SEGURIDAD EN LAS COMUNICACIONES

ASPECTOS DE SEGURIDAD EN LAS COMUNICACIONES

LA SEGURIDAD EN LAS COMUNICACIONES

Niveles de Seguridad

La información constituye un recurso que en muchos casos no se valora adecuadamente por su intangibilidad cosa que no ocurre con los equipos, la documentación o las aplicaciones, y además las medidas de seguridad no influyen en la productividad del sistema sino más bien al contrario, por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.

La seguridad debe contemplar no sólo que no accedan intrusos, sino que los sistemas y las aplicaciones funcionan y son utilizados correctamente. Los niveles de seguridad no pueden, ni deben, ser iguales para todos los elementos (usuarios, aplicaciones,...) que gestionan la información.

Las medidas de seguridad deben contemplar algunos de los siguientes aspectos:

• Identificación biunívoca de los usuarios (Users ID)

• Claves de acceso (password) de al menos 6 caracteres y ficheros de claves protegidos y encriptados.

• Modificación periódica de las claves de acceso (como mínimo cada tres meses)

• Registros de control del uso correcto, intentos incorrectos

• Acceso remoto seguro

• Cifrado y firma digital en las comunicaciones

• Posibilidad de desconectar si no se usa un terminal e identificación de la persona que desconecta.

• Salvaguardas y copias de seguridad.

• Planif icación de desastres.

• Formación de los usuarios en los aspectos de seguridad.

El nivel de desarrollo de estas medidas depende de la naturaleza de la organización, de la información, de las aplicaciones, de quienes las usan y acceden a las mismas.

Plan de Seguridad

La puesta en marcha de un plan de seguridad no es algo estático que se hace una vez. Una de las principales garantías de que un sistema es seguro es que se realiza un seguimiento de las medidas puestas en marcha, de los registros de auditoría. El seguimiento de las medidas de seguridad es la vía para asegurar que el plan se adapta a la organización y para detectar posibles intentos de fraude o acceso incorrecto.

El desarrollo de redes globales a las que se accede desde cualquier parte del mundo con un coste bajo y desde cualquier hogar como es INTERNET, aumenta estadísticamente la probabilidad de que alguien no autorizado intente acceder a mi red.

En un estudio de Datapro Research corp. se resumía que la distribución de los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución:

• Errores de los empleados:50%

• Empleados deshonestos 15%

• Empleados Descuidados 15%

• Intrusos ajenos a la Empresa 10%

• Integridad física de instalaciones 10%

Los planes de seguridad deben considerar la tipología de la información, de los usuarios de la misma y de los equipos y sistemas.

En un plan típico de seguridad se deben considerar los siguientes aspectos:

• Seguridad física de los locales y acceso donde se encuentran los sistemas.

• Asegurarse contra todos los riesgos posibles; esto requiere un periodo de observación y una clasificación de los recursos y sistemas que están en los edificios de la Organización, los que están fuera, los puntos de acceso remoto, las costumbres y hábitos del personal y el uso de la microinformatica estática y portátil.

• Asegúrese que es una integración por encima de los sistemas, plataformas y elementos que constituyen las redes, ..

• La gestión de la seguridad debe de ser centralizada.

DEBILIDADES DE LOS PROTOCOLOS TCP/IP

El modelo TCP/IP no distingue con claridad los conceptos de servicio, interfaz y protocolo. En consecuencia, este modelo no es una buena guía para diseñar redes nuevas utilizando tecnologías nuevas.

El modelo no es general en absoluto y no resulta apropiado para describir cualquier pila de protocolos distinta de él mismo.

La capa de nodo a red es en realidad una interfaz entre la red y las capas de enlace de datos.

El modelo TCP/IP no distingue entre la capa física y la de enlace de datos, siendo que un modelo apropiado debería incluir ambas como capas separadas, éste no lo hace.

Es más difícil de configurar y de mantener que NetBEUI o IPX/SPX; además es algo más lento en redes con un volumen de tráfico medio bajo. Sin embargo, puede ser más rápido en redes con un volumen de tráfico grande donde haya que enrutar un gran número de tramas.

