UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS RED ACADEMICA UDNET UNIDAD DE COMUNICACIONES SEGURIDAD EN LOS EQUIPOS ACTIVOS DE LA UNIVERSIDAD DISTRITAL JUSTIFICACIÓN. La falta de documentación en las redes es uno de los principales problemas que afectan directamente la solución efectiva de fallas y de igual manera no permite tener un claro panorama del estado de la red, la cual va creciendo acorde con las necesidades de las instituciones. OBJETIVO. Documentar la seguridad que se tiene implementada en la red de la Universidad Distrital en su componente de equipos activos de telecomunicaciones, como routers, switches y sistema inalámbrico entre otros. DESCRIPCIÓN DE LA RED. La red de la universidad tiene topología estrella, con un nodo central ubicado en la carrera 8 No 40-68, edificio Sabio Caldas, piso 4, Centro de Gestión Olimpo (CGO). Red de Datos – UDNet – Documento Interno Página 1 UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS RED ACADEMICA UDNET UNIDAD DE COMUNICACIONES La mayoría de los pisos de los edificios Torre administrativa, Sabio Caldas, Sede Central y Edificio LASC, se encuentra conectados mediante fibra óptica con el switch de core. La mayoría contratados de las con un sedes se proveedor interconectan a de de servicios través de enlaces telecomunicaciones, de datos dos (2) enlaces se realizan mediante equipos de radio, que son sede calle 64 y casona ILUD. SEGURIDAD PARA LOS EQUIPOS DE TELECOMUNICACIONES PROBLEMA. Previo a la creación del comité de informática la Universidad experimentaba un crecimiento desordenado, en el cual se caracterizaba por la inclusión de equipos activos para extender la red, tal como hub, switches no administrables, routers y puntos de acceso inalámbrico tipo SOHO (Small Office, Home Office). META. Estandarizar los equipos de telecomunicaciones con el fin de permitir gestión centralizada, basada en las mismas políticas de seguridad. ESTADO. Actualmente la universidad cuenta con una gran variedad de marcas y familias de equipos activos. ACCIONES. 1. En los planes de desarrollo se ha contemplado la adquisición de equipos activos de última generación y dentro de los procesos que desarrolla la red se han configurado e instalado la siguiente cantidad de equipos. SEDE ADMINISTRATIVA ASAB CALLE 34 INGENIERIA MACARENA A TECNOLÓGICA TEUSAQUILLO VIVERO TOTAL Red de Datos – UDNet – Documento Interno CANTIDAD 15 7 1 16 4 6 2 3 54 Página 2 UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS RED ACADEMICA UDNET UNIDAD DE COMUNICACIONES 2. La red WiFi de la Universidad se está implementando de forma organizada, con las siguientes premisas: a. Administración centralizada. b. Autenticación segura y centralizada a partir del dominio. c. Conexiones seguras con cifrado de datos. d. Basada en sistemas de controladoras WiFi y puntos de acceso con configuración ligera. e. Con sistema de monitoreo para detección de errores y ataques a la red. f. Arquitectura de sistema wireless tipo empresarial sin uso de puntos de acceso tipo SOHO. g. Con capacidad de detección y control de interferencia con otras redes wireless. POLITICAS PARA LA ADMINISTRACIÓN DE LOS EQUIPOS. Se debe implementar en los equipos que lo permitan los siguientes controles de seguridad para el acceso, la autenticación y administración de los equipos. 1. Configurar en los equipos los siguientes métodos de autenticación seguros, para administración vía web HTTPS, para administración por emulación de terminal SSHv2. 2. Crear una Lista de Control de Acceso ACL que permita el ingreso únicamente desde el segmento de red de los administradores de la red, el cual corresponde con 10.20.100.0/24. 3. Inhabilitar la opción de conexión por HTTP y por telnet. 4. Habilitar el cifrado de las contraseñas que se observan en los archivos de arranque de los equipos. 5. Habilitar la autenticación en la consola. 6. Inhabilitar la administración vía SNMPv1 7. Habilitar la administración vía SNMPv2 ó SNMPv3. 8. En los equipos de enrutamiento seguridad que viene en 9. No permitir la que lo permitan correr la auditoria de switches no el Security Device Manager de CISCO. instalación de equipos activos como hub, administrables, routers y puntos de acceso inalámbrico tipo SOHO (Small Office, Home Office) en los puntos de red que provee la Universidad. 