de su configuración pueden ser necesarios componentes adicionales
como:
Servidor DNS (BIND)
Todos los componentes se ejecutan en un mismo servidor (es decir, "localhost" o
"127.0.0.1") y PacketFence se instalará en el.
La siguiente tabla proporciona recomendaciones para los componentes necesarios,
junto con la versión necesaria para una correcta instalación de packetfense
MySQL server MySQL 4.1 or 5.1
DHCP server DHCP 3
DNS server BIND 9
RADIUS server FreeRADIUS 2.1.12

Nota: Se recomienda instalar las versiones más recientes del software mencionado
en la tabla anterior
5.6.5. Requerimientos de Hardware
Página 170
A continuación se proporciona una lista de recomendaciones de hardware del
servidor:

2GB de RAM
2 Tarjeta de red
a) para detección de intrusos
5.6.6. Requisitos del Sistema Operativo

x86_64:
Es importante considerar que se pueda instalar paquetes adicionales de su

distribución estándar. Por ejemplo, cuando se usa Red Hat Enterprise Linux, tiene
que estar suscrito a Red Hat Network antes de continuarcon la instalación del
software PacketFence.Otras distribuciones como Debian, Fedora y Gentoo funcionan
de manera correcta
5.6.7. Servicios Activos
Es importante tener los siguientes servicios activos para su correcto

funcionamiento:
Servidor web (httpd) Servidor

DHCP (dhcpd) Servidor DNS
(nombre) FreeRADIUS servidor
(radiusd)
Firewall (iptables)
Página 171
Asegúrese de que todos los demás servicios se inician automáticamente por el
Sistema Operativo
5.6.8. Instalación de Packetfence
La última versión de PacketFence es 3.5.1, la misma que ha sido puesta a

disposición el 05/09/2012. Esta versión es estable y se puede utilizar en un entorno
de producción.. Estas son las diferentes formas de obtener PacketFence:
A través del yum repositorio es una de las formas más fácil de instalar PacketFence
si utiliza RedHat Enterprise Linux (o un equivalente como distribución CentOS) se
puede utilizar el repositorio de yum. Para ello, basta con crear un archivo llamado /
etc / yum.repos.d / PacketFence.repo con el siguiente contenido:
[PacketFence] name=PacketFenceRepository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0
Para RHEL / CentOS 5 y 6

Hay varios repositorios que usted necesita instalar, son dependencias propios
dePacketFence:
Repoforge , también conocido anteriormente como rpmforge. Instale el
paquete rpmforge-release para su respectiva distribución y arquitectura
Repositorio EPEL
Repositorio OpenFusion
También es necesario instalar los siguientes componentes adicionales:

DHCP server DHCP 3
DNS server BIND 9
Página 172
Es importante actualizar los repositorios para una correcta instalación:
yum update
apt-get update
apt-get upgrade
Usted pude instalar packetfence, con los repositorios necesarios de la siguiente

manera:
packetfence yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence-
complete
O, si lo prefiere, puede instalar sólo el núcleo PacketFence sin todos los servicios
externos, puede utilizar:
yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence
Una vez definido los repositorios usted puede instalar packetfense con todas las
dependencias y servicios externos requeridos(servidor DNS, Servidor de Base de
datos, servidor DHCP, servidor Radius) usando:
sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4

sudo apt-get update
sudo apt-get install packetfence
5.6.9. Configuración
En esta sección, usted aprenderá cómo configurar PacketFence. PacketFence usa

MySQL, Apache, Servidor DHCP, Servidor DNS y FreeRADIUS. Donde todos los
componentes se ejecutan enel mismo servidor en el que PacketFence se está
instalando.
El primer paso después de instalar los paquetes necesarios es la configuración. De

PacketFence, que nos proporciona una útil y detallado configuración web.
Página 173
Después de la instalación de paquetes, packetfense se abre desde el la dirección web
http://@ip_packetfence:3000/configurator.Desde allí, el proceso de configuración se
basa en diferentes pasos desde la web.
Paso 1.- Selección de la aplicación
Se puede seleccionar entre: una aplicación Vlan, una aplicación en línea o amabas.
Para este caso seleccionamos una aplicación en línea
Paso 2.-Configuraciónde la red.
En este paso configuramos las interfaces de red del sistema, nuestro servidor
packetfence tiene dos interfaces:
Interfaz eth0 con dirección IP estática 172.16.8.3/24 para la administración del

Packetfence
Interfaz eth1 con asignación de IP Dinámica para conexión externa Internet
Página 174
Paso 3.- Configuración de base de datos.
Este paso va a crear la base de datos PacketFence y administrar con el estructura

correcta. Usted necesita crear un usuario de MySQL y asignarlo a la base de datos
recién creada;Para la configuración lo editamos el archivo
/usr/local/pf/conf/pf.conf
Página 175
Paso 4.-Configuración General.
Usted tendrá realizar una configuración básica PacketFence colocando los

parámetros; necesarios como: dominio, el hostname, y Servidor DHCP
Paso 5: Usuario administrativo.

