FORTALECIMIENTO DEL PERÍMETRO Y DE RED INTERNA. PARTE I.

VÍCTOR VILLAR JARA

HARDENING
INSTITUTO IACC
LUNES 10 DE MAYO DE 2021.
INTRODUCCIÓN.

Esta semana nos fue presentado el concepto de la defensa perimetral, los tipos de
seguridad mejorada del sistema informático, cuáles son las funciones básicas de
defensa y aquellos sistemas específicos que la componen, el operar de manera
integrada o descentralizada, y probar directamente la protección de datos
organizacionales con mencionada implementación, consistente con las mejores
prácticas de la estrategia del Hardening. Además, esta semana discutiremos los tipos
de firewalls que se pueden descubrir y las mejores praxis para implementar
mencionados sistemas emparentados con el endurecimiento.
El objetivo de la Tarea Semana 4 “FORTALECIMIENTO DEL PERÍMETRO Y DE RED
INTERNA. PARTE I.”, es seleccionar los tipos de mecanismos de protección que
pueden dedicarse para la protección perimetral.
DESARROLLO:

DESARROLLO DE LA TAREA:
Lea atentamente el siguiente caso, analice la información de acuerdo a los contenidos
revisados en la semana y conteste las preguntas que se presentan a continuación:

Imagine que usted ha sido contratado por la empresa IACCHARDENING y se le

encarga poder verificar el estado de la seguridad de IACC, pero antes del proceso su
jefatura quiere hacer pruebas de conceptos para planificar el trabajo. Con esta
información debe dar respuesta a las siguientes interrogantes:
1. Realice un cuadro comparativo entre Firewall, Antimalware, IDS, indicando en el
cuadro cuales son los ataques que previenen.

MECANISMOS DE CARACTERÍSTICAS ATAQUES QUE PREVIENEN

PROTECCIÓN
PERIMETRAL

Firewall Instrumento de Filtración por Malware: Son realmente útiles

seguridad que custodia dentro de una empresa, ya que pueden delimitar el
las políticas de accesos tráfico con algunos filtros y bloquear algunas
cercando, rechazando o direcciones IP para los ordenadores, analizando el
admitiendo el tráfico tráfico en ambos sentidos detectando así el
entre dos redes momento que un malware se está comunicando
diferentes generalmente con la red y filtrando información confidencial de
entre una red pública y una empresa.
una red privada.

Antimalware Alude al software Malware: programas que ejecutan alteraciones o

dedicado que busca deterioro en los sistemas sin el conocimiento de
eludir, controlar y sus administradores y/o usuarios, usualmente para
minimizar el impacto tomar control de los equipos cliente (secuestro del
de una ataque sistema o del equipo).
informático.
Spam: correo electrónico de envío masivo no
intencionado por la organización que llega a los
equipos clientes como publicidad o como una
manera de hacer ingeniería social (coger el interés
de un usuario y a posteriori apropiarse de su
información).

Spyware: tipo de malware que tiene por objetivo

capturar información de un sistema o de un equipo
cliente sin el saber de su usuario o los
administradores, para ser enviado posteriormente a
bases de datos o posibles atacantes del sistema.
IDS Sistema de monitoreo y Busca advertir sobre intrusos en la red en caso de
alarmas frente a ataque que los IPS fuesen traspasados, llevando a cabo
de intrusión. un análisis del tráfico de la red para detectar
actividad maliciosa; la diferencia con el IPS es que
este sistema no previene el ataque, solo lo alerta a
las personas correspondientes y registra los
eventos en la base de datos del sistema.
2. Realice una investigación identificando las configuraciones más recomendadas
para un Firewall de capa de aplicación

Como proyecto relacionado con el proceso de implementación del Firewall, y con la

finalidad de llevar a cabo esta estructuración que incremente el estado de la seguridad
de IACC, debemos primero que todo establecer nuestras políticas de seguridad