10. Monitorizar la red con el fin de identificar si los usuarios están corriendo herramientas de hacking ó sniffing. Red de Datos – UDNet – Documento Interno Página 3 UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS RED ACADEMICA UDNET UNIDAD DE COMUNICACIONES 11. Monitorizar la red para verificar si los usuarios hacen buen uso del recurso de red, siempre teniendo en cuenta que la red de la Universidad se debe utilizar con fines académicos y administrativos lícitos. Se aclara que la actividad de monitorizar depende de herramientas y equipos especializados para tal fin, en caso de no contar con los mismos, únicamente se ejecutarían muestras mediante la utilización de sniffer en los sitios que presenten fallas de red recurrentes. POLITICAS PARA LA SEGURIDAD FÍSICA DE LA RED. Con respecto a la seguridad física de la red se debe realizar seguimiento periódico a los cuartos de telecomunicaciones, con el fin de identificar el estado de los equipos y demás elementos que lo componen, así como de las condiciones ambientales del mismo, tal como se describe en la bitácora de cuartos de telecomunicaciones. Los integrantes del área de telecomunicaciones deben en todo momento, reportar si los cuartos de telecomunicaciones presentan los problemas descritos en el formato de bitácora. Las visitas a los cuartos de telecomunicaciones se deben realizar de forma periódica con el fin de garantizar las acciones respectivas. A continuación se presenta el formato de bitácora de cuartos de telecomunicaciones. Red de Datos – UDNet – Documento Interno Página 4 UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS RED ACADEMICA UDNET UNIDAD DE COMUNICACIONES RED DE DATOS UDNET BITACORA DE CUARTOS DE TELECOMUNICACIONES SEDE: EDIFICIO: PISO: UBICACIÓN GEOGRÁFICA: FECHA DE REVISIÓN: LISTA DE REVISIÓN ÍTEMS DESCRIPCIÓN SI NO OBSERVACIONES 1 CONDICIONES GENERALES Acceso controlado (Administración de edificio y/ó 1.1 personal de seguridad) Correcto estado de los ductos (Escalerillas, 1.2 canaletas, tubería EMT, etc.) Existe tratamiento de los pisos, muros y techo para evitar la presencia de polvo. 1.3 (Aplica a centro de datos) Acabados en color claro para mejorar la 1.4 iluminación del cuarto. Correcto estado de la iluminación, lámparas 1.5 flourecentes, bombillos e interruptor. 1.6 Correcto estado del techo falso (si existe). 1.7 La puerta tiene chapa en buen estado. 1.8 El cuarto cuenta con señalización. El cuarto se está utilizando para almacenamiento (En caso afirmativo indicar en el campo de 1.9 observaciones los elementos almacenados) 2 CONDICIONES AMBIENTALES 2.1 Existe presencia de contaminantes en el cuarto. 2.2 Existe presencia de polvo en el ambiente. 2.3 Existe aire acondicionado. 2.4 Correcto funcionamiento del aire acondicionado. Existen alarmas en el módulo del aire. (En caso afirmativo indicar cuales en el campo de 2.5 observaciones) Existen filtraciones (En caso afirmativo indicar 2.6 las zonas de filtración) 3 CONDICIONES ELÉCTRICAS Existe al menos dos tomas dobles de energia 3.1 normal. Las tomas de energia normal se encuentran en 3.2 funcionamiento. Red de Datos – UDNet – Documento Interno Página 5 UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS RED ACADEMICA UDNET UNIDAD DE COMUNICACIONES 3.3 Existe UPS en el TR. 3.4 La UPS se encuentra en correcto funcionamiento. Existen alarmas en la(s) UPS. (En caso afirmativo 3.5 indicar cuales en el campo de observaciones) 3.6 Existe sistema de tierras. El ó los gabinetes rack se encuentra conectados a 3.7 tierra. 4 CONDICIONES DEL CABLEADO ESTRUCTURADO 4.1 CABLEADO PEINADO 4.2 PATCH CORD MARCADOS 4.3 PATCH CORD DE FÁBRICA 4.4 MARCACIÓN DE PATCH CORD 4.5 ESQUEMA DE RED EN LA PUERTA DEL RACK 5 ESTADO DE LOS EQUIPOS 5.1 ALARMAS PRESENTES (CUALES?) VENTILADORES DE LOS EQUIPOS CON ACUMULACIÓN DE 5.2 POLVO 6 CONDICIONES DEL RACK 6.1 PUERTAS DEL RACK COMPLETAS 6.2 PUERTA PRINCIPAL CON SEGURIDAD 6.3 ESTADO DE LA CHAPA DE SEGURIDAD 6.4 EXISTEN VENTILADORES 6.5 VENTILADORES ENCENDIDOS 6.6 VENTILADORES DAÑADOS Ing. Martha Cecilia Valdés Cruz Jefe Red de Datos UDNET Ing. Fabian L. Galindo M. área de Telecomunicaciones [email protected] [email protected] Red de Datos – UDNet – Documento Interno Página 6