1

DISEO DEL MODELO DE SEGURIDAD DE DEFENSA EN

PROFUNDIDAD, EN LOS NIVELES DE USUARIO, RED
INTERNA Y RED PERIMETRAL EN BASE A LA NORMA
ISO/IEC (MARZO 2015)
Autor: Zura A.
Director: MSc. Maya E.
Resumen El GAD Municipal de Otavalo proporciona distintos
servicios de telecomunicaciones en beneficio de la poblacin, para
ello posee una red de datos distribuida en red interna, enlaces
inalmbricos y acceso a las TICs tanto en el sector urbano como
en el rural; razn por la cual es importante que su infraestructura
ofrezca alta disponibilidad y calidad de servicio, soportando
grandes cantidades de trfico, adems de poseer escalabilidad,
flexibilidad y seguridad.
El presente trabajo plantea un diseo de modelo de seguridad
multicapa, conocido como defensa en profundidad; el mismo que
ser aplicado en tres niveles; en el nivel de usuario se elabor un
Manual de Normas y Procedimientos de seguridad de
informacin en base a la Norma ISO IEC 27002, el cual se
socializ en conjunto con el administrador de red hacia los
usuarios; en el nivel de red interna se dise un modelo
jerrquico basado en el estudio por capas; y en la red perimetral
mediante herramientas de deteccin de intrusos basados en
motores Suricata bajo una plataforma unificada denominada
SELKS.
Adems mediante un presupuesto referencial se demostr que
es posible migrar de una solucin propietaria a una solucin bajo
software libre; lo que permite minimizar costos y aprovechar
mejor los recursos.
I. INTRODUCCIN
Sophos UTM, los cuales se han configurado con mnimas
polticas de seguridad basadas en la restriccin de pginas
web para la intranet, polticas que no son suficientes para
prevenir ataques de acceso, de modificacin, as como tambin
ataques de denegacin de servicios, entre otros; haciendo que
la red sea aun vulnerable tanto externa como internamente.
Debido a estos inconvenientes, ser necesario
implementar mecanismos que permitan contrarrestar estas
vulnerabilidades, tomando en cuenta que el nivel de seguridad
no solo se debe considerar de forma interna sino fuera de ella,
por lo que se debe segmentar la red aplicando controles de
listas de acceso hacia las VLANs, implementar el modelo de
seguridad basado en la Defensa en Profundidad en los
niveles de usuario, red interna y red perimetral; y considerar
nuevas polticas de seguridad que ayudar a prevenir ataques,
detectndolos a tiempo y dando una respuesta oportuna para
evitar daos posteriores.
II. ANLISIS DE LA SITUACIN ACTUAL DE LA RED
DE DATOS
Existen varias metodologas para realizar el anlisis del
nivel de seguridad de informacin dentro de una organizacin.
En ste caso de estudio se eligi la metodologa de OSSTMM1

E n la actualidad las instituciones pblicas tienden a

proporcionar distintos servicios de telecomunicaciones en
beneficio de la poblacin. El GAD Municipal de Otavalo no es
la excepcin, ya que posee una red de datos distribuida en red
interna, enlaces inalmbricos y acceso a las TICs tanto en el
sector urbano cmo en el rural. Para lograr dicho objetivo, en
los ltimos aos hn mejorado su infraestructura.
(Manual de la Metodologa Abierta de Testeo de Seguridad)
debido a las ventajas y caracteristicas que esta metodologa
ofrece.
Esta metodologa abarca toda la seguridad operativa, y
comprometerse en las diferentes reas o canales como lo
describe el manual, y se observa en la Tabla I:

Ao tras ao ha incremento los usuarios de la red del GAD

Municipal de Otavalo, causando dificultad en la
administracin de la red ya que no se ha tomado las
consideraciones de segmentacin en la misma, ocasionando
cada en la enlaces. Pero el aumento de los usuarios no solo
trae consigo problemas de administracin, sino tambin
problemas en la seguridad de la informacin, a pesar de que
este tema ha sido tomado en cuenta y que no se ha presentado 1 Representa uno de los estndares profesionales ms completos y
ningn tipo de amenaza o ataque activo, se ha tomado como utilizados en Auditoras de Seguridad para analizar la Seguridad de los
un mecanismo de seguridad, la adquisicin de dos Firewalls Sistemas. Describe minuciosamente, las fases que habra que realizar para la
ejecucin de la auditoria. (Alvarado)
 2

Tabla I

MBITO DE OSSTMM

Seguridad Fsicaa Seguridad de Espectroa Seguridad de Comunicacionesa

Comunicaciones
Humanob Fsicob Telecomunicacionesb Redes de Datosb
Inalmbricasb
Comprende el Comprende el Comprende todas las Comprende todas las Comprende todos
elemento humano de elemento tangible comunicaciones redes de los sistemas
la comunicacin. de la seguridad. electrnicas, seales, y telecomunicacin, electrnicos y
las emanaciones que se digitales o analgicas. redes de datos.
producen en el (EM).
Nota: La tabla fue adaptada de (Herzog, OSSTMM 3.0)
a
Clases: Son definidas como reas de estudio, de investigacin o de operacin.
b
Canales: son los medios especficos de la interaccin con los activos .

A. CANAL HUMANO

La evaluacin de seguridad en el canal humano, fue enfocada a
al nivel de acceso y confianza que ste factor proporciona en
la seguridad de la informacin. Para ello se realize pruebas de
observacin directa y de ingeniera social, con lo que se pudo
obtener informacin valiosa que compormete la seguridad de
la informacin.
Los resultados obtenidos se muetsran en la Fig.1, los mismos
que reflejan acorde a los parmetros de la metodolga que la
seguridad operacional es bastante baja, tomando en cuenta que
sta evala las diferentes polticas y procedimientos
implementados por la administracin.
Al ser los controles los mecanismos de seguridad puestos en
marcha para proteger las operaciones, cabe recalcar que se
tiene mucha prioridad en cuanto a la indemnizacin del
personal, ms no as en otros controles que son totalmente
nulos como la Subyugacin y la Continuidad.
Las limitaciones se ponderan individualmente, pero stas se
relacionan directamente con algunos controles y seguridad
operacional, es as que debido a ello se tiene limitaciones nulas
como en el no repudio; y casi nulas en cuanto a
confidencialidad, privacidad, integridad y alarma.