En este paso se le pedirá que cree un usuario administrativo, el mismo que
podráacceder a la interfaz de administración basada en la web una vez que los
servicios son funcionales;
Página 176
Paso 6.- Inicio de Servicios
Consulte el estado de su configuración, es decir que los servicios hayan iniciado y
estén corriendo
5.6.9. Revisión de Opciones
Una vez configurados todos los pasos iníciales podemos acceder desde la interfaz
web
https:// 192.168.1.3 en donde podemos observar el ESTADO donde usted puede ver,
la cantidad de disco usado, la memoria usada, las consultas SQL que se han
realizado, intento de violaciones recientes, registros recientes, entre otras opciones:
Página 177
En la pestaña USUARIO podemos ver los usuarios registrados, agregar un nuevo
usuario, buscar, y una gestión para invitados
En la siguiente pestaña NODO usted podrá la dirección MAC de la PC, el nombre

del dispositivo conectado, la categoría, el estado, el estado(registrado, no registrado),
la descripción del sistema operativo que se intenta conectar, aquí encontrará las
opciones de Ver, buscar, adicionar e importar.
Página 178
A continuación en la pestaña siguiente podemos observar los intentos de acceso
fallidos, o de usuarios que no han sido registrados, se registra la dirección MAC del
dispositivo que intenta conectarse, así como el nombre del computador, el estado,
descripción y fecha.
En la pestaña administración encontraremos los servicios que hemos instalado,

podremos observar que los servicios que esta ejecutándose y los servicios que están
parados, podemos ver los servicios, los registros, adicionar un administrador, entre
otras opciones.
Página 179
En la siguiente pestaña tenemos varias opciones para ser configuradas dentro de esta
opción podemos modificar las interfaces de red, los switch, categorías de los nodos,
dispositivos flotantes de red, violaciones de restricciones, etc.
Tenemos la opción AVANZADOque se usa para controles de accesos avanzado
Página 180
5.6.10. Configuracion del Switch
Para nuestra implementacion del proyecto usamos el switch Catalyst 2950, donde
para su respectiva configuración realizamos los siguientes pasos:
Paso 1 Para ingresar al switch necesitamos instalar en nuestro computador el
programa Putty o desde Telnet
Paso 2 Luego de su instalaciòn ingresamos en este caso al Putty
Paso 3. Digitamos la dirección IP del switch 172.16.8.3/24 usando el puertgo 23,

Via Telnet y elegimo Open
Paso 4. Se le solicita que ingrese su usuario y clave respectiva del switch
Página 181
Paso5. Una vez ingresado al switch para la configuracion 802.1x desde packetfence
digitamos
Switch> enable
Switch# configure terminal
Switch(config)# aaa new model
Switch(config)# aaa group server radius packetfence
Switch(config-sg-radius)# server 172.16.8.3 auth port 1812 acc-port 1813
Switch(config-sg-radius)# end
Switch(config)# aaa authentication login default local
Switch(config)# aaa authentication dot1x default group packetfence
Switch(config)# authorization network default group packetfence
Switch(config)# interface fastEthernet 0/21
Switch(config-if)# switch port model access
Switch(config-if)# dot1x port-control auto
Página 182
Paso 6. En el cliente nos vamos a configuración de red, clic en propiedades de área
local, en la pestaña Autenticación
Habilitamos la autenticacion 802.1x en modo protegido PEAP, presionamos aceptar
Página 183
Paso 7. Inmediatamente podemos observar que se presenta un mensaje de que
necesitamos información adicional para acceder a la red.
Paso 8. Se le presentará una ventana apra que ingrese su usuario y contraseña, usted
solo pordrá tener acceso a la red siempre y cuando este regisrado en la base de datos
Página 184
5.6.11. Ingreso de Usuarios a la Base de Datos
Para el ingreso a la base de datos diseñamos una aplicación web para la
misma usamos:
Servidor Glassfich,
Netbeans
java 5
OpenLDAP,
Apache directory estudio,
Base de datos mysql y postgres
Paso 1 Para entrar a la aplicación ingresamos desde un navegador Web (firefox,

google chroom, etc) y digitamos 192.168.200.1:8080/GestionUsuariosLDAP/, aquí
se nos solicita un usuario y contraseña, donde root es el usuario y admin la clave
Página 185
Paso 2 Inmediatamente ingresamos a la administración de usuarios donde podemos
observar los usuarios registrados, podemos crear, modificar y borrar usuarios
Paso 3. En caso que necesitemos ingresar un nuevo usuario, presionamos la opcion

