Antología Seguridad Informatica II
-
Upload
eliseo-garcia-torres -
Category
Documents
-
view
2.006 -
download
5
Transcript of Antología Seguridad Informatica II
INSTITUTO TECNOLÓGICO SUPERIOR DE
CENTLA
Academia de Informática y
Sistemas Computacionales
Antología
ESP - SEGURIDAD INFORMATICA II
Presenta
Ing. Manuel Torres Vásquez
Revisado por los integrantes de la academia
de Informática y Sistemas Computacionales
Material compilado con fines académicos
Fecha elaboración: Octubre 2009
Institución Certificada
Norma ISO 9001:2000
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Tabla de Contenido
Unidad I
Implementación de la seguridad informática
1.1 Sistemas y Mecanismos de Protección 1.1.1 Seguridad Física 1.1.1.1 Protección del hardware 1.1.1.1.1 Acceso Físico 1.1.1.1.2 Desastres Naturales 1.1.1.2 Contratación de Personal 1.1.2 Seguridad Lógica 1.1.2.1 Identificación y Autenticación 1.1.2.2 Modalidad de Acceso 1.1.2.3 Control de Acceso Interno 1.1.2.3.1 Contraseñas 1.1.2.3.2 Listas de Control de Acceso 1.1.2.3.3 Cifrado 1.1.2.4 Control de Acceso Externo 1.1.2.4.1 Dispositivos de Control de Puertos 1.1.2.4.2 Firewalls 1.1.2.4.2.1 Selección del Tipo de Firewall 1.1.2.4.2.2 Integración de las Políticas de Seguridad al Firewall 1.1.2.4.2.3 Revisión y Análisis del Mercado 1.1.2.4.3 Proxies 1.1.2.4.4 Integridad del Sistema 1.1.2.4.5 VPN (Virtual Private Networks) 1.1.2.4.6 DMZ (Zona Desmilitarizada) 1.1.2.4.7 Herramientas de Seguridad 1.2 Seguridad en Redes de Datos 1.2.1 Amenazas y Ataques a Redes 1.2.2 Elementos Básicos de Protección 1.2.3 Introducción a la Criptografía 1.2.4 Seguridad de la Red a nivel: 1.2.4.1 Aplicación 1.2.4.2 Transporte 1.2.4.3 Red 1.2.4.4 Enlace 1.2.5 Monitoreo 1.3 Seguridad en Redes Inalámbricas 1.3.1 Seguridad en el Access Point 1.3.2 SSID (Service Set Identifier) 1.3.3 WEP (Wired Equivalent Privacy) 1.3.4 Filtrado de MAC Address 1.3.5 RADIUS Authentication 1.3.6 WLAN VPN 1.3.7 Seguridad sobre 802.11(x)
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.3.8 Nuevas Tecnologías de Seguridad para redes Inalámbricas 1.4 Seguridad en Sistemas 1.4.1 Riesgos de Seguridad en Sistemas 1.4.2 Arquitectura de los Sistemas 1.4.3 Problemas Comunes de Seguridad 1.4.4 Instalación Segura de Sistemas 1.4.5 Administración de Usuarios y controles de acceso 1.4.6 Administración de Servicios 1.4.7 Monitoreo 1.4.8 Actualización de los Sistemas 1.4.9 Mecanismos de Respaldo
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Unidad II
Monitoreo de la seguridad informática 2.1 Administración de la Seguridad Informática
2.1.1 Administración de cumplimiento de Políticas 2.1.2 Administración de Incidentes 2.1.3 Análisis de nuevas Vulnerabilidades en la Infraestructura 2.1.4 Monitoreo de los Mecanismos de Seguridad
2.2 Detección de Intrusos 2.2.1 Sistemas Detectores de Intrusos 2.2.2 Falsos Positivos 2.2.3 Falsos Negativos 2.2.4 Métodos de Detección de Intrusos
2.2.4.1 Análisis de Tráfico 2.2.4.2 HIDS (Host Intrusión Detection System) 2.2.4.3 NIDS (Network Intrusión Detection System) 2.2.4.4 Nuevos métodos de detección
2.2.5 Identificación de Ataques 2.2.6 Análisis del Tiempo de Respuesta de los IDS
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Unidad III
Control de la seguridad informática 3.1 Auditoría de Red 3.1.1 Concepto de Auditoría sobre la Red 3.1.2 Herramientas de Auditoría 3.1.3 Mapeo de la Red 3.1.4 Monitores de Red 3.1.5 Auditoría a Firewalls 3.1.6 Pruebas de Penetración sobre redes 3.1.7 Análisis de la Información y Resultados 3.2 Auditoría a Sistemas 3.2.1 Checklist de Seguridad 3.2.2 Baseline del Sistema 3.2.3 Auditoría a las Políticas del Sistema 3.2.4 Auditoría a usuarios 3.2.5 Comandos del Sistema 3.2.6 Herramientas para realizar Auditoría 3.2.7 Auditoría a los Registros y Bitácoras del Sistema 3.2.8 Auditoría a la Configuración del Sistema 3.2.9 Auditoría a la Capacidad de Recuperación ante Desastres 3.2.10 Análisis de la Información y Resultados 3.3 Análisis Forense a Sistemas de Cómputo 3.3.1 Introducción al Análisis Forense en Sistemas de Cómputo 3.3.2 Obtención y Protección de la Evidencia 3.3.3 Análisis Forense sobre Sistemas 3.3.3.1 Imágenes en Medios de Almacenamiento 3.3.3.2 Revisión de Bitácoras 3.3.3.3 Revisión del Sistema de Archivos 3.3.3.3.1 Tiempos de Modificación, Acceso y Creación 3.3.3.4 Revisión de Procesos 3.3.3.5 Herramientas y Técnicas del Análisis Forense 3.3.4 Herramientas para Obtener información de la Red 3.3.5 Análisis de la Información y Resultados 3.3.6 Sistemas de Detección de Intrusos 3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos en la Seguridad
Informática 3.3.6.2 Tipos de Sistemas de Detección de Intrusos 3.3.6.3 Nivel de Interacción de los Sistemas de Detección de Intrusos 3.4 Respuesta y Manejo de Incidentes 3.4.1 Respuesta a Incidentes 3.4.2 Creación de un Equipo de Respuesta a Incidentes de Seguridad
Informática
Unidad IV
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Entorno social e impacto económico de la seguridad
informática
4.1 Legislación Mexicana 4.1.1 Acceso Ilícito a Sistemas 4.1.2 Código Penal 4.1.3 Derechos de Autor 4.1.4 Actualidad de la legislación sobre delitos informáticos
4.2 Ley Modelo (CNUDMI) 4.3 Legislaciones Internacionales
4.3.1 Legislación de Estados Unidos de América en Materia Informática 4.3.2 Legislación de Australia en Materia Informática 4.3.3 Legislación de España en Materia Informática 4.3.4 Otras Legislaciones
4.4 Impacto Social de la Seguridad Informática 4.5 Impacto Económico de la Seguridad Informática
Unidad V
Nuevas tendencias y tecnologías
5.1 Cultura de la Seguridad Informática 5.2 Nuevas Tecnologías de Protección 5.3 Tendencias en Ataques y Nuevos Problemas de Seguridad
5.3.1 SPAM 5.3.2 Malware 5.3.3 Exploits de Días Cero 5.3.4 Metasploits
5.3.5 Otros
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
UNIDAD I
IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA 1. IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA
1.1 Sistemas y Mecanismos de Protección
La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
Confidencialidad: La información sólo debe ser legible para los
autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio): El uso y/o modificación de la información por
parte de un usuario debe ser irrefutable, es decir, que el usuario no
puede negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad física, seguridad ambiental y seguridad lógica.
1.1.1 Seguridad Física
La Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Las principales amenazas que se prevén en la seguridad física son:
1. Desastres naturales, incendios accidentales tormentas e inundaciones.
2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.
Son ejemplos de mecanismos o acciones de seguridad física:
- Cerrar con llave el centro de cómputos.
- Tener extintores por eventuales incendios.
- Instalación de cámaras de seguridad.
- Guardia humana.
- Control permanente del sistema eléctrico, de ventilación, etc.
1.1.1.1 PROTECCIÓN DEL HARDWARE
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización.
Son muchas las amenazas al hardware de una instalación informática; aquí se van a presentar algunas de ellas, sus posibles efectos y algunas soluciones, si no para evitar los problemas sí al menos para minimizar sus efectos.
Problemas a los que nos enfrentamos:
Acceso físico
Desastres naturales
Alteraciones del entorno
1.1.1.1.1 ACCESO FÍSICO
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Otros ataques se simplifican enormemente, por ejemplo, si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).
Para la prevención hay soluciones para todos los gustos y de todos los precios:
Analizadores de retina,
Tarjetas inteligentes,
Videocámaras,
Vigilantes jurados, etc.
En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informáticos y no tener cableadas las tomas de red que estén accesibles.
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.1.1.2 DESASTRES NATURALES
Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
Terremotos y vibraciones
Tormentas eléctricas
Inundaciones y humedad
Incendios y humos
Hay varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
No situar equipos en sitios altos para evitar caídas,
No colocar elementos móviles sobre los equipos para evitar que caigan
sobre ellos,
Separar los equipos de las ventanas para evitar que caigan por ellas o
qué objetos lanzados desde el exterior los dañen,
Utilizar fijaciones para elementos críticos,
Colocar los equipos sobre plataformas de goma para que esta absorba
las vibraciones,
Otro desastre natural importante son las tormentas, especialmente frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers, etc.) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
Alteraciones del entorno
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
1.1.1.2 CONTRATACIÓN DE PERSONAL
Contratamos a un consultor externo o a personal de mantenimiento para realizar una serie de acciones sobre nuestro hardware. ¿Como nos aseguramos que únicamente va a realizar las manipulaciones para las que le hemos contratado y no otras? Es sencillo, lo único que debemos hacer es tener un formulario que el personal externo deberá firmar y donde se especificará la fecha de la manipulación, la manipulación exacta que se le permite hacer y si es necesario también lo que no se le permite hacer. De esta forma aseguramos que la persona que trabaje sobre nuestros sistemas no va a realizar más manipulación que la contratada.
Siempre es conveniente que una persona del personal de administración está presente cuando se realice cualquier mantenimiento o consultoría sobre sistemas críticos de la empresa, pues así podrá vigilar que las acciones realizadas sean las correctas e incluso podrá asesorar al consultor o personal de mantenimiento si este tiene algún tipo de duda sobre el sistema.
Revisar el entrenamiento del personal y políticas que aseguren alcanzar el nivel de conocimiento sobre seguridad para el caso de accidentes.
Controles y directivas adicionales pueden ser requeridas para ampliar la seguridad de un arrea segura.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Esto incluye controles para el personal o terceras partes trabajando en el área segura, así como actividades de terceras partes que tienen lugar aquí.
Los siguientes controles deberán ser considerados:
a) El personal deberá solo estar consciente de la existencia de, o actividades
dentro de un área segura, solo si tiene la necesidad de conocer.
b) El trabajo no supervisado en áreas seguras deberá ser evitado por razones
de seguridad y para prevenir oportunidades de actividades maliciosas.
c) Las áreas seguras desocupadas, deberán ser físicamente trabadas y
controladas periódicamente.
d) Al personal de servicios de terceras partes se deberá otorgar acceso
restringido a las áreas seguras o instalaciones de procesamiento de
información sensitiva, solo cuando sea requerida. Este acceso deberá ser
autorizado y monitoreado. Barreras y perímetros adicionales para controlar
el acceso físico puede ser necesarios entre áreas con diferentes
requerimientos de seguridad dentro del perímetro de seguridad.
e) No se debe permitir sin autorización el uso de equipos de fotografía, vídeo o
audio u otros equipos de grabación.
f) Instruir al usuario del área de servicios informáticos en particular y al resto
de la organización en general, sobre medidas de seguridad física, planes
de recuperación y de contingencias.
g) Incentivar al personal para cumplir las normas de seguridad.
h) Evaluar las políticas de entrenamiento de usuarios, para asegurar que
alcanzan el nivel de conocimiento sobre seguridad para el caso de
accidentes.
i) Evaluar que formación tiene el usuario en temas de informática, dado que
un bajo nivel de formación representa una fuente potencial de pérdidas de
datos y un alto nivel puede reducir la efectividad de las defensas más
sencillas.
j) Efectuar reuniones periódicas relativas a la seguridad para mantener un
nivel adecuado de interés, responsabilidad y cumplimiento.
k) Penalizar a los responsables por las violaciones a las normas vigentes
relacionadas a la seguridad.
l) Adoptar las normas sobre políticas de contraseñas emitidas.
Todo el personal de la organización está encargado de la seguridad física de los recursos relacionados a los sistemas de información a los que tienen acceso y los que están a su cargo. El responsable de seguridad debe velar por el cumplimiento de las definiciones de seguridad. El responsable de las áreas de servicios informáticos de implementar las
medidas.
1.1.2 SEGURIDAD LÓGICA
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. La seguridad lógica involucra todas aquellas medidas establecidas por la administración, usuarios y administradores de recursos de tecnología de información, para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información.
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al
cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la
transmisión de información.
¿Cómo puedo protegerme de los hackers en forma rápida y sencilla?
1. Instale y mantenga actualizado un buen antivirus.
2. Instale y configure adecuadamente un buen firewall (cortafuegos).
3. Instalar todos los parches de seguridad para su sistema operativo.
4. Cerrar todos los servicios, excepto los imprescindibles. No dejar ninguno
que no se utilice 'por si acaso': pueden ser la puerta de entrada de un
intruso.
5. Si accede su ordenador en forma remota, reemplace telnet y FTP por
equivalentes seguros (no existe equivalente seguro de FTP, pero puede
utilizarse scp, uno de los componentes de SSH, cuando deban
trasferirse archivos importantes entre dos ordenadores). Si accede a su
ordenador por medio de telnet, cámbielo por SSH. El motivo es que los
datos, por telnet, van en texto plano (contraseñas incluidas), mientras
que en SSH (secure shell) todos los datos van encriptados.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.1 IDENTIFICACIÒN Y AUTENTICACIÒN
Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.
Existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
Algo que solamente el individuo conoce: por ejemplo una clave secreta
de acceso o password, una clave criptográfica, un número de
identificación personal o PIN, etc.
Algo que la persona posee: por ejemplo una tarjeta magnética.
Algo que el individuo es y que lo identifica unívocamente: por ejemplo
las huellas digitales o la voz.
Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.
Para cada una de estas técnicas vale mencionar sus ventajas y desventajas. Se destaca que en los dos primeros casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los controles de autenticación biométricos serían los más apropiados y fáciles de administrar, resultando ser también, los más costosos por lo dificultosos de su implementación eficiente.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina "single login" o sincronización de passwords.
Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas.
La Seguridad Informática se basa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de accesos.
Esta administración abarca:
Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de
las cuentas de usuarios. Es necesario considerar que la solicitud de
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
habilitación de un permiso de acceso para un usuario determinado, debe
provenir de su superior y, de acuerdo con sus requerimientos
específicos de acceso, debe generarse el perfil en el sistema de
seguridad, en el sistema operativo o en la aplicación según corresponda.
Además, la identificación de los usuarios debe definirse de acuerdo con
una norma homogénea para toda la organización.
Revisiones periódicas sobre la administración de las cuentas y los
permisos de acceso establecidos. Las mismas deben encararse desde
el punto de vista del sistema operativo, y aplicación por aplicación,
pudiendo ser llevadas a cabo por personal de auditoría o por la gerencia
propietaria del sistema; siempre sobre la base de que cada usuario
disponga del mínimo permiso que requiera de acuerdo con sus
funciones.
Las revisiones deben orientarse a verificar la adecuación de los
permisos de acceso de cada individuo de acuerdo con sus necesidades
operativas, la actividad de las cuentas de usuarios o la autorización de
cada habilitación de acceso. Para esto, deben analizarse las cuentas en
busca de períodos de inactividad o cualquier otro aspecto anormal que
permita una redefinición de la necesidad de acceso.
Detección de actividades no autorizadas. Además de realizar auditorías
o efectuar el seguimiento de los registros de transacciones (pistas),
existen otras medidas que ayudan a detectar la ocurrencia de
actividades no autorizadas. Algunas de ellas se basan en evitar la
dependencia hacia personas determinadas, estableciendo la
obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a
las funciones asignadas a cada una.
Nuevas consideraciones relacionadas con cambios en la asignación de
funciones del empleado. Para implementar la rotación de funciones, o en
caso de reasignar funciones por ausencias temporales de algunos
empleados, es necesario considerar la importancia de mantener
actualizados los permisos de acceso.
Procedimientos a tener en cuenta en caso de desvinculaciones de
personal con la organización, llevadas a cabo en forma amistosa o no.
Los despidos del personal de sistemas presentan altos riesgos ya que
en general se trata de empleados con capacidad para modificar
aplicaciones o la configuración del sistema, dejando "bombas lógicas" o
destruyendo sistemas o recursos informáticos. No obstante, el personal
de otras áreas usuarias de los sistemas también puede causar daños,
por ejemplo, introduciendo información errónea a las aplicaciones
intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de
acceso a las personas que se desvincularán de la organización, lo antes
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
posible. En caso de despido, el permiso de acceso debería anularse
previamente a la notificación de la persona sobre la situación.
1.1.2.2 MODALIDAD DE ACCESO
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:
Lectura: el usuario puede únicamente leer o visualizar la información
pero no puede alterarla. Debe considerarse que la información puede
ser copiada o impresa.
Escritura: este tipo de acceso permite agregar datos, modificar o borrar
información.
Ejecución: este acceso otorga al usuario el privilegio de ejecutar
programas.
Borrado: permite al usuario eliminar recursos del sistema (como
programas, campos de datos o archivos). El borrado es considerado una
forma de modificación.
Todas las anteriores.
Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación:
Creación: permite al usuario crear nuevos archivos, registros o campos.
Búsqueda: permite listar los archivos de un directorio determinado.
1.1.2.3 CONTROL DE ACCESO INTERNO
Los Sistemas de Información deben disponer de los mecanismos necesarios que permitan la validación de todos los usuarios en el momento de su conexión. Por lo tanto, no se permitirá la existencia de sistemas de información que no puedan identificar el usuario mediante un proceso lógico.
Se deben garantizar las siguientes reglas:
Cada usuario, dispondrá de un identificador único que pueda ser
reconocido por los sistemas de información de la organización.
A cada identificador de usuario corresponderá una, y solo una persona
física, y sólo esta persona, estará autorizada a utilizarlo.
Todas aquellas operaciones realizadas por un usuario, serán siempre
imputadas al identificador utilizado que se hubiere identificado ante el
sistema de información, independientemente de la persona física que lo
haya realizado.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
El procedimiento de generación de identificadores de usuario para los sistemas de información de la organización deberá, al menos, cumplir, siempre que técnicamente sea posible, con los siguientes requisitos mínimos:
El código generado para este requisito deberá proveer de una
identificación inequívoca.
El procedimiento de generación, garantizará la imposibilidad de
reasignar o reutilizar identificadores de usuario previamente utilizados.
El procedimiento de generación garantizará la no duplicidad de los
mismos.
El procedimiento, garantizará que se cumpla con las reglas de
identificación y nomenclatura, así como demás estándares aplicables.
Se deberá establecer una nomenclatura de usuarios para el personal
externo a la organización, con el fin de identificar fácilmente si un
usuario es o no empleado de la organización.
Será responsabilidad de los administradores, la implementación y
gestión del mismo.