B. CANAL FSICO

La evaluacin de seguridad en el canal fsico, fue enfocada

al nivel de acceso al cuarto de equipos, a la disponibilidad de
los dispositivos, y sobre todo a la respuesta ante
eventualidades del mismo.

Los resultados obtenidos se muetsran en la Fig 2., los

mismos que reflejan acorde a los parmetros de la metodolga
que la seguridad operacional es relativamente alta, tomando en
cuenta que sta evala las diferentes polticas y
procedimientos implementados por la administracin. Esto
refleja la prioridad que se le ha dado a la seguridad fsica.

Al ser los controles los mecanismos de seguridad puestos en

marcha para proteger las operaciones, cabe recalcar que de
acuerdo al test realizado, lamentablemente no se tienen
implementados controles respectivos a la seguridad fsica,
siendo sta un blanco para los atacantes informticos.

Las limitaciones se ponderan individualmente, pero stas se

relacionan directamente con algunos controles y seguridad
operacional, es as que debido a que los valores en seguridad
operacional son relativamente altos, estos valores predominan
Fig. 1 Resultado del clculo de RAVs en el canal humano
Fuente: Calculadora OSSTMM
para que el clculo de las limitaciones sea tambin
relativamente alto. Y resulta as una gran preocupacin debido

a que se tiene una limitacin de vulnerabilidad muy alta en
relacin a los dems valores.
Fig. 2. Resultado del clculo de RAVs en el canal fsico.
Fuente: Calculadora OSSTMM
C. CANAL DE TELECOMUNICACIONES
La evaluacin de seguridad en el canal de
telecomunicaciones, se realiz un mapa de los protocolos de
comunicacin con la ayuda del software NetScan, con el que
se realiz un escaneo de puertos, dejando en evidencia el nivel
de acceso que se tiene a las apliaciones.
Los resultados obtenidos se muetsran en la Fig.3, los
mismos que reflejan acorde a los parmetros de la metodolga
que la seguridad operacional es alta, principalmente en el
aspecto de Confianza, en el que se ha considerado todos los
puertos que estn abiertos, analizando el porqu de su estado.
Esto refleja la importancia que se le ha dado a la seguridad de
las telecomunicaciones.
Al ser los controles los mecanismos de seguridad puestos en
marcha para proteger las operaciones, cabe recalcar que de
acuerdo al test realizado, se tienen nicamente controles de
Indemnizacin, autenticacin y privacidad; mientras tanto los
dems controles son nulos; dejando as una brecha para la
inseguridad de la informacin.
Las limitaciones se ponderan individualmente, pero stas se
relacionan directamente con algunos controles y seguridad
operacional, es as que debido a que los valores en seguridad
operacional son relativamente altos, estos valores predominan
3
para que el clculo de las limitaciones sea tambin
relativamente alto. Es as que resaltan limitaciones como las
Vulnerabilidades, debilidades y exposiciones las mismas que
reflejan una administracin no adecuada que expone a la red a
ciertas amenazas hacia la seguridad de informacin.
Fig. 3. Resultado del clculo de RAVs en el canal telecomunicaciones.
Fuente: Calculadora OSSTMM
D. CANAL REDES DE DATOS.
La evaluacin de seguridad en el canal de redes de datos, se
realiz con el uso de sniffing de red para identificar los
protocolos que emanan respuesta de los servicios de red o
peticiones en su caso. Por ejemplo, Netbios, ARP, SAP, NFS,
BGP, OSPF, MPLS, RIPv2, etc.
Los resultados obtenidos se muetsran en la Fig.4, los
mismos que reflejan acorde a los parmetros de la metodolga
que la seguridad operacional es demasiado alta,
principalmente en el aspecto de Confianza, en el que se ha
utilizado metodologas de sniffing de red para identificar los
protocolos que emanan respuesta de los servicios de red o
peticiones en su caso.
Al ser los controles los mecanismos de seguridad puestos en
marcha para proteger las operaciones, cabe recalcar que de
acuerdo al test realizado, ay valores nulos en controles como
subyugacin, no repudio, confidencialidad e integridad;
dejando as una brecha para la inseguridad de la informacin.