Según lo que indica Brodbeck, C. [3], Aunque pueda parecer un tópico, la realización
de activos seguros sin una definición previa de sus definiciones parametrizadas es uno
de los aspectos que más frustra a quienes trabajan en proyectos de esta naturaleza.
Por lo tanto, no debemos pensar que tan simples pudieran ser los requisitos de
seguridad sobre una organización como IACC, aun cuando sea una organización que
se basa sobre una arquitectura estudiantil, se debe determinar estándares mínimos
para implementar una alternativa segura, por lo que se recomienda la siguiente
Checklist de verificación para ayudarnos durante el proceso

A) Determinar una directiva predeterminada

La política predeterminada es la acción que se tomará si un determinado paquete o
tráfico cruza el Firewall sin tener una regla que prevea su comportamiento. En este
caso, aunque con algunas variantes, de manera general el tráfico que pueda trasladar
IACC puede ser liberado o bloqueado. Una política predeterminada restrictiva asume
como regla que todo se bloqueará, excepto lo que esté contemplado en las reglas de
permiso. De manera contraria, una política permisiva, libera absolutamente todo,
excepto lo que se configura en las reglas de bloqueo. Obviamente, lo ideal es trabajar
con una política restrictiva, pero eso suele lamentablemente ser un dolor de cabeza,
con muchos accesos legítimos siendo bloqueados, en función de no haber un mapeo
correcto de las aplicaciones que deben ser permitidas para el desempeño estudiantil y
docente.
B) No utilice servicios privados sin VPN
Muy a menudo, el alcance de las organizaciones hoy es totalmente móvil, ya que los
usuarios deben estar conectados fuera de su estructura para tomar sistemas internos
para llevar a cabo sus actividades. En el caso de una arquitectura educacional como
IACC, esta movilidad da las facilidades que se requiere por parte del alumnado,
convirtiéndolo en es un elemento magnífico, pero debe ser muy bien desarrollado para
no descarriarse innecesariamente dando libres accesos a Internet. Por su ligereza, es
tentadora una re-dirección de puertos públicos, tanto para servicios privados o accesos
limitados, así como el caso de los servicios terminales, por ejemplo Microsoft RDS /
WTS. Un correcto acceso externo de la Institución, ya sea para los alumnos de jornada
completa, diplomados, capacitaciones de tránsito, o el profesorado de planta,
requieren un claro mantenimiento remoto, y se precisa claramente usarlo con una VPN.
Esto no lleva a la afirmación de estar ante una buena práctica si necesita ofrecer
servicios privados, internos o externo con la seguridad para aquellos que están en
Internet. Esto nos permite dar garantías no solo a la seguridad en el acceso, sino
también al control, que se combinan entre ambas acciones.

C) Garantice el no repudio en los accesos internos o externos

No repudio es un constituyente básico dentro de un ordenamiento de seguridad y,
básicamente, dentro de una Institución estudiantil como IACC, personifica el generar
mecanismos por medio de los cuales los usuarios tanto estudiantes como docentes
pueden ser identificados sólo de modo seguro, sin que los mismos puedan aducir que
no hizo determinada actividad o acceso. Al traducir esto a un buen hábito o practica de
implementación de firewalls, queremos enfatizar el valor de trabajar con autenticación o
identidades únicas de usuarios, abstrayendo el control de accesos por equipo.
Generamos un ordenamiento de autenticación, preferentemente centralizada, e
integramos la alternativa de Firewall para asegurar que los accesos a Internet, desde
fuera, así como internamente, sean debidamente autenticados. Esto garantizará una
mayor seguridad y trazabilidad ante siniestros, entre otras facilidades importantes de
rastreo, de uso y de cumplimiento con la política de seguridad de la institución IACC.
D) Construya una política de acceso seguro para los visitantes
Puede ser muy cotidiano brindar acceso a Internet a los visitantes o invitados que
tuvieran que hacer uso de las redes institucionales del IACC, pero si esto se hace de
manera inadecuada, podemos acarrear considerables problemas. Múltiples
estudiantes, expositores y visitantes inevitablemente requerirán que la institución
educacional les de acceso a Internet durante un determinado tiempo o espacio, por lo
que la mejor elección es crear condiciones adecuadas para todos ellos. Dicha
estructuración debe encontrarse apartada de manera lógica o física de nuestra
estructura de trabajo interno del IACC. Hay abundantes justificaciones, pero una de las
principales es el que no tenemos un controlar positivo de un el dispositivo foráneo, por
lo que es muy difícil calcular su seguridad. Los dispositivos ajenos a nuestro control
lógico o físico, pueden contener y traer a la institución amenazas intencionales u
oportunistas, es por este motivo la importancia de ramificar e identificar un gran número
de accesos, controlando de cierta manera estos, objeto evitar posibles problemas al
momento de declarado un incidente, junto con el compartimentar el acceso disminuye
la relación entre eventos y riesgos laborales dispares al accesos de invitados y
colaboradores. Otro elemento sustancioso de estas redes es su apuesta por la
trazabilidad de los usuarios. Esto simboliza la necesidad de algún mecanismo, como un
portal obligatorio, para garantizar en caso que sea necesario asociar un acceso
inadecuado a un visitante o estudiante invitado.