Este procedimiento, con ayuda del sistema informático de administración de usuarios, deberá exigir para generar un alta válida de usuario como mínimo, la cumplimentación y registro de los siguientes datos:
Nombre y apellidos del usuario
Número de empleado o identificación válida
Tipo de usuario (interno, externo, genérico)
Identificador asignado
Fecha de alta
Detalle de los permisos concedidos.
Siempre que sea técnicamente posible, se debe automatizar el procedimiento de bloqueo de identificadores de usuario, en los casos que se refieren a continuación, y según la clasificación de los sistemas ó el perfil de las cuentas afectadas.
Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos:
Por caducidad de los identificadores.
Por inactividad de los identificadores
Por intento de acceso fallido, utilizando dicho identificador en más de
cinco intentos fallidos.
Por baja temporal.
Por baja definitiva (lo cual implicará la eliminación del identificador).
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.3.1 CONTRASEÑAS.
Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. Aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.
Factores en la seguridad de un sistema de contraseñas
La seguridad de un sistema protegido por contraseña depende de varios factores. El sistema debe, por supuesto, estar diseñado para sondear la seguridad (Ver seguridad e inseguridad de computadoras). Aquí se presentan algunos problemas sobre la administración de contraseñas que deben ser considerados:
Posibilidad de que algún atacante pueda adivinar o inventar la contraseña
La posibilidad de que algún atacante pueda proporcionar una contraseña que adivino es un factor clave al determinar la seguridad de un sistema. Algunos sistemas imponen un límite de tiempo después de que un pequeño número de intentos fallidos de proporcionar la clave se dan lugar. Al no tener otras vulnerabilidades, estos sistemas pueden estar relativamente seguros con simples contraseñas, mientras estas no sean fácilmente adivinadas, al no asignar datos fácilmente conocidos como nombres de familiares o de mascotas, el número de matrícula del automóvil o passwords sencillos como "administrador" o "1234".
Otros sistemas almacenan o transmiten una pista de la contraseña de manera que la pista puede ser fundamental para el acceso de algún atacante. Cuando esto ocurre, (y es muy común), el atacante intentara suministrar contraseñas frecuentemente en una alta proporción, quizás utilizando listas extensamente conocidas de passwords comunes. También están sujetas a un alto grado de vulnerabilidad aquellas contraseñas que se usan para generar claves criptográficas, por ejemplo, cifrado de discos, o seguridad wi-fi, por lo tanto son necesarias contraseñas más inaccesibles en estos casos.
Formas de almacenar contraseñas
Algunos sistemas almacenan contraseñas como archivos de texto. Si algún atacante gana acceso al archivo que contienen las contraseñas, entonces todas éstas se encontraran comprometidas. Si algunos usuarios emplean el mismo password para diferentes cuentas, éstas estarán comprometidas de igual manera. Los mejores sistemas almacenan las contraseñas en una forma de protección criptográfica, así, el acceso a la contraseña será más difícil para algún espía que haya ganado el acceso interno al sistema, aunque la validación todavía sigue siendo posible.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Un esquema criptográfico común almacena solamente una forma burda de la contraseña. Cuando un usuario teclea la contraseña en este tipo de sistema, se corre a través de un algoritmo, y si el valor del valor proporcionado es igual al almacenado en la base de datos de contraseñas, se permite el acceso al usuario.
El valor burdo de la contraseña se crea al aplicar una función criptográfica para secuenciar la consistencia del password y, normalmente, otro valor conocido como salt. La salt previene que los atacantes construyan una lista de valores para contraseñas comunes. Las funciones criptográficas más comunes son la MD5 y SHA1. Una versión modificada de DES fue utilizada en los primeros sistemas Unix.
Si la función que almacena el password está bien diseñada, no es computacionalmente factible revertirla para encontrar el texto directamente. Sin embargo, si algún atacante gana acceso a los valores (y muchos sistemas no los protegen adecuadamente), puede usar gran cantidad de herramientas disponibles para comparar los resultados cifrados de cada palabra dentro de una colección, como un diccionario. Están ampliamente disponibles largas listas de contraseñas posibles en muchos lenguajes y las herramientas intentarán diferentes variaciones. Estas herramientas demuestran con su existencia la relativa fortaleza de las diferentes opciones de contraseña en contra de ataques. El uso derivado de una función para una clave puede reducir este riesgo.
Desafortunadamente, existe un conflicto fundamental entre el uso de estas funciones y la necesidad de un reto de autenticación; este último requiere que ambas partes se pueden una a otra para conocer el secreto compartido (es decir, la contraseña), y al hacer esto, el servidor necesita ser capaz de obtener el secreto compartido en su forma almacenada. En los sistemas Unix al hacer una autenticación remota, el secreto compartido se convierte en la forma burda de la contraseña, no la contraseña en sí misma; si un atacante puede obtener una copia de la forma burda de la contraseña, entonces será capaz de acceder al sistema remotamente, incluso sin tener que determinar cuál fue la contraseña original.
Método de retransmisión de la contraseña al usuario
Las contraseñas pueden ser vulnerables al espionaje mientras son transmitidas a la máquina de autenticación o al usuario. Si la contraseña es llevada como señal eléctrica sobre un cableado no asegurado entre el punto de acceso del usuario y el sistema central que controla la base de datos de la contraseña, está sujeta a espionaje por medio de métodos de conexiones externas en el cableado. Si ésta es enviada por medio de Internet, cualquier persona capaz de ver los paquetes de información que contienen la información de acceso puede espiar el password con pocas posibilidades de detección. Los cable módem pueden ser más vulnerables al espionaje que DSL los módems y las conexiones telefónicas, el ethernet puede estar o no sujeto a espionaje, dependiendo particularmente de la opción del hardware de la red y del
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
cableado. Algunas organizaciones han notado un incremento significativo de las cuentas robadas después de que los usuarios se conecten por medio de conexiones por cable.
El riesgo de intercepción de los password mandados por Internet pueden ser reducidos con una capa de transporte de seguridad (TLS - Transport Layer Security, previamente llamada SSL) que se integra en muchos navegadores de Internet. La mayoría de los navegadores muestran un icono de un candado cerrado cuando el TLS está en uso. Vea criptografía para otras maneras en las que pasar la información puede ser más seguro.
Procedimientos para cambiar las contraseñas
Usualmente, un sistema debe proveer una manera de cambiar un password, ya sea porque el usuario sospeche que el password actual ha (o ha sido) descubierto, o como medida de precaución. Si el nuevo password es introducido en el sistema de una manera no cifrada, la seguridad puede haberse perdido incluso antes de que el nuevo password haya sido instalado en la base de datos. Si el nuevo password fue revelado a un empleado de confianza, se gana poco. Algunos web sites incluyen la opción de recordar el password de un usuario de una manera no cifrada al mandárselo por e-mail.
Los Sistemas de Administración de Identidad, se utilizan cada vez más para automatizar la emisión de reemplazos para contraseñas perdidas. La identidad del usuario se verifica al realizar algunas preguntas y compararlas con las que se tienen almacenadas. Preguntas típicas incluyen las siguientes: "¿Dónde naciste?", "¿Cuál es tu película favorita?", "¿Cuál es el nombre de tu mascota?" En muchos casos las respuestas a estas preguntas pueden ser adivinadas, determinadas con un poco de investigación, u obtenidas a través de estafa con ingeniería social. Mientras que muchos usuarios han sido advertidos para que nunca revelen su password, muy pocos consideran el nombre de su película favorita para requerir este tipo de seguridad.
Longevidad de una contraseña
El forzar a los usuarios a que cambien su contraseña frecuentemente (ya sea semestralmente, mensualmente o en lapsos más frecuentes) asegura que una contraseña válida en manos equivocadas sea eventualmente inútil. Muchos sistemas operativos proveen esta opción, aunque ésta no se usa universalmente. Los beneficios de seguridad son limitados debido a que los atacantes frecuentemente sacan provecho de una contraseña tan pronto como ésta es revelada. En muchos casos, particularmente con las cuentas de administradores o cuentas "raíz", una vez que un cracker ha ganado acceso, puede realizar alteraciones al sistema operativo que le permitirán accesos futuros incluso si la contraseña inicial ya ha expirado.
Forzar cambios de password frecuentemente hace que los usuarios tiendan a olvidar cual es el password actual, y por esto se da la consecuente tentación de escribir las claves en lugares a la vista o que reutilicen passwords anteriores, lo
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
cual niega cualquier beneficio de seguridad. Al implementar este tipo de política se requiere una cuidadosa consideración de los factores humanos.
Número de usuarios por password
En algunas ocasiones, una sola contraseña controla el acceso de un dispositivo, por ejemplo, para la red de un router, o para un teléfono móvil. Sin embargo, en el caso de un sistema informático, una contraseña se almacena generalmente para cada nombre de usuario, de este modo haciendo que todos los accesos puedan ser detectables (excepto, por supuesto, en el caso de usuarios que comparten la misma contraseña).
En estos casos, un usuario potencial debe proporcionar un nombre y un password. Si el usuario provee un password que coincide con el almacenado para el nombre de usuario, entonces se le permite el acceso al sistema del ordenador. Este también es el caso de los cajeros automáticos, con la excepción de que el nombre de usuario es el número de cuenta almacenado en la tarjeta del cliente, y que el PIN es normalmente muy corto (de 4 a 6 dígitos).
La asignación de contraseñas separadas a cada usuario de un sistema es normalmente preferible que hacer que una sola contraseña sea compartida por varios usuarios legítimos del sistema. Esto se da en parte porque la gente está más dispuesta a revelar a otra persona (quién no puede estar autorizada) una contraseña compartida que era exclusivamente para su propio uso. Contraseñas individuales para cada usuario también son esenciales si los usuarios son responsables por sus actividades, tales como en los casos de transacciones financieras o consulta de expedientes médicos.
1.1.2.3.2 LISTA DE CONTROL DE ACCESO
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición.
Puntos, que se deben recordar
Una ACL es una lista de una o más instrucciones.
Se asigna una lista a una o más interfaces.
Cada instrucción permite o rechaza tráfico, usando uno o más de los
siguientes criterios: el origen del tráfico; el destino del tráfico; el
protocolo usado.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
El router analiza cada paquete, comparándolo con la ACL
correspondiente.
El router compara la ACL línea por línea. Si encuentra una coincidencia,
toma la acción correspondiente (aceptar o rechazar), y ya no revisa los
restantes renglones.
Es por eso que hay que listar los comandos desde los casos más
específicos, hasta los más generales. ¡Las excepciones tienen que estar
antes de la regla general!
Si no encuentra una coincidencia en ninguno de los renglones, rechaza
automáticamente el tráfico. Consideren que hay un "deny any" implícito,
al final de cada ACL.
Cualquier línea agregada a una ACL se agrega al final. Para cualquier
otro tipo de modificación, se tiene que borrar toda la lista y escribirla de
nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
Las ACL estándar (1-99) sólo permiten controlar en base a la dirección
de origen.
Las ACL extendidas (100-199) permiten controlar el tráfico en base a la
dirección de origen; la dirección de destino; y el protocolo utilizado.
También podemos usar ACL nombradas en vez de usar un rango de
números. El darles un nombre facilita entender la configuración (y por lo
tanto, también facilita hacer correcciones). No trataré las listas
nombradas en este resumen.
Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface
puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico
saliente.
Sugerencia para el examen: Se deben conocer los rangos de números
de las ACL, incluso para protocolos que normalmente no nos interesan.
Colocación de las ACL
Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe
a sus limitaciones: no se puede distinguir el destino.
Las ACL extendidas se colocan cerca del origen del tráfico, por
eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.3.3 CIFRADO
El cifrado consiste en transformar un texto en claro (inteligible por todos) mediante un mecanismo de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado.
La aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para cada uso distinto.
Las dos técnicas más sencillas de cifrado, son la sustitución (que supone el cambio de significado de los elementos básicos del mensaje -las letras, los dígitos o los símbolos-) y la trasposición (que supone una reordenación de los mismos); la gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas. El descifrado es el proceso inverso que recupera el texto plano a partir del texto cifrado y la clave.
Se distinguen dos métodos generales de cifrado:
Cifrado simétrico
Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos.
Ésta es la opción utilizada para cifrar el cuerpo del mensaje.
Cifrado asimétrico
Por otro lado, cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, es conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema posee la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada ni descifrar el texto con ella cifrado. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para los servicios de autenticación, distribución de claves de sesión y firmas digitales.
En general, el cifrado asimétrico se emplea para cifrar las claves de sesión utilizadas para cifrar el documento, de modo que puedan ser transmitidas sin peligro a través de la Red junto con el documento cifrado, para que en recepción éste pueda ser descifrado. La clave de sesión se cifra con la clave pública del destinatario del mensaje, que aparecerá normalmente en una libreta de claves públicas.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
El cifrado asimétrico se emplea también para firmar documentos y autenticar entidades, firmas digitales.
1.1.2.4 CONTROL DE ACCESO EXTERNO
Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.
Debe considerarse para estos casos de sistemas públicos, que un ataque externo o interno puede acarrear un impacto negativo en la imagen de la organización.
1.1.2.4.1DISPOSITIVOS DE CONTROL DE PUERTOS
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.
1.1.2.4.2 FIREWALLS
Un firewall es la combinación de diferentes componentes: dispositivos físicos (hardware), programas (software) y actividades de administración, que, en conjunto, permitirán aplicar una política de seguridad de una red, haciendo efectiva una estrategia particular, para restringir el acceso entre ésta red y la red pública a la cual esté conectada. El objetivo es protegerla de cualquier acción hostil proveniente de un host externo1 a la red.
La función de un firewall es tal que todo el tráfico de entrada y salida de la red privada debe pasar a través de él; el tráfico permitido por el firewall es autorizado mediante su evaluación en base a la política de seguridad;
En general no existe una terminología completamente consistente para arquitecturas de firewalls y sus componentes. Diferentes autores usan términos de diferentes formas (o incluso conflictivas). Es apropiado referirse como “firewall” al conjunto de estrategias y políticas de seguridad y como “sistema firewall” a los elementos de hardware y software utilizados en la implementación de esas políticas (hablar de políticas incluye implícitamente una estrategia ya que se ve reflejada en la primera).
El enfoque de firewalls está basado en el concepto de permitir a los usuarios locales el uso de todos los servicios de red internos a su red local y otros servicios ofrecidos por la Internet, controlando, además, el acceso de los usuarios externos a los recursos de la red local.
Funciones principales de un Firewall
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Un firewall permite proteger una red privada contra cualquier acción hostil, al limitar su exposición a una red no confiable2 aplicando mecanismos de control para restringir el acceso desde y hacia ella al nivel definido en la política de seguridad. Generalmente un firewall es utilizado para hacer de intermediario entre una red de una organización e Internet u otra red no confiable.
Estos mecanismos de control actúan sobre los medios de comunicación entre las dos redes, en particular, sobre la familia de protocolos utilizada para la comunicación de sistemas remotos. La más comúnmente usada es TCP/IP ya que dispone de amplios desarrollos de mecanismos estándares para su uso en varios aspectos, incluyendo en seguridad.
La tarea de un firewall consiste en inspeccionar y controlar todo el tráfico entre la red local e Internet. De esta forma se intenta detectar y rechazar todo el tráfico potencialmente peligroso antes de que alcance otras partes de la red interna, en algunos casos también se efectúan registros de tales actividades. La determinación de qué es peligroso para la red local, es especificada en la política de seguridad adoptada por el sitio.
La protección que provee un firewall es de diferentes tipos:
Bloquea tráfico no deseado;
Redirecciona tráfico de entrada a sistemas internos de más confianza;
Oculta sistemas vulnerables, que pueden ser fácilmente asegurados, de
Internet;
Puede registrar el tráfico desde y hacia la red privada;
Puede ocultar información como ser nombres de sistemas, topología de
la red, tipos de dispositivos de red, e identificadores de usuarios
internos, de Internet;
Puede proveer autenticación más robusta que las aplicaciones
estándares.
El firewall permite lograr esta protección aislando el segmento de la topología correspondiente a la red local del resto de Internet, controlando todo el tráfico que llega y sale de la misma.
Un firewall ayuda a manejar una variedad de aspectos en el punto de acceso a la red pública manteniendo a los intrusos fuera, mientras permite a la red interna concentrarse en ofrecer sus servicios. La idea básica es permitir a los usuarios de una red protegida acceder a una red pública y al mismo tiempo hacer disponibles a la red pública los servicios y productos de la compañía, ofrecidos por esta red protegida.
El control de acceso que ofrece un firewall a un sistema de red permite que algunos servidores puedan hacerse disponibles desde la red externa, mientras otros puedan ser cerrados del acceso externo no deseado. Previniendo, de esta forma, que los servicios inseguros o vulnerables sean explotados por atacantes externos, es posible el uso de estos servicios con un riesgo reducido
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
de exposición ya que solo algunos protocolos seleccionados serán capaces de pasar a través del firewall.
Estrategia de un firewall
Generalmente un firewall se encuentra situado en los puntos de entrada a la red que protege. Este es un enfoque tradicional que surge a partir de la forma más simple de conexión de una red privada a Internet: mediante un único enlace. Aunque es posible utilizar otros enfoques para diferentes topologías de interconexión. Pero en cada caso, cada conexión (punto de acceso) de la red local a Internet estará equipada con un firewall
Ya que todo el tráfico debe pasar por él, puede considerarse como el foco de todas las decisiones de seguridad. Concentrando las defensas en este punto, es posible reducir la sobrecarga de seguridad del sistema interno ya que el esfuerzo se limita a unos pocos dispositivos de toda la red (los que forman parte del firewall).
De esta forma, un firewall centraliza el control de acceso. Los usuarios remotos pueden acceder a la red interna de forma controlada y segura, pasando a través del firewall.
Un firewall será transparente a los usuarios si no advierten su existencia para poder acceder a la red. Los firewalls generalmente son configurados para ser transparentes para los usuarios de la red interna, mientras que para los usuarios de la red externa, no.
Fundamento de los firewalls
Alguien podría cuestionarse lo siguiente: si queremos proteger nuestra red privada porque permitimos que una red de dominio público como Internet, pueda acceder a ella? La respuesta es simple: porque queremos que nuestra red acceda a ella. Muchas compañías dependen de Internet para publicitar sus productos y servicios. Por lo que es necesario proteger los datos, transmisiones y transacciones de cualquier incidente, ya sea, causado por actos maliciosos o no intencionales.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
En el caso de una red local directamente conectada a Internet sin un firewall, la red entera está sujeta a ataques (ver Figura 21). La experiencia práctica muestra que es muy difícil asegurar que todo host de la red esté protegido. Una contraseña mal elegida puede comprometer la seguridad de toda la red.
Figura 21: Red Local sin firewall
Si la red local está protegida por un firewall, solo existe acceso directo para un conjunto seleccionado de hosts y la zona de riesgo es reducida al firewall en sí mismo o a un conjunto seleccionado de hosts de la red interna. (ver Figura 22)
Figura 22: Red Local con firewall.
Un firewall no es tanto una solución de seguridad sino una respuesta al problema de ingeniería/administración: configurar un gran numero de sistemas de hosts para una buena seguridad. Un firewall solo no asegurará una red. Solo es parte de un área más amplia dedicada a proteger un sitio y efectuar operaciones de red.
Limitaciones de los firewalls
En el enfoque tradicional comentado, un firewall no puede ofrecer protección contra conexiones que no pasen a través de él, por lo que el firewall no puede proteger la red contra atacantes internos.
Adicionalmente un firewall restringirá el acceso a ciertos dispositivos o funcionalidades, si existen conexiones no protegidas que pueden comunicar los sistemas de la red interna con la externa, es posible que algún usuario no autorizado intente saltear el firewall para obtener acceso a esas funcionalidades. Este tipo de amenaza solo puede ser tratada por procedimientos de administración que estén incorporados a las políticas de seguridad de las organizaciones y aseguren la protección o eliminación de estas conexiones.