Las limitaciones se ponderan individualmente, pero stas se
relacionan directamente con algunos controles y seguridad
operacional, es as que debido a que los valores en seguridad
operacional son muy altos, estos valores predominan para que
el clculo de las limitaciones sea tambin relativamente alto.
Es as que resaltan limitaciones como las Vulnerabilidades y
exposiciones las mismas que reflejan una administracin no
adecuada que expone a la red a ciertas amenazas hacia la
seguridad de informacin.
Fig. 4. Resultado del clculo de RAVs en el canal redes de datos.
Fuente: Calculadora OSSTMM
III. DISEO DEL MODELO DE SEGURIDAD DEFENSA
EN PROFUNDIDAD
Dentro del diseo del modelo de seguridad defensa en
profundidad, se plantea normas y polticas de seguridad
establecidas en la norma ISO/IEC 27002, el diseo de la
segmentacin de la red, de igual manera los diseos del
IDS/IPS, firewalls de acuerdo a los resultados obtenidos en el
levantamiento de informacin previa.
A. DISEO DEL MODELO DE DEFENSA EN EL NIVEL
DE USUARIO.
La educacin al usuario mediante normas y procedimientos
es la base de seguridad en el primer nivel del modelo Defensa
en Profundidad; es por ello que, en esta seccin se desarrollar
una gua prctica para el desarrollo de normas de seguridad en
el GADMO, para crear confianza en las actividades de dicha
entidad. (NTE INEN-ISO/IEC 27002, 2009).
Gracias a los resultados obtenidos en el Anlisis de Riesgos
realizados anteriormente con la Metodologa OSTMM, se
4
podr determinar la accin de gestin adecuada y las
prioridades para la gestin de los riesgos de la seguridad de la
informacin, as como para implementar los controles
seleccionados para la proteccin contra estos riesgos. (NTE
INEN-ISO/IEC 27002, 2009)
En base a dichos resultados se ha propuesto crear una gua
de seguridad; la misma que tiene por objetivo mantener y
mejorar la gestin de la seguridad de la informacin en la
organizacin, as como tambin tener una concientizacin en
los funcionarios del GADMO del buen uso de la informacin,
y el cumplimiento de requisitos legales, estatutos,
reglamentos y contractuales que debe cumplir la institucin,
sus socios comerciales, los contratistas y los proveedores de
servicio, as como su entorno socio-cultural. (NTE INEN-
ISO/IEC 27002, 2009).
Dicho manual se estructur en base a los siguientes
dominios que se tomaron de referencia de la Norma NTE
INEN-ISO/IEC 27002:2009:
1. Poltica de la seguridad
2. Organizacin de la seguridad de la informacin.
3. Gestin de activos
4. Seguridad de los recursos humanos
5. Seguridad fsica y del entorno
6. Gestin de comunicaciones y operaciones
7. Control del acceso
8. Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
9. Gestin de los incidentes de la seguridad de la
informacin
10. Gestin de la continuidad del negocio
11. Cumplimiento
B. DISEO DEL MODELO DE DEFENSA EN EL NIVEL
PERIMETRAL.
Para el dieo del modelo de defensa en profundidad en el
nivel perimetral se describen las caractersticas y funciones del
software Suricata, que fue el escogido para el diseo del
IDS/IPS sobre software libre, adems se describe el proceso
para su elaboracin, definiendo los parmetros de
configuracin necesarios para su correcto funcionamiento.
Adicionalmente se describe las caractersticas del Firewall
tanto fsico como lgico del GADMO, as como su
configuracin. Finalmente se describir las aplicaciones de la
granja de servidores y la propuesta de la configuracin de una
DMZ, que permita minimizar los riesgos de seguridad en la
institucin.
1) IDS/IPS
Para la eleccin del sistema de deteccin y prevencin de
intrusos se realiz una previa comparacin entre diferentes
soluciones, sean estas propietarias o bajo software libre, la
misma que se detalla en la Tabla II.
 5

Tabla II

COMPARACIN DE LOS DIFERENTES SOFTWARES LIBRES Y

COMERCIALES DE IDS/IPS.

SISTEMAS DE DETECCIN Y PREVENCIN DE

INTRUSOS
CARACTERSTICAS
BRO SNORT SOLUCIONES SURICATA
COMERCIALES
Multi-Hilos No No No Si
Soporte para IPv6 Si Si Cisco, IBM, Stonesoft Si
IP Reputation Algo No Cisco Si
Deteccin automtica de Si No No Si
protocolos
Aceleracin con GPU No No No Si
Variables Globales/Flowbits Si No No Si
Anlisis Avanzado de HTTP Si No No Si
HTTP Access Logging Si No No Si
SMB Access Logging Si No No Si
Anomaly Detection No No Si No
Alta Disponibilidad No No Si No
GUI de Administracin No No Si No
Gratis Si Si No Si

En base a la comparacin de las diferenctes soluciones, la En la Fig.5 se presenta una representacin grfica de la
eleccin del software a utilizarse en el Sistema de deteccin y ubicacin del sistema de deteccin y prevencin de intrusos.
prevencin de intrusos es Suricata.2

Una vez elegido y configurado el software, el siguiente

paso es la ubicacin fsica del mismo dentro de la red de
datos; el mismo que se pondr entre el firewall y la red
interna, con esta ubicacin se pueden obtener ciertas ventajas,
tales como:

Permite monitorear intrusiones que pueden atravesar

el firewall.
Puede detectar ataques dirigidos contra los
servidores.
Permite identificar ataques y escaneos ms
communes. Fig.5. Ubicacin del IDS-IPS en la red.
Fuemte: Elaborada por Andrea Zura
Como todo sistema de deteccin de intrusos, tambin
existen ciertas desventajas, las mismas que se presentan a 2) FIREWALL
continuacin.
El GADMO cuenta actualmente (Enero 2015) con dos
No permite identificar ataques que utilicen mtodos firewall, ASTARO Gateway 320; los mismos que se
de encriptacin encuentran configurados de modo que protegen la granja de
Dependiendo de la cantidad de trfico el IDS-IPS, servidores de los ataques externos.
puede o no analizarlo todo. Esto depender del
diseo del sistema. Dicho firewall tiene ciertas caractersticas tcnicas que se
2 Suricata es un motor IPS/IDS de cdigo abierto bajo licencia GPLv2y
presentan en la Tabla 2.
desarrollado por la comunidad de OISF (Open Infomation Security
Foundation), es relativamente nuevo pero con muy buenas caractersticas
siendo la ms importante su arquitectura Multi-hilos, adems es totalmente
compatible con las reglas Snort y Emerging Threads. (Alfon, 2011).
 6

Tabla III

|INFORMACIN TCNICA DEL FIREWALL SOPHOS UTM

Especificaciones del
Figura Capacidad
hardware:
Rendimiento del cortafuegos: 3.4 Gbit/s Unidad de disco duro: 160
Astaro Security Gateway 320 Rendimiento de la VPN: 700 Mbit/s GB
Rendimiento del IPS: 1300 Mbit/s Puertos Ethernet: 8
Rendimiento del UTM: 165 Mbit/s Puertos USB: 4
Correos electrnicos por hora: 600,000 Puertos COM: 1 (RJ-45)
Usuarios: Sin restriccin Puertos VGA: 1 (trasero)
Conexiones simultneas: 600,000 Pantalla LCD: 1
Almacenamiento en cuarentena: 60 GB
Almacenamiento de registros/informes: 80
GB.