E) Cree políticas de acceso por grupos de interés

El tener una sola estrategia para establecer las necesidades de todos dentro de IACC
puede ser muy complejo y no complacerá o perjudicará en iguales condiciones la
productividad de algunos profesores o alumnos. Por consiguiente, cuando definimos
una estrategia para implementar un Firewall, debemos verificar la perspectiva de
generar una organización de transferencia basada en grupos de un mismo interés,
pudiendo ser departamentos, escuelas, especialidades, facultades o las que estén
convenientemente asociadas en razón de la seguridad con la productividad. Las
políticas de acceso demasiado rígidas pueden ocasionar problemas, especialmente en
el rendimiento de los alumnos, quienes son el mayor numero en demanda, agregando
a esta instancia la motivación que pudiera verse afectada el ellos. Lamentablemente,
no se puede flexibilizar todos los departamentos y en muchos casos nuestra política
debiera ser muy estricta aplicada de forma horizontal. Es evidente el estimar un ajuste
con excepciones que si bien pueden ser un riesgo, al menos este tendrá un control en
caso de incidente o emergencia.

F) Utilice una DMZ o una red privada para servicios públicos

Si IACC estimas ofrecer determinados servicios de manera pública en Internet, como
portales de alumnos y docentes, portales de biblioteca, classroom para clases
telemáticas, servicios de correo electrónico y diferentes sitios web, se debe crear una
red separada para todos ellos y dejar que el Firewall administre el acceso entre sus
redes internas. Mencionamos esto como una medida de seguridad fundamental y
extremadamente en praxis, porque en caso de que nuestro servicio DMZ se viera
amenazado, el posible atacante no podrá ingresar a la red de administración IACC ni
obtendrá otros accesos, ya que el Firewall no debiera permitir que la red genere
conexiones para un segmento de otra red. DMZ proporciona una encapsulación para el
atacante que pudiera estar amenazando, y solo podrá propagar su ataque en otros
servicios o terminales dentro de la propia DMZ, solo así podemos asegurar los
servicios internos de bases de datos y aplicaciones sensibles.