Nuevo usuario y llenamos los campos solicitados
Para el ingreso de usuario podemos seleccionar el grupo al que pertenece este usuario
que puede ser Administrador, o general ,para ello seleccionamos en el campo grupo y
posteriormente ingresamos los datos del nuevo usuario.
Para el ingreso de la contraseña esta esta valida para que cumpla con las normas de
contraseñas seguras como por ejemplo el número de caracteres que debe tener las
contraseñas es de 8 caracteres, con una convinación de letras y números.
Página 186
Podremos observar el nuevo usuario registrado al listar los usuarios
Paso 4. Podemos editar los campos de los usuarios registrados en caso que sea necesario
Se cambiarà los datos necesarios y se presiona GUARDAR
Página 187
ANEXOS
Página 188
6. Anexos.
6.1. MANUAL DE USUARIO.
1. Introducción.
Por medio de este documento se describirá los objetivos y la información

detallada de cómo los usuarios pueden autenticarse para acceder a la red de la
institución.
Para la autenticación se utiliza una herramienta “Packetfence” es una herramienta

de código abierto para el Control de Acceso a la Red que se implementó en el
colegio Técnico Salesiano con el objetivo de mejorar la seguridad de la red
mediante políticas de seguridad, utilizando claves como usuario y contraseña y
de esta manera poseer un control de acceso ya sea en la red LAN o inalámbrica.
2. Objetivos.
Se desarrolló este manual para ayudar a los usuarios a utilizar la herramienta de

Control de Acceso a la red Packetfence , de esta manera ayudarles a un correcto
manejo de manera rápida, eficiente y así despejar las dudas que posean
planteándonos los siguientes objetivos:
 Enseñar cómo configurar los equipos para usar la herramienta

packetfence
 Guiar como realizar la autenticación.
 Guiar como realizar un registro de usuarios en la base de datos.
3. Dirigido a:
Este manual está dirigido a al personal administrativo, profesores, alumnos en
general que van a interactuar con la red.
4. Especificaciones técnicos
Para la implementación de la herramienta de control de acceso a la red
packetfence se necesita lo siguiente.
 Clientes.
Habilitar 802.1x para redes cableadas.
La configuración en los clientes requiere seguir los siguientes pasos:
Página 189
Para realizarlo debemos iniciar sesión como administrador.
Paso 1.-haga clic en botón inicio, escriba services.msc presione enter
A continuación se apareces una lista de servicios locales, debemos habilitar el

servicio “Configuración automática de redes cableadas” y a continuación
hacemos clic en iniciar, el tipo de inicio lo ponemos en automático
Página 190
Aceptamos los cambios.
Para abrir las conexiones de red, hago clic en el botón inicio y a continuación
haga clic en el panel de control.
Vamos a redes e internet, conexiones de red,cambiar la configuración del

adaptador, identificamos conexión de área local, damos clic derecho en
propiedades y aparece la pestaña adicional de autenticación
Página 191
En la pestaña de autenticación habilitamos la casilla “habilitar autenticación
de IEEE 802.1X “, en el método de autenticación de red elegimos
“Microsoft EAP protegido (PEAP)”
Página 192
Para habilitar opciones adicionales damos clic en configuración adicional,
habilitamos la casilla “especificar modo de autenticación” elegimos
autenticación de usuario y aceptamos los cambios.
Habilitar 802.1x en una red inalámbrica.

Para acceder a la configuración de redes inalámbricas, damos clic en inicio,
panel de control.
Nos aparece un listado en el cual escogemos redes e internet, damos clic en

ver el estado de y las tareas de red.
Página 193
Nos aparece un listado en la parte derecha escogemos inalámbricas y a
continuación, haga clic en “Administrar redes inalámbricas”.luego damos clic
sobre la red en este caso upsnet
Hacemos clic derecho en la red que queremos habilitar la autenticación

802.1x y a continuación hacemos clic en propiedades.
Página 194
Aparece una ventana y escogemos la pestaña seguridad y en tipo de seguridad
tenemos una lista y escogemos 802.1x
Hacemos clic en configuración avanzada, habilitamos la casilla en

“especificar modo de autenticación” escogemos autenticación de usuarios,
aceptamos los cambios y podemos ver que la red upsnet está habilitada con la
seguridad de autenticación 802.1x
Página 195
Habilitar 802.1x en Windows xp
para habilitar 802.1x en los clientes con Sistema Operativo Windows xp,
hacemos clic en inicio, ejecutar digitamos “services.msc”
Aparece un listado de los servicios locales del sistema, buscamos

“configuración automática de redes cableado” damos doble clic y en la
pestaña de tipo de inicio cambiamos a automático, aplicamos los cambios y
guardamos.
Página 196
Luego de aceptar los cambios vamos inicio, mis sitios de red.
Damos doble clic y escogemos la opción “ver conexiones de red”
Página 197
Damos clic derecho sobre “conexiones de área local” propiedades.
Podemos visualizar la pestaña de autenticación.
Página 198
Damos clic en habilitar la autenticación de IEEE802.1X, elegimos el tipo de autenticación
“EAP protegido PEAP”.
Luego de escoger el tipo de autenticación damos clic en configuración y deshabilitamos la

casilla de “validar un certificado del servidor”, de esta manera habilitamos la autenticación.
Página 199
6.2. MANUAL TÉCNICO.
1. INTRODUCCIÓN
El Anàlisis de soluciones de acceso seguro a la red, nos han permitido indagar sobre una
herramienta que nos permita un control de acceso, y para implemantar como un proyecto
piloto en el Colegio “Tècncio Salesiano”, con el fin de restringir los accesos, identificar a
los usaurios, registrar horas y tiempos de conexiòn, asignaciòn de privilegios necesarios ,
etc, todas estas opciones y muchas màs alternativas nos permite la herramienta
Packetfense , la cual ha sido diseñada para proporcionar un completo Sistema de Control
de Acceso a la Red, es una distribución libre basada en Centos, es totalmente
compatible, libre, de confianza y estable.
Por lo tanto es necesario, e importante conocer el procedimeitno para la intalaciòn, manejo

y mantenimiento del servidor y otros dispositivos, con el objetivo de garantizar su buen
funcionamiento y eficacia.
2. OBJETIVOS Y ALCANCE DE LA HERRAMIENTA

