Aporte Individual 2

APORTE APORTE INDIVIDUAL TRABAJO COLABORATIVO 2 Bayona Guio Nancy Zoraida Universidad Abierta y distancia  Duitama, Colombia

[email protected]

 Resumen —  La empresa “SEGURIDAD SEGURA” cuenta actualmente con una infraestructura de red compleja, a pesar de que tiene implementado un “sistema de gestión de seguridad de la información”, utilizando iso ntc 27001 en nuestra empresa empresa ficticia “seguridad segura”, segura”, por consiguiente consiguiente el gerente gerente solicita de forma urgente un sistema que permita salvaguardar la información mas importante de la empresa.

 Palabras clave —  cifrar, protocolos, rastrear, conexiones, digital, vulnerabilidad, amenazas.

firmas,

 Abstract —   —   The company "SEGURIDAD SEGURA" currently has a complex network infrastructure, despite the fact that it has implemented an "information security management system", using iso ntc 27001 in our fictitious company "seguridad seguro", therefore the manager Urgently requests a system that allows safeguarding the most important information of the company.

 Keywords —  encrypt, protocols, trace, signatures, connections, digital, vulnerability, threats

 NTRODUCCIÓN I. I NTRODUCCIÓN

La importancia importancia de la seguridad en redes debe garantizar el funcionamiento de todas las redes sean optimas y que los usuarios de estás maquinas posean únicamente los permisos que se la hallan asignado, se deben tener en cuenta que los usuarios se le debe evitar que personas no autorizadas intervengan dentro del proceso. Unas de las las causas que se puedan puedan presentar presentar que exista exista inseguridad en las las redes que los usuarios no cuenten cuenten con los suficientes suficientes conocimientos conocimientos y esto puede ocasionar ocasionar que no exista una barrera de seguridad suficiente. suficiente. Para evitar ataques en la red se debe seguir con una serie de  pasos que durante el desarrollo de las actividad se iran explicado de una forma sistemática.

II. I NVESTIGAR  NVESTIGAR LAS FUENTES FUENTES DE INFORMACIÓN INFORMACIÓN SUMINISTRADAS EN EL ENTORNO DE INFORMACIÓN , RESUMEN DEL CAPÍTULO 1 Y 2 DEL DOCUMENTO DE SEGURIDAD EN REDES DE BUSTAMANTE Y DEL LIBRO DE “VPNS A TRAVÉS DEL PROTOCOLO IPSEC Y ADMINISTRACIÓN DE SEGURIDAD EN OUTERS CISCO ”. R OUTERS Los protocolos de red se puede definir como unos transmisores transmisores de controles donde estos se puede transmitir transmitir conjuntamente conjuntamente para proporcionar el transporte de datos dentro dentro de la internet, en otras palabras hacen posible posible que se pueda acceder desde otra red. Esta conclusión se pudo llegar que según [1] se puede acceder a la información información desde una red red a la World Wide Web. También se puede puede hablar de un un diseño de la red ya que a través de una guía [2] práctica que enseña a comprender los fundamentos de seguridad en una infraestructura de redes corporativas. Muestra el proceso de creación de una política de seguridad empleando tecnologías desarrolladas a tal efecto  por Cisco. Siguiendo con el estudio también se puede consultar la configuración configuración de una red a través de esta otra guía [3] donde se puede describir los principios y orientación para laconfiguración laconfiguración segura de enrutadores IP , con instrucciones instrucciones detalladas para los enrutadores. III. R EALIZAR EALIZAR UN ESTUDIO DE LOS DIFERENTES TIPOS DE PROTECCIÓN PARA LOS PROTOCOLOS TCP/IP ENCONTRADOS EN LA DOCUMENTACIÓN SUMINISTRADA. Se puede decir de acuerdo con la documentación suministrada suministrada SMTP: Es Protocolo de red basado en texto utilizado para el intercambio intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos (PDA's, teléfonos móviles, etc.). Está definido en el RFC 2821 y es un estándar oficial de Internet. [4] RFC: Se puede decir que un RFC son las normas establecidas del TCP/IP, Estas normas se publican en una serie de

documentos llamados request. Estos RFCS describen el funcionamiento interno de la internet [4]. ARP: (Address Resolution Protocol) Protocolo de Resolución de Direcciones. El ARP utiliza un formato de mensaje simple que contiene una solicitud de resolución dirección o respuesta. El tamaño del mensaje ARP depende de la capa superior y menor tamaño de dirección de capa que se da por el tipo de  protocolo de red por lo general IPv4.