Adems se realizarn ciertas configuraciones bsicas en el
software, tales como activar el acceso SSH lo que permite al
administrador, acceder de forma remota y segura, en
situaciones en las que no se puedan resolver problemas por
medio del WebAdmin; adems activar el envo automtico de
backups, permitiendo tener stos siempre a mano, para que el
administrador los pueda utilizar cuando los necesite; cabe
recalcar que estos ocupan muy poco espacio y se guardan ya
sea en el servidor o en nuestro correo electrnico, entre otras.
3) ZONA DESMILITARIZADA (DMZ)
Para realizar el diseo de la DMZ se debe tener
conocimiento de todos los servicios que brinda el GADMO, en
que plataformas se encuentran instalados, tanto a nivel de
hardware como software. Adems la granja de servidores se
encuentra protegida por dos Firewall, pero en una distribucin
no recomendada debido a que podra haber intentos de
intrusin.
Teniendo claro los tres elementos principales que forman
parte de la red perimetral, se muestra en la Fig.6, el diseo
planteado para la red de datos del GADMO, en el que se
detalla cada una de estas partes.
Se observa que en la zona desmilitarizada se encuentran los
servicios de Correo electrnico y servidor WEB; los mismo
que se encuentran protegidos por el primer firewall, siguiendo
continuamente del siguiente firewall, adicionalmente se tiene
el IDS-IPS en la ubicacin ya antes explicada el mismo que
permitir conservar la seguridad de la LAN.

Fig.6. Diseo de red perimetral

Fuente: Elaborada por Andrea Zura
 7

C. DISEO DEL MODELO DE DEFENSA EN EL NIVEL En consecuencia, es una importante primera lnea de defensa
DE RED INTERNA para una red.

Considerando la infraestructura y requerimientos actuales Acorde a las caractersticas que se necesitan para los
de la red de datos del GADMO, se propone un modelo switches de acceso, se presenta en la Tabla IV un resumen de
jerrquico y la segmentacin lgica de la red. Brindando as los elegidos con sus respectivas caractersticas.
una solucin que mejore las prestaciones y servicios.
Tabla IV
CARACTERSTICAS SWITCHES CAPA DE ACCESO
1. DISEO DEL MODELO DE RED
Velocidad IEEE
Switch Rendimiento ACL
El modelo jerrquico de red presenta varias ventajas que 802.1Q
permitirn que la red de datos del GADMO sea ms segura,
3COM 2924 MCSa :48Gbps
escalable, redundante, flexible y eficiente. 10/100/1000
SFP 24P MCTb:35,5Mbps

Dicho modelo se basa en el diseo y estructuracin por MCS: 13,6Gbps

3COM 4400
capas independientes que cumple funciones especficas. La 48P
10/100

separacin de la diferentes funciones existentes en una red MCT: 10,1 Mbps
hace que el diseo de la red se vuelva modular, sto facilita la 3COM 2816 MCS: 104 Gbps
escalabilidad y el rendimiento. El modelo de diseo jerrquico 10/100/1000
16P MCT: 74 Mbps
tpico se separa en tres capas: capa de acceso, capa de
distribucin y capa ncleo. (CISCO), el mismo que se presenta 3COM 2226
10/100 MCS: 8.8 Gbps
SFP PLUS 24P
en la Fig. 7.
3COM 2824 MCS: 48 Gbps
SFP PLUS 24P MCT: 35,5 Mbps

3COM 4500G MCS: 13,6 Gbps

48P MCT: 10,1 Mbps

3COM 2928 MCS: 56 Gbps

10/100/1000
SFP 24P MCT:41.7 Mbps

3COM 4500G
10/100 MCS: 8.8 Gbps
24P
3Com 4900
10/100/1000
12P
Figura 7. Modelo jerarquico de red 3Com 4210
10/100
Fuente: Imagen extrada de (CISCO) 18P
3COM 2952 MCS: 104 Gbps.
10/100/1000
48P MCT: 74 Mpps;

En base a dicho modelo se describirn las caractersticas de

los switches con los que cuenta el GADMO; en base a sus
caractersticas sern clasificados en las diferentes capas del Al ser la capa de acceso un enlace directo con el usuario
modelo jerrquico. final, esta integra a todos los equipos finales, tales como,
computadores, cmaras, telfonos IP, scanner, impresoras,
1) Switches de capa de acceso copiadoras, etc.; lo que permite que el administrador controle
todos los equipos que se conecten a la red. Para ello se ha
Los switches de la capa de acceso facilitan la conexin de considerado segmentar lgicamente la red. Se presenta en la
los dispositivos de nodo final a la red. Por esta razn, Fig. 8.
necesitan admitir caractersticas como seguridad de puerto,
VLAN, Fast Ethernet/Gigabit Ethernet, PoE y agregado de
enlaces. La seguridad de puerto permite que el switch decida
cuntos y qu dispositivos especficos se permiten conectar al
switch. La seguridad de puerto se aplica en la capa de acceso.
 8