Obviamente un firewall no ofrecerá protección contra aquellas amenazas que no hayan sido consideradas en el diseño de la estrategia y la política de seguridad.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Ventajas y Desventajas de los firewalls
Obviamente, la principal ventaja de un firewall es que permite la interconexión segura de una red privada con una red pública para aprovechar los beneficios que ésta ofrece. Un firewall puede resultar en una reducción de costos si todo el software de seguridad puede ser situado en un único sistema firewall, en lugar de ser distribuido en cada servidor o máquina de la red privada.
Existen algunas desventajas de los firewalls: cosas de las cuales los firewalls no puede proteger, como ser amenazas de puntos de acceso alternativos no previstos (backdoors) y ataques originados en el interior de la red. El problema de los firewalls es que limitan el acceso desde y hacia Internet, pero es un precio que se debe pagar y es una cuestión de análisis de costo / beneficio al desarrollar una implementación de seguridad.
Implementación
Para asegurar una red privada, se debe definir qué idea se tiene del “perímetro” de red. En base a éstas y otras consideraciones se define una política de seguridad y se establecen los mecanismos para aplicar la política y los métodos que se van a emplear. Existe una variedad de mecanismos para la implementación de firewalls que pueden incrementar en gran medida el nivel de seguridad.
Antes de definir qué tipo de firewall se ajusta a las necesidades de la red, se necesitará analizar la topología de la red para determinar si los componentes tales como hubs, routers y cableado son apropiados para un modelo de firewall especifico.
La red debe ser analizada en base a las diferentes capas del modelo de red. Un firewall pasa a través de todas estas capas y actúa en aquellas responsables del envió de paquetes, establecimiento y control de la conexión y del procesamiento de las aplicaciones. Por eso, con un firewall podemos controlar el flujo de información durante el establecimiento de sesiones, inclusive determinando que operaciones serán o no permitidas.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.4.2.1 SELECCIÓN DEL TIPO DE FIREWALL
Conceptualmente, se pueden distinguir dos tipos diferentes de firewalls:
* Nivel de red.
* Nivel de aplicación.
Cada uno de estos tipos tienen sus características propias, por lo que a prioridad no se puede decir que un tipo sea mejor ni peor que el otro.
Los firewalls del nivel de red toman decisiones según la dirección de procedencia, dirección de destino y puerto de cada uno de los paquetes IP. Un simple router es un ejemplo de firewall de nivel de red, con la deficiencia de que no pueden tomar decisiones sofisticadas. Los actuales corta fuegos de nivel de red permiten mayor complejidad a la hora de decidir; mantienen información interna acerca del estado de las conexiones que pasas por el, los contenidos de algunos datos. Estos sistemas, como es lógico han de tener una dirección IP válida. Los firewalls tienden a ser muy rápidos, y sobre todo, transparentes al usuario.
Los firewalls de nivel de aplicación, generalmente son host con servidores proxy, que no permiten el trafico directamente entre dos redes, sino que realizan un seguimiento detallado del trafico que pasa por el. Los firewalls de nivel de aplicación pueden ser usados como traductores de direcciones de red; según pasa el tráfico de un lado a otro, enmascara la dirección de origen, lo que dificulta observar la topología de la red el exterior. Estos sistemas proporcionan informes de auditoría más detallados que los firewalls de nivel de red; se usan cuando la política de control de acceso es más conservadora.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.4.2.2 INTEGRACIÓN DE LAS POLÍTICAS DE SEGURIDAD AL FIREWALL
Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios.
Mediante la adopción de una política de seguridad es posible identificar las amenazas de las cuales se intenta proteger los recursos de la red, los mecanismos de seguridad a implementar y el nivel de protección requerido.
La política de seguridad misma responderá a la posición que asuma la organización ante tales amenazas. Esta posición se traduce en la determinación de una estrategia de seguridad que corresponde a un enfoque en particular para la elección de las reglas y medidas a tomar para proteger la red.
Ajustarse a una estrategia de seguridad es una decisión muy importante al momento de construir una solución de seguridad firewall ya que será determinante de la estructura resultante de dicha solución.
Existen algunas estrategias generales que responden a diferentes principios asumidos para llevar a cabo la implementación de una solución de seguridad
Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad:
¿Qué se debe proteger?. Se deberían proteger todos los elementos de
la red interna (hardware, software, datos, etc.).
¿De quién protegerse?. De cualquier intento de acceso no autorizado
desde el exterior y contra ciertos ataques desde el interior que puedan
preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros.
¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a
establecer el nivel de monitorización, control y respuesta deseado en la
organización. Puede optarse por alguno de los siguientes paradigmas o
estrategias:
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
a. Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos
expresamente prohibidos.
Se prohíbe cualquier servicio excepto aquellos
expresamente permitidos. La más recomendada y utilizada
aunque algunas veces suele acarrear problemas por
usuarios descontentos que no pueden acceder a tal cual
servicio.
b. Estrategias de seguridad
Paranoica: se controla todo, no se permite nada.
Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite
todo.
1.1.2.4.2.3 REVISIÓN Y ANÁLISIS DEL MERCADO
Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de firewalls, que están complementadas con los esfuerzos por elevar el nivel de seguridad de los distintos sistemas operativos.
Estas aplicaciones de firewalls están disponibles para los distintos sistemas operativos y si bien en líneas generales todos cumplen básicamente las mismas funciones, cada proveedor tiene sus características particulares que se van igualando de uno a otro con el correr del tiempo y el desarrollo de los distintos releases.
Entre los productos más utilizados se encuentran Firewall-1, Pix y Raptor, de las empresas Chekpoint, Cisco y HP respectivamente.
Indagando un poco en el mercado local se puede comprobar que el producto de Cisco esta siendo muy utilizado, debido a su integración “nativo” en todas aquellas organizaciones que están utilizando routers Cisco
Además de verificar las características particulares de cada uno se pueden bajar de Internet versiones de evaluación para corroborar las distintas facilidades como así también observar como se adapta a la organización donde se implementará.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.4.3 PROXIES
El término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.
La palabra proxy se usa en muchas situaciones en donde tiene sentido un intermediario.
El uso más común es el de servidor proxy, que es un ordenador que
intercepta las conexiones de red que un cliente hace a un servidor de
destino.
o De ellos, el más famoso es el servidor proxy web (comúnmente
conocido solamente como «proxy»). Intercepta la navegación de
los clientes por páginas web, por varios motivos posibles:
seguridad, rendimiento, anonimato, etc.
o También existen proxies para otros protocolos, como el proxy de
FTP.
o El proxy ARP puede hacer de enrutador en una red, ya que hace
de intermediario entre ordenadores.
Proxy (patrón de diseño) también es un patrón de diseño (programación)
con el mismo esquema que el proxy de red.
Un componente hardware también puede actuar como intermediario
para otros (por ejemplo, un teclado USB al que se le pueden conectar
más dispositivos USB).
Fuera de la informática, un proxy puede ser una persona autorizada para
actuar en representación de otra persona; por ejemplo, alguien a quien
le han delegado el derecho a voto.
Una guerra proxy es una en la que las dos potencias usan a terceros
para el enfrentamiento directo.
Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de intermediario. También se puede traducir por delegado o apoderado (el que tiene el poder).
Ventajas
En general (no sólo en informática), los proxies hacen posibles varias cosas nuevas:
Control: sólo el intermediario hace el trabajo real, por tanto se pueden
limitar y restringir los derechos de los usuarios, y dar permisos sólo al
proxy.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar
equipado para hacer el trabajo real.
Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy
puede hacer caché: guardar la respuesta de una petición para darla
directamente cuando otro usuario la pida. Así no tiene que volver a
contactar con el destino, y acaba más rápido.
Filtrado. El proxy puede negarse a responder algunas peticiones si
detecta que están prohibidas.
Modificación. Como intermediario que es, un proxy puede falsificar
información, o modificarla siguiendo un algoritmo.
Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil
que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,
por ejemplo cuando hay que hacer necesariamente la identificación.
Desventajas
En general (no sólo en informática), el uso de un intermediario puede provocar:
Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y
responderlas, es posible que haga algún trabajo que no toque. Por tanto,
ha de controlar quién tiene acceso y quién no a sus servicios, cosa que
normalmente es muy difícil.
Carga. Un proxy ha de hacer el trabajo de muchos usuarios.
Intromisión. Es un paso más entre origen y destino, y algunos usuarios
pueden no querer pasar por el proxy. Y menos si hace de caché y
guarda copias de los datos.
Incoherencia. Si hace de caché, es posible que se equivoque y dé una
respuesta antigua cuando hay una más reciente en el recurso de
destino. En realidad este problema no existe con los servidores proxy
actuales, ya que se conectan con el servidor remoto para comprobar que
la versión que tiene en cache sigue siendo la misma que la existente en
el servidor remoto.
Irregularidad. El hecho de que el proxy represente a más de un usuario
da problemas en muchos escenarios, en concreto los que presuponen
una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Funcionamiento
Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página web) en una caché que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de proxy se agrupan diversas técnicas.
1.1.2.4.4 INTEGRIDAD DEL SISTEMA
La integridad del sistema se refiere a la estabilidad y accesibilidad del servidor
que patrocina la fuente con el tiempo. Esto generalmente se refiere al trabajo
de los administradores del sistema.
Para garantizar la integridad del sistema, es necesario detectar intrusiones a un
nivel más alto. Éste es el objetivo de los verificadores de integridad como
Tripwire.
El software Tripwire, originalmente desarrollado por Eugene Spafford y Gene
Kim en 1992, se utiliza para garantizar la integridad del sistema a través de la
supervisión constante de los cambios en ciertos archivos y carpetas. Tripwire
lleva a cabo verificaciones de integridad y mantiene una base de datos
actualizada de las firmas. En intervalos regulares, inspecciona las siguientes
características del archivo para indicar si hubo alguna modificación y/o si está
en peligro:
permisos,
última fecha de modificación,
fecha de acceso,
tamaño del archivo,
firma del archivo.
Las alertas se envían por correo electrónico, preferentemente a un servidor
remoto, para evitar que el hacker las elimine.
Los límites de la verificación de la integridad
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Para obtener resultados fiables en la verificación de la integridad, se debe estar
seguro de la integridad del equipo durante su instalación. También es muy
difícil configurar este tipo de software, ya que el número de archivos que se
debe supervisar puede ser muy grande. Es más, cuando se instalan nuevas
aplicaciones, sus archivos se deben configurar para que puedan verificarse.
Además, este tipo de solución tiende a enviar un gran número de falsas
alarmas, especialmente cuando el sistema sólo está modificando archivos de
configuración o cuando se está actualizando.
Finalmente, si el equipo realmente está en peligro, el hacker puede intentar
poner en peligro la integridad del verificador antes de la siguiente actualización,
por lo que es muy importante almacenar las alertas en un equipo remoto o en
un soporte externo que no se pueda volver a grabar.
1.1.2.4.5 VPN (VIRTUAL PRIVATE NETWORKS)
La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una
tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.
Requerimientos básicos
Identificación de usuario: las VPN deben verificar la identidad de los
usuarios y restringir su acceso a aquellos que no se encuentren
autorizados.
Codificación de datos: los datos que se van a transmitir a través de la
red pública (Internet), antes deben ser cifrados, para que así no puedan
ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o
3DES que solo pueden ser leídos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves de cifrado
para los usuarios.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Es quizás el modelo más usado actualmente y consiste en usuarios o
proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando
Internet como vínculo de acceso. Una vez autentificados tienen un nivel de
acceso muy similar al que tienen en la red local de la empresa.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Muchas empresas han reemplazado con esta tecnología su infraestructura dial-
up (módems y líneas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de
la organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el
túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando
los servicios de su proveedor local de Internet, típicamente mediante
conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto
a punto tradicionales, sobre todo en las comunicaciones internacionales. Es
más común el siguiente punto, también llamado tecnología de túnel o tunneling.
TUNNELING
Internet se construyó desde un principio como un medio inseguro. Muchos de
los protocolos utilizados hoy en día para transferir datos de una máquina a otra
a través de la red carecen de algún tipo de cifrado o medio de seguridad que
dichos datos. Este tipo de técnica requiere de forma imprescindible tener una
cuenta de acceso seguro en la máquina con la que se quiere comunicar los
datos.
VPN interna VLAN
Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en
vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.
Esta capacidad lo hace muy conveniente para mejorar las prestaciones de
seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas
de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación
adicional más el agregado del cifrado, haciendo posible que sólo el personal de
recursos humanos habilitado pueda acceder a la información.
Ventajas
Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costes y son sencillas de usar.
Facilita la comunicación entre dos usuarios en lugares distantes.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.4.6 DMZ (ZONA DESMILITARIZADA)
Los servicios accesibles externamente deberían residir en lo que en la industria de seguridad se conoce como una zona desmilitarizada (DMZ), un segmento lógico de red donde el tráfico entrante desde Internet sólo podrá acceder esos servicios y no tiene permitido acceder la red interna. Esto es efectivo en que, aún cuando un usuario malicioso explota una máquina en el DMZ, el resto de la red interna queda detrás de los cortafuegos en un segmento separado.
Cuando algunas máquinas de la red interna deben ser accesibles desde una
red externa (servidores web, servidores de correo electrónico, servidores FTP),
a veces es necesario crear una nueva interfaz hacia una red separada a la que
se pueda acceder tanto desde la red interna como por vía externa sin correr el
riesgo de comprometer la seguridad de la compañía. El término "zona
desmilitarizada" o DMZ hace referencia a esta zona aislada que posee
aplicaciones disponibles para el público. La DMZ actúa como una "zona de
búfer" entre la red que necesita protección y la red hostil.
Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan
como un puesto de avanzada en la red de la compañía.
Por lo general, la política de seguridad para la DMZ es la siguiente:
El tráfico de la red externa a la DMZ está autorizado
El tráfico de la red externa a la red interna está prohibido
El tráfico de la red interna a la DMZ está autorizado
El tráfico de la red interna a la red externa está autorizado
El tráfico de la DMZ a la red interna está prohibido
El tráfico de la DMZ a la red externa está denegado
De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es
lo suficientemente alto para almacenar datos imprescindibles de la compañía.
Debe observarse que es posible instalar las DMZ en forma interna para aislar la
red interna con niveles de protección variados y así evitar intrusiones internas.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.1.2.4.7 HERRAMIENTAS DE SEGURIDAD
La herramienta debe proporcionar mecanismos para controlar el acceso y las
modificaciones a los que contiene. La herramienta debe, al menos, mantener
contraseñas y permisos de acceso en distintos niveles para cada usuario.
También debe facilitar la realización automática de copias de seguridad y
recuperaciones de las mismas, así como el almacenamiento de grupos de
información determinados, por ejemplo, por proyecto o aplicaciones.
Un conjunto de métodos y herramientas destinados a proteger la información y
por ende, los sistemas informáticos ante cualquier amenaza.
1.2 SEGURIDAD EN REDES DE DATOS
En la actualidad la información es un activo importante en las organizaciones, y
por lo tanto, cualquier organización debiera darle la atención y protección
necesaria, ya que en ello se juega el prestigio y la confianza de sus usuarios.
La información tiene tres características que deben protegerse:
•Confidencialidad
•Integridad
•Disponibilidad
Confidencialidad
Es una característica muy delicada en todo tipo de organización, ya que hay
datos que sólo conciernen a algunos, y que pueden ser utilizados de forma
indebida por otros, o simplemente pueden afectar el prestigio de la
organización si se sabe que no se les da el cuidado adecuado. Hay información
que necesita ser confidencial y otra que no, pero en general obtener la
información por una vía ilícita delata problemas en la organización, y muy
graves si la información es confidencial. Una fuente de información importante
para la Escuela es la Intranet, la cual almacena mucha información confidencial
o restringida a grupos de usuarios específicos, por esta razón es manejada con
un nivel de seguridad alto. Los computadores personales de usuarios de la
Escuela muchas veces mantienen información importante y confidencial, por lo
tanto se deberían proteger casi de la misma forma que la Intranet.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Integridad
Es una característica que nos da la seguridad que la información no ha sido
alterada ni manipulada, y por lo tanto es fidedigna y utilizable. Este es uno de
los puntos débiles del correo electrónico, y es un problema de diseño el cual se
logra solucionar utilizando firma digital.
Disponibilidad
Es una característica que apunta más a factores externos, ya que se refiere al
hecho de poder acceder a la información la mayor cantidad de tiempo posible o
todas las veces que se requiera, lo cual se logra con tecnologías de redes y de
procesamiento (servidores). La información no es útil si no se puede acceder
cuando es necesaria, y los problemas más comunes que causan situaciones de
no disponibilidad son los problemas de red, como lo suele ser un enlace
colapsado. Esto último afecta gravemente a la Escuela ya que no sólo la
comunidad universitaria no puede acceder a servicios externos, sino que
también usuarios externos no puedan acceder a servicios provistos por la
Escuela.
En general si la información de la organización no importa que sea destruida,
modificada o que no este disponible, entonces no tiene ninguna de las
características nombradas y por lo tanto sólo ocupa espacio en disco y no tiene
ninguna utilidad.
Tanto como la información de la organización se debe cuidar adecuadamente,
el equipamiento de red, los servidores, el ancho de banda, etc. son recursos
que las organizaciones también deben cuidar y proteger, ya que en ellos se
levanta la plataforma informática utilizada a diario. Estos recursos además de
ser costosos, son una parte medular de toda organización.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.2.1 AMENAZAS Y ATAQUES A REDES
Un ataque de red se produce cuando un atacante utiliza vulnerabilidades y
fallos en la seguridad a diferentes niveles (TCP, IPv4, WiFi, DNS,
aplicaciones…) para intentar comprometer la seguridad de una red.
Debido a su complejidad, se recolectan datos que le dan al atacante las pautas
para tener éxito, las más habituales son:
Identificación del sistema operativo: Los ataques difieren mucho según
el sistema operativo que esté instalado en el ordenador
Escaneo de protocolos, puertos y servicios:
Los servicios: Son los programas que carga el propio sistema operativo
para poder funcionar, servicio de impresión, actualizaciones
automáticas, Messenger…
o Los puertos son las vías que utiliza el ordenador para
comunicarse, 21 es el del FTP, 995 el del correo seguro…
o Protocolos: Son los diferentes lenguajes establecidos que utiliza
el ordenador para comunicarse De este modo si se escanea todo
esto el atacante se hace una idea de cómo poder realizar el
ataque.
Escaneo de vulnerabilidades.
o Del sistema operativo.
o De los programas instalados.
Existen multitud de tipos de ataques de red aunque existen cuatro tipos
básicos:
o Ataques de denegación de servicio.
o Ataques contra la autentificación.
o Ataques de modificación y daño.
o Ataques de puerta trasera o backdoor.
Se entiende por amenaza una condición del entorno del sistema de información
(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar
a que se produjese una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo).
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
La política de seguridad y el análisis de riesgos habrán identificado las
amenazas que han de ser contrarrestadas, dependiendo del diseñador del
sistema de seguridad especificar los servicios y mecanismos de seguridad
necesarios.
Las amenazas a la seguridad en una red pueden caracterizarse modelando el
sistema como un flujo de información desde una fuente, como por ejemplo un
fichero o una región de la memoria principal, a un destino, como por ejemplo
otro fichero o un usuario. Un ataque no es más que la realización de una
amenaza.
Las cuatro categorías generales de amenazas o ataques son las siguientes:
Interrupción: un recurso del sistema es destruido o se vuelve no
disponible. Este es un ataque contra la disponibilidad. Ejemplos de este
ataque son la destrucción de un elemento hardware, como un disco
duro, cortar una línea de comunicación o deshabilitar el sistema de
gestión de ficheros.