G) Cree un proceso de administración de cambio en el Firewall

Este sin duda debe ser uno de los requerimientos mas complejos dentro de una buena
gestión de la seguridad de la información para IACC, el garantizar la calidad y
cumplimiento de los contenidos implementados en cierta cantidad de tiempo. Se hace
necesario crear un proceso básico para la gestión de cambios. Solo de esta manera
podemos asegurar que cualquier alteración en nuestra estrategia deberá pasar por un
análisis de viabilidad y riesgo básico, y sobre este análisis, iniciar el requerimiento para
el cambio, con lo cual debemos actualizar en documento nuestra estrategia de cambio.
La documentación de las estrategias es de vital importancia ya que esta dará
continuidad en el tiempo a los cambios o implementaciones que debamos hacer a
nuestros firewalls.
H) Observe el comportamiento de la red y actualice las políticas de acceso
IACC debiera tener en cuenta que sus políticas de acceso no tiene que ser algo
absoluto o definitivo, sobretodo al advenimiento de su implementación y alineamientos
con sus firewalls, ya que se entiende que al principio tendremos mucha información de
entrada. El observar el comportamiento de la red nos trae en circunstancia establecer
el Firewall con políticas permisivas durante los primeros días o semanas, de esta base
ir incrementando los recursos tecnológicos aplicados. De esta forma recogemos
información para generar los perfiles de accesos favoreciendo la creación de nuestra
arquitectura y de las propias directrices de IACC. Lo sustancioso es tener un proceso
constreñido de reconocimiento del uso de la red, de los incidentes de seguridad y
actualizar las políticas de acceso de acuerdo a nuestra necesidad, equilibrando la
intención de seguridad con la funcionalidad de todo la exigencia de la institución. Se
recomienda al principio un grupo destinado a la seguridad (SOC/SIEM), pero en caso
contrario IACC puede regular su reconocimiento a través de informes por correo
electrónico para rastrear del ambiente de trabajo.

I) Auditoría
De modo más incisivo que el seguimiento normal del comportamiento de la red IACC,
el proceso de una auditoría a la seguridad no necesariamente es distinguida como
buena práctica de implementación, pero si se entiende como un procedimiento
recurrente dentro de la estructura de seguridad de IACC. Es por tanto que la auditoría
comprometerá una conformidad dentro de nuestra política junto a sus activos de
seguridad a un prolongado tiempo, en caso de acaecer una divergencia, si los
procedimientos debieran ser actualizados, o inclusive algunos elementos corresponde
ser debidamente removidos. El trabajo de auditoría se puede llevar a cabo de manera
interna en IACC, pero dependiendo del tipo de implementación, pudiera requerir
auditoría externa. A máxima exigencia, su cumplimiento acaba siendo
independientemente del tamaño y la madurez de tenga IACC, relacionándose
directamente con el alcance que este quiera declarar, y su seguridad dependerá de las
buenas prácticas junto a la gestión de seguridad dentro de sus dispositivos de Firewall,
y que en determinados casos también se pudieran prolongar a otros activos.
3. Realice una investigación sobre la VPN Híbrida indicando los escenarios en los
que se puede implementar.

Según la publicación AT&T Business. (n.d.).[6], define a la VPN Híbrida como la

conjunción de los protocolos IPSec híbrido y VPN MPLS.

Debemos comprender primeramente que La seguridad del protocolo de Internet

(IPsec) es un conjunto de protocolos definidos por el Grupo de trabajo de ingeniería de
Internet (IETF) para asegurar el intercambio de paquetes a través de redes IP / IPv6 no
protegidas como Internet. MikroTik Wiki. (2021, April 1)[7].
A su vez La conmutación de etiquetas multiprotocolo (MPLS),es una forma de asegurar
conexiones confiables para aplicaciones en tiempo real, pero es costosa. Con MPLS, la
primera vez que un paquete ingresa a la red, se asigna a una clase de equivalencia de
reenvío (FEC) específica, que se indica agregando una secuencia de bits corta (la
etiqueta) al paquete.Johnson, N. W. A. J. T. (2018, March 16)[8].

La VPN híbrida combina una VPN basada en conmutación de etiquetas multiprotocolo

(MPLS) y seguridad de protocolo de Internet (IPsec). Por lo general, usará IPsec VPN
en algunos sitios y MPLS VPN en otros sitios, pero también puede usar ambos en el
mismo sitio al mismo tiempo, y IPsec VPN se puede usar como respaldo para MPLS
VPN. IPsec VPN se basa en CPE, lo que significa que ciertos dispositivos en las
instalaciones del cliente (generalmente enrutadores o dispositivos de seguridad
multifunción) se utilizan para cifrar datos y formar túneles VPN. Por otro lado, los
operadores proporcionan MPLS VPN que utilizan equipos en la red del operador. Para
conectar los dos, necesita una puerta de enlace que termine el túnel IPsec en un lado y
lo asigne a la VPN MPLS en el otro lado mientras mantiene la seguridad que la VPN
pretende proporcionar.
Cuándo deberíamos implementar y usar IPsec y VPN híbridos en IACC.