Fig.8. Switches capa acceso

Fuente: Elaborada por Andrea Zura

VASIST: VLAN de asistentes; la misma que ha sido

En el estudio de la situacin actual se determin que los destinada para el direccionamiento IP de los
usuarios se encuentran agrupados acorde a la funcin que stos asistentes y/o secretarias que nicamente necesitan el
desempean y acorde a los recursos que utilizan. correo electrnico para su trabajo.
VDIREC: VLAN directores; la misma que ha sido
Antes de realizar la segmentacin hay que tener en cuenta destinada para el direccionamiento IP de los
varios aspectos: directores y/o coordinadores, los cuales tendrn
acceso prioritario para todos los servicios.
Se debe asignar a cada usuario una direccin IP, la misma
que no debe ser modificada sin autorizacin; para controlar
Dicha distribucin se muestra en el Tabla V.
esto; se debe asociar la direccin MAC de cada equipo, con la
direccin IP asignada, de tal forma que si las dos no coinciden,
Tabla V
el usuario no podr acceder a la red.
Se debe tener un registro actualizado de los cambios que se
EXTRACTO DE LA DISTRIBUCIN DE VLANS EN LA
registren la infraestructura de la red.
RED DE DATOS DEL GADMO
Segmentacin y Direccionamiento IP
Nombre
Dependencia #VLAN
La segmentacin de una red permite mejorar VLAN
Conmutadores y
significativamente la seguridad, ya que los administradores Enrutadores
VLAN 2 VLAN Native
pueden configurar segmentos de tal forma que transmiten y Servidores VLAN VSERV
reciben paquetes nicamente desde su subred, asegurndose COORDINACIN
TICs Unidad de Desarrollo
que los paquetes no autorizados no se envan dentro o fuera Unidad de Redes VLAN 3 VADMIN
del segmento. Unidad de
Mantenimiento
Para realizar la segmentacin se ha considerado la Director VLAN 4 VDAP
agrupacin que se mantiene en el GADMO, agrupacin por las Tcnicos
diferentes direcciones, coordinaciones y/o jefaturas, funciones Alcantarillado
desempeadas por cada usuario y los recursos que estos usen y AGUA POTABLE Tcnicos VLAN 5 VTAP
necesiten usar. Comercializacin
Tcnicos Laboratorio
Asistentes VLAN 6 VAAP
La distribucin de VLAN se puede diferenciar las siguientes: Alcalda VLAN 7 VALCAL
Auditora Interna
VSERV: VLAN de servidores y equipos; la misma que
ha sido destinada para el direccionamiento IP de los Asesora Jurdica
ALCALDA VLAN 8 VTALCAL
servidores y del equipamiento activo de la Secretara General
Coordinacin de TICs. Fiscalizacin
VADMIN: VLAN de administracin; la misma que ha Asistentes VLAN 9 VAALCAL
sido destinada para el direccionamiento IP de los Director VLAN 10 VDAVAL
administradores de la red, es decir los tcnicos e
AVALUOS Y Avalos Urbanos
ingenieros de la Coordinacin de TICs. VLAN 11 VTAVAL
CATASTROS Avalos Rurales
VTECN: VLAN de tcnicos y colaboradores; la
misma que ha sido destinada para el direccionamiento Asistentes VLAN 12 VAAVAL
IP del personal de todas las direcciones que requieren
el uso pginas web pblicas, pginas web
informativas y/o comerciales y correo electrnico
para su trabajo.
 9

2) Switches de capa distribucin

Ethernet/ 10Gigabit Ethernet, componentes redundantes,
Los switches de capa de distribucin recopilan los datos de polticas de seguridad/listas de control de acceso, agregado de
todos los switches de capa de acceso y los envan a los enlaces y calidad de servicio. (CISCO)
switches de capa ncleo, adems proporcionan funciones de
enrutamiento entre las VLAN. Acorde a las caractersticas que se necesitan para los
switches de acceso, se presenta en la Tabla VI un resumen de
Entre las caractersticas que deben soportar los switches de los elegidos con sus respectivas caractersticas:
capa distribucin son la tasa de envi alta, puertos Gigabit
Tabla VI.

SWITCH 2952 SFP PLUS 48P

Funcionalidades
Rendimiento
SWITCHING DE CAPA 2
SWITCHING DE CAPA 3
Priorizacin de trfico
Seguridad
Descripcin
48 10BASE-T/100BASE-X/1000BASE-T
4 Gigabit SFP ports
Mxima Capacidad de switching: 104 Gbps.
Mxima capacidad de transmisin 74 Mpps;
VLANs basadas en protocolo IEEE 802.1Q
Protocolo Spanning Tree (STP) IEEE 802.1D
Protocolo Rapid Spanning Tree (RSTP) IEEE 802.1w
Rutas estticas: 32
Virtual VLANs Interface: 8
Clase de Servicio/Calidad de Servicio (CoS/QoS) IEEE 802.1p en salida
Filtros ACLs basadas en direccionamiento IP y MAC para filtrar el
trfico de red y mejorar el control de la red.
ACL basadas en tiempo permiten una mayor flexibilidad con acceso a la
red de gestin.

Los switches 3COM 2952 SFP PLUS 48P manejarn los

Consideraciones del diseo
La capa de distribucin agrega los datos recibidos de los
switches de la capa de acceso antes de que se transmitan a la
capa ncleo para el enrutamiento hacia su destino final.
(CISCO)
enlaces de conexin con todos las conexiones hacia los
servidores, conexiones en la red interna as como tambin el
manejo de inter VLANs de la red del GADMO.
Adicionalmente estos equipos se configuraran como backup
asegurando as la disponibilidad de la red. Dicha topologa se
muestra en la Fig.9.

Fig.9. Switches capa distribucin.

Fuente: Elaborada por Andrea Zura
 10

3) Switches de capa ncleo. Gigabit Ethernet/10 Gigabit Ethernet, tener componentes

La capa ncleo de una topologa jerrquica es una
backbone de alta velocidad de la red y requiere switches que
pueden manejar tasas muy altas de reenvo. La velocidad de
reenvo requerida depende en gran medida del nmero de
dispositivos que participan en la red. Por ello un switch de
capa ncleo debe soportar capa 3, sus puertos debern se
redundantes, agregado de enlace y soportar calidad de
servicio. (CISCO).
Acorde a las caractersticas que se necesitan para los
switches de acceso, se presenta en la Tabla VII un resumen del
switch elegido con sus respectivas caractersticas

Tabla VII

SWITCH 3COM 5500 SFP 24P

Funcionalidades Descripcin
Rendimiento 24 puertos 10/100/1000 Mbps
4puertos 1000 Mbps SFP
Mxima Capacidad de switching: 184 Gbps.
Mxima capacidad de transmisin 136.9 Mbps;
SWITCHING DE CAPA 2 VLANs basadas en protocolo IEEE 802.1Q
Protocolo Spanning Tree (STP) IEEE 802.1D
Protocolo Rapid Spanning Tree (RSTP) IEEE 802.1w
SWITCHING DE CAPA 3 Routing basado en hardware
Rutas estticas: 100
Interfaces Virtuales IP: 64
RIP (Protocolo de informacin de ruteo), v1 y v2
Open Shortest Path First (OSPF)
Priorizacin de trfico Clase de Servicio/Calidad de Servicio (CoS/QoS) IEEE
802.1p en salida
Seguridad Las listas de control de acceso basadas en el tiempo

Adems se pudo evidenciar que la topologa actual de la red

Consideraciones del diseo
La capa de ncleo es esencial para la interconectividad
entre los dispositivos de la capa de distribucin, por lo tanto,
es importante que el ncleo sea sumamente disponible y
redundante. Adems puede conectarse a los recursos de
Internet. (CISCO)
de datos del GADMO tiene los switches en configuracin en
cascada por la necesidad de dar servicio a la mayora de los
usuarios, sin embargo esto reduce el rendimiento de la red.
La red de datos del GADMO, cuenta con equipamiento
COM, marca propietaria con tecnologa XRN, la misma que
permite mejorar el funcionamiento de la red, mediante la
administracin de los diferentes switches como una sola
unidad. Se muetsra en el Fig.10.

