¿COMO ESTABLECER Y ASIGNAR DERECHOS Y ATRIBUTOS A USUARIOS Y GRUPOS DE RED?

El administrador hace que cada usuario sea un miembro, y le proporcione derechos específicos  en ciertos directorios. Estos derechos por lo general se extienden a todos los directorios, a menos que el administrador limite específicamente  el acceso al usuario. A los usuarios se les puede conceder una combinación de estos derechos en un directorio. Esto permite una seguridad en el acceso a archivos y directorios, ya que si el usuario no desea compartir cierta información, lo comunica al administrador y este a su vez restringe el acceso a la información a los demás usuarios.

El administrador de la red le asigna a cada usuario un grupo, y luego puede asignarle derechos encomendados directamente a todo el grupo, ahorrándose  el hacerlo usuario por usuario. Estos derechos también pueden asignarse a grupos de usuarios en forma indirecta, a través de equivalencias. Un usuario o grupos de usuario puede tener hasta 32 equivalencias de seguridad.

Los derechos se pueden conceder tanto a los usuarios individuales como a los usuarios pertenecientes a un grupo.

Netware ofrece otro nivel de seguridad que son los atributos de seguridad de archivos y de directorios, pero para que esto tenga efecto hay que tener derechos individuales o de grupo. Cuando se crean nuevos archivos en Netware, los atributos por default son: no compatible, lectura-escritura, y si lo permiten al usuario acceder y manipular el archivo. Si el usuario desea modificar los atributos de los archivos lo puede hacer de dos maneras: la primera es pedirle al administrador de la red que cambie los atributos; la otra forma es que el usuario haga uso de la herramienta FILER de Netware para poder realizar la operación, más adelante se explicar  esta herramienta. Los derechos de conexión, se refieren al proceso de conexión de los usuarios y a las restricciones con que se encuentra el usuario al conectarse. Sirven también para que el administrador pueda restringir las estaciones de trabajo desde las que se puede conectar un usuario, y también limitar el tiempo de acceso de los usuarios.

Determinan las tareas del sistema que puede realizar un usuario o un miembro de un grupo con el sistema operativo Windows NT. Por ejemplo: iniciar sesión en local, acceder al equipo a través de la red....

Pasos a seguir para asignar derechos a un usuario o grupo de usuarios:

Abrir el "Administrador de usuarios para dominios".

En el menú "Directivas" seleccionamos la opción "Derechos de usuario..."

En la ventana "Plan de derechos de usuario" seleccionaremos los distintos derechos de la lista desplegable "Derecho" y se los concederemos a los usuarios que hayamos determinado.

Hacer clic en el botón "Aceptar".

Audita y monitorea el funcionamiento de la red

Las redes de cómputo de las organizaciones, se vuelven cada vez más complejas y la exigencia de la operación es cada vez mas demandante. Las redes, cada vez mas, soportan aplicaciones y servicios estratégicos de las organizaciones. Por lo cual el análisis y monitoreo de redes se ha convertido en una labor cada vez mas importante y de caracter pro-activo para evitar problemas.

Anteriormente, cuando no se disponía de las herramientas que hoy existen, era necesario contratar a una empresa especializada para esta labor, con un costo muy elevado. Las herramientas que nosotros le ofrecemos, le permiten, a ud. mismo, realizar esta importante labor, y contar un sistema experto como aliado que le ayuda en la interpretación de los resultados obtenidos que se quedan con ud. todo el tiempo y pasa a ser parte de su activo.

Se puede definir la auditoría de redes como el conjunto de técnicas y procedimientos degestión, destinados al análisis y control de los sistemas que componen una red, mediante loscuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin delograr una utilización más eficiente y segura de la información. Los sistemas que forman partede una red son básicamente: nodos de red, sistemas operativos y software básico, software deuso específico y sistemas de información (nodos de almacenamiento masivo y base de datos).

el término monitoreo de red describe el uso de un sistema que constantemente monitoriza una red de computadoras en busca de componentes defectuosos o lentos, para luego informar a los administradores de redes mediante correo electrónico, pagar u otras alarmas. es un subconjunto de funciones de la administración de redes

Mientras que un sistema de detección de intrusos monitorea una red por amenazas del exterior (externas a la red), un sistema de monitoreo de red busca problemas causados por la sobrecarga y/o fallas en los servidores, como también problemas de la infraestructura de red (u otros dispositivos).