2.1 OBJETIVOS
Autorizar únicamente accesos seguros a la
red
Identificar a los usuarios registrados
Registro de hora y tiempos de conexión
Asignación de privilegios
2.2 ALCANCE
La implementación de la herramienta Packetfence se baso en un análisis
previo de las diferentes soluciones de acceso seguro a la red,
fundamentada en el estandar internacional ISO/IEC 27002, el cual se
enfoca específicamente sobre aspectos de seguridad en las tecnologías de
información, mediante la aplicación de 133 controles óptimos a las
Página 200
necesidades de las organizaciones, para nuestra proyecto nos basamos
unicamente en el control que nos confiere la guìa para la gestión de
seguridad de la informaciòn dentro del control o dominio llamado
Control de acceso a la red. La herramienta Packetfense permite cumplir
gran parte de las clàusulas de control de acceso a la red, además de tener
un correcto control de que computadoras o que usuarios tienen acceso a la
red, ya sea a travès de switches, routers, u otros dispositivos, basandose
en el estàndar de autenticaciòn ya sea para equipos portalites, o de
escritorio, es decir podrán conectarse a la red sólo si sus credenciales han
sido validadas por el servidor de autenticación, en donde las credenciales
de usuario, se comprobarán mediante el uso de protocolos de
autenticación especiales que pertenecen al estándar 802.1X.
La solución requerida era poder controlar el acceso a la red, tanto para red
cableada como para la red inalámbrica, solución que se ha cumplido
cabalmente ya que herramienta cumple satisfactoriamente cada una de
estas necesidades
3. DESCRIPCION DEL ESQUEMA DE RED
Página 201
Para el planteamiento del esquema de red, nos basamos en el esquema de red que nos aporto
el adminsitrador de red a efímeros rasgos, cuya estructura es cliente servidor a nivel de 3
capss, es por ello que el switch central se conectarà a nuestro servidor Packetfence que usa
muchos componentes en su infraestructura como: base de datos (Mysql), servidor
apache, dependiendo de la configuración necesitará componentes adicionales, este
servidor se conectará a una base de datos OpenLDAP que almacenará los usuarios y
las contraseñas para su respectiva validación, tiene dos interfaces de red: una interfaz
eth1 para conexiones externas como por ejemplo Internet y una interfaz eth0 para la
administración del packetfence, desde esta interfaz nos conectamos hacia el switch
Cisco 2960, este switch tendrá habilitados sus puertos para autenticación
802.1x/PEAP vía Packetfence, donde a este switch se conectarán los usuarios, en el
instante que el usuario quiera acceder a la red se le notificará que necesita
proporcionar información adicional ( usuario y contraseña) antes de acceder a la red,
una vez digitado correctamente los datos solicitados, el usuario tiene acceso a la red,
el mismo caso se daría para la conexión inalámbrica ya que el Access Point 1130
estará conectado a al swich que solicita autenticación antes del ingreso.
4. INSTALACIÒN
4.1 REQUISITOS DEL SISTEMA
PacketFence reutiliza muchos componentes en una infraestructura. Por lo tanto,

requiere los siguientes:
Dependiendo de su configuración pueden ser necesarios componentes adicionales
como:
Servidor DNS (BIND)
Todos los componentes se ejecutan en un mismo servidor (es decir, "localhost" o
"127.0.0.1") y PacketFence se instalará en el.
Página 202
La siguiente tabla proporciona recomendaciones para los componentes necesarios,
junto con la versión necesaria para una correcta instalación de packetfense
DHCP server DHCP 3
DNS server BIND 9

Nota: Se recomienda instalar las versiones más recientes del software mencionado
en la tabla anterior
4.2 REQUERIMIENTOS DE HARDWARE
A continuación se proporciona una lista de recomendaciones de hardware del

servidor:
2GB de RAM
2 Tarjeta de red
4.3 REQUISITOS DEL SISTEMA OPERATIVO

x86_64:
Es importante considerar que se pueda instalar paquetes adicionales de su

distribución estándar. Por ejemplo, cuando se usa Red Hat Enterprise Linux, tiene
que estar suscrito a Red Hat Network antes de continuar con la instalación del
Página 203
software PacketFence. Otras distribuciones como Debian, Fedora y Gentoo
funcionan de manera correcta
4.4 SERVICIOS ACTIVOS
Es importante tener los siguientes servicios activos para su correcto

funcionamiento:
Servidor web (httpd) Servidor

DHCP (dhcpd) Servidor DNS
(nombre) FreeRADIUS servidor
(radiusd)
Firewall (iptables)
Asegúrese de que todos los demás servicios se inician automáticamente por el
Sistema Operativo
4.5 INSTALACIÓN DE PACKETFENCE
La última versión de PacketFence es 3.5.1, la misma que ha sido puesta a

disposición el 05/09/2012. Esta versión es estable y se puede utilizar en un entorno
de producción.. Estas son las diferentes formas de obtener PacketFence:
A través del yum repositorio es una de las formas más fácil de instalar PacketFence
si utiliza RedHat Enterprise Linux (o un equivalente como distribución CentOS) se
puede utilizar el repositorio de yum. Para ello, basta con crear un archivo llamado /
etc / yum.repos.d / PacketFence.repo con el siguiente contenido:
[PacketFence] name=PacketFenceRepository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
gpgcheck=0
Para RHEL / CentOS 5 y 6