Intercepción: una entidad no autorizada consigue acceso a un recurso.
Este es un ataque contra la confidencialidad. La entidad no autorizada
podría ser una persona, un programa o un ordenador. Ejemplos de este
ataque son pinchar una línea para hacerse con datos que circulen por la
red y la copia ilícita de ficheros o programas (intercepción de datos), o
bien la lectura de las cabeceras de paquetes para desvelar la identidad
de uno o más de los usuarios implicados en la comunicación observada
ilegalmente (intercepción de identidad).
Modificación: una entidad no autorizada no sólo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un
archivo de datos, alterar un programa para que funcione de forma
diferente y modificar el contenido de mensajes que están siendo
transferidos por la red.
Fabricación: una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad. Ejemplos de este
ataque son la inserción de mensajes espurios en una red o añadir
registros a un archivo.
Estos ataques se pueden así mismo clasificar de forma útil en términos de
ataques pasivos y ataques activos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicación, sino que
únicamente la escucha o monitoriza, para obtener información que está siendo
transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico,
una técnica más sutil para obtener información de la comunicación, que puede
consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las
cabeceras de los paquetes monitorizados.
Control del volumen de tráfico intercambiado entre las entidades
monitorizadas, obteniendo así información acerca de actividad o
inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las
entidades de la comunicación, para extraer información acerca de los
períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos que se verán más adelante.
Ataques activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido
o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro
categorías:
Suplantación de identidad: el intruso se hace pasar por una entidad
diferente. Normalmente incluye alguna de las otras formas de ataque
activo. Por ejemplo, secuencias de autenticación pueden ser capturadas
y repetidas, permitiendo a una entidad no autorizada acceder a una serie
de recursos privilegiados suplantando a la entidad que posee esos
privilegios, como al robar la contraseña de acceso a una cuenta.
Reactuación: uno o varios mensajes legítimos son capturados y
repetidos para producir un efecto no deseado, como por ejemplo
ingresar dinero repetidas veces en una cuenta dada.
Modificación de mensajes: una porción del mensaje legítimo es alterada,
o los mensajes son retardados o reordenados, para producir un efecto
no autorizado. Por ejemplo, el mensaje “Ingresa un millón de pesetas en
la cuenta A” podría ser modificado para decir “Ingresa un millón de
pesetas en la cuenta B”.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Degradación fraudulenta del servicio: impide o inhibe el uso normal o la
gestión de recursos informáticos y de comunicaciones. Por ejemplo, el
intruso podría suprimir todos los mensajes dirigidos a una determinada
entidad o se podría interrumpir el servicio de una red inundándola con
mensajes espurios. Entre estos ataques se encuentran los de
denegación de servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.
1.2.2 ELEMENTOS BÁSICOS DE PROTECCIÓN
Hoy en día la seguridad no es solo para grandes corporaciones; ni siquiera
podemos escudarnos en que no existe presupuesto para estar bien seguros
Las compañías que quieren abrirse al mundo, independientemente de su
actividad y tamaño. La competitividad de la empresa pasa por la modernización
de todos los aspectos del negocio, incluyendo sistemas de gestión, recursos
humanos y, en general, todas las áreas de actividad. Un aspecto clave de la
modernización lo constituye la tecnología, herramientas que automatizan los
procesos de negocio y que, hasta hace muy poco, sólo grandes empresas
podían acceder a ellas. Ahora estamos en una nueva etapa, todo el mundo
tiene la posibilidad de acceder a una conexión y expandir su negocio a un
escaparate virtualmente infinito. Con ello, incluso la pequeña y mediana
empresa consigue obtener una importante base para el desarrollo de su
negocio: que sus pro-veedores, clientes, y trabajadores estén interconectados
entre sí a través de la banda ancha. Y para que este nuevo contexto de
conectividad un verdadero beneficio, la empresa debe dotarse de un sistema
de seguridad que no quede cubierto únicamente con sistemas de protección de
puesto de trabajo, sino que es necesaria una seguridad perimetral avanzada.
Conforme evoluciona la pequeña y mediana empresa, se crean dispositivos
que se adecuan a sus necesidades, ya sea por prestaciones, precio, sencillez
de uso, etc., es decir, dispositivos que verdaderamente cubran estas
necesidades que la pyme lleva pidiendo mucho tiempo. A día de hoy, la
conectividad se vende por un lado y la seguridad por otro. Sin embargo, la
demanda real es la de adquirir seguridad y comunicaciones en un solo
dispositivo, seguridad perimetral, seguridad como habilitador de la
conectividad, que funciona de
Garantizar el acceso y la integridad de la información ha pasado a ser una
prioridad en forma independiente y ha de cubrir todas las áreas. La seguridad
perimetral se está convirtiendo en una característica obligatoria de todos los
proyectos de infraestructura de comunicaciones y conectividad de cualquier
compañía. Este tipo de seguridad se basa en la protección de todo lo que
rodea nuestra red frente a aquellos puntos que pueden estar en contacto con
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
otras redes que no son las nuestras. La seguridad perimetral es una
seguridad«excluyente», es decir, aquel tipo de seguridad que mantiene a «los
malos»fuera. Por eso, sus principales elementos son Firewall (cortafuegos) o
Control de Contenidos / Anti-Spam. Por eso, las soluciones perimetrales son un
primer paso, pero sin duda, una buena seguridad siempre tiene que ser
multidimensional y, sobre todo, debe de ser integrada para crear el máximo
nivel de seguridad y a la vez no aumentar la carga de administración. Una
empresa necesita seguridad perimetral por que es quizás uno de los vectores
menos controlados y de gran importancia. Al final, cualquier empresa que esté
conectada a Internet es un posible objetivo para ataques de red. La seguridad
perimetral nos permite aumentar nuestro umbral de seguridad de manera
significativa. De este modo, el futuro de la pyme pasa por dispositivos de
seguridad perimetral que lleven integrados los sistemas de seguridad críticos
identificados en cada negocio, con ello los costes y la dificultad asociada a la
instalación y puesta en marcha de éstos dispositivos se mantendrán limitados
al uso real que se quiera dar al dispositivo. Hoy en día los elementos básicos
de seguridad en un sistema para la pequeña y mediana empresa incluyen unos
buenos cortafuegos y un antivirus de red como complemento al antivirus del
puesto de trabajo. Además, según el tipo de negocio y el control del uso de
recursos que se quiera establecer, son ríos al antivirus de escritorio y servidor:
Firewall, VPN, Anti-virus de red y filtrado de contenidos. En algunos casos es
incluso posible integrar el módulo de comunicación es para facilitar la
instalación y reducir costes asociados al mantenimiento de la solución.
Contando con dichos equipos el integrador deberá ser capaz de ofertar
servicios de seguridad basados en las comunicaciones de banda ancha a sus
clientes, siendo ésta una forma perfecta de fidelización. Por tanto, siempre es
recomendable una buena seguridad perimetral pero también es aconsejable la
implementación de soluciones más enfocadas a la red interna, tales como
dispositivos para la protección de los puestos de trabajo. El fin dela seguridad,
cualquiera que sea su denominación, es la de bloquear el mayor número
posible de ataques que vienen de fuera. En definitiva, para que una seguridad
perimetral sea eficiente hay que saber también qué es lo que se está
protegiendo y así poder establecer las reglas más adecuadas en cada caso.
Recomendables un filtrado de contenidos web y un servidor VPN. Un extra muy
recomendable en éste tipo de dispositivos es que dispongan del módulo de
comunicaciones WAN integrado, de forma que tanto la configuración inicial
como el mantenimiento posterior del sistema de seguridad perimetral, se
reduzcan a un solo dispositivo. Es importante que estos sistemas sean capaces
de evolucionar según lo hagan las amenazas en Internet, ya sea mediante
actualizaciones de software y/o hardware como de integración de nuevos
servicios de seguridad. Muestra de ello es la necesidad, cada día más
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
apremiante, de disponer de un buen sistema Antispam, que bloquee deforma
efectiva el correo basura.
1.3 SEGURIDAD EN REDES INALÁMBRICAS
Elementos de la seguridad inalámbrica
Para proteger una red inalámbrica, hay tres acciones que pueden ayudar:
Proteger los datos durante su transmisión mediante el cifrado: en su
sentido básico, el cifrado es como un código secreto. Traduce los datos
a un lenguaje indescifrable que sólo el destinatario indicado comprende.
El cifrado requiere que tanto el remitente como el destinatario tengan
una clave para decodificar los datos transmitidos. El cifrado más seguro
utiliza claves muy complicadas, o algoritmos, que cambian con
regularidad para proteger los datos.
Desalentar a los usuarios no autorizados mediante autenticación: los
nombres de usuario y las contraseñas son la base de la autenticación,
pero otras herramientas pueden hacer que la autenticación sea más
segura y confiable. La mejor autenticación es la que se realiza por
usuario, por autenticación mutua entre el usuario y la fuente de
autenticación.
Impedir conexiones no oficiales mediante la eliminación de puntos de
acceso dudosos: un empleado bienintencionado que goza de conexión
inalámbrica en su hogar podría comprar un punto de acceso barato y
conectarlo al zócalo de red sin pedir permiso. A este punto de acceso se
le denomina dudoso, y la mayoría de estos puntos de acceso los
instalan empleados, no intrusos maliciosos. Buscar la existencia de
puntos de acceso dudosos no es difícil. Existen herramientas que
pueden ayudar, y la comprobación puede hacerse con una computadora
portátil y con software en un pequeño edificio, o utilizando un equipo de
administración que recopila datos de los puntos de acceso.
Soluciones de seguridad inalámbrica
Existen tres soluciones disponibles para proteger el cifrado y la autenticación de LAN inalámbrica: Acceso protegido Wi-Fi (WPA), Acceso protegido Wi-Fi 2 (WPA2) y conexión de redes privadas virtuales (VPN). La solución que elija es específica del tipo de LAN inalámbrica a la que está accediendo y del nivel de cifrado de datos necesario:
WPA y WPA2: estas certificaciones de seguridad basadas en normas de
la Wi-Fi Alliance para LAN de grandes empresas, empresas en
crecimiento y para la pequeña oficina u oficinas instaladas en el hogar
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
proporcionan autenticación mutua para verificar a usuarios individuales y
cifrado avanzado. WPA proporciona cifrado de clase empresarial y
WPA2, la siguiente generación de seguridad Wi-Fi, admite el cifrado de
clase gubernamental. "Recomendamos WPA o WPA2 para las
implementaciones de LAN inalámbrica en grandes empresas y
empresas en crecimiento", comenta Jeremy Stieglitz, gerente de
productos de la unidad comercial de Conexión de Redes Inalámbricas
de Cisco. "WPA y WPA2 ofrecen control de acceso seguro, cifrado de
datos robusto y protegen la red de los ataques pasivos y activos".
VPN: VPN brinda seguridad eficaz para los usuarios que acceden a la
red por vía inalámbrica mientras están de viaje o alejados de sus
oficinas. Con VPN, los usuarios crean un "túnel" seguro entre dos o más
puntos de una red mediante el cifrado, incluso si los datos cifrados se
transmiten a través de redes no seguras como la red de uso público
Internet. Los empleados que trabajan desde casa con conexiones de
acceso telefónico o de banda ancha también pueden usar VPN.
Política de seguridad inalámbrica
En algunos casos, puede haber parámetros de seguridad diferentes para usuarios o grupos de usuarios diferentes de la red. Estos parámetros de seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto de acceso. Por ejemplo, puede configurar políticas de seguridad diferentes para grupos de usuarios diferenciados dentro de la compañía, como por ejemplo, los de finanzas, jurídico, manufactura o recursos humanos. También puede configurar políticas de seguridad independientes para clientes, partners o visitantes que acceden a la LAN inalámbrica. Esto le permite utilizar un solo punto de acceso de forma económica para ofrecer soporte a varios grupos de usuarios con parámetros y requisitos de seguridad diferentes, mientras la red se mantiene la segura y protegida. La seguridad de LAN inalámbrica, aun cuando está integrada en la administración general de la red, sólo es efectiva cuando está activada y se utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las políticas del usuario son también una parte importante de las buenas prácticas de seguridad. El desafío es elaborar una política de usuarios de LAN inalámbrica que sea lo suficientemente sencilla como para que la gente la cumpla, pero además, lo suficientemente segura como para proteger la red. Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente certificados. La política de seguridad de LAN inalámbrica debería también cubrir cuándo y cómo pueden los empleados utilizar los puntos activos públicos, el uso de dispositivos personales en la red inalámbrica de la compañía, la prohibición de dispositivos de origen desconocido y una política de contraseñas robusta.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.2.3 INTRODUCCIÓN A LA CRIPTOGRAFÍA
La palabra "Criptografía" viene del griego "Kryptos", escondido, y "Graphos",
escritura. Es decir, cuando hablamos de Criptografía estamos hablando de
"Escritura escondida". Se trata de escribir algo de manera que otra persona
que quiera leer lo que hemos escrito no pueda entenderlo a no ser que
conozca cómo se ha escondido.
Los sistemas criptográficos están teniendo un gran auge últimamente ante el
miedo de que una transmisión en Internet pueda ser interceptada y algún
desaprensivo pueda enterarse de alguna información que no debería. Y no
estamos hablando de un correo electrónico en el que organizamos las
vacaciones con los amigos, nos referimos a, por ejemplo, una transacción
comercial de cientos de miles de euros o una información sobre determinados
temas empresariales que podría hacer las delicias de un competidor.
Desde la Antigüedad todas las civilizaciones han desarrollado sistemas de
criptografía para que las comunicaciones no fueran públicas. Incluso hoy en día
muchas personas utilizan lenguajes específicos para que solamente los
iniciados en ellos puedan comprender la conversación como, por ejemplo, las
jergas utilizadas en ambientes carcelarios. A veces los informáticos también
parece que hablemos en clave...
Hay muchos sistemas para "camuflar" lo que escribimos. Quizá el más fácil sea
la "trasposición" del texto. Consiste en cambiar cada letra del texto por otra
distinta. Por ejemplo, si escribo "boujwjsvt", solamente las personas que
supieran que he puesto la letra siguiente del alfabeto para escribir la palabra
"antivirus" podrían entender la palabra.
Evidentemente los sistemas criptográficos actuales van mucho más allá de un
sistema como el de transposición, fácil de descubrir en unos cuantos intentos.
Incluso si en lugar de trasponer un determinado número de espacios elegimos
aleatoriamente las letras a sustituir, también bastaría con un ordenador que
tuviera un simple corrector ortográfico para, en unos cuantos intentos, descubrir
el significado de un mensaje.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.2.4 SEGURIDAD DE LA RED A NIVEL:
1.2.4.1 APLICACIÓN
La capa de aplicación es la séptima en el modelo OSI y es la que ofrece a las
aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las
demás capas y define los protocolos que utilizan las aplicaciones para
intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases
de datos y servidor de ficheros (FTP).
Ofrece un servicio no transparente involucrando al usuario en las tareas
necesarias, aunque es el más flexible ya que el alcance y la intensidad de la
protección puede ser diseñada para cubrir las necesidades específicas de cada
aplicación.
Cada aplicación crítica requiere una definición de las opciones de autenticación
y encriptado necesarias
1.2.4.2 TRANSPORTE
Seguridad de la capa de transporte (TLS) sean protocolos criptográficos eso
proporciona seguro comunicaciones sobre Internet para las cosas tales como,
E-mail, El enviar por telefax del Internet, mensajería inmediata y otras
transferencias de datos.
Dentro de las responsabilidades que debe cumplir la capa de transporte esta el
seguimiento de conversaciones individuales en las que se debe mantener la
comunicación continua entre las aplicaciones, segmentación de datos que
consiste en dividir en partes manejables la información para su fácil
transportación, reensamble de segmentos en donde la información se une
nuevamente para seguir su proceso de trasmisión a la capa de aplicación y ser
mostrada al destino, identificación de las aplicaciones en la que a la capa de
transporte le es asignado un número de puerto, el cual es el identificador de la
aplicación destino y por último los requerimientos de datos varían en donde la
capa de transporte cuenta con varios protocolos que permiten que los
segmentos puedan llegar en una secuencia especifica al destino o incluso
pueda haber demora en la recepción de la información pero son enviados al
destino exitosamente. Una de las más importantes actividades de la capa de
transporte es la separación de comunicaciones múltiples lo que nos hace
referencia a que cuando existen varias aplicaciones simultáneas solicitando
servicios diferentes, la capa de transporte debe enviar la información correcta
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
a cada aplicación, de esta manera se establece una conversación entre el
origen y el destino.
Debe existir un control de las conversaciones, para ello se debe establecer
una sesión la cual permitirá la comunicación entre las aplicaciones antes de
que los datos sean trasmitidos, de esta manera se asegura una entrega
confiable pues si por algún motivo existe un pérdida de datos se pueden
volver a transmitir debido a esto sucede que los segmentos lleguen en
desorden, al numerar y secuenciar los segmentos la capa de transporte permite
reensamblar estos segmentos para que continúen de manera ordenada. Uno
de los problemas frecuentes al enviar datos es que éstos pueden ser
demasiado pesados y ocupar mucha memoria o ancho de banda para esto la
capa de transporte solicita a los protocolos que reduzcan la velocidad del flujo
de los segmentos, de esta manera se puede evitar la pérdida de datos en la
transmisión o incluso impedir que se reenvíen.
Los protocolos más comunes de la capa de transporte en el modelo TCP/IP
son el Protocolo de control de transmisión (TCP), el cual se encarga de la
entrega confiable y del control de flujo. Cada segmento de TCP posee 20 bytes
de carga en el encabezado, que encapsulan los datos de la capa de Aplicación,
los exploradores web, e-mail utilizan este protocolo. El otro protocolo más
utilizado es el Protocolo de datagramas de usuario (UDP) que cuenta con la
ventaja de proveer la entrega de datos sin utilizar muchos recursos, las
porciones de comunicación de este protocolo se les llama datagramas, los
cuales son enviados "máximo esfuerzo", entre las aplicaciones que utilizan
este protocolo se incluye DNS, streaming de video y voz sobre IP. Tanto
TCP como UDP cuentan con encabezados que se pueden identificar de
forma exclusiva. El organismo que asigna las normas de direccionamiento
(IANA), es responsable de los distintos tipos de números de puertos bien
conocidos que van del 0 al 1023 y se reservan para servicios y aplicaciones,
los puertos registrados que son del 1024 al 49151 están asignados a
procesos del usuario, los puertos privados del 49 152 al 65 535 son destinados
a aplicaciones de cliente cuando se inicia una conexión. El Netstat es una
utilidad de red para determinar las conexiones abiertas de un host.
Para que existan comunicaciones confiables es necesario que haya acuses de
recibo que confirmen la entrega exitosa de datos dentro de la sesión TCP, si
en un tiempo determinado este acuse no es recibido los datos se retransmiten
al destino. Dentro de la capa de transporte los números de puerto no pueden
tener dos servicios asignados a un servidor individual por esto se debe mejorar
la seguridad en un servidor y se limita el acceso al servidor a aquellos
puertos asociados con las aplicaciones accesibles a solicitudes. Se deben
cumplir tres pasos para que exista una conexión TCP, primero el cliente inicia
la conexión enviando un segmento, después el servidor responde con un
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
segmento de valor reconocido y finalmente el cliente que inicio la conexión
responde con un valor de afirmación, de esta forma queda establecida la
comunicación. Sin embargo para establecer la comunicación en el proceso de
cliente UDP se selecciona al azar un número de puerto del rango dinámico
y lo utiliza como puerto de origen para establecer la conexión, el cual
colaborará con la seguridad. Al elegir los puertos de origen y destino se utilizan
al principio de los datagramas que utilicen la transacción, para la devolución de
datos del servidor al cliente, se invierten los números de puerto de origen y
destino en el encabezado del datagrama.