Se debe verificar que las versiones de cisco y el router de servicios sean los correctos. A continuación, se puede ver un diagrama de red  Figure 2.Diagrama de red

Figure 1.Ejemplo de un protocolo ARP

Fuente:  https://www.cisco.com/c/es_mx/support/docs/securityvpn/ipsec-negotiation-ike-protocols/119425-configure-ipsec00.html Configuración del ASA Se debe configurar las interfaces se debe verificar que se configure una IP. Figure 3.configurar Interfase ASA

Fuente: https://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_direccion es#Alcance_de_funcionamiento

INTERNET: Conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de  protocolos TCP/IP.[4]. La internet funciona porque los estándares abiertos permiten que todas las redes se conecten a todas las redes. Esto es lo que hace posible que cualquiera pueda crear contenido ofrecer servicios y vender productos si necesitar el  permiso de una autoridad central.[6]

fuente: https://www.cisco.com/c/es_mx/support/docs/security-vpn/ipsecnegotiation-ike-protocols/119425-configure-ipsec-00.html

Configure la directiva IKEv1 y habilite IKEv1 en la interfaz exterior Para configurar las directivas del Internet Security Association and Key Management Protocol (ISAKMP) para las conexiones

IV. MANUAL DEL SISTEMA PARA CIFRAR Y/O PROTEGER EL TRÁFICO DE LOS PROTOCOLOS TCP/IP DE LA EMPRESA, PARA EVITAR QUE RASTREEN LA INFORMACIÓN DE LA RED ,

IKEv1, ingrese el comando crypto del de la directiva ikev1 :

CUALQUIERA DE LOS HALLADOS DENTRO DE LAS REFERENCIAS ESTUDIADAS.

habilitar IKEv1 en la interfaz que termina el túnel VPN. Para proteger el trafico de la red se debe proteger mediante IPSec (ACL de cifrado).

Típicamente, ésta es la interfaz del exterior (o público). Para

Donde esta configuración se debe contar con conocimientos en IOS de Cisco

name> el comando en el modo de configuración global: crypto ikev1 enable outside

Cisco ASA Conceptos generales del IPSec

habilitar IKEv1, ingrese el ikev1 crypto habilitan
Configure el grupo de túnel (el perfil de la conexión de LAN a LAN)

Requisitos de las firmas digitales

Para un túnel de LAN a LAN, el tipo del perfil de la conexión

La firma digital es válida. Una entidad de certificación en la que confíe el sistema operativo debe firmar el certificado digital en el que se basa la firma digital.

es ipsec-l2l. Para configurar la clave del preshared IKEv1, ingrese al modo de configuración de los IPSec-atributos del grupo de túnel:

Debe cumplir con los siguientes requisitos:

El certificado asociado a la firma digital no ha caducado. La persona o la organización que firma (conocida como el  publicador) es de confianza para el destinatario.

tunnel-group 172.17.1.1 type ipsec-l2l tunnel-group 172.17.1.1 ipsec-attributes ikev1 pre-shared-key cisco123 Configure el ACL para el tráfico VPN del interés El ASA utiliza el Listas de control de acceso (ACL) para

El certificado asociado a la firma digital ha sido emitido para el publicador firmante por una entidad de certificación acreditada.

distinguir el tráfico que se debe proteger con la encripción de IPSec contra el tráfico que no requiere la protección. Protege

Por ejemplo

los paquetes salientes que hacen juego un motor del control de

Microsoft Office Word 2007, Microsoft Office Excel 2007 y

la aplicación del permiso (ACE) y se asegura de que los

Microsoft Office PowerPoint 2007 detectan si la firma es

 paquetes de entrada que hacen juego un permiso ACE tenga

valida

 protección.[5] Firmas digitales en el entorno empresarial

V. PROCEDIMIENTO A SEGUIR PARA CREAR LAS FIRMAS Y CERTIFICADOS DIGITALES DE CADA UNO DE LOS JEFES DE DEPARTAMENTO DE LA EMPRESA,  SÓLO REALIZAR EL PROCESO DE UNO PERO REGISTRAR TODAS LAS FIRMAS Y CERTIFICADOS REALIZADOS, DENOTANDO QUE ES FIRMA DIGITAL MÁS NO FIRMA DIGITALIZADA O FIRMA ELECTRÓNICA .