Las organizaciones utilizan VPN híbridas porque tiene sitios donde no tiene sentido
utilizar solo MPLS. MPLS tiene muchas ventajas sobre la conexión pública a Internet,
pero su precio es más alto. Puede que para IACC no sea rentable utilizar MPLS en
determinados sitios, por ejemplo, sedes de estudio pequeñas u oficinas que trabajen
sus clases de manera telemática desde el hogar, donde los requisitos de ancho de
banda son limitados. El planteamiento estratégico para hacer que una configuración de
VPN híbrida sea fácil de administrar, es aprovechar una configuración de concentrador
y sucursal, en la que los sitios remotos estén conectados a un solo sitio central. Si sus
sedes o casa de estudio remotas necesitaran conectarse directamente entre sí,
entonces el usar MPLS puede ser mejor. Con una VPN híbrida, administrar todos los
túneles IPsec necesarios se vuelve rápidamente inconveniente. MPLS tiene una
función de red de malla que viene incorporada lo que la hace mejor candidato. En
algunos casos, las conexiones públicas a Internet pueden ser "suficientemente
buenas", pero la seguridad seguirá siendo un problema para la institución.

IPsec VPN puede proporcionarle a IACC la seguridad necesaria a un costo

relativamente bajo. En muchos casos, el diseño de HUB y Radios funcionaria bien. Por
ejemplo, es posible que sedes o casa de estudio solo necesiten conectarse a la sede
central de vez en cuando. IPsec también es adecuado para los alumnos como usuarios
móviles personales, ya que se pueden instalar clientes de software para permitir que
IPsec VPN los conecte a la red IACC de forma segura.
CONCLUSIÓN.

La defensa perimetral es la primera defensa que tiene una organización y, para ellos, la
configuración correcta es crucial. Sin embargo, no debemos olvidar que esta es una de
las muchas defensas que debe tener la empresa. Por tanto, defender es una de las
acciones más difíciles en ciberseguridad, porque es un enemigo, en realidad no ha
aparecido, y cuando lo vemos es demasiado tarde.
Terminada la Tarea Semana 4 podemos comparar los tipos de dispositivos que
permiten fortalecer la seguridad de la red interna y perimetral y los tipos de ataques que
pudieran prevenir, discriminar los tipos de firewalls y las configuraciones de reglas que
ayudan al fortalecimiento, distinguir los tipos de VPN y los escenarios en los que se
pueden implementar.
BIBLIOGRAFÍA:

[1].- IACC (2020). Fundamentos del perímetro y de red interna Parte II. Hardening.
Semana 4.
[2].- Accensit. (2017, 18 agosto). Seguridad perimetral informática: Información
necesaria. Accesión. https://www.accensit.com/blog/seguridad-perimetral-
informatica-informacion-necesaria/
[3].- Brodbeck, C. (2018, 16 febrero). Implementación de firuletes: echa un vistazo a
las buenas prácticas. COSTE Blog.
https://ostec.blog/es/seguridad-perimetral/implementacion-de-firewalls-buenas-
practicas
[4].- Bustos, E. (2007). Componentes básicos para una red segura bajo VPN.
INVENTUM, 2(3), 27-
36.https://doi.org/10.26620/uniminuto.inventum.2.3.2007.27-36
[5].- Concepto. (2020). Concepto Firewall. https://concepto.de/Firewall/
[6].- AT&T Business. (n.d.). When Does Using Hybrid Virtual Private Networks Make
Sense? Retrieved May 10, 2021, from https://www.business.att.com/learn/tech-
advice/what-is-a-hybrid-vpn-.html
[7].- MikroTik Wiki. (2021, April 1). Manual:IP/IPsec - MikroTik Wiki.
Wiki.Mikrotik.Com. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
[8].- Johnson, N. W. A. J. T. (2018, March 16). What is MPLS: What you need to
know about multi-protocol label switching. Network World.
https://www.networkworld.com/article/2297171/network-security-mpls-
explained.html