Hay varios repositorios que usted necesita instalar, son dependencias propios
dePacketFence:
Página 204
Repoforge , también conocido anteriormente como rpmforge. Instale el
paquete rpmforge-release para su respectiva distribución y arquitectura
Repositorio EPEL
Repositorio OpenFusion
También es necesario instalar los siguientes componentes adicionales:

DHCP server DHCP 3
DNS server BIND 9
Es importante actualizar los repositorios para una correcta instalación:
yum update
apt-get update
apt-get upgrade
Usted pude instalar packetfence, con los repositorios necesarios de la siguiente

manera:
packetfence yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence-
complete
O, si lo prefiere, puede instalar sólo el núcleo PacketFence sin todos los servicios
externos, puede utilizar:
yum install --enablerepo=PacketFence,rpmforge,of,epel packetfence
Página 205
Una vez definido los repositorios usted puede instalar packetfence con todas las
dependencias y servicios externos requeridos(servidor DNS, Servidor de Base de
datos, servidor DHCP, servidor Radius) usando:
sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4

sudo apt-get update
sudo apt-get install packetfence
4.6 CONFIGURACIÓN
En esta sección, usted aprenderá cómo configurar PacketFence. PacketFence usa

MySQL, Apache, Servidor DHCP, Servidor DNS y FreeRADIUS. Donde todos los
componentes se ejecutan en el mismo servidor en el que PacketFence se está
instalando.
El primer paso después de instalar los paquetes necesarios es la configuración. De

PacketFence, que nos proporciona una útil y detallado configuración web.
Después de la instalación de paquetes, packetfense se abre desde el la dirección web

http://@ip_packetfence:3000/configurator.Desde allí, el proceso de configuración se
basa en diferentes pasos desde la web.
Paso 1.- Selección de la aplicación
Se puede seleccionar entre: una aplicación Vlan, una aplicación en línea o amabas.
Para este caso seleccionamos una aplicación en línea
Página 206
Paso 2.-Configuraciónde la red.
En este paso configuramos las interfaces de red del sistema, nuestro servidor
packetfence tiene dos interfaces:
Interfaz eth0 con dirección IP estática 172.16.8.3/24 para la administración del

Packetfence
Interfaz eth1 con asignación de IP Dinámica para conexión externa Internet
Página 207
Paso 3.- Configuración de base de datos.
Este paso va a crear la base de datos PacketFence y administrar con el estructura

correcta. Usted necesita crear un usuario de MySQL y asignarlo a la base de datos
recién creada. Para la configuración lo editamos el archivo
/usr/local/pf/conf/pf.conf
Página 208
Paso 4.-Configuración General.
Usted tendrá realizar una configuración básica PacketFence colocando los

parámetros; necesarios como: dominio, el hostname, y Servidor DHCP
Paso 5: Usuario administrativo.
En este paso se le pedirá que cree un usuario administrativo, el mismo que podrá
acceder a la interfaz de administración basada en la web una vez que los servicios
son funcionales;
Página 209
Paso 6.- Inicio de Servicios
Consulte el estado de su configuración, es decir que los servicios hayan iniciado y
estén corriendo
4.7 REVISIÓN DE OPCIONES
Una vez configurados todos los pasos iníciales podemos acceder desde la interfaz
web https:// 192.168.1.3 en donde podemos observar el ESTADO donde usted puede
ver, la cantidad de disco usado, la memoria usada, las consultas SQL que se han
realizado, intento de violaciones recientes, registros recientes, entre otras opciones:
Página 210
En la pestaña USUARIO podemos ver los usuarios registrados, agregar un nuevo
usuario, buscar, y una gestión para invitados
En la siguiente pestaña NODO usted podrá la dirección MAC de la PC, el nombre

del dispositivo conectado, la categoría, el estado, el estado(registrado, no registrado),
la descripción del sistema operativo que se intenta conectar, aquí encontrará las
opciones de Ver, buscar, adicionar e importar.
Página 211
A continuación en la pestaña siguiente podemos observar los intentos de acceso
fallidos, o de usuarios que no han sido registrados, se registra la dirección MAC del
dispositivo que intenta conectarse, así como el nombre del computador, el estado,
descripción y fecha.
En la pestaña administración encontraremos los servicios que hemos instalado,

podremos observar que los servicios que esta ejecutándose y los servicios que están
parados, podemos ver los servicios, los registros, adicionar un administrador, entre
otras opciones.
Página 212
En la siguiente pestaña tenemos varias opciones para ser configuradas dentro de esta
opción podemos modificar las interfaces de red, los switch, categorías de los nodos,
dispositivos flotantes de red, violaciones de restricciones, etc.
Tenemos la opción AVANZADO que se usa para controles de accesos avanzado
4.8 Arrancar Packetfence