(5  DEPARTAMENTOS:

SISTEMAS,  TALENTO HUMANO, CONTABILIDAD , TRANSPORTE, MENSAJERÍA Se va describir el proceso de

la creación de la firmas

certificadas digitales. Antes de iniciar el procedimiento se debe tener en claro en que consiste una firma digital Una

firma digital

son

certificados

digitales

son

comprobadores de identidad emitidos por un tercero de confianza, conocido como entidad de certificación (CA). Funcionan de forma similar a los documentos de identidad estándar en un entorno que no sea electrónico. Utilidades de las firmas digitales

Permiten establecer unas medidas de autenticación: Autenticidad, Integridad, No renuncia

En los siguientes ejemplos se puede evidenciar como se puede aplicar una firma digital dentro del entorno empresarial. “SEGURIDAD 1. Un empleado de la empresa SEGURA”  usa Office Excel 2007 para crear un informe de gastos. A continuación, el empleado crea tres líneas de firma: una para sí mismo, otra para su  jefe y una para el departamento de contabilidad. Estas líneas se usan para identificar que el empleado es el autor del documento, que no se produce ningún cambio en el documento mientras le llega al administrador y al departamento de contabilidad y que hay una prueba de que tanto el administrador como el departamento de contabilidad han recibido y revisado el documento. 2. El jefe recibe l documento y agrega una firma digital confirmando los pasos anteriores y posteriormente realiza el envio al deparamento de contabilidad con el fin de que se realice el respectivo pago. 3. Un representante del departamento de contabilidad recibe el documento y lo firma, lo que confirma la recepción del documento. En la anterior situación se puede evidenciar la importancia de implentar este sistema de seguridad en documento debido que tiene la posibilidad de agregar varias firmas a un único documento de 2007 Office System. Además de la firma digital, el firmante del documento puede agregar un gráfico de su firma real, o usar un equipo Tablet PC  para escribir realmente una firma en la línea de firma del documento.[7]

Procedimiento Tabla 1.Inicia proceso de solicitud firma digital

Actividad Realizar la solicitud de las necesidades de certificados de firma digital, certificados digitales y/o certificados de servidor seguro SSL

Entregar requerimientos de certificados de firma digital, certificados digitales y/o certificados de servidor seguro SSL

Elaborar los estudios previos para la adquisición y /o renovación de los certificado digitales.

Descripción

Responsable

El Grupo de Soporte Tecnológico envía comunicación a todas las dependencias del Instituto (una vez al año), solicitando la cantidad de certificados de firma digital Las áreas del Invima envían los requerimientos de certificados de firma digital, certificados digitales y/o certificados de servidor seguro SSL, mediante oficio o correo electrónico del director o jefe de oficina al Grupo de Soporte Tecnológico. Se recibe la información de todas las entidades, se  procede a elaborar un documento  basado en unos estudios

Grupo de Soporte Tecnológico

Invima, que requieren de firma digital en la emisión de algunos documentos como certificados, oficios e.tc 2. Certificado digital almacenado en token criptográfico: Es

Todas dependencias Instituto

las del

Grupo Soporte Tecnológico/Grupo de Gestión Contractua

Fuente: https://www.invima.gov.co/procesos/archivos/TIC/GSI/TIC-GSIPR001.pdf

 para uso de los funcionarios de la  –  VUCE Ventanilla Única de Comercio Exterior (para el visto bueno de licencias de importación) y SIIF Nación  –  Sistema Integrado de Información Financiera (para  procesos relacionados con el área financiera y presupuestal). 3. Certificado de servidor seguro (Certificado SSL): proporciona

autenticación y  privacidad de la información entre extremos sobre Internet mediante el uso de criptografía Fuente: https://www.invima.gov.co/procesos/archivos/TIC/GSI/TIC-GSIPR001.pdf