Fig.10.Switch capa Ncleo

Fuente: Elaborada por Andrea Zura
 11

D. PRUEBAS DE FUNCIONAMIENTO.

Las pruebas de funcionamiento se las realizar utilizando

mtodos de Hacking tico; el mismo que segn (Plata)
consiste en la simulacin de posibles escenarios donde se
reproducen ataques de manera controlada, as como
actividades propias de los delincuentes cibernticos, esta
forma de actuar tiene su justificacin en la idea de que: "Para
atrapar a un intruso, primero debes pensar como intruso"

1) Deteccin de vulnerabilidades

El atacante por lo general, buscara vulnerabilidades en el

sistema que pueda aprovechar para transformarlas en ataques o
amenazas. Dichas vulnerabilidades pueden ser Consultas a
bases de datos, consultas de cabeceras de mails, escaneo de
puertos, peticiones http, bsqueda de datos dentro de
archivos, entre otros (Tori).
Fig. 11. Ataques para cada capa del Modelo OSI.
Dado esto, se realizar un escaneo de puertos mediante la Fuente: Extrada de (Cabrera, 2012)
herramienta Nmap, cuyo objetivo es la identificacin de
puertos abiertos, que estn a la espera de nuevas conexiones,
permitidas o no.
I. Capa Enlace de datos.
Cabe aclarar que todas las pruebas realizadas son en base al
mtodo White Box Test; que de acuerdo a (Tori): este es un
chequeo que es llevado a cabo por un pentester que tiene toda ARP spoffing fue la tcnica elegida para realizar el hacking
la informacin acerca del sistema. tico en esta capa; dicha tcnica segn (Thomas Demuth) es
una tcnica donde el atacante deliberadamente transmite un
paquete ARP falso.
a) Ataques o intrusiones por capas
Mitigacin.
Los objetivos que persigue el Hacking tico de acuerdo a
(Plata) son: En el directorio de las reglas de suricata, encontraremos el
archivo scirius.rules; en el cual se pude combatir este ataque;
Evaluar vulnerabilidades a travs de la identificacin activando la alerta en dicho protocolo.
de debilidades provocadas por una mala
configuracin de las aplicaciones.
Analizar y categorizar las debilidades explotables, con
base al impacto potencial y la posibilidad de que la
amenaza se convierta en realidad.
Proveer recomendaciones en base a las prioridades de
la organizacin para mitigar y eliminar las Fig. 12 Mitigacin ataque Arp Spoofing
vulnerabilidades y as reducir el riesgo de ocurrencia Fuente: Extrado de SELKS
de un evento desfavorable.
El IDS-IPS, mostrar las alertas debido a que este ataque de
En base a dichos objetivos se realizaron las pruebas en las ARP Spoffing. En la pantalla se muestran todas las direcciones
diferentes capas del modelo OSI, y tomando como referencia MAC que estn haciendo peticiones en la red; y acorde al
la Fig.11 nmero de veces que cada direccin MAC haga una peticin
se observar un resumen de alertas por dicho evento, en el que
se indica entre los parmetros ms importantes la direccin IP
origen y destino. Se muestra en la Fig. 12.
 12

Fig. 13 Detalle de alertas producidas

Fuente: Extrado de SELKS

II. Capa de Red

En esta capa se puede realizar diferentes tipos de ataques

los mismos basan su objetivo en imposibilitar el acceso normal
a los servicios y recursos de una organizacin durante un
tiempo indefinido.

ICMP Flood
Satura el un equipo con solicitudes de ICMP Echo Request
para que no pueda responder a las peticiones reales. Fig. 15 Resultado estadstico de Suricata

Mitigacin
III. Capa de Transporte
En el directorio de las reglas de suricata, encontraremos el
archivo scirius.rules; en el cual se pude combatir este ataque;
activando la alerta en dicho protocolo. En esta capa existen diferentes tipos de ataques, en los que
se encuentra el Escaneo y fingerprinting3, tcnica que permite
recopilar informacin significativa al apuntar un escaneo a los
hosts del objetivo o al procesar la informacin que brinda ste
como resultado. (Tori).

Fig. 14 Mitigacin ataque ICMP Flood
El resultado mostrado por Suricata, se lo puede apreciar de
diferentes modos; uno de ellos es mediante un grfico
estadstico en donde se muestran todas las alertas suscitadas en
la red.
Escaneo de puertos
Descubrir que puertos estn abiertos, filtrados o cerrados,
adems de averiguar qu tipo y versin de aplicacin est
corriendo en estos puertos y servicios. En base a estos
3 Es una tcnica que consiste en analizar las huellas que deja un sistema

operativo en sus conexiones de red. Est basada en los tiempos de respuesta a

los diferentes paquetes, al establecer una conexin en el protocolo TCP/IP,
que utilizan los diferentes sistemas operativo. http://urlmin.com/4qp95
 13

conceptos preliminares; se realiz un escaneo de puertos,

utilizando la herramienta nmap. Se muestra en la figura 17. Mitigacin

Mitigacin En el directorio de las reglas de suricata, encontraremos el

archivo stream-events.rules; en el cual se pude combatir este
En el directorio de las reglas de suricata, encontraremos el ataque; activando la alerta en dicho protocolo.
archivo scirius.rules; en el cual se pude combatir este ataque;
activando la alerta en dicho protocolo.

Fig. 18 Mitigacin ataque escaneo TCP SYN

Fuente: Extrado de SELKS
Fig. 16 Mitigacin Ataque de escaneo de puertos
Fuente: Extrado de SELKS
El resultado de Suricata se presenta en un resumen en el
que se indica la direccin IP de origen de la intrusin el tipo
El resultado en Suricata es:
de intrusin, la hora en la que sucinto; entre otros.

Fig. 19 Resultado de alerta ante intrusin TCP-SYN

Fuente: Extrado de SELKS

V. . Capa de Aplicacin

En esta capa se puede realizar ataques mediante la

descarga de aplicaciones de dudosa procedencia.