Por ejemplo, para determinar el estatus de un servidor web, software de monitoreo puede enviar, periódicamente, peticiones http (protocolo de transferencia de hipertexto) para obtener páginas; para un servidor de correo electrónico, enviar mensajes mediante smtp (protocolo de transferencia de correo simple), para luego ser retirados mediante imap (protocolo de acceso a mensajes de internet) o pop3 (protocolo post office)

Módulo de Análisis de trafico LAN (Inicio)

El módulo de red LAN es una potente herramienta que supera cualquier expectativa frente a la

recopilación en línea de información acerca de lo que sucede en la red LAN, útil para

encontrar problemas de varios tipos, como por ejemplo exceso de broadcast, virus de

multidifusión, equipos con problemas en la NIC. Su información es una buena guía para

aplicar segmentación.

Dentro de su menú de opciones se encuentra información clasificada de la siguiente manera:

ƒ Protocolos sobre la red a nivel de MAC

ƒ Protocolos sobre la red a nivel de TCP/UDP

ƒ Total de trafico clasificado por:

ƒ Enviado o recibido

ƒ Host origen

ƒ Protocolo

ƒ Ancho de banda utilizado

ƒ Horario

ƒ Estadísticas

• Trafico multicast

• Trafico

• Host sobre la red con selección de ordenamiento

• Carga de la red con reporte acumulativo, por horas, días, semanas, meses y años

ƒ Estadísticas de trafico IP

• Local a Local

• Remoto a local

• Local a remoto

• Remoto a remoto

• Matrix de trafico entre hosts

ƒ Estadísticas de protocolos IP

• Distribución de protocolos • Uso. (Permite observar quien ofrece el servicio y quien lo accede)

• Sesiones. (Permite ver como se suceden las conexiones IP entre hosts)

• Routers. (Capturar equipos que ofrecen salida a otras redes)

Instala El Software Necesario Para El Funcionamiento De La Red

La instalación de programas computacionales (software) es el proceso por el cuales sean los nuevos programas son transferidos a un computador con el fin de ser configurados, y preparados para ser ejecutados en el sistema informático, para cumplir la función para la cual fueron desarrollados. Un programa recorre diferentes fases de desarrollo durante su vida útil:

Una instalación exitosa es una condición necesaria para el funcionamiento de cualquier software. Mientras más complejo sea el software, es decir, entre otras características, mientras más archivos contenga, mientras mayor la dispersión de los archivos y mientras mayor sea la interdependencia con otros softwares, mayor es el riesgo de alguna falla durante la instalación. Si la instalación falla aunque sea solo parcialmente, el fin que persigue la instalación posiblemente no podrá ser alcanzado. Por esa razón, sobre todo en casos de software complejo, el desarrollo de un proceso de instalación confiable y seguro es una parte fundamental del desarrollo del software.

Desarrollo: cada programador necesita el programa instalado, pero con las herramientas, códigos fuente, bancos de datos y etc, para modificar el programa.

Prueba: antes de la entrega al usuario, el software debe ser sometido a pruebas. Esto se hace, en caso de software complejos, en una instalación ad hoc.

Producción: Para ser utilizado por el usuario final.

Pasos de la instalación

Verificación de la compatibilidad: Se debe comprobar si se cumplen los requisitos para la instalación en cuanto a hardware y software. A veces es necesario desinstalar versiones antiguas del mismo software.

Verificación de la integridad: Se verifica que el paquete de software es el original, esto se hace para evitar la instalación de programas maliciosos.

Creación de los directorios requeridos: Para mantener el orden en el directorio cada sistema operativo puede tener un estándar para la instalación de ciertos archivos en ciertos directorios. Ver por ejemplo Linux Standard Base.

Creación de los usuarios requeridos: Para deslindar responsabilidades y tareas se pueden o deben usar diferentes usuarios para diferentes paquetes de software.

Concesión de los derechos requeridos: Para ordenar el sistema y limitar daños en caso necesario, se le conceden a los usuarios solo el mínimo necesario de derechos.

Copia, desempaque y decompresión de los archivos desde el paquete de software: Para ahorrar Ancho de banda y tiempo en la transmisión por internet o espacio de Disco duro, los paquetes vienen empacados y comprimidos.

Archivos principales, sean de fuente o binarios.

Archivos de datos, por ejemplo datos, imágenes, modelos, documentos XML-Dokumente, etc.

Documentación

Archivos de configuración

Bibliotecas

Enlaces duros o enlaces simbólico a otros archivos

Compilación y enlace con la bibliotecas requeridas: En algunos casos no se puede evitar el complicado paso de la compilación y enlace que a su vez tiene severos requerimientos de software al sistema. El enlace con bibliotecas requeridas puede ser un problema si en su instalación no se acataron los estándares establecidos.

Configuración: Por medio de archivos de configuración se le da a conocer al software con que parámetros debe trabajar. Por ejemplo, los nombres de las personas que pueden usar el software, como verificar su clave de ingreso, la ruta donde se encuentran los archivos con datos o la dirección de nuestro proveedor de correo electrónico. Para sistemas complejos se debe desarrollar el Software Configuration Management.

Definir las variables de entorno requeridas: Algunos comportamientos del software solo pueden ser determinados por medio de estas variables. Esto es parte de la configuración, aunque es más dinámica.

Registro ante el dueño de la marca: Para el Software comercial a veces el desarrollador de software exige el registro de la instalación si se desea su servicio.

Establecer usuario Utilizando Mecanismos de Seguridad.

Los permisos de recurso compartido se aplican a los usuarios que se conectan a una carpeta compartida a través de la red. Estos permisos no afectan a los usuarios que inician sesión localmente o mediante Escritorio remoto.

Para establecer permisos para los usuarios que se conectan localmente o mediante Escritorio remoto utilice las opciones de la ficha de seguridad en lugar de la ficha de permisos de los recursos compartidos.

Por ejemplo, para conceder a los usuarios de un dominio acceso de lectura a una carpeta compartida, en la ficha permisos de los recursos compartidos, establezca permisos a control total para el grupo Todos. En la ficha Seguridad, especifique un acceso más restrictivo estableciendo permisos de acceso de lectura para el grupo Usuarios del dominio. El resultado es que un usuario que es miembro del grupo Usuarios del dominio cuenta con acceso de solo lectura a la carpeta compartida, tanto si el usuario se conecta a través de un recurso compartido de red, como si lo hace a través de Escritorio remoto o si inicia sesión localmente.

Puede establecer permisos de nivel de sistema de archivos en la línea de comandos utilizando la herramienta de sistema operativo iCacls.exe o Cacls.exe. Las herramientas solo se ejecutan en un volumen NTFS.

Estas son dos diferentes formas de otorgar permisos a los usuarios:

    

Para establecer permisos en una carpeta compartida mediante la interfaz de Windows

1.                 Abra Administración de equipos.

2.                 Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la                     que desea y, a continuación, haga clic en Continuar.

3.                 En el árbol de la consola, haga clic en Herramientas del sistema, haga clic en Carpetas compartidas y, a                     continuación, haga clic en Recursos compartidos.

4.                 En el panel de detalles, haga clic con el botón secundario en la carpeta compartida y, a continuación,                         haga clic en Propiedades.

5.                 En la ficha Permisos de los recursos compartidos, establezca los permisos que desee:

·        

·                         Para asignar permisos a un usuario o grupo a una carpeta compartida, haga clic en Agregar. En el cuadro                   de diálogo Seleccionar usuarios, equipos o grupos, busque o escriba el nombre del usuario o grupo y, a                     continuación, haga clic en Aceptar.

·                       Para revocar el acceso a una carpeta compartida, haga clic en Quitar.

·                       Para establecer permisos individuales para el usuario o grupo, en Permisos de grupos o usuarios,                               seleccione Permitir o Denegar.

6.           Para establecer permisos de archivos y carpetas que se apliquen a los usuarios que inicien sesión                           localmente o mediante Servicios de Escritorio remoto, haga clic en la ficha Seguridad y establezca los permisos              adecuados.

Establecer Derechos de trabajo de usuarios sobre los recursos de la red.

clases de usuarios:

cuando se trabaja bajo dos, cada uno es dueño de todos los recursos de su máquina, pero esto no es posible en un ambiente multiusuario ya que los recursos a compartir son proporcionalmente más escasos. también es deseable acotar el peligro de que alguien borre datos o programas que no le pertenecen. esto lleva a la creación de un usuario especial denominado "supervisor" que es el reponsable de decidir de qué forma se compartirán los recursos y quienes están autorizados a hacer qué cosas. una consecuencia de ésto es la limitación del acceso al sistema al personal autorizado, lo que ayuda a proteger la confidencialidad e integridad de información valiosa. el supervisor, es además el encargado de decidir qué programas residirán en el server. se establece así una correspondencia entre seguridad y usuarios de distinta jerarquía.

bajo netware, hay varias categorías de usuarios: el supervisor, el operador de consola y los usuarios (común).

supervisor:

es el usuario de mayor jerarquía y es creado en forma automática durante la instalación. para no comprometer las condiciones de seguridad, no debe haber más de un supervisor por server. un supervisor tiene todos los derechos en todos los directorios. las demás categorías tienen derechos restringidos según el directorio.

file server console operators (operadores de consola):

son usuarios con derecho a operar fconsole. debido a que es un área sensible (especialmente porque el comando down baja la red pero puede ser activado por el supervisor o alguien con equivalencia de seguridad de supervisor), el operador de fconsole debe ser alguien capacitado. en versiones anteriores se podía monitorear el rendimiento del servidor y consultar las estadísticas, actualmente sus tareas se reducen a monitorear la entrada y salida de los usuarios al sistema y el supervisor lo puede utilizar para enviar mensajes a todos los usuarios conectados como el típico "en 5 minutos se procederá a apagar el server".

usuarios (users):

esta categoría incluye a la mayoría de los usuarios de una red. como se verá oportunamente, los usuarios y sus derechos son definidos por el supervisor. durante la instalación netware también crea un usuario denominado guest (invitado), con derechos mínimos.

otras clases de usuarios:

hasta ahora se presentaron los tipos de usuarios "tradicionales", es decir el usuario, el operador de consola y el supervisor. netware 3.11 permite crear varias categorías intermedias, tal como se ve a continuación. a todas estas categorías las crea un supervisor. la idea es que el supervisor pueda designar ayudantes o responsables de área sin necesidad de cederles derechos innecesarios (tal como ocurriría si los designara como "security equivalents" suyos).

user account managers

estos "gerentes de cuentas de usuarios" tienen derechos de supervisión sobre los usuarios que se les asignen. su área de acción está vinculada con la facturación de recursos.

workgroup managers

son "gerentes de grupos de trabajo" a los que se les asigna derechos de supervisión sobre determinados directorios. su principal tarea es asignar derechos a los usuarios que trabajen en los directorios a su cargo. en muchos casos, la estructura de archivos del disco rígido guarda semejanza con el organigrama por lo que un workgroup manager puede coincidir con un jefe de área o un empleado de su confianza.

print queue operators

son usuarios con derecho a operar con pconsole y las colas de impresión. pueden eliminar trabajos de la cola, cambiar su ordenamiento, cambiar el estado de la cola, etc.

Mecanismos de Seguridad.

Mecanismos de Seguridad de una Red LAN.

Seguridad Física.

Proteccion del hardware:

El hardware es frecuentemente el elemento más caro de todo sistema informático. Por tanto, las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización. suelen poseer entre sus equipos máquinas muy caras desde servidores con una gran potencia de cálculo hasta routers de última tecnología, pasando por modernos sistemas de transmisión de datos como la fibra óptica.

Cableado de Alto Nivel de Seguridad:Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es impedir la posibilidad de infiltraciones y monitoreo de la información que circula por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma.

Placas Extraíbles:
Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles, debajo del mismo.


Características principales de un Firewall.

De acuerdo a la RFC2979 un firewall puede operar como punto terminal de protocolo o como filtro de paquetes, o una combinación de ambos.
Como punto terminal de protocolo puede implementar un subconjunto de protocolo y realizar chequeos de validación extensivos de protocolos entre otras tecnicas. Operando de esta forma ningun nodo interno que no sea el firewall es directamente accesible desde internet y ningun nodo externo es directamente accesible desde dentro de la intranet. A los firewall operando de esta forma se les conoce como pasarelas de nivel de aplicación. Como filtro de paquetes, el firewall examina el paquete y entonces deja pasar el paquete, desecha el paquete o lo modifica de alguna forma

Tipicamente un firewall basa sus decisiones en las direcciones IP de origen y destino y números de puertos. Así puede por ejemplo

* Bloquear paquetes desde internet que pidan una direccion IP de un sistema de la red interna

* Bloquear conexiones telnet o remote login desde la internet a la red interna.


 Principales características los IDS y

HIDS.

Un sistema de deteccion de intrusos monitorea el trafico de red buscando alguna actividad sospechos y alerta al sistema o al administrador de red. En algunos casos el IDS puede responder a trafico anomalo o malicioso tomando acciones como bloquear al usuario o prevenir que la direccion IP de origen tenga acceso a la red. Se dividen en Host based IDS (si estan en un host especifico) y Network based IDS (si se encuentran en algun punto intermedio de la red). Pueden estar: basados en anomalia (si compara el trafico de la red con una linea base para detectar anomalias) y basados en firma (si monitorea los paquetes y los compara con una base de datos para detectar firmas de codigos maliciosos conocidos).HIDS (Host based IDS)Los sistemas de detección de intrusos basados en el host, son ejecutados en host individuales o en dispositivos puntuales de la red. Un HIDS monitorea los paquetes entrantes y salientes solo desde este dispositivo y alertara al usuario o administrador si actividad sospechosa es detectada.

La Seguridad Lógica y en Qué Consiste.

La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. 
Consiste en generar la configuración adecuada del sistema para evitar el acceso a los recursos y configuración del mismo por parte de personas no autorizadas, ya sea a nivel local o vía red.
La seguridad lógica de un sistema informático incluye:
* Restringir al acceso a programas y archivos mediante claves y/o encriptación.
* Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo.
* Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático.
* Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.