1.2.4.3 RED
Implementar la seguridad en el nivel de red tiene muchas ventajas. La primera
de todas es que las cabeceras impuestas por los distintos protocolos son
menores ya que todos los protocolos de transporte y de aplicación pueden
compartir la infraestructura de gestión de claves provista por esta capa. La
segunda sería que pocas aplicaciones necesitarían cambios para utilizar la
infraestructura de seguridad, mientras que si la seguridad se implementara en
capas superiores cada aplicación o protocolo debería diseñar su propia
infraestructura. Esto resultaría en una multiplicación de esfuerzos, además de
incrementar la probabilidad de existencia de fallos de seguridad en su diseño y
codificación.
La desventaja principal de implementar la seguridad en la capa de red es la
dificultad de resolver problemas como el de la imposibilidad de repudio o la
autorización del usuario, ciertos mecanismos de seguridad extremo a extremo -
en los routers intermedios no existe el concepto de usuario, por lo que este
problema no podría darse.
Los ataques a nivel de red siguen siendo bastante frecuentes. Aunque las pilas
TCP/IP de los distintos sistemas operativos son cada vez más robustas,
todavía son frecuentes los ataques de denegación de servicio en servidores NT
y Unix debidos al empleo de generadores de datagramas IP erróneos o
complicados de procesar.
Es también frecuente el empleo de herramientas automatizadas de escaneo y
comprobación de vulnerabilidades en redes, así como la utilización de
programas específicos que explotan una determinada vulnerabilidad de un
servidor o servicio concreto para atacarlo.
En esta sección vamos a tratar sobre todo las medidas que creemos que se
deben establecer en las organizaciones mediante el uso de diversos protocolos
en los routers de acceso, para así evitar el acceso desde fuera a estos
servicios. Estas medidas no serán efectivas contra ataques internos, salvo que
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
se apliquen medidas internas concretas en aquellas organizaciones que tienen
un direccionamiento plano de red para su red física, pero permitirán como
mínimo reducir ciertos problemas como el SPAM o los ataques contra servicios
bien conocidos como NFS, NetBios, etc. Además permitirán que incluso si los
usuarios activan esos servicios en sus máquinas, éstos no serán accesibles
desde el exterior, evitando así múltiples problemas.
Filtrado de paquetes
Aunque la seguridad a nivel de sistema sigue teniendo una importancia vital,
los fallos en varios servicios TCP/IP y la existencia de protocolos defectuosos
hace imprescindible el uso de filtros en el nivel de red, que permitan a una
organización restringir el acceso externo a estos servicios. De esta forma, sólo
aquellos servicios que deban estar accesibles desde fuera del área local serán
permitidos a través de filtros en los routers. Además es importante que estos
filtros determinen las condiciones de acceso a los servicios permitidos.
CONFIGURACIÓN DE LAS PILAS TCP/IP EN EQUIPOS FINALES
La combinación de estos dos filtros prevendrán que un atacante de fuera de
nuestra red envíe paquetes simulando hacerlo desde dentro de nuestra red, así
como que paquetes generados dentro de nuestra red parezcan haber sido
generados fuera de la mismas.
Monitorización de routers y equipos de acceso
Hace algunos años era frecuente el empleo de equipos de acceso (servidores
de pools de modems, routers de acceso, etc.) para la conexión a los servidores
de las organizaciones desde el domicilio de los usuarios.
Tanto estos equipos como los routers de interconexión y cualquier dispositivo
(switch, concentrador ATM, etc. que disponga de esta opción), deben estar
monitorizados.
Esta monitorización es muchas veces muy sencilla de establecer y la recepción
y almacenamiento de los registros no requiere mucha carga del procesador.
En instalaciones con mucho equipamiento de red puede ser recomendable el
empleo de alguna herramienta de monitorización, de forma que las incidencias
que vayan ocurriendo sean notificadas en tiempo real a los administradores de
la red.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Separación de las redes y filtros anti-sniffing
Gran parte de los ataques que se producen son debidos a la obtención de las
claves empleando un programa de sniffing en una red ethernet. En muchas
ocasiones, la separación de las redes y el empleo de switches y routers hace
falta para permitir una mayor descongestión del tráfico interno de una
organización, pero además es muy necesario para lograr una mayor seguridad
dentro de esta.
Las salas de acceso general (bibliotecas, salas de prácticas comunes, aulas de
estudiantes, etc.) deben estar separadas mediante puentes (bridges) o
conmutadores (switches) del resto de la red, para evitar que se puedan
obtener, mediante sniffers, claves de acceso de otros grupos de usuarios. En
general los equipos que necesiten el empleo de sistemas inseguros de
transmisión de claves deberán estar aislados de la red, de forma que estas
claves no se transmitan por toda la organización.
Hay que considerar además las posibilidades de gestión y consola remota que
disponen muchos hubs y switches: hay que cambiar las claves por defecto que
suelen tener estos equipos y deshabilitar la gestión remota de éstos si no se va
a hacer uso de ella (SNMP, consolas remotas, servidor de HTTP.).
1.2.4.4 ENLACE
Es la forma de protección criptográfica más transparente tanto para los
controladores de los dispositivos como para las aplicaciones.
Esta protección solo afecta a un enlace individual. La ventaja principal es que el
paquete es encriptado por completo, incluyendo las direcciones de origen y
destino lo que deja fuera de riesgo la comunicación. Aunque el problema es
que solo protege un enlace en particular: si un mensaje debe atravesar más de
un enlace, será vulnerable en el nodo intermedio y en el siguiente enlace, si
éste no está protegido.
Por lo tanto, el encriptado a nivel de enlace es útil para proteger solo tráfico
local o unas pocas líneas de enlace muy vulnerables o críticas (como por
ejemplo circuitos satelitales).
Es el proceso de asegurar los datos en el nivel de enlace, cuando los datos son
transmitidos entre dos nodos instalados sobre el mismo enlace físico
Requerimientos: una clave secreta compartida entre las partes en contacto, y
un algoritmo de cifrado previamente acordado
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Cifrado en el nivel de enlace
Cuando el transmisor y receptor no comparten un medio de transporte de datos
en común, los datos deben ser descifrados y recifrados en cada uno de los
nodos en el camino al receptor
El cifrado en el nivel de enlace se usa en caso de que no se aplique un
protocolo de cifrado de mayor nivel.
El cifrado a nivel de enlace no provee seguridad de extremo a extremo, fuera
del enlace físico.
Solo debe ser considerada una medida adicional en el diseño de la red. El
cifrado a nivel de enlace requiere más recursos de hardware en los puntos de
acceso.
1.2.5 MONITOREO
El término monitoreo de red describe el uso de un sistema que constantemente
monitorea una red de computadoras para detectar sistemas lentos o en mal
funcionamiento y que notifica al administrador de la red en caso de falla vía
correo electrónico, beeper u otras alarmas.
Es un subconjunto de las funciones implicadas en la administración de la red.
Los aplicativos de monitoreo del estado de red permiten, entre varias cosas:
- Revisar los signos vitales de la red en tiempo real.
Mientras un sistema de detección de intrusos monitorea una red de amenazas
del exterior, un sistema de monitoreo de red monitorea la red de problemas
debidos a servidores, conexiones de red u otros dispositivos sobrecargados y/o
fuera de servicio.
1.3 SEGURIDAD EN REDES INALÁMBRICAS
Son muchos los motivos para preocuparnos por la seguridad de una red
inalámbrica. Por ejemplo, queremos evitar compartir nuestro ancho de banda
públicamente. A nadie con algo de experiencia se le escapa que las redes
inalámbricas utilizan un medio inseguro para sus comunicaciones y esto tiene
sus repercusiones en la seguridad. Tendremos situaciones en las que
precisamente queramos compartir públicamente el acceso a través de la red
inalámbrica, pero también tendremos que poder configurar una red inalámbrica
para limitar el acceso en función de unas credenciales. También tenemos que
tener en cuanta que las tramas circulan de forma pública y en consecuencia
cualquiera que estuviera en el espacio cubierto por la red, y con unos medios
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
simples, podría capturar la tramas y ver el tráfico de la red. Aunque esto pueda
sonar a película de Hollywood, está más cerca de lo que podríamos pensar.
Para resolver los problemas de seguridad que presenta una red inalámbrica
tendremos que poder, por un lado, garantizar el acceso mediante algún tipo de
credencial a la red y por otro garantizar la privacidad de las comunicaciones
aunque se hagan a través de un medio inseguro.
Una empresa no debería utilizar redes inalámbricas para sus comunicaciones
si tiene información valiosa en su red que desea mantener segura y no ha
tomado las medidas de protección adecuadas. Cuando utilizamos una página
web para enviar un número de tarjeta de crédito deberemos, hacerlo siempre
utilizando una web segura porque eso garantiza que se transmite cifrada. Pues
en una red inalámbrica tendría que hacerse de una forma parecida para toda la
información que circula, para que proporcione al menos la misma seguridad
que un cable. Pensemos que en una red inalámbrica abierta se podría llegar a
acceder a los recursos de red compartidos.
1.3.3 WEP
WEP (Wired Equivalent Privacy), Privacidad Equivalente a Cable. Es el sistema
más simple de cifrado y lo admiten, la totalidad de los adaptadores
inalámbricos. El cifrado WEP se realiza en la capa MAC del adaptador de red
inalámbrico o en el punto de acceso, utilizando claves compartidas de 64 o 128
bits. Cada clave consta de dos partes, una de las cuales la tiene que configurar
el usuario/administrador en cada uno de los adaptadores o puntos de acceso
de la red. La otra parte se genera automáticamente y se denomina vector de
inicialización (IV). El objetivo del vector de inicialización es obtener claves
distintas para cada trama.
Funcionamiento del cifrado WEP.
Cuando tenemos activo el cifrado WEP en cualquier dispositivo inalámbrico,
bien sea una adaptador de red o un punto de acceso, estamos forzando que el
emisor cifre los datos. El receptor recoge y la descifra. Para no incurrir en
errores de concepto, esto es sólo aplicable a comunicaciones, cuando el punto
de acceso recoge una trama y la envía a través del cable, la envía sin cifrar. El
cifrado se lleva a cabo partiendo de la clave compartida entre dispositivos que,
como indicamos con anterioridad, previamente hemos tenido que configurar en
cada una de las estaciones. En realidad un sistema WEP almacena cuatro
contraseñas y mediante un índice indicamos cual de ellas vamos a utilizar en
las comunicaciones.
El proceso de cifrado WEP agrega un vector de inicialización (IV) aleatorio de
24 bits concatenándolo con un la clave compartida para generar la llave de
cifrado. Observamos como al configurar WEP tenemos que introducir un valor
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
de 40 bits (cinco dígitos hexadecimales), que junto con los 24 bits del IV
obtenemos la clave de 64 bits. El vector de inicialización podría cambiar en
cada trama trasmitida. WEP usa la llave de cifrado para generar la salida de
datos que serán, los datos cifrados más 32 bits para la comprobación de la
integridad, denominada ICV (integrity check value). El valor ICV se utiliza en la
estación receptora donde se recalcula y se compara con el del emisor para
comprobar si ha habido alguna modificación y tomar una decisión, que puede
ser rechazar el paquete.
Para cifrar los datos WEP utiliza el algoritmo RC4, que básicamente consiste
en generar un flujo de bits a partir de la clave generada, que utiliza como
semilla, y realizar una operación XOR entre este flujo de bits y los datos que
tiene que cifrar. El valor IV garantiza que el flujo de bits no sea siempre el
mismo. WEP incluye el IV en la parte no cifrada de la trama, lo que aumenta la
inseguridad. La estación receptora utiliza este IV con la clave compartida para
descifrar la parte cifrada de la trama.
Lo más habitual es utilizar IV diferentes para transmitir cada trama aunque esto
no es un requisito. El cambio del valor IV mejora la seguridad del cifrado WEP
dificultando que se pueda averiguar la contraseña capturando tramas, aunque
a pesar de todo sigue siendo inseguro.
Debilidades de WEP
Las debilidades de WEP se basan en que, por un lado, las claves permanecen
estáticas y por otro lado son insuficientes y se transmiten sin cifrar.
Algunos adaptadores sólo admiten cifrado WEP por lo que a pesar de su
inseguridad puede ser mejor que nada. Al menos evitaremos conexiones en
abierto incluso evitaremos conexiones y desconexiones a la red si hay varias
redes inalámbricas disponibles.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.4 Seguridad en Sistemas
La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
Integridad: La información sólo puede ser modificada por
quien está autorizado y de manera controlada.
Confidencialidad: La información sólo debe ser legible para
los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio): El uso y/o modificación de la
información por parte de un usuario debe ser irrefutable, es
decir, que el usuario no puede negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad física, seguridad ambiental y seguridad lógica.
En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea comprometida.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.4.4 instalación segura de sistemas
Es el proceso por el cual nuevos programas son transferidos a un computador y eventualmente, configurados, para ser usados con el fin para el cual fueron desarrollados. Un programa recorre diferentes fases de desarrollo durante su vida útil:
1. Desarrollo: cada programador necesita el programa instalado,
pero con las herramientas, códigos fuente, bancos de datos y
etc, para modificar el programa.
2. Prueba: antes de la entrega al usuario, el software debe ser
sometido a pruebas.
3. Producción: Para ser utilizado por el usuario final.
En cada una de esas fases la instalación cumple diferentes objetivos.
Se debe comprender que en castellano programa sirve para señalar tanto un guión o archivo ejecutable, ejemplo tar, como un conjunto de archivos que sirven un fin común, ejemplo OpenOffice.org. Por eso usaremos el neologismo software para programas computacionales.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.4.5 ADMINISTRACIÓN DE USUARIO Y CONTROLES DE ACCESO
La administración es el proceso de planificar, organizar, dirigir y controlar el uso de los recursos y las actividades de trabajo con el propósito de lograr los objetivos o metas de la organización de manera eficiente y eficaz.
hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos de usuarios existe una herramienta de administración: el administrador de usuarios incluido en NT Workstation y el administrador de usuarios para dominios incluido en NT Server.
El funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios dispone de más opciones. Por ello, se describirá el administrador de usuarios para dominios.
Control de acceso son una popular solución de seguridad para grandes empresas con muchos empleados. Sistemas de control de acceso le permiten convenientemente permitir el acceso a zonas de las empresas sólo es necesaria a cada empleado de forma individual. Acceso a los sistemas de control de la mayoría de las veces el uso de una identificación o de identificación con una banda magnética con la información codificada.
Teclados, escáneres de huellas digitales y otro tipo de tecnología también puede ser incorporado a un sistema de control de acceso, dependiendo de las necesidades de seguridad y las consideraciones prácticas. Un buen sistema de control de acceso proveedor puede ayudar mediante el diseño de un sistema que responde a sus necesidades de seguridad específicas de las empresas.
Un sistema de control de acceso fácil y rentable proporciona a usted la empresa de seguridad necesaria, así como de numerosos otros beneficios. Los Sistemas de control de acceso también puede utilizarse eficazmente en las pequeñas empresas, hoteles, e incluso complejos de apartamentos y dormitorios del colegio. Control de acceso a la tecnología puede ahorrar con cada cambio de cerraduras inquilino o rotación de personal, y le permitirá sentirse
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
seguro en el entorno seguro. Cómodo y fácil de utilizar, sistemas de control de acceso se están convirtiendo en una opción de seguridad más popular cada año. Sistemas de control de acceso también puede ocupar el lugar de su tradicional reloj de tiempo, la mejora de la puntualidad y el rendimiento de los empleados. Las actividades del Empleado pueden controlarse fácilmente con el numeroso que ofrece un sistema de control de acceso.
1.4.6 ADMINISTRACIÓN DE SERVICIO
La Administración de Servicios es una iniciativa de alto impacto de la Administración de Servicios de Negocio, que conecta la administración de servicios y demandas con la planificación del portafolio de servicios.
Los Administradores de Servicios son las que gestionan y administran todo tipo de que haceres concernientes a la red. Los Administradores de Servicios tienen acceso pleno a los servicios (CHaN, NiCK, MeMO, etc.). Los Administradores son Operadores e IRCops por extensión con lo cual además de sus responsabilidades, heredan las de estos. Al igual que los Operadores, los Administradores están normalmente ocupados, con lo que en ocasiones resulta difícil encontrar uno disponible. En ese caso deberás comentar el problema con un Operador, quien posteriormente se encargará de informar a un Administrador sobre el problema si no lo pudo resolver.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.4.7 MONITOREO
El Monitoreo se basa en un sistema de seguimiento continuo de la información relacionada al sistema jurídico político para la medición de resultados o identificación de acciones llevadas adelante por un determinado sector de nuestra sociedad o grupo social con el objetivo de ser estudiado para investigaciones socio-políticas. El monitoreo en este caso consiste en plasmar en un solo lugar información relacionada a nuestra agenda publica según los debates, artículos y notas que salen en los medios de Comunicación virtuales. La herramienta de monitoreo tiene como principal finalidad permitir recrear, en base a hechos cronológicos, lo acontecido desde el año 2008 hasta nuestros dias en el ámbito jurídico político, como así también ser una herramienta a ser utilizada para permitir un estudio detallado de los hechos que marcaron a nuestra comunidad.
El monitoreo de sistemas es un programa que permite verificar sistemáticamente el desempeño y la disponibilidad de los elementos críticos de un equipo de cómputo instalado en el Centro de Datos, a través de la identificación y el aislamiento de problemas. Fue diseñado para empresas que necesitan mantener un desempeño confiable y escalable en sus equipos y aplicaciones, y que cuentan con escaso personal técnico. Características: Identificación y registro de eventos tales como falta de disponibilidad de un equipo o recurso y violaciones a los umbrales de operación definidos. Identificación de degradaciones en el desempeño del sistema que provocan problemas o tiempos de respuesta lentos. Registro de los eventos identificados (bitácora). Emisión de reportes mensuales de eventos. Beneficios: Facilita la planeación de la capacidad de sus operaciones. Continuidad de su operación gracias a detección de temprana de eventos. Requerimientos: Ubicar el equipo y aplicaciones a monitorear dentro del Centro de Datos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.4.8 ACTUALIZACIONES DE LOS SISTEMAS
La actualización comienza a prepararse con el diseño y construcción del sistema El proceso de actualización es multifacético: afecta a software, hardware y datos, pero también es un reto organizativo Es recomendable involucrar a los usuarios en el proceso de decisión sobre la actualización y en su implantación No es deseable que el tecnológico sea el único motor de la actualización de sistemas. 1.4.9 MECANISMO DE RESPALDO Consiste en realizar una copia de seguridad para la información de los usuarios, existen muchas herramientas y metodologías para
respaldar la información, sin embargo su aplicación depende directamente de la unidad de TI. La mejor manera para evitar perdida de información es mediante la elaboración de planes/políticas/procedimientos y su aplicación.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Unidad II
Monitoreo de la seguridad informática
2.1 ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA La administración de la seguridad informática consiste en una serie
de procesos que tienen como propósito mantener un nivel
adecuado de seguridad informática en el sistema de información a
lo largo del tiempo.
Los procesos no se limitan al mantenimiento y la optimización de la
seguridad informática en el presente, sino que incluyen también
procesos de planeación estratégica de seguridad informática, que
garanticen que el nivel de seguridad se mantendrá en el futuro, y
que le permitan al sistema de seguridad informática anticiparse a
los requerimientos de seguridad impuestos por el entorno, o por la
organización a la cual el sistema de información sirve.