Mitigacin

En el directorio de las reglas de suricata, encontraremos el

archivo files.rules; en el cual se pude combatir este ataque;
activando la alerta en dicho ataque.

Fig 17. Resultado de alertas por escaneo de puertos

Fuente: Extrado de SELKS

En donde destacan informacin proporcionada por la alerta;

tal como la direccin IP desde donde se realiz la peticin, el
servicio o protocolo; la hora y fecha exacta; as como tambin
el software y la versin utilizada para realizar la intrusin.
Fig.20 Mitigacin ataques de descargas de archivos dudosos
Fuente: Extrado de SELKS
IV. Capa de Sesin
Es as que el software muestra un grfico estadstico de las
En esta capa se puede hacer diferentes ataques tales como descargas realizadas
escaneo TCP SYN, tcnica que enva un paquete SYN. Si la
respuesta es un paquete SYN/ACK, el puerto est abierto,
mientras que si es un RST, se encuentra cerrado.
 14

Fig 20 Grfico estadstico de descargas realizadas

Fuente: Extrado de SELKS

Tabla VIII
E. PRESUPUESTO REFERENCIAL

PRESUPUESTO REFRENCIAL
Se realizar un presupuesto referencial tomando en cuenta
Costo total de la
una comparacin de tener una solucin licenciada y una
Solucin Sophos UTM SURICATA
solucin en software libre, en la instalacin de un IDS-IPS.
Cabe recalcar que el anlisis del presupuesto referencial CP 4,285.00 0.40
tiene como objetivo principal proporcionar una medida del CI 0 0
presupuesto invertido en la realizacin de un proyecto.
CTI CADH 2,875.00 479
1) Clculo CADS 13,000.00 0
CM 0 0
Antes de iniciar con el clculo del presupuesto, es necesario
aclarar que para el diseo del modelo presentado en el CMH 1,750.00 180.00
presente proyecto; en la red interna se realiz con los equipos CTA CASS 1,465.00 0 .40
de conmutacin existentes en el GADMO; en la red perimetral
de igual manera. En sta ltima, se implement un sistema de CRH 1,5 1.50
deteccin y prevencin de intrusos en software libre, en base a CT 0 5000
ello se realizar el presupuesto referencial. CTC
CU 0 0
Para la migracin de un sistema o programa de Software
Propietario (no libre) a Software Libre (SL) se utilizar el Cabe recalcar que los clculos se los realizarn en base a los
siguiente mtodo para calcular el Costo Total de la Solucin siguientes clculos.
(CTS). Este mtodo deber aplicarse tanto al Software
Propietario como al Software Libre. Si el costo de este ltimo Costo Total de la Solucin (CTS)
es menor que el del propietario se deber realizar la migracin.
(Secretara Nacional de la Administracin Pblica, 2014) Para el clculo del Costo Total de la Solucin (CTS) segn
Adems en el portal web (Secretara Nacional de la (Secretara Nacional de la Administracin Pblica, 2014) se
Administracin Pblica, 2014), se recalca que como requisitos considera 3 componentes:
previos de la migracin de un sistema comercial a un sistema
bajo software libre es necesario tener las siguientes
consideraciones: Ecuacin 1 Costo Total de Solucin
Fuente: Recuperado de (Secretara Nacional de la
Tener las capacidades mnimas funcionales y tcnicas Administracin Pblica, 2014)
requeridas por la organizacin y los usuarios.
Mantener o incrementar la productividad de la organizacin Donde:
y los usuarios.
Ser compatible o integrable en las plataformas de hardware CTI: Costo Total de Implementacin
y software existentes. CTA: Costo Total Administrativo
CTC: Costo Total de Capacitacin

a. Costo Total de Implementacin (CTI)
Es el costo total de rubros y actividades necesarios para
poner a funcionar la solucin. Se incluye adquisicin de
equipos, licencias y recurso humano puntual para la
implementacin. El CTI se calcula de la siguiente forma:
Ecuacin 2 Costo Total de Implementacin
Fuente: Recuperado de (Secretara Nacional de la
Administracin Pblica, 2014)
Donde:
CP: Costos de las licencias del software considerando la
arquitectura
CI: Costos de instalacin, configuracin y adaptacin (si
fuera el caso)
CADH: Costos adicionales de hardware e infraestructura
CADS: Costos adicionales de software
CM: Costos de migracin de datos e integracin
b. Costo Total Administrativo (CTA)
Es el costo total promedio anual de rubros y actividades
necesarios para garantizar la disponibilidad, capacidad y
continuidad de la solucin implantada. Incluye el costo total
promedio anual del recurso humano empleado en estas
actividades. El CTA se calcula de la siguiente forma:
Ecuacin 3 Costo Total Administrativo
Fuente: Recuperado de (Secretara Nacional de la
Administracin Pblica, 2014)
Donde:
CMH: Costos de actualizacin y mantenimiento del
hardware e infraestructura
CASS: Costos de actualizacin y soporte del software
CRH: Costos del Recurso Humano
c. Costo Total de Capacitacin (CTC)
Es el costo promedio anual para la capacitacin continua
del personal (tcnico y usuarios) en la operacin y explotacin
de la solucin.
Ecuacin 4 Costo Total de Capacitacin
Donde:
CT = Costo hora capacitacin tcnica * nmero de tcnicos
* nmero de horas * nmero aos de funcionamiento de la
solucin
15
CU = Costo hora capacitacin usuario * nmero de
usuarios * nmero de horas * nmero aos de funcionamiento
de la solucin.
RESULTADO
Si el costo del software libre es menor que el del
propietario se deber realizar la migracin.
Entonces:
Si 23,376.50
Y 5661.30
Se cumple que:
SE DEBE REALIZAR LA MIGRACIN.
F. CONCLUSIONES
Se realiz un diseo de seguridad, utilizando un modelo
multicapas denominado Defensa en Profundidad en la red
de datos del GAD Municipal de Otavalo, aplicando nuevas
polticas de seguridad en base a la norma ISO/IEC 27002, de
manera que ataques externos e internos puedan ser detectados
y evitados oportunamente.
La norma ISO/IEC 27002, fue la base principal para la
realizacin del diseo, ya que en ella se establecen ciertas
directrices y objetivos que permiten identificar claramente los
riesgos a los que puede estar expuesta la organizacin, y
gracias a ello se pudo crear un Manual de Normas y
procedimientos de seguridad de la informacin; adems de
crear polticas de acceso en la red perimetral y red interna.
El levantamiento de informacin se ejecut con OSSTM
3.0; una metodologa de pruebas de penetracin que permite
realizar un anlisis de riesgos en los canales, Humano, Fsico,
Telecomunicaciones y Redes de Datos, obteniendo resultados
que permitieron elaborar un Manual de Normas y
Procedimientos en Base a la Normo ISO/IEC 27002, la misma
que es compatible con la metodologa antes mencionada.
El estudio de la situacin actual, en cuanto a la
infraestructura de red permiti identificar las caractersticas y
prestaciones de todo el equipamiento; en base a ello se utiliz
dicha infraestructura en una nueva topologa que ayudar al
mejoramiento del servicio y el mejoramiento de la
administracin.
El beneficio de contar con dos Firewalls, en la
infraestructura de Red de datos, ayuda a combatir los focos de
inseguridad; siempre y cuando stos se ubiquen de manera tal,
 16