Luego de iniciar nuestro servidor necesitamos arrancar el servicio
con
service packetfence start
Usted puede verificar con el comando chkconfig que el servicio

PacketFence para iniciar automáticamente cuando arranca Centos
4.9 CONFIGURACION DEL SWITCH
Para nuestra implementación del proyecto usamos el switch Catalyst 2950, donde
para su respectiva configuración realizamos los siguientes pasos:
Paso 1 Para ingresar al switch necesitamos instalar en nuestro computador el
programa Putty o desde Telnet
Página 213
Paso 2 Luego de su instalación ingresamos en este caso al Putty
Paso 3. Digitamos la dirección IP del switch 172.16.8.3/24 usando el puerto 23,

Vía Telnet y elegimos Open
Paso 4. Se le solicita que ingrese su usuario y clave respectiva del switch
Página 214
Paso5. Una vez ingresado al switch para la configuración 802.1x desde packetfence
digitamos
Switch> enable
Switch# configure terminal
Switch(config)# aaa new model
Switch(config)# aaa group server radius packetfence
Switch(config-sg-radius)# server 172.16.8.3 auth port 1812 acc-port 1813
Switch(config-sg-radius)# end
Switch(config)# aaa authentication login default local
Switch(config)# aaa authentication dot1x default group packetfence
Switch(config)# authorization network default group packetfence
Switch(config)# interface fastEthernet 0/21
Switch(config-if)# switch port model access
Switch(config-if)# dot1x port-control auto
Página 215
Paso 6. En el cliente nos vamos a configuración de red, clic en propiedades de área
local, en la pestaña Autenticación
Habilitamos la autenticación 802.1x en modo protegido PEAP, presionamos aceptar
Página 216
Paso 7. Inmediatamente podemos observar que se presenta un mensaje de que
necesitamos información adicional para acceder a la red.
Paso 8. Se le presentará una ventana para que ingrese su usuario y contraseña, usted
solo podrá tener acceso a la red siempre y cuando este registrado en la base de datos
Página 217
4.10 INGRESO DE USUARIOS A LA BASE DE DATOS
Para el ingreso a la base de datos diseñamos una aplicación web para la
misma usamos:
Servidor Glassfich,
Netbeans
java 5
OpenLDAP,
Apache directory estudio,
Base de datos mysql y postgres
Paso 1 Para entrar a la aplicación ingresamos desde un navegador Web (firefox,

google chroom, etc. ) y digitamos 192.168.200.1:8080/GestionUsuariosLDAP/, aquí
se nos solicita un usuario y contraseña, donde root es el usuario y admin la clave
Página 218
Paso 2 Inmediatamente ingresamos a la administración de usuarios donde podemos
observar los usuarios registrados, podemos crear, modificar y borrar usuarios
Paso 3. En caso que necesitemos ingresar un nuevo usuario, presionamos la opción

Nuevo usuario y llenamos los campos solicitados
Para el ingreso de usuario podemos seleccionar el grupo al que pertenece este usuario
que puede ser Administrador, o general ,para ello seleccionamos en el campo grupo y
posteriormente ingresamos los datos del nuevo usuario.
Para el ingreso de la contraseña esta valida para que cumpla con las normas de
contraseñas seguras como por ejemplo el número de caracteres que debe tener las
contraseñas es de 8 caracteres, con una combinación de letras y números.
Página 219
Podremos observar el nuevo usuario registrado al listar los usuarios
Paso 4. Podemos editar los campos de los usuarios registrados en caso que sea necesario
Se cambiarà los datos necesarios y se presiona GUARDAR
Página 220
CONCLUSIONES Y
RECOMENDACIONES
Página 221
7. Conclusiones y Recomendaciones.
7.1.Conclusiones.
Al realizar un “Análisis de Soluciones de Acceso Seguro a la Red” podemos concluir

que tenemos distintas alternativas a implementar tanto herramientas propietarias y en
código abierto, por tanto se eligió implementar la solución “Packetfence” que es
una herramienta de código abierto nueva y estable que cumple la mayoría de
estándares de seguridad .Para escoger la implementación de dicha herramienta nos
basamos en las directrices del Estándar Internacional Norma ISO/IEC 27002 en lo
que hace referencia a “Control de Acceso a la red” en base a este estándar y
evaluación se logró cumplir las necesidades de un acceso seguro a la red de la
Unidad Educativa Técnico Salesiano. Una vez realizada las respectivas
configuraciones, pruebas se implementara este proyecto de tesis de manera principal
para la red inalámbrica porque personas ajenas a la institución usan este servicio,
para la red cableada se implementará en el ámbito administrativo con los privilegios
necesarios para los usuarios.
7.2.Recomendaciones.
Al haber finalizado el proyecto de tesis titulada “Análisis de Soluciones de Acceso

Seguro a la Red, e Implementación de un Proyecto Piloto para la Unidad
Educativa Técnico Salesiano" queremos aportar con algunas recomendaciones para
el correcto funcionamiento de la aplicación
Es importante resaltar que Packetfence es una herramienta actual, cuya

última versión instalada es la 3.5.1, sin embargo sabemos que dichas
herramientas se actualizan constantemente brindando mayores beneficios en
cada nueva actualización,
Packetfence es una solución de código abierto,es una distribución de Linux
basada en CentOS 6, por lo que se recomienda sea instalada ya sea en Centos
o Red Hat, puesto que la instalación para otras distribuciones de Linux tiene
un mayor grado de dificultad
Página 222
Es importante ejecutar todos los componentes y dependencias necesarias
antes de la instalación de packetfence para evitar posibles errores
Recuerde que PacketFence se integra perfectamente con las redes
inalámbricas a través de un módulo de FreeRADIUS, esto le permite
asegurar sus redes alámbricas e inalámbricas, así como también con la base
de datos de usuario o puede usar el portal cautivo de la misma herramienta,
Usted podría activar el módulo Snort para detectar Actividades anormales de
la red como: virus informáticos, gusanos, software espía, accesos denegados,
etc.
PacketFence puede realizar una evaluación completa del estado de salud del
dispositivo de conexión con el uso del protocolo de la Salud TNC. Por
ejemplo, PacketFence puede verificar si los antivirus están instalado y
actualizado, si hay parches que se aplican al Sistema Operativo y mucho
más todo esto sin ningún agente instalado en el dispositivo de punto final.
PacketFence es compatible con varias técnicas de aislamiento, como el
aislamiento VLAN con soporte para VoIP (incluso en entornos
heterogéneos) para múltiples fabricantes de conmutadores, dependiendo de
las técnicas de aislamiento que tenga la organización usted podría hacerlo
compatible con la herramienta packetfence
La mayoría de las organizaciones hacen frente a una gran cantidad de
consultores de diversas empresas en el terreno que requieren acceso a
Internet para su trabajo. En la mayoría de los casos, un acceso a la red
corporativa se da con poca o ninguna auditoría de la persona o dispositivo,
para evitar estos inconvenientes usted puede usar configurar una Vlan de
invitados dentro del portal cautivo de packetfence y configurar su red para
que la VLAN invitada sólo sale a la Internet
Para el ingreso de los usuarios se recomienda crear un modulo para la
migración de los datos, ya que es tedioso ingresar muchos usuarios a mano,
se pueden usar los campos usuario y contraseña que tengan almacenados en
una base de datos como por ejemplo los usuarios y contraseñas almacenados
para el correo electrónico institucional.
Para el ingreso de datos de usuarios se implemento un herramienta de
ingreso de datos que se puede acceder desde la web.
Página 223
Para la aplicación del proyecto se debe capacitar a los estudiantes y personal
administrativo y al personal que dará soporte técnico que forman parte de la
institución sobre la configuración para activar la autenticación de 802.1x de
sus máquinas sobre todo en el ámbito inalámbrico.
Página 224
BIBLIOGRAFÍA
Página 225
[1] CARRACEDO GALLARDO, Justo, Seguridad en Redes Telemáticas, 1ra.Edición,
Editorial McGraw-Hill/Interamericana, España, 2004.
[2] BELLO, Claudia, Manual de Seguridad en Redes, 1ra Edición, Editorial Arcert,
Argentina 2002.
[3] AGUIRRE RAMIO, Jorge, Seguridad Informatica y Criptografia Versión 4.1 , 6ta
Edición, Editorial Departamento de Publicaciones de la Escuela Universitaria de Informática
de la Universidad Politécnica de Madrid, España, 2006.
[4] NAKHJIRI Madjid and NAKHJIRI Nahsa, AAA and Network Security for Mobile
Access : Radius, Diameter, EAP, PKI and IP Mobility, 1ra Edición, Syngress, USA
2005.
[5] KNIPP Eric,BROWNE Brian y otros , Cisco Network Security, 2da Edicion, Editorial
Syngress, Estados Unidos de America 2002
[6] ISO 27002, Norma Técnica ntc-iso/iec 27002 Tecnologías de la información, Técnicas de
Seguridad, Código de práctica para la gestión de la seguridad de la información, 1ra
Edición, Colombia 2007.
[7] Introduccion a la Norma ISO (recuperado en Noviembre 2011),
“http://trace.wisc.edu/docs/taacmtg_sep96/iso.htm”
[8] Control de Acceso “(recuperado en Diciembre 2011),
http://www.mindtools.com/CXCtour/PDCA.php”
[9] Control de acceso en sistemas informaticos (recuperado en Diciembre 2011),
http://www.subinet.es/guias-y-tips/guias-tips-internet/%C2%BFque-es-el-control-de-
acceso-en-sistemas-informaticos/”
[10] Administracion y Seguridad en Redes (recuperado en Diciembre 2011),
http://yoalo.wikispaces.com/4.4+Control+de+acceso+criptogr%C3%A1fico”
[11] Control de acceso en sistemas informaticos, (recuperado en Enero 2012),
http://www.subinet.es/guias-y-tips/guias-y-tips-seguridad/%C2%BFcuales-son-los-
modelos-de-control-de-acceso/”
[12] Network Access Proteccion Platform Architecture (recuperado en Enero 2012),
http://www.microsoft.com/en-us/download/details.aspx?id=8415
[13] Network Access Proteccion Platform Architecture, (recuperado en Febrero 2012),
” http://www.microsoft.com/nap”,
[14] Cisco System and Microsoft Corporation , Cisco Network Admission Control and
Microsoft Network Access Proteccion Interoperability Architecture, Editorial Cisco Press,
Indianapolis Septiembre 2006.
[15] Cisco System, Network Admission Control, Editorial Cisco Press , USA Agosto 2007
[16] Cisco System, Network Admission Control Framework, Editorial Cisco Press, USA
Febrero 2008.
[17] FreeNac is an OpenSource Solution for LAN, (recuperado en Marzo 2012)
http://www.freenac.net
[18] Cisco System, Catalys 2950 Desktop Switch Software Configuration Guide, Editorial
Cisco Press, USA 2002
[19] Packetfence Solution, (recuperado en Julio 2012)
http://www.packetfence.org,
[20] Cisco System, Configuring 802.1x Port-Based Autenticathion,Editorial Cisco Press,
Editorial Cisco Press, USA Marzo 2002.