La administración de la seguridad informática debe garantizar:
La Disponibilidad de los sistemas de información.
El Recupero rápido y completo de los sistemas de información
La Integridad de la información.
La Confidencialidad de la información.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Cinco objetivos principales de la administración de la seguridad informática: Integridad: La verificación de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisión (accidental o intencionalmente).
Confidencialidad: consiste en hacer que la información sea
ininteligible para aquellos individuos que no estén involucrados en la
operación.
Disponibilidad: El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.
Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
Autenticación: La autenticación consiste en la confirmación de la
identidad de un usuario; es decir, la garantía para cada una de las
partes de que su interlocutor es realmente quien dice ser. Un control
de acceso permite (por ejemplo gracias a una contraseña
codificada) garantizar el acceso a recursos únicamente a las
personas autorizadas.
El rol de la administración de informática es el de asegurar que los
recursos de informática y los derechos de acceso a estos recursos
coincidan con la política de seguridad definida por la organización.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.1.1 ADMINISTRACIÓN DE CUMPLIMIENTO DE POLITICA
Política: son instrucciones mandatorios que indican la intención de
la alta gerencia respecto a la operación de la organización.
Una política de seguridad informática es un conjunto de reglas que
definen la manera en que una organización maneja, administra,
protege y asigna recursos para alcanzar el nivel de seguridad
definido como objetivo.
Pasos administrables del cumplimiento de política:
1. Determine dónde enfocar sus esfuerzos de cumplimiento.
2. Utilice procedimientos que validen el cumplimiento.
3. Consolide la administración del cumplimiento.
4. Diseñe políticas de cumplimiento con un enfoque jerárquico.
5. Decida automatizar los procesos de cumplimiento.
6. Elija tecnologías que habiliten el cumplimiento.
Área de cumplimiento de política
1. Definir y monitorear la implementación de la política de
seguridad consecuente con la estrategia de la organización.
2. Administrar las políticas de seguridad física, ambiental y lógica
del Departamento, garantizando todos los aspectos
relacionados con la integridad y confidencialidad de la
información del Organismo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3 Garantizar la compatibilidad de los sistemas con las políticas y
normas de Seguridad de la información.
2.1.2 ADMINISTRACIÓN DE INSIDENTE
El conocimiento es un factor decisivo al momento de administrar
incidentes y gestionar la política de control.
Pasos para la administración de incidente.
Minimizar la interrupción de la actividad normal
Proveer reportes específicos y puntuales de seguridad
Minimizar la exposición y el compromiso de información
Proteger la reputación de la organización de sus activos
Hacer mención de la relevancia de un equipo de respuesta a
incidentes bien capacitados.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.1.3 ANÁLISIS DE NUEVAS VULNERABILIDADES EN LA
INFRAESTRUCTURA
Para reforzar la Seguridad de la Información es indispensable
conocer las vulnerabilidades que afectan la infraestructura,
clasificarlas de acuerdo a su severidad y trabajar en un Plan de
Trabajo que permita irlas controlando conforme la Empresa lo
requiera o de acuerdo a sus posibilidades.
Conocimiento de las Vulnerabilidades Reales de Seguridad de la
Infraestructura, Reconoce configuraciones erróneas.
Recomendaciones Específicas para Reducir o Eliminar las
Vulnerabilidad críticas.
Plan de Trabajo detallado con compromisos sobre Niveles de
Seguridad para la Operación
Análisis Posteriores para verificar que las Vulnerabilidades estén
bajo control o hayan sido eliminadas
Actualización periódica sobre nuevas Vulnerabilidades que afecten
la operación.
Las pruebas de vulnerabilidad son una parte esencial de un
programa de seguridad informática eficaz. Las pruebas de
vulnerabilidad pueden ofrecerle mucha información valiosa sobre su
nivel de exposición a las amenazas. La realización continua de
evaluaciones de sus equipos informáticos críticos y de alto riesgo le
ayudará a fortalecer de manera anticipada su entorno frente a
posibles amenazas.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.1.4 MONITOREO DE LOS MECANISMOS DE SEGURIDAD
Un mecanismo de seguridad informática es una técnica o
herramienta que se utiliza para fortalecer la confidencialidad, la
integridad y/o la disponibilidad de un sistema informático.
Existen muchos y variados mecanismos de seguridad informática.
Su selección depende del tipo de sistema, de su función y de los
factores de riesgo que lo amenazan.
Clasificación según su función:
Preventivos: Actúan antes de que un hecho ocurra y su función es
detener agentes no deseados.
Detectivos: Actúan antes de que un hecho ocurra y su función es
revelar la presencia de agentes no deseados en algún componente
del sistema. Se caracterizan por enviar un aviso y registrar la
incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es
corregir las consecuencias.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.2 DETECCIÓN DE INTRUSOS
Un sistema de detección de intrusos (o IDS de sus siglas en inglés
Intrusion Detection System) es un programa usado para detectar
accesos no autorizados a un computador o a una red. Estos
accesos pueden ser ataques de habilidosos hackers o de Script
Kiddies que usan herramientas automáticas.
El funcionamiento de estas herramientas se basa en el análisis
pormenorizado del tráfico de red, el cual al entrar al analizador es
comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino
que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El
detector de intrusos es incapaz de detener los ataques por sí solo,
excepto los que trabajan conjuntamente en un dispositivo de puerta
de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el
poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de
penetrar en la red.
2.2.2 FALSOS POSITIVOS
Un falso positivo es un error por el cual un software antivirus reporta
que un archivo o área de sistema está infectada, cuando en realidad
el objeto está limpio de virus.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.2.3 FALSO NEGATIVO
Un falso negativo es un error mediante el cual el software falla en
detectar un archivo o área del sistema que está realmente
infectada.
Tanto los falsos positivos como los falsos negativos se pueden
producir debido a que el antivirus empleado no contiene los micro
códigos exactos del virus, que no necesariamente se encuentran en
una misma y única "cadena" o se trata de una nueva variante de la
especie viral. Los métodos heurísticos que no tengan una buena
técnica de programación o al ser compilados no hayan sido
"consistenciados", son susceptibles de reportar falsos positivos o
falsos negativos.
2.2.4 MÉTODOS DE DETECCIÓN DE INTRUSOS
El método es un orden que debe imponer a los diferentes procesos
necesarios apara lograr un fin dado o resultados.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.2.4.1 ANÁLISIS DE TRÁFICO
El análisis del tráfico de red se basa habitualmente en la utilización
de sondas con interfaz Ethernet conectadas al bus. Dichas sondas,
con su interfaz Ethernet funcionando en modo promiscuo, capturan
el tráfico a analizar y constituyen la plataforma en la que se
ejecutarán, de forma continua, aplicaciones propietarias o de
dominio público, con las que se podrá determinar el tipo de
información que circula por la red y el impacto que pudiera llegar a
tener sobre la misma.
Para realizar análisis de tráfico existe una gran variedad de
soluciones que van desde productos propietarios que incluyen
hardware y software, hasta soluciones gratuitas y de código abierto
comúnmente utilizadas bajo sistemas Linux-UNIX.
2.2.4.2 HIDS
HIDS (HostIDS): el principio de funcionamiento de un HIDS,
depende del éxito de intrusos, que generalmente dejaran rastros de
sus actividades en el equipo atacado, cuando intentan adueñarse
del mismo, con propósito de llevar a cabo otras actividades. El HIDS
intenta detectar tales modificaciones en el equipo afectado, y hacer
un reporte de sus conclusiones.
2.2.4.3 NIDS
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a
todo el segmento de la red. Su interfaz debe funcionar en modo
promiscuo capturando así todo el tráfico de la red.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
2.2.4.4 NUEVOS METODOS DE DETECCION
Detección de mal uso y detección de anomalías.
el modelo de detección de anomalías se basa en constantemente
monitorear el sistema para así detectar cualquier cambio en los
patrones de utilización o el comportamiento del mismo.
El modelo de detección de mal uso consiste en observar cualquier
proceso que intente explotar los puntos débiles de un sistema en
específico.
2.2.5 IDENTIFICACION DE ATAQUES
La identificación de ataques consiste en descubrir las
vulnerabilidades de una red y tener acceso a la misma, y de esta
forma poder modicar o eliminar archivos.
Se debe de tener en cuenta que podemos realizar los ataques de manera física y lógica.
Ataque Físico: Es aquel que lo podemos realizar a la infraestructura de una red es decir al hardware.
Ataque Lógico: consiste el descubrir las vulnerabilidades del software implantadas por la compañía.
Diremos que se entiende por amenaza una condición del entorno
del sistema de información (persona, máquina, suceso o idea) que,
dada una oportunidad, podría dar lugar a que se produjese una
violación de la seguridad (confidencialidad, integridad, disponibilidad
o uso legítimo).
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Ataque WIFI.: Este tipo de ataques se basa en el engaño y
básicamente en la suplantación de identidades y/o dispositivos
pertenecientes a la Red Inalámbrica Wifi atacada.
Snifers._ es un programa de captura de las tramas de red.
Generalmente se usa para gestionar la red con una finalidad
docente, aunque también puede ser utilizado con fines maliciosos.
2.2.6 ANÁLISIS DE TIEMPO DE RESPUESTA DE IDS
Un sistema de detección de intrusos (o IDS de sus siglas en inglés
Intrusion Detection System) es un programa usado para detectar
accesos no autorizados a un computador o a una red. Estos
accesos pueden ser ataques de habilidosos hackers, o de Script
Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red)
con los que el núcleo del IDS puede obtener datos externos
(generalmente sobre el tráfico de red). El IDS detecta, gracias a
dichos sensores, anomalías que pueden ser indicio de la presencia
de ataques o falsas alarmas.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Unidad III
Control de la seguridad informática
3.1 Auditoría de Red
Una auditoria de red toma en cuenta diversos factores no solo ligados a la productividad y performance o comportamiento de la red sino también a la seguridad de la misma.
Es importante en este caso mantener las premisas fundamentales de la seguridad informática:
1. Integridad
2. Confidencialidad
3. Disponibilidad
Estas deben estar garantizadas en todo momento para el correcto funcionamiento de la red y de sus servicios por parte del usuario final. Cuando se rompe una de las tres premisas la seguridad de la información ha sido comprometida y debe abrirse paso la ejecución del DRP o Disaster Recovery Plan o en menor medida un análisis de la intrusión y restablecimiento de los servicios y demás dependiendo del caso.
Dentro de una auditoria de red, tanto interna como externa, se analizan distintos factores, como puntos débiles, puntos críticos, vulnerabilidades, se realiza un análisis del espacio de IPS de la empresa, se verifican los servicios brindados y la posibilidad no solo de intrusiones sino también de ataques de denegación de servicio.
Además de un análisis exhaustivo se extraen conclusiones y recomendaciones de la información que se ha recabado, lo cual es uno de los puntos más importantes a la hora de brindar un informe al cliente. Este suele ser también el paso principal para la mejora o hardening de la red de información de la empresa.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Luego del diagnóstico de la red o de que la misma ha sido auditada puede procederse a un plan o abono de Mantenimiento de la Red.
Es una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. Metodología Identificar: - Estructura física ( hardware, topología) - Estructura lógica ( Software aplicaciones) - Etapas de la auditoria de redes - Análisis de la vulnerabilidad. - Estrategia de saneamiento. - Plan de contención ante posibles incidentes. - Seguimiento continúo del desempeño de sistemas. - Análisis de la vulnerabilidad: Este es sin duda el punto mas critico de toda la auditoria, ya que de el dependerá directamente el curso de acción a tomar en las siguientes etapas y el éxito de estas - Estrategia de saneamiento. Se identifican las brechas en la red y se produce a aprovecharlas, ya sea actualizando el software afectado, reconfigurando de una manera mejor o removiéndolo para reemplazarlo por otro software similar.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
- Plan de contención ante posibles incidentes. Consta de elaborar un plan “B” que provea un incidente a un después de tomadas las medidas de seguridad, y que da respuesta a posibles eventualidades. - Seguimiento continúo del desempeño de sistemas. La seguridad no es un producto es un proceso. Constantemente surgen nuevos fallos de seguridad, nuevos virus, nuevas herramientas que facilitan la instrucción en sistemas, como también nuevas y más efectivas tecnologías para solucionar estos y otros problemas.
Auditoria De La Red Física
Se debe garantizar que exista:
Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de
comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de
comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad física del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripción física
de la misma. Haya procedimientos de protección de los cables y las bocas
de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a
la misma. El equipo de prueba de comunicaciones ha de tener unos
propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.
Auditoria De La Red Lógica
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones:
Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por
el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.
Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos.
Que se comprueban si:
El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre. Generar estadísticas de las tasas de errores y transmisión. Crear protocolos con detección de errores. Los mensajes lógicos de transmisión han de llevar origen,
fecha, hora y receptor. El software de comunicación, ha de tener procedimientos
correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe
revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.
Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generará propios ataques para probar
solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:
o Servidores = Desde dentro del servidor y de la red interna.
o Servidores web. o Intranet = Desde dentro. o Firewall = Desde dentro. o Accesos del exterior y/o Internet.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.1.1 CONCEPTO DE AUDITORÍA SOBRE LA RED
Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.
El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de especialis-tas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).
El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso.
Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.
La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.1.2 HERRAMIENTAS DE AUDITORÍA
Métodos, técnicas y herramientas de auditoría.
Las auditorías informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de campo
del auditor consiste en lograr toda la información necesaria para la
emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la
cumplimentación de cuestionarios preimpresos que se envían a las
personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de
las diversas áreas a auditar.
Sobre esta base, se estudia y analiza la documentación recibida, de
modo que tal análisis determine a su vez la información que deberá
elaborar el propio auditor. El cruzamiento de ambos tipos de
información es una de las bases fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los
auditores hayan adquirido por otro medios la información que
aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuación las relaciones personales con el
auditado. Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna
materia de su responsabilidad.
2. Mediante “entrevistas” en las que no se sigue un plan
predeterminado ni un método estricto de sometimiento a un
cuestionario.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3. Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante
del auditor; en ellas, éste recoge más información, y mejor
matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista
entre auditor y auditado se basa fundamentalmente en el concepto
de interrogatorio; es lo que hace un auditor, interroga y se interroga
a sí mismo. El auditor informático experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo
menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, también sencillas.
Sin embargo, esta sencillez es solo aparente. Tras ella debe existir
una preparación muy elaborada y sistematizada, y que es diferente
para cada caso particular.
Tunning:
Es el conjunto de técnicas de observación y de medidas
encaminadas a la evaluación del comportamiento de los
Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el
personal de Técnica de Sistemas. El tunning posee una naturaleza
más revisora, estableciéndose previamente planes y programas de
actuación según los síntomas observados.
Optimización de los Sistemas y Subsistemas:
Técnica de Sistemas debe realizar acciones permanentes de
optimización como consecuencia de la realización de tunnings
preprogramados o específicos. El auditor verificará que las acciones
de optimización* fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el plancrítico de producción diaria
de Explotación.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está
vacía, no tiene nada cargado adentro.
Lo que puede suceder es que, a medida que se va cargando, la
Aplicación se va poniendo cada vez más lenta; porque todas las
referencias a tablas es cada vez más grande, la información que
está moviendo es cada vez mayor, entonces la Aplicación se tiende
a poner lenta.
Lo que se tiene que hacer es un análisis de performance, para
luego optimizarla, mejorar el rendimiento de dicha Aplicación.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas
veces sus cuestionarios en función de los escenarios auditados.
Tiene claro lo que necesita saber, y por qué.
Sus cuestionarios son vitales para el trabajo de análisis,
cruzamiento y síntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversará y hará
preguntas “normales”, que en realidad servirán para la
cumplimentación sistemática de sus Cuestionarios, de sus
Checklists.
Según la claridad de las preguntas y el talante del auditor, el
auditado responderá desde posiciones muy distintas y con
disposición muy variable.
El auditado, habitualmente informático de profesión, percibe con
cierta facilidad el perfil técnico y los conocimientos del auditor,
precisamente a través de las preguntas que éste le formula.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
El auditor deberá aplicar la Checklist de modo que el auditado
responda clara y escuetamente. Se deberá interrumpir lo menos
posible a éste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta.
En algunas ocasiones, se hará necesario invitar a aquél a que
exponga con mayor amplitud un tema concreto, y en cualquier caso,
se deberá evitar absolutamente la presión sobre el mismo.
El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomará las notas imprescindibles
en presencia del auditado, y nunca escribirá cruces ni marcará
cuestionarios en su presencia. 3.1.3 MAPEO DE LA RED Mapeo de red es un procedimiento por el cual se identifican todos los host y dispositivos de red, en una LAN. La utilidad q tiene esto, es para evitar q les hackeen la red xD. Porque si tienen mapeada su red, saben que tienen... Y detectan fácilmente equipos intrusos, q se hayan agregado a sí mismo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.1.4 MONITORES DE RED
Con el Monitor de red puede recopilar información que le ayudará a mantener la red a pleno rendimiento, gracias a funciones que permiten desde identificar patrones a evitar o solucionar problemas. El Monitor de red proporciona información acerca del tráfico de la red que fluye hacia y desde el adaptador de red del equipo donde está instalado. Al capturar información y analizarla puede evitar, diagnosticar y solucionar muchos tipos de problemas relativos a la red. Para obtener más información acerca de cómo solucionar problemas de la red, vea Recursos del Monitor de red.
Puede configurar el Monitor de red para que proporcione información específica que sea más importante para usted. Por ejemplo, puede configurar desencadenadores para que el Monitor de red inicie o detenga la captura de información cuando se cumpla una condición o un conjunto de condiciones. También puede configurar filtros para controlar la información que el Monitor de red captura o muestra. Para facilitar el análisis de la información, es posible modificar cómo se muestra la información en la pantalla, así como guardarla o imprimirla para su revisión posterior. Para obtener más información acerca de cómo personalizar el Monitor de red, vea Capturar datos y Filtrar datos.
El componente Monitor de red que se suministra con los sistemas operativos de la familia Microsoft® Windows Server 2003 puede capturar tramas enviadas hacia o desde el equipo donde está instalado. Si desea capturar las tramas enviadas hacia o desde un equipo remoto, debe utilizar el componente Monitor de red que se suministra con Microsoft Systems Management Server, que puede capturar las tramas enviadas hacia o desde cualquier equipo donde esté instalado el controlador del Monitor de red. Para obtener más información acerca de Microsoft Systems Management Server, vaya al sitio Web de Microsoft.