que se aprovechen todas las funciones que dichos equipos
ofrecen.
Un modelo de red jerarquizado utilizado para realizar el
diseo de red interna, permite optimizar el uso de los recursos
de la red; gracias a la aplicacin de una topologa de red
basada en capas se obtienen caractersticas de escalabilidad,
flexibilidad, y sobre todo seguridad.
[12] Herzog, P. (s.f.). OSSTMM 2.1.
[13] Herzog, P. (s.f.). OSSTMM 3.0.
[14] Lpez, P. A. (s.f.). Seguridad Informtica. Editex.
[15] Martnez, C. G. (2010). Modelo de Defensa en
Profundidad.

Se realizaron pruebas de simulacin de ataques en base a [16] Mathon, P. (2002). ISA Server 2000 Proxy y Firewall.
los objetivos de hacking tico; en las diferentes capas del Barcelona: EMI.
modelo OSI, con lo que se pudo verificar el funcionamiento [17] Microsoft. (2004). Gua de defensa en profundidad
adecuado del IDS-IPS y su sistema de alertas. antivirus.

Despus de realizar el presupuesto referencial, y de [18] NTE INEN-ISO/IEC 27002. (2009). Tecnologa de la
establecer las diferencias entre tener una solucin licenciada y Informacin- Tcnicasde la Seguridad - Cdifo de Prctica
una solucin bajo software libre, se concluy que el costo total para la Gestin de la Seguridad de la Informacin. Quito.
solucin bajo software libre es menor a la solucin licenciada. [19]Plata, A. R. (s.f.). Ethical Hacking.

[20]Secretara Nacional de la Administracin Pblica. (22 de

REFERENCIAS
[1]Alfon. (22 de Febrero de 2011). Seguridad y Redes.
Obtenido de
http://seguridadyredes.wordpress.com/2011/02/22/ids-ips-
suricata-entendiendo-y-configurando-suricata-parte-i/
[2]Alvarado, M. S. (s.f.). OSSTMM 3. Anlisis y Diseo de
Sistemas de Informacin, 2.
[3]Bertoln, J. A. (2008). Seguridad de la Informacin .
Espaa: Paraninfo.
[4]Cabrera, E. C. (2012). Metodologas y marcos de trabajo en
seguridad de la informacin. Ataques comunes en capa 3.
Pereira.
Enero de 2014). Gobierno Elecctrnico . Obtenido de
http://www1.gobiernoelectronico.gob.ec
[21]Tanenbaum, A. (2003). Redes de Computadoras. Mexico:
Pearson.
[22]Thomas Demuth, A. L. (s.f.). ARP Spoofing y Poisoning,
TRUCOS DE TRFICO.
[23]Tori, C. (s.f.). Hacking tico. Rosario .
[24] Toth, J., & Sznek, G. (2014). Implementacin de la gua
NIST SP800-30 mediante la utilizacin de OSSTMM.
Neuqun.

[5]CISCO. (s.f.). CCNA 3.

[6] Networking Academic. (s.f.). CCNA Exploration 4.0. En
Conmutacin y conexin inalmbrica de LAN.

[7] Estrada, A. C. (2011). Seguridad por NIveles. Espaa:

DarFE.
[8] Febrero, B. M. (2011). ANLISIS DE TRFICO CON
WIRESHARK. Espaa.
[9] Gmez, D. G. (Julio de 2003). Sistemas de Deteccin de
Intrusiones.

[10] Guiovanni, A. (s.f.). GUIOOS' Blog. Obtenido de

https://guioos.wordpress.com
[11] Hernndez Sampieri, R., Fernndez Collado, C., &
Baptista Lucio, P. (Mxico). Metodologa de la Ivestigacin.
MCGRAW-HILL.
 17

BIOGRAFAS

Zura Ch. Andrea Y. Naci en Ibarra -Ecuador el 10 de mayo

de 1990. Sus estudios primaries los
realize en la Unidad Educativa Sagado
Corazn de Jesus,; en el ao 2007
obtuvo su bachillerato Tcnico
especializacin Informtica en el
Colegio Nacional Ibarra; en el mismo
ao ingres como estudiante de pre-
grado a la Universidad Tcnica del
Norte en la Carrera de Ingeniera
Electrnica y Redes de Comunicacin.
Realiz sus practices preprofesionales
en la empresa FIX WIRELESS en el departamento tcnico,
reaizando tareas de studio tcnico previo instlacin de
servicio, soporte tcnico en sitio y via telefnica, e instlacin
del servicio de internet en el norte del pas; en el Gobiero
Autnomo Descentralizado Municipal de Otavalo realiz
tareas de Instalacin de puntos de red, soporte tcnico,
configuracin de equipos L2 y L3, levantamiento de
informacin, monitoreo e inventario IP.
Actualmente trabaja como Site Engennier en el Proyecto de
MODERNIZACIN 2G de CLARO en la ciudad de Quito.