2. Realizar el proceso de gestión y asignación de certificados de firmas digitales. Tabla 2.Segunda etapa proceso.

Solicitar asignación renovación certificado firma digital

la Las solicitudes de o certificados, del  pueden ser de tres de (3) tipos: Certificado 1. digital almacenado en archivo PKCS#12:  s para

uso de directivos  personal autorizado

los y del

Todas las dependencias del Instituto y Grupo de Soporte Tecnológico

.NOTA: Para los casos de los certificados 1 y 2, el director o  jefe de oficina informa al grupo de soporte tecnológico la necesidad del certificado de firma digital o certificados digitales, para los funcionarios de la dependencia, enviando la solicitud y adjuntando los documentos digitalizados correspondientes, a la Mesa de Ayuda o por correo electrónico. Se requiere los siguientes documentos: - Acta de posesión, resolución y/o decreto de posesión. - Fotocopia de la cédula de ciudadanía ampliada al 150% Para el caso 3, la solicitud se realiza por correo electrónico entre los funcionarios del Grupo de Soporte Tecnológico por ser un trámite de tipo interno. Para este caso, no se genera ticket.

Tabla 3.Siguiendo los pasos fase 2

Una vez recibido el requerimiento, se registra la solicitud en el sistema de mesa de ayuda y se escala al funcionario correspondiente del Grupo de Soporte Tecnológico. Realizar la El funcionario o del solicitud a la contratista Entidad Grupo de Soporte Certificadora Tecnológico ingresa a la  plataforma de la entidad certificadora, diligencia el formulario establecido por la entidad y adjunta los documentos requeridos Generar el ticket

Grupo de Soporte Tecnológico

Certificado digital almacenado en token criptográfico:

Grupo de Soporte Tecnológico

Tercera Fase Tabla 4.Tercera Fase

el la

La respuesta de la entidad certificadora llega al usuario solicitante en cualquiera de los dos casos expuestos a continuación: Certificado digital almacenado archivo PKCS#12:

en

La entidad emite un link link de descarga del certificado al correo electrónico del suscriptor del certificado de firma digital, quien debe diligenciar los datos solicitados y enviarlos

Contraseña de acceso es enviado  por la entidad certificadora al usuario suscriptor del servicio de certificado digital en un sobreflex sellado. Cuando se trata de la respuesta a un Certificado de servidor seguro (Certificado SSL):  La entidad

Fuente: https://www.invima.gov.co/procesos/archivos/TIC/GSI/TIC-GSIPR001.pdf

Recibir Certificado emitido por entidad Certificadora

nuevamente a la entidad certificadora.

Funcionario encargado de la Entidad Certificadora y Funcionario Suscriptor del Certificado correspondiente.

certificadora emite correo electrónico de respuesta dirigido al funcionario responsable del Grupo de Soporte Tecnológico y si es el caso, con copia al usuario solicitante del Grupo de Soporte Tecnológico. Fuente: https://www.invima.gov.co/procesos/archivos/TIC/GSI/TIC-GSIPR001.pdf

 Nota : Esta actividad se realiza solo para las solicitudes de certificado digital almacenado en archivo PKCS#12- Token Virtual, para los funcionarios autorizados (DIRECTOR(A) GENERAL, DIRECTORES) y que firmen las certificaciones automáticas y las notificaciones sanitarias obligatorias. Tabla 5.Esperando respuesta,

Solicitar la El suscriptor, una inscripción de la vez cuenta con el firma en certificado, remite Cancillería  por correo electrónico o solicitud a la Mesa de Ayuda, el certificado que descarga para la respectiva inscripción de la

Suscriptor del certificado de firma digital / Grupo de Soporte Tecnológico.

firma del Usuario en Cancillería. Una vez realizado el registro se emitirá una respuesta ya que si la: Respuesta positiva:

es

El Grupo de Soporte Tecnológico remite la llave  pública del certificado de firma digital del funcionario aprobado, a la cancillería Pero si la respuesta es  NEGATIVA: Se debe preguntar las razones y devolvernos a realizar nuevamente la solicitud. Fuente: https://www.invima.gov.co/procesos/archivos/TIC/GSI/TIC-GSIPR001.pdf

El funcionario encargado del Grupo de Soporte Tecnológico, realiza la actualización de la llave privada en la base de datos de los de los sistemas de información según corresponda.

Tiempo para el reparto o asignación del requerimiento (1 día) + Tiempo máximo entidad certificadora (8 días calendario) + Tiempo actividades en aplicativos (1 día hábil) + Tiempo instalación (1 día hábil) = 11 días  Nota 1: para los casos de Certificado digital almacenado en archivo PKCS#12 - Token Virtual, se debe sumar tres (3) días más para la solicitud de la inscripción de la firma en Cancillería, en total son 14 días.  Nota 2: Para el caso del Certificado de servidor seguro (Certificado SSL), el tiempo máximo es de 8 días calendario. [8]

VI. CONCLUSIONES Se puede decir el protocolo de seguridad IP es un protocolo sencillo y seguro que se puede implementar con facilidad en un entorno de red el cual se encuentra correctamente. Para la empresa “SEGURIDAD SEGURA” se puede

implementar y hacer funcionar de las VPNs a través del  protocolo IPSec en entornos de red CISCO VII. AGRADECIMIENTOS Agradezco al ingeniero: Ing. Martin Camilo Cancelado por el apoyo constante durante el desarrollo de esta segunda actividad para el desarrollo del curso seguridad en redes. criptografía.

Tabla 6.Iniciar utilizar la firma.

Usar certificados firma digital

los de

Una vez se hayan Todas la ejecutado las dependencias del actividades anteriores, los usuarios pueden iniciar a dar uso adecuado de los tres (3) tipos de certificados, teniendo en cuenta que las contraseñas asignadas son  personales e intransferibles y son de responsabilidad de cada uno de los usuarios solicitantes

Fuente: https://www.invima.gov.co/procesos/archivos/TIC/GSI/TIC-GSIPR001.pdf

¿Cuánto es el tiempo para realizar el procedimiento?

VIII. R EFERENCIAS [1] Rodrigez, C.A. (2011). VPNS a través del protocolo IPSEC y administración de seguridad en Routers cisco. Universidad Libre. Tomado de http://repository.unilibre.edu.co/handle/10901/8811 [2] KAEO, Merike, CCIE, 2002. Diseño de Seguridad en Redes. Una guía practica para crear una infraestructura. Cisco Press. Tomado de:  https://www.casadellibro.com/libro-disenode-seguridad-en-redes/9788420534640/8632067 [3] system and network attack system-national security agency. Router Security Configuration Guide. Principles and guidance for secure configuration of IP Routers, with detailed instructions for Cisco Systems RouterTomado de:

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1 .177.4118&rep=rep1&type=pdf [4] Rodrigez, C.A. (2011). VPNS a través del protocolo IPSEC y administración de seguridad en Routers cisco. Universidad Libre. Tomado de http://repository.unilibre.edu.co/handle/10901/8811 [5] proteger el trafico de la red se debe proteger mediante IPSec (ACL de cifrado). Tomado de: https://www.cisco.com/c/es_mx/support/docs/securityvpn/ipsec-negotiation-ike-protocols/119425-configureipsec-00.html . [6] Como funciona internet tomado de: https://www.internetsociety.org/es/about-theinternet/how-it-works/ . [7] la importancia de implementar un firma digital dentro de una organización. Tomado de: https://technet.microsoft.com/eses/library/cc545901(v=office.12).aspx [8] procedimiento para la solicitud de firmas digitales tomado de: https://www.invima.gov.co/procesos/archivos/TIC/GSI/T IC-GSI-PR001.pdf 

IX. BIOGRAFÍA X. Nancy Zoraida Bayona  –   nació en Paipa-Boyaca el 20 de septiembre del 1992,Se graduó del programa de ingeniera de sistemas de la universidad Abierta a Distancia Unad Cead Duitama. XI.

XII.