La información que proporciona el Monitor de red proviene del propio tráfico de la red, dividido en tramas. Una trama contiene información como la dirección del equipo que la envió y del que la recibió, y los protocolos que incluye. Para obtener más información acerca de las tramas, vea Cómo funciona el Monitor de red.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.1.5 AUDITORÍA A FIREWALLS
La auditoría de firewalls (equipos que monitorean el flujo de información desde los servidores hacia y desde Internet) ocupa un espacio fundamental, tendiente a determinar que todo el tráfico desde adentro hacia afuera, y viceversa, pase por él, y destacando que sólo el tráfico autorizado podrá pasar, permaneciendo el firewall mismo inmune a la penetración. Se realizarán procedimientos para determinar que su arquitectura combine medidas de control tanto a nivel de aplicación como a nivel de red. Son también importantes los sistemas que generan alarmas ante actividades sospechosas, llamados “detectores de intrusiones”. Los Firewalls son grandiosos para restringir el acceso a la red, pero los firewalls no pueden prevenir todos los problemas. dos de los problemas más comunes con firewalls son Mala configuración que permite acceso no deseado Servicios vulnerables mas allá del firewall (ejemplo. El servidor web sobre el puerto 80) permitiendo a un atacante pasar a través del firewall, y a través del servicio vulnerable, dentro de la máquina que corre el servicio vulnerable, desde aquí puede atacar el resto de su red detrás del firewall en si mismo. 3.1.6 PRUEBAS DE PENETRACIÓN SOBRE REDES
Que es prueba de penetración
Los ensayos o pruebas de penetración son pruebas realizadas para la determinación de las características geotécnicas de un terreno, como parte de las técnicas de reconocimiento de un reconocimiento geotécnico
Tipos de pruebas de penetración
Ataques del entorno El software no se ejecuta aislado. Depende de cualquier número de archivos binarios y módulos de código equivalente, como scripts y complementos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Puede usar también información de configuración del Registro o del sistema de archivos, así como de bases de datos y de servicios que podrían residir en cualquier parte. Cada una de estas interacciones del entorno puede constituir la fuente de una infracción de seguridad y, por lo tanto, deben someterse a prueba. Ataques de entrada
En las pruebas de penetración, el subconjunto de entradas que procede de fuentes que no son de confianza es el más importante. Éstas incluyen rutas de comunicación como, por ejemplo, protocolos de red y sockets, funcionalidades remotas expuestas como DCOM, llamadas a procedimiento remoto (RPC, Remote Procedure Calls) y servicios web, archivos de datos (binarios o de texto), archivos temporales creados durante la ejecución y archivos de control como scripts y archivos XML, todos los cuales están sujetos a manipulaciones. Ataques de datos y de lógica
Algunos errores se encuentran incrustados en los mecanismos internos de almacenamiento de datos de la aplicación y en la lógica de algoritmos. En dichos casos, parece haber errores de diseño y de codificación en los que el desarrollador ha asumido la presencia de un usuario benevolente o bien no se dio cuenta de la presencia de ciertas rutas de código en las que el usuario debe tener cuidado. No se deje disuadir en su intento
Las pruebas de penetración son muy distintas de las pruebas funcionales tradicionales; no sólo carecen los evaluadores de penetración de la documentación apropiada sino que, además, éstos deben pensar como usuarios que tienen la intención de hacer daño.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.1.7 ANÁLISIS DE LA INFORMACIÓN Y RESULTADOS
La evaluación de desempeño de las redes, según la metodología y los ejemplos utilizados, corresponde: (1) a una valoración actual del desempeño de cada una de ellas; esto es, para el estadio en que está la red y como expresión tanto de sus fortalezas y debilidades internas, como de la influencia del contexto externo. También se ha evaluado. (2) la influencia del contexto externo. En ambos casos, se ha utilizado la lista correspondiente a los criterios de medición del desempeño. El análisis puede mostrarse en tres niveles. · Por una caracterización por grupos de redes, independientemente de la forma en que se hayan asociado (la asociación civil sin fines de lucro es una forma común, por ejemplo). · Por la caracterización de cada uno de estos grupos en relación con los criterios empleados para la evaluación del desempeño (comportamiento, gestión empresarial, gestión financiera). · Por la influencia del contexto externo en relación con los grupos de redes. Clasificación por grupos de redes “Aspectos comunes” En términos de redes para la agro-exportación, puede reconocerse que éstas tienen muy poca antigüedad (esto es así contando su edad desde que comienzan a exportar). Esta situación, de una parte, limita el realizar apreciaciones sobre la madurez de las redes (de ver su evolución con el paso de los años), y de otra, sobre el nivel de consolidación de estos entes como empresas (de asociaciones informales hasta redes consolidadas y directamente vinculadas con el mercado externo). La afinidad cultural es también característica común en los integrantes de cada red que se agrupa. También lo es, el escaso apoyo del sector público.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Aspectos diferentes La otra situación a tomar en cuenta y que marca la clasificación que aquí se adopta, tiene que ver con el tamaño de la propiedad individual que se agrupa, y con el tipo del mercado al cual se exporta. Ello conduce a la siguiente clasificación que será considerada para el análisis. 3.2 AUDITORÍA A SISTEMAS
Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.
La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Objetivos específicos de la auditoria de sistemas:
1. Participación en el desarrollo de nuevos sistemas:
evaluación de controles
cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
fraudes
control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
utilitarios.
control sobre la utilización de los sistemas operativos
programas utilitarios.
8. Auditoría de la base de datos.
estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Fines de la auditoria de sistemas:
1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.
2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.
Similitudes y diferencias con la auditoría tradicional:
Similitudes:
No se requieren nuevas normas de auditoría, son las mismas.
Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.
Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.
Diferencias:
Se establecen algunos nuevos procedimientos de auditoría.
Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.
Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.
El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.
Aspectos del medio ambiente informático que afectan el enfoque de la auditoria y sus procedimientos.
Complejidad de los sistemas.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
uso de lenguajes.
metodologías, son parte de las personas y su experiencia.
Centralización.
departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.
Controles del computador.
Controles manuales, hoy automatizados (procedimientos programados) .
Confiabilidad electrónica.
debilidades de las máquinas y tecnología.
Transmisión y registro de la información en medios magnéticos, óptico y otros.
almacenamiento en medios que deben acceder a través del computador mismo.
Centros externos de procesamiento de datos.
Dependencia externa.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.1 CHECKLIST DE SEGURIDAD
Un check list o lista de verificación, es un documento que detalla uno por uno distintos aspectos que se deben, comprobar, verificar, etc.
Un check list también puede definirse como la creación de criterios de comprobación en forma de una lista, cuya observación garantiza, que nada salga mal en su acción de marketing directo. Lo mejor es que elabore su lista de comprobación siguiendo el método paso - a - paso. Tachar por medio de una cruz o incluir los diversos puntos garantiza que ningún detalle importante se quede en el tintero. El auditor profesional tiene claro lo que necesita saber a partir de las politicas de la empresa, y el por qué. Sus cuestionarios son vitales para el trabajo de análisis y síntesis posterior, el auditor conversará y hará preguntas "normales", que en realidad servirán para la completación sistemática de sus Cuestionarios, de sus Checklists, los cuales serviran para tomar medidas si fuesen necesarias o para aplicar plnes de contingencias. Los Checklists deben o pueden ser contestadas oralmente, o solo seran un control no verbal de solo ticks, verificando en "terreno" si secumplen las normativas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado para mas tranquilidad de él, lo que genera un clima mas relajado, pero dependiendo de la política de la empresa podría darse que un cuestionario conste de cruces ,marcas, cuestionarios en su presencia. No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarias adaptaciones correspondientes en las preguntas a realizar. En nuestro caso podríamos aplicar el siguiente checklist, por ejemplo:
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Políticas de Passwords : El Administrador puede forzar a los usuarios a cumplir ciertas reglas en la configuración de sus cuentas. Algunas de las medidas más utilizadas son: Longitud máxima y mínima de la contraseña.(cumple el largo dterminado) Duración máxima de la contraseña.(por ejemplo 6 meses) Histórico de la contraseña.(se guardan las contraseñas en desuso?) Bloqueo tras sucesivos fallos de login. Combinación de caracteres en la contraseña. Otros objetivos del checklist podrian ser:
* Auditoría de cuentas de usuario: Inicio y cierre de sesión. Acceso a ficheros, directorios o impresoras. Ejercicio de los derechos de un usuario. Seguimiento de procesos. Inicio, reinicio y apagado del sistema.
*Auditoría del sistema de archivos:
Rastrea sucesos del sistema de archivos Los sucesos que se pueden auditar Cambio de permisos y Toma de posesión.
*Auditoría de impresoras:
Registro de sucesos de aplicaciones. Registro de sucesos de seguridad. Registro de sucesos del sistema
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
*Seguridad en Red
Tipo de protocolos: o NetBEUI o TCP/IP
*Y los mas basico es:
Cuenta por lo menos con la penúltima versión de Service Pack's *Cortafuegos
Tipo y características del cortafuego.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.2 BASELINE DEL SISTEMA Baseline del sistema es un instrumento que nos servirá para forzar al sistema a que arranque con una determinada configuración. Independientemente de que cualquier usuario intente borrar archivos, instalar programas o hacer cualquier cosa en el PC, con Baseline podremos resetear el Pc a la configuración base deseada, y asegurarnos de que estará perfectamente disponible para el siguiente usuario. De esta forma, Baseline se convierte en una herramienta de seguridad y gestión del sistema idónea para estaciones de trabajo o equipos compartidos por diversos usuarios, que necesiten estar siempre a punto con unas determinadas características. Un base line es un conjunto de reglas establecidas que forman una base de normas o prácticas sobre un proceso o sistema. Estas normas o prácticas son establecidas normalmente como una base de comparación entre organizaciones o empresas para verificar un nivel de cumplimiento. Para poder establecer un base line, se requieren varios elementos: - basarse en algunos estándares internacionales o mejores
prácticas, - normas publicadas por algunas organizaciones reconocidas
internacionalmente y - experiencias obtenidas por la práctica en las organizaciones. - Establecer un base line en seguridad de información, requiere
mucha experiencia y madurez, no es muy práctico solo “copiar” base line de otras organizaciones dado que cada organización es diferente, tiene necesidades diferentes de acuerdo a sus niveles de madurez y necesidades.
- Generalmente están listados en orden de importancia aunque pueden no serlo.
• Para cada activo de información y sistema de información debe existir una bitácora externa al mismo para el registro de usuarios autorizados para acceder a los mismos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
• Debe establecerse procedimientos para verificar que el nivel de acceso concedido es apropiado para el propósito de negocio y que sea consistente con la directriz de control de acceso.
• El procedimiento de creación de usuarios debe indicar como se otorga la autorización requerida antes de otorgar el acceso solicitado.
• El formato de solicitud de autorización para dar de alta o modificación de un usuario a un activo con los siguientes campos:
– Nombre del usuario – Sistema o aplicación al cual requiere acceso,
revocación o modificación. – Organización a la que pertenece – Privilegios solicitados – Gerencia que solicita el acceso
• El usuario final que se le brinda el acceso debe recibir una
notificación con el permiso otorgado, privilegios y responsabilidades asociadas a la cuenta o en su defecto la razón por la que fue denegado el acceso
• Se debe asegurar no proporcionar accesos hasta no
completar los procedimientos de autorización establecidos. • Se debe mantener un registro formal de todas las personas
registradas con derecho a usar los activos de información o sistemas de información.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.3 AUDITORÍA A LAS POLÍTICAS DEL SISTEMA
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.
En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva.
Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
Definición de Políticas de Seguridad Informática
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.
Elementos de una Política de Seguridad Informática
Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:
o Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
o Objetivos de la política y descripción clara de los elementos involucrados en su definición.
o Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
o Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
o Definición de violaciones y sanciones por no cumplir con las políticas.
o Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Parámetros para Establecer Políticas de Seguridad
Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:
o Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.
o Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
o Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
o Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área.
o Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
o Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.
Razones que Impiden la Aplicación de las Políticas de Seguridad Informática
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.
Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas".
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.4 AUDITORÍA A USUARIOS.
Por defecto, cuando la auditoría del sistema está activada, el estado de auditoría es activado para todos los usuarios. Se somete automáticamente a auditoría a los usuarios nuevos agregados al sistema.
Puede supervisar qué usuarios están utilizando los sistemas HP-UX mediante la auditoría. Para cambiar los usuarios que se auditan, elija una de las siguientes opciones:
Auditar todos los usuarios.
Por defecto, el estado de auditoría está activado para todos los usuarios cuando el sistema de auditoría está activado. Se somete automáticamente a auditoría a los usuarios nuevos agregados al sistema.
Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto. La habilitación de la auditoría del acceso del servicio de directorio y la configuración en los objetos de directorio puede generar un gran volumen de entradas en los registros de seguridad de los controladores de dominio, sólo debería habilitar esos valores si realmente desea utilizar la información creada. Recuerde que puede establecer en un objeto de utilizando la ficha Seguridad del cuadro de diálogo Propiedades de ese objeto.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.5 COMANDOS DEL SISTEMA Planificación de la puesta en ejecución de la auditoría Para planificar la puesta en ejecución de la auditoría, dé los siguientes pasos:
1. Determine los usuarios que va a auditar. Por defecto, se seleccionan todos los usuarios para la auditoría.
2. Determine los sucesos o llamadas de sistema para auditar. Utilice el comando audevent para mostrar una lista de sucesos y llamadas de sistema que están seleccionados actualmente para auditoría.
Los sucesos y las llamadas de sistema se pueden agrupar en perfiles.
3. Decida dónde desea colocar los archivos de registro de auditoría (rastros de auditoría) en el sistema. Para obtener más información sobre la configuración de los archivos de registro de auditoría, consulte la Sección .
4. Cree una estrategia para archivar y hacer una copia de seguridad de los archivos de auditoría. Los archivos de auditoría ocupan, a menudo, mucho espacio en disco y se pueden desbordar si no se planifica detenidamente la administración de los archivos. Utilice la opción -X con el comando audomon para automatizar el archivo.
Para obtener información adicional sobre la administración y el rendimiento del sistema de auditoría que le puede ayudar a planificar la puesta en ejecución de la auditoría, consulte la Sección y la Sección.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Habilitación de la auditoría Para habilitar la auditoría en el sistema, dé los siguientes pasos:
1. Configure los usuarios que desea auditar utilizando el comando userdbset. Para obtener más información sobre la configuración de la auditoría para los usuarios, consulte la Sección .
2. Configure los sucesos que desea auditar utilizando el comando audevent. Por ejemplo, para efectuar una auditoría según MySitePolicy, escriba el siguiente comando:
# audevent -P -F -r MySitePolicy
5. MySitePolicy se debe definir en el archivo /etc/audit/audit_site.conf.
6. Utilice el comando audevent sin opciones para mostrar una lista de sucesos y llamadas de sistema que están configurados actualmente para auditoría.
7. Para obtener más información sobre la configuración de la auditoría para los sucesos, consulte la Sección .
8. Defina los parámetros del argumento audevent en el archivo/etc/rc.config.d/auditing para habilitar el sistema de auditoría a fin de conservar los parámetros de configuración actuales cuando el sistema se reinicia. Por ejemplo, para conservar los parámetros configurados en el paso 2, defina los parámetros del modo siguiente:
AUDEVENT_ARGS1 = –P –F –r MySitePolicy 9. Inicie el sistema de auditoría y defina los rastros de auditoría
utilizando el comando audsys:
#audsys -n -c archivo_auditoría_principal -s 1000
12. Configure los archivos de registro y los parámetros de conmutación de archivos de registro en el archivo /etc/rc.config.d/auditing. Dé los pasos siguientes:
a. Defina PRI_AUDFILE en el nombre del archivo de registro de auditoría principal.
b. Defina PRI_SWITCH en el tamaño máximo del archivo de registro de auditoría principal (en KB), en el que el registro de auditoría conmuta a un archivo de registro auxiliar.
c. Defina SEC_AUDFILE en el nombre del archivo de registro auxiliar.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
d. Defina SEC_SWITCH en el tamaño máximo del archivo de registro de auditoría secundario (en KB).
Para obtener más información sobre cómo configurar los archivos de registro de auditoría principal y auxiliar, consulte la Sección .
13. Inicie el demonio audomon si todavía no se ha iniciado. El demonio audomon supervisa el crecimiento del rastro de auditoría actual y conmuta a un rastro de auditoría alternativo siempre que sea necesario. Por ejemplo:
#audomon -p 20 -t 1 -w 90 -X "/usr/local/bin/rcp_audit_trail hostname"
16. Para obtener más información sobre la configuración del demonio audomon, consulte la Sección .
17. Defina el parámetro del argumento audomon en el archivo /etc/rc.config.d/auditing para conservar la configuración actual entre los reinicios del sistema.
18. Defina el indicador AUDITING en 1 en el archivo /etc/rc.config.d/auditing para habilitar al sistema de auditoría para que comience automáticamente cuando se inicie el sistema.
Deshabilitación de la auditoría Para deshabilitar la auditoría en el sistema, dé los siguientes pasos:
1. Detenga la auditoría del sistema con el siguiente comando:
#audsys -f
4. Defina el indicador AUDITING en 0 en el archivo /etc/rc.config.d/auditing para evitar que el sistema de auditoría comience cuando se reinicie el sistema.
5. (Opcional) Para detener el demonio audomon, escriba:
# kill `ps -e | awk '$NFS~ /audomon/ {print $1}'`
8. Utilice este paso sólo si desea reconfigurar el demonio audomon. Para reconfigurar y reiniciar el demonio audomon, dé el paso 6 y el paso 7 según se describe en la Sección . Supervisión de los archivos de auditoría
Para consultar, supervisar y administrar los archivos de auditoría, dé los siguientes pasos:
1. Visualice los archivos de registro de auditoría con el comando audisp:
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
# audisp archivo_auditoría
4. Para obtener detalles sobre cómo utilizar el comando audisp, consulte la sección «Consulta de los archivos de registro de auditoría».
5. Defina los argumentos de supervisión del archivo de registro de auditoría en el archivo /etc/rc.config.d/auditing. Defina los mismos valores utilizados en el paso 2.
6. (Opcional) Detenga la auditoría del sistema con el siguiente comando:
#audsys –f
9. (Opcional) Defina el indicador AUDIT en 0 en el archivo /etc/rc.config.d/auditing para que no se inicie el sistema de auditoría en el próximo reinicio del sistema.
Consideraciones sobre el rendimiento La auditoría aumenta la sobrecarga del sistema. Cuando el rendimiento sea motivo de preocupación, sea selectivo a la hora de elegir los sucesos y los usuarios para auditar. Esto puede contribuir a atenuar el impacto de la auditoría en el rendimiento.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Pautas para administrar el sistema de auditoría Utilice las siguientes pautas cuando administre el sistema:
Compruebe los registros de auditoría según la directiva de seguridad. Los archivos de auditoría en línea deben conservarse durante al menos 24 horas y todos los registros de auditoría almacenados sin conexión deben preservarse durante un mínimo de 30 días.
Examine el archivo de registro de auditoría en busca de actividades poco comunes, como: inicios de sesión nocturnos, errores de inicio de sesión, errores de acceso a los archivos del sistema e intentos infructuosos para llevar a cabo tareas relacionadas con la seguridad.
Archive diariamente para evitar que el archivo de auditoría se desborde.
Revise cada cierto tiempo los sucesos seleccionables actuales, sobre todo después de instalar revisiones nuevas de HP-UX, ya que es frecuente que se incorporen llamadas del sistema nuevas a las revisiones nuevas.
Revise cada cierto tiempo la selección de usuarios para auditar.
No siga ningún modelo ni programa en cuanto a la selección de sucesos o usuarios.
Defina las pautas que han de seguirse en el emplazamiento. Implique a los usuarios y a la dirección en el establecimiento de dichas pautas.
Si se prevé un volumen alto de datos de auditoría, configure los rastros de auditoría en un volumen lógico que conste de varios discos físicos y varias tarjetas de E/S. Utilice la opción -N con el comando audsys para dividir el rastro de auditoría en varios archivos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.6 HERRAMIENTAS PARA REALIZAR AUDITORÍA
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.7 AUDITORÍA A LOS REGISTROS Y BITÁCORAS DEL SISTEMA Registro de auditoría.
Unidad discreta de datos registrados en la pista de auditoría sobre la ocurrencia de un suceso. Un registro de auditoría consiste en un conjunto de descriptores, cada uno de los cuales tiene un conjunto de atributos asociados. Cada registro tiene siempre un descriptor de auditoría para los campos de cabecera y, normalmente, un descriptor de auditoría adicional, que detalla el (los) sujeto(s) y objeto(s) involucrados en el suceso.
Registro de auditoría de seguridad
Conjunto de datos recogidos, y si procede usados, para llevar a cabo una auditoría de seguridad (ISO ISO-7498-2).