Control de Acceso Tesis

Cargado por

Copyright:

Formatos disponibles

Control de Acceso Tesis

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Control de Acceso Tesis

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD POLITÉCNICA SALESIANA

CARRERA DE INGENIERÍA DE SISTEMAS

Tesis previa a la obtención del título de:

Anàlisis de Soluciones de Acceso Seguro a la Red, e

Cuenca, 05 de octubre del 2012

Julia Jiménez Orellana Blanca Rumipulla Castillo

Julia Jiménez Orellana.

Esta meta cumplida en primer lugar se la dedico a Dios que me ha regalo, la

También dedico a todas las personas que me motivaron, me aconsejaron, me

Blanca Rumipulla Castillo

Los resultados de este proyecto, quiero agradecer al Ing. Byron

Julia Jiménez Orellana.

Mi especial y mas emotivo agradecimiento a Dios

A mi madre por estar en todo momento apoyándome,

Al Ing. Byron Carrión director de tesis por guiarnos

Al Ing. Marco Timbi, Ing. Juan Rodríguez, Ing. David Mogrovejo

Un especial agradecimiento a todos mis amigos, amigas

A mi amiga y compañera de tesis Julia

Blanca Rumipulla Castillo

1.1. Introducción. ................................................................................................. 11

1.2. Objetivos de la Seguridad............................................................................. 11

1.3. Definición ....................................................................................................... 11

1.4. Tipos de Seguridad........................................................................................ 13

1.5. Principales Servicios de Seguridad.............................................................. 13

1.6. Gestión de Riesgos......................................................................................... 20

1.8. Amenazas. .......................................................................................................... 22

1.9. Mecanismos de Seguridad ............................................................................ 29

1.10. Firma Digital.................................................................................................. 30

2. ISO/IEC 27002 .................................................................................................. 32

2.1. Introducción ...................................................................................................... 32

2.3. Seguridad de la información ........................................................................ 33

2.4. Importancia de la Seguridad de la Información ........................................ 33

2.5. Requerimientos de Seguridad ...................................................................... 34

2.6. Evaluación de los Riesgos ............................................................................. 34

2.7. Definición ....................................................................................................... 35

2.8. Ventajas y Desventajas ISO 27002 .............................................................. 37

2.9. Control de Acceso.......................................................................................... 39

3. SOLUCIONES DE CONTROL DE ACCESOS A LA RED ........................ 79

3.1 Introducción .................................................................................................. 79

3.2 Soluciones NAC ............................................................................................. 80

3.3 Solución Protección de Acceso a la Red (NAP) .......................................... 80

3.4. Soluciones Open Source.............................................................................. 111

3.5. PACKETFENCE ........................................................................................ 121

CAPITULO IV ....................................................................................................... 153

4. ESTUDIO DE LA EMPRESA....................................................................... 154

4.1. Introducción. ................................................................................................... 154

4.2. Misión. .......................................................................................................... 154

4.3. Visión. ........................................................................................................... 154

4.4. Estructura organizacional .......................................................................... 155

4.5. Departamentos............................................................................................. 156

4.6. Servicios implementados sobre la red de datos. ....................................... 156

4.8. Identificación de dispositivos de conexión de la empresa ........................ 156

4.9. Estructura de la red LAN........................................................................... 157

4.10. Descripción de la VLAN implementadas. ................................................. 158

4.11. Tipos de seguridad actualmente implementadas ..................................... 158

5. IMPLEMENTACIÓN DE PACKETFENCE COMO UNA SOLUCIÓN

5.1 Objetivos de la institución. ......................................................................... 166

5.2 Análisis de la seguridad en la institución .................................................. 166

5.3 Descripción de la Infraestructura de la Solución NAC ........................... 167