TRANSMISION DE PAQUETES Y PROMISCUIDAD

En las redes de ordenadores, la información se transmite en una serie de paquetes con la dirección física(o dirección MAC) de quien lo envía y quien lo tiene que recibir, de manera que cuando transmitimos un fichero, éste se divide en varios paquetes con un tamaño predeterminado y el receptor es el único que captura los paquetes evaluando si llevan su dirección.

En el modo promiscuo, una máquina intermedia captura todos los paquetes, que normalmente desecharía, incluyendo los paquetes destinados a él mismo y al resto de las máquinas. Resulta a destacar que las topologías y hardware que se usen para comunicar las redes, influye en su funcionamiento, ya que las redes en bus, redes en anillo, así como todas las redes que obliguen a que un paquete circule por un medio compartido, al cual todos tienen acceso, los modos promiscuos capturarán muchos más paquetes que si están en una red con topología en árbol. Para completar el modo, las máquinas en modo promiscuo suelen simplemente copiar el paquete y luego volverlo a poner en la red para que llegue a su destinatario real (en el caso de topologías que requieran de retransmisión).

Paquete

Se le llama paquete de red o paquete de datos a cada uno de los bloques en que se divide, en el nivel de Red, la información a enviar. Por debajo del nivel de red se habla de trama de red, aunque el concepto es análogo.

En todo sistema de comunicaciones resulta interesante dividir la información a enviar en bloques de un tamaño máximo conocido. Esto simplifica el control de la comunicación, las comprobaciones de errores, la gestión de los equipos de encaminamiento (routers), etc.

Datagrama

Un datagrama es un fragmento de paquete (análogo a un telegrama) que es enviado con la suficiente información para que la red pueda simplemente encaminar el fragmento hacia el equipo terminal de datos receptor, de manera independiente a los fragmentos restantes. Esto puede provocar una recomposición desordenada o incompleta del paquete en el ETD destino.

Los datagramas también son la agrupación lógica de información que se envía como una unidad de capa de red a través de un medio de transmisión sin establecer con anterioridad un circuito virtual.

Tiempo de bit

Para cada velocidad de medios diferente se requiere un período de tiempo determinado para que un bit pueda colocarse y detectarse en el medio. Dicho período de tiempo se denomina tiempo de bit.

Mac Addres

La dirección MAC (siglas en inglés de media access control; en español "control de acceso al medio") es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red. Se conoce también como dirección física, y es única para cada dispositivo.

REDES LOCALES(VLAN) Y AMPLIAS (VPN)

REDES VLAN

Una VLAN (acrónimo de virtual LAN, «red de área local virtual») es un método de crear redes lógicamente independientes dentro de una misma red física.1 Varias VLANs pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos de una empresa) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un conmutador de capa 3 y 4).

Una VLAN consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad conectados físicamente a diferentes segmentos de una red de área local. Los administradores de red configuran las VLANs mediante software en lugar de hardware, lo que las hace extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se traslada físicamente algún ordenador a otra ubicación: puede permanecer en la misma VLAN sin necesidad de cambiar la configuración IP de la máquina.

CLASIFICACION

Aunque las más habituales son las VLANs basadas en puertos (nivel 1), las redes de área local virtuales se pueden clasificar en cuatro tipos según el nivel de la jerarquía OSI en el que operen:

VLAN de nivel 1 (por puerto). También conocida como “port switching”. Se especifica qué puertos del switch pertenencen a la VLAN, los miembros de dicha VLAN son los que se conecten a esos puertos. No permite la movilidad de los usuarios, habría que reconfigurar las VLANs si el usuario se mueve físicamente. Es la más común y la que se explica en profundidad en este artículo.

VLAN de nivel 2 por direcciones MAC. Se asignan hosts a una VLAN en función de su dirección MAC. Tiene la ventaja de que no hay que reconfigurar el dispositivo de conmutación si el usuario cambia su localización, es decir, se conecta a otro puerto de ese u otro dispositivo. El principal inconveniente es que si hay cientos de usuarios habría que asignar los miembros uno a uno.

VLAN de nivel 2 por tipo de protocolo. La VLAN queda determinada por el contenido del campo tipo

...