Es término sinónimo de "registro de auditoría".
Monitoreo en bitácoras Generalmente no deseamos permitir a los usuarios ver los archivos de bitácoras de un servidor, y especialmente no queremos que sean capaces de modificarlos o borrarlos. Normalmente la mayoría de los archivos de bitácoras serán poseídos por el usuario y grupo root, y no tendrán permisos asignados para otros, así que en la mayoría de los casos el único usuario capaz de modificar los archivos de bitácoras será el usuario root. Debido a la cantidad de información que se genera en la bitácoras, siempre es bueno adoptar algún sistema automático de monitoreo, que levante las alarmas necesarias para cuando algún evento extraño suceda. El sistema operativo Debian utiliza LogCheck para realizar el análisis y monitoreo de bitácoras, RedHat emplea LogWatch, etc.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.8 AUDITORÍA A LA CONFIGURACIÓN DEL SISTEMA
Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.9 AUDITORÍA A LA CAPACIDAD DE RECUPERACIÓN
ANTE DESASTRES
Recuperación de desastres.
El objetivo de esta revisión es analizar y evaluar las políticas y procedimientos relacionados a la planificación de contingencia para asegurar la capacidad del ente para responder eficazmente ante desastres y otras situaciones de emergencia. Para conseguirlo, el equipo de auditoría realiza lo siguiente:
a) Revisión del plan de contingencia
Primero es necesario obtener una copia del plan o manual de recuperación de desastre y hacer lo siguiente: Realizar un muestreo de las copias distribuidas del manual y verificar que están actualizadas. Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre, planteándose preguntas como las siguientes:
1) ¿Identifica el plan los puntos de reunión del comité de administración de desastre o del equipo de administración de emergencia para que se reúnan y decidan si debe iniciarse la recuperación de desastre?
2) ¿Son adecuados los procedimientos documentados para una recuperación exitosa?
3) ¿Trata el plan de desastres de diverso grado?
Revisar la identificación y el soporte planificado de las aplicaciones críticas, incluyendo sistemas basados en Pc o desarrollados por usuarios finales para esto:
4) Determine si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de un desastre.
5) Determine si se han identificado todas las aplicaciones críticas, (incluyendo aplicaciones en PC).
6) Determine si en el "Hot Site" tiene las versiones correctas de sistema operativo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Revisar la corrección e integridad de la lista de personal de recuperación de desastre, contactos de emergencia con el "Hot Site", contactos de emergencia con proveedores, etc.
1) En la practica se sugiere realizar llamadas a una muestra de la gente indicada y verifique que los números de teléfono y domicilios son correctos y que posean copia del manual de recuperación de desastre.
2) Entrevistar al personal para obtener una comprensión de las responsabilidades que tienen asignadas en una situación de desastre.
Evaluar procedimientos para actualizar el manual. ¿Se aplican y distribuyen las actualizaciones de manera oportuna?. ¿Existen responsabilidades específicas respecto a mantener el manual actualizado?.
Determinar si los elementos necesarios para la reconstrucción de la instalación de procesamiento de información se almacenan en otra sede (planos, inventario de hardware, diagramas de cableado, etc.
b) Evaluación del almacenamiento en sede alternativa.
Debe evaluarse la instalación de almacenamiento en sede alternativa para asegurarse de la presencia, sincronización y actualización de los medios magnéticos y documentación críticas. Ello incluirá archivos de datos, software de aplicaciones, documentación de aplicaciones, software de sistemas, documentación de sistemas, documentación de operaciones, insumos necesarios, formularios especiales, y una copia del plan de contingencia. Para verificar las condiciones que se mencionaron, el auditor de sistemas debe realizar un examen detallado de inventario.
Ese inventario debe incluir poner a prueba los nombres de correctos de los archivos, identificación de cintas o cassettes, ubicación correcta en los depósitos de las cintas o cassettes así como una revisión de la documentación y verificar que corresponda con documentación actualizada.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
c) Revisión de cobertura de seguros.
Es esencial que la cobertura de seguros refleje el costo actual de la recuperación, por ende debe revisarse la adecuación de la cobertura de seguros para daños a medios magnéticos, interrupción de negocio, reemplazo del equipo, y procesamiento de contingencia. A fin de determinar la adecuación, obtenga una copia de las pólizas de seguros de la empresa y evalúe la adecuación de la cobertura.
d) Conocimientos de los procedimientos de recuperación por parte del personal.
El auditor de sistemas debe entrevistar al personal clave que se necesita para la recuperación con éxito de las operaciones del negocio. Todo el personal clave debe tener una comprensión de las responsabilidades asignadas, así como documentación detallada y actualizada que describe sus tareas.
e) Seguridad física en la instalación en sede alternativa.
Debe evaluarse la seguridad física en la instalación alternativa, para asegurarse de que tiene controles de acceso como ambientes apropiados, tales controles incluyen la capacidad de limitar el acceso solo a los usuarios autorizados de la instalación, piso sobre elevado, controles de humedad, controles de temperatura, circuitos especializados, fuente ininterrumpida de energía, dispositivos de detección de agua, detectores de humo y un sistema adecuado de extinción de incendios. El auditor de sistemas debe hacer un examen del equipo en busca de etiquetas de inspección y calibración vigentes.
f) Examen del contrato de procesamiento alternativo.
Debe revisarse el contrato con el proveedor de la instalación de procesamiento alternativo, teniendo en cuenta lo siguiente: Que el proveedor sea confiable y de prestigio. Que el proveedor ponga por escrito todo lo que promete. Asegurarse de que el contrato es claro y es comprensible para un Juez. Asegurarse de que se puede continuar trabajando con las reglas que son aplicables cuando se tenga que compartir la sede con otros suscriptores. Asegurarse que la cobertura de seguro se vincula y cubre todos o la mayoría de gastos del desastre. Prestar atención a los requerimientos de comunicaciones para la sede alternativa.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.2.10 ANÁLISIS DE LA INFORMACIÓN Y RESULTADOS
Cuando haya terminado de usar los métodos y herramientas seleccionados para su estudio, tendrá información almacenada en cuadernos, archivos e índices organizada cronológicamente o por método usado, o ambos. Este capítulo trata sobre los procesos que permiten analizar la información recopilada; verificar su confiabilidad mediante la triangulación; interpretar y comprender los resultados; y presentar y usar los resultados. Debido a que la documentación es uno de los resultados más importantes de un estudio de evaluación de la higiene se demuestra, en términos prácticos, cómo la investigación y el análisis se vinculan con la redacción de informes
Análisis e interpretación de los resultados
Hay cuatro etapas principales en el análisis e interpretación de la información cualitativa. Estos se tratan más detalladamente en varios textos, incluidos Patton (1986, 1990), Miles y Huberman (1994) y Silverman (1994). Aquí nos centraremos más en las tareas prácticas que en los temas teóricos.
Análisis descriptivo
La descripción y análisis de la información cualitativa están estrechamente vinculados, de ahí la frase análisis descriptivo. Este análisis incluye una descripción de la finalidad del estudio, la localidad y personas comprometidas, y sus generalidades usualmente se presentan en la introducción del informe. El análisis descriptivo se centra en cómo, dónde y quién recolectó la información, lo cual implica revisar la información, identificar vínculos, patrones y temas comunes, ordenar los hechos y presentarlos como son, sin agregar ningún comentario sobre su importancia. En el informe, esto se presenta generalmente en la sección de Resultados. El orden de los resultados puede ser cronológico, según la secuencia de observación de los hechos, o jerárquico, de acuerdo a la importancia de los temas. La introducción y la sección del análisis descriptivo (resultados) del informe deben responder las siguientes preguntas básicas:
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
La sección de la introducción
•¿Dónde se realizó el estudio? ¿Cuáles son las condiciones físicas y climáticas?
•¿Cuándo se realizó el estudio? ¿Por qué?
•¿Cuáles fueron los objetivos y los resultados esperados del estudio?
•¿Quién realizó el estudio? ¿Qué métodos y herramientas se usaron? ¿Por que ?
•¿Cómo participaron las personas en el estudio? ¿Qué grupos étnicos, idiomas u otros grupos participaron? ¿Cómo se compara el nivel de participación logrado en su estudio con el carácter distintivo de la participación comunitaria?
Sección de resultados
Incluirá resultados en cuanto a:
• método y herramienta de investigación usados;
• núcleo de prácticas de higiene;
• cualquier otro orden relevante.
En el análisis descriptivo se debe incluir detalles suficientes para permitir que el lector vea qué pasos siguió en la investigación, cómo tomó decisiones metodológicas o cambios de dirección y por qué.
Recuerde que los hechos tienen que presentarse de manera clara, coherente y completa antes de que puedan ser interpretados. Una característica muy importante del análisis es la verificación, seguida de la verificación cruzada de la información a fin de establecer la calidad y confiabilidad de los resultados.
Trataremos esto por separado y con más detalle en «Confiabilidad de la información».
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Interpretación
La segunda etapa es determinar el significado de los resultados y cuán significativos son en su contexto especifico.
Las razones que motivan ciertas prácticas de higiene y la influencia de los factores socioculturales sobre ellas pueden analizarse con el aporte de las múltiples perspectivas del equipo de estudio.
Tomando como base los resultados, también pueden explorarse temas más amplios que vinculen las prácticas de higiene con la salud.
A continuación se presentan algunas de las preguntas que deben ser respondidas por el equipo de estudio al interpretar los resultados del estudio:
•¿Qué significan los resultados? •¿Cómo surgieron los resultados? •¿Cuáles son las posibles explicaciones de los resultados'? •¿Se ha respondido a todos los por qué ? ¿Algunos requieren investigación adicional?
Idealmente, la interpretación de los resultados debe reflejar los comentarios y sugerencias hechas por la población durante las sesiones de retroalimentación sobre el uso de métodos y herramientas analíticos y de investigación que se han descrito en los capítulos 5 y 6. Esto ayudará a minimizar los prejuicios que pudieran influir en la interpretación de los resultados y asegurará que se tome en cuenta el contexto de la información.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Juicio
El análisis descriptivo y la interpretación de los resultados, en último término, permiten evaluar los resultados como positivos, negativos o ambos y determinar sus razones.
Los valores del equipo de estudio y de las partes interesadas influyen en los resultados del estudio.
Por ejemplo, los resultados pueden indicar qué es bueno, malo, aconsejable o indeseable respecto a cómo el proyecto ha promovido un mejor abastecimiento de agua, saneamiento, higiene y salud o cómo han respondido las personas a las intervenciones externas y por qué.
En este sentido, las preguntas que deben responderse son:
•¿Cuál es la importancia de los resultados para los diversos interesados en este entorno especifico?
•¿para el proyecto?
•¿para la población estudiada?
•¿para los investigadores interesados en los vínculos entre determinadas prácticas de higiene y la salud?
Generalmente, la interpretación y juicio de los resultados se presentan en la sección Discusiones de un informe Es importante lograr un equilibrio justo entre los aspectos positivos y negativos. Los resultados positivos deben recalcarse sin dejar de lado los negativos.
De igual manera, los resultados negativos no sólo deben enumerarse, sino discutirse de modo que exploren posibles soluciones prácticas o remedios factibles. La sección de discusiones debe preceder a las conclusiones, las que pueden presentarse en la misma sección o por separado.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Recomendaciones
La cuarta etapa es formular algunas recomendaciones para la acción basadas en el análisis, interpretación y juicio de los resultados del estudio. La sección de Recomendaciones de un informe generalmente debe seguir a la discusión y conclusiones y debe abordar las siguiente preguntas.
•¿Cuáles son las implicaciones de los resultados, basadas en su análisis, interpretación y juicio? ¿Cuáles son las deducciones:
• para su proyecto especifico? • para otros proyectos que puedan estar interesados en aprender de sus resultados? • para otras partes interesadas, como los investigadores?
•¿Qué debe hacer su proyecto y otros interesados con los resultados de su estudio?
Mientras mas partes interesadas participen en la interpretación y juicio de los resultados del estudio, más fácil será reflejar sus intereses en las recomendaciones. Las sugerencias prácticas y factibles deben incluirse claramente en las recomendaciones.
Confiabilidad de la información
Los criterios para establecer la confiabilidad de los datos cualitativos son componentes esenciales del diseño y realización del estudio, lo que mejora la confiabilidad de la información recogida.
A diferencia de los datos estadísticos, con los cuales se puede llegar a promedios cuantitativos, los criterios para la confiabilidad de los datos cualitativos no son un conjunto de pruebas que se aplican a la información después de haber sido recogida, sino verificaciones inherentes que se diseñan antes de iniciar la recolección de la información y que se monitorean durante toda la investigación.
Usted debe ser capaz de juzgar la confiabilidad de la información mediante la aplicación de los criterios establecidos al momento de diseñar y realizar el estudio.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
El número de criterios aplicados puede variar de un estudio a otro, según los recursos (humanos, materiales, tiempo) y otras limitaciones del estudio. Sin embargo, los siguientes criterios claves constituyen los requisitos mínimos que deben cumplirse para establecer la confiabilidad y calidad de la información cualitativa.
• Participación prolongada o intensa del equipo con la población estudiada. La duración del estudio dependerá de los recursos disponibles y la familiaridad del equipo con la población. Se puede hacer mucho en un par de semanas, especialmente si los trabajadores de campo conocen muy bien a su población de estudio. Si no, se raqueará un tiempo más largo para que el equipo se relacione con la población y minimice los prejuicios introducidos por modales inusuales y la separación innecesaria entre el equipo y la comunidad.
Sea claro y honesto al informar sobre los prejuicios que pueden haber influido en el estudio debido al tipo de relación establecida entre el equipo de estudio y la población.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3 Análisis Forense a Sistemas de Cómputo
¿Qué es la informática forense?
Debido a estos ataques y delitos informáticos que se vienen presentando hace más de dos décadas, las autoridades policiales en el mundo tomaron cartas en el asunto, creando laboratorios informáticos para apoyar las investigaciones judiciales, en pocas palabras crearon un departamento de computación forense para analizar las informaciones de la red y sus comportamientos, y poder atrapar a los delincuentes.
De acuerdo con lo anterior, podemos definir la computación forense como una rama de la informática que se encarga de recolectar y/o recopilar información valiosa desde sistemas informáticos (redes, ordenadores, soportes magnéticos, ópticos, etc) con distintos fines, sirviendo de apoyo a otras disciplinas o actividades, como son las labores de criminalística e investigaciones. Estas evidencias que permite descubrir diferentes datos sirven, por ejemplo, para condenar o absolver a algún imputado.
Esta rama investigativa tuvo su origen en 1984 cuando el FBI y otras agencias de Estados Unidos comenzaron a desarrollar programas para examinar evidencia computacional.
Componentes del análisis forense
• Identificación de la evidencia: los investigadores deben conocer muy bien los formatos que tiene la información con el fin de saber cómo extraerla, dónde y cómo almacenarla y preservarla. • Preservación de la evidencia: es importante que no se generen cambios en la evidencia al analizarse, sin embargo en algunos casos donde deba presentarse esos cambios deben ser explicados ya que toda alteración debe ser registrada y justificada • Análisis de la evidencia: cada uno de los datos recopilados como prueba deben ser examinados por expertos en el tema. • Presentación: las metodologías que se utilicen para la presentación de los datos analizados deben ser serias, probadas y confiables.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Delitos informáticos
Los ataques virtuales y delitos informáticos al igual que los delitos comunes y corrientes del mundo real, son analizados por unidades o laboratorios de computación forense en todo el planeta, los cuales buscan encontrar a los culpables y condenarlos.
En América Latina países como México, Colombia, Chile, Argentina, Cuba, Venezuela, Brasil, Ecuador, El Salvador, Perú, Guatemala, Panamá, Paraguay, Perú, República Dominicana y Uruguay, cuentan con equipos de respuesta de seguridad en cómputo, los cuales se encargan de la investigación de los casos de cybercrime que se hayan reportado. Cabe aclarar que algunas empresas no denuncian sus casos pues temen perder credibilidad, o sufrir consecuencias de tipo económico u otras similares, como explica el mayor Fredy Bautista, jefe del grupo de delitos informáticos de la Dijín, (Dirección de Policía Judicial de Colombia).
Para poner un ejemplo, en lo que va corrido del 2007, en Colombia las empresas han perdido 6.6 billones de pesos a raíz de delitos informáticos. De las cuentas de personas naturales se han sustraído 311 mil millones de pesos, y los casos reportados, respecto al 2006, se han incrementado en un 71%. .
Dirección de investigación criminal
En Colombia, la informática forense surgió como una ciencia que apoya las labores investigativas de la Policía Nacional a partir del 2004, con la creación de la que se conoce actualmente como Dirección de investigación criminal.
Según algunos estudios realizados en el país, y basados en los casos reportados de ataques virtuales y delitos informáticos, por entidades gubernamentales, privadas y por el sector bancario, en Colombia estos eventos, su prevención y procesamiento se están volviendo cada vez más importantes, motivo por el cual se ha aumentado el accionar policial y judicial.
En 2004, no sólo se estableció el Gabinete de informática forense, hoy en día Dirección de investigación criminal, sino que en la Contraloría delegada para investigaciones, juicios fiscales y jurisdicción coactiva de la Contraloría General de la República, se
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
creó un laboratorio de informática forense, con el fin de determinar actos ilícitos o fraudes donde el patrimonio del Estado esté en riesgo.
Con la creación de este laboratorio, la Contraloría fue la primera entidad en Latinoamérica que contó con estos elementos investigativos al igual que el FBI, la CIA, la Interpol, la Policía de New York, la Agencia de Seguridad Israelí, entre otras instituciones.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.1 Introducción al Análisis Forense en Sistemas de Cómputo
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.
Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.
La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.
Dispositivos a analizar
La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:
Disco duro de una Computadora o Servidor Teléfono Móvil o Celular, parte de la telefonía celular Agendas Electrónicas (PDA) Dispositivos de GPS Impresoras Memorias USB
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Las evidencias electrónicas son datos que de manera digital se encuentran almacenados o fueron transmitidos mediante equipos informáticos y que son recolectados mediante
herramientas técnicas especializadas empleadas por un perito en una investigación informática. Tienen la función de servir como prueba física (por encontrarse dentro de un soporte) de como prueba física (por encontrarse dentro de un soporte) de carácter intangible (no modificables) en las investigaciones informáticas
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.2 Obtención y Protección de la Evidencia Obtención de evidencia
La adquisición de la evidencia electrónica se debe hacer siempre de forma que el sistema examinado se vea impactado o modificado en su estado lo mínimo posible.
En un entorno como el informático, en el que el estado (contenido de registros, memoria, estado del procesador, etc) de los sistemas cambia continuamente, esto es díficil, si no imposible, de cumplir en la práctica. Siempre que existe una interacción (por leve y cuidadosa que sea) del investigador o sus herramientas con el sistema examinado, se produce una alteración de este último.
En la práctica forense moderna, se considera que ciertos tipos de evidencia son más útiles o importantes que otros, y se acepta la modificación del estado de la evidencia siempre que esta alteración sea conocida y predecible.
Para ello es importante conocer las herramientas a utilizar. No sólo hay que conocer el tipo de información que extrae o qué informes genera, sino saber, con detalle, cual es la interacción de la herramienta con el sistema sobre el que corre: cómo afecta a la memoria, qué ficheros modifica, a qué recursos del sistema accede, etc.
Como regla general, se debe obtener la evidencia de la forma menos destructiva posible, y siempre en orden de más volátil a menos volátil, en el orden que se muestra a continuación.
Cuando la evidencia se compone de listados de cientos de conexiones, decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de gigabytes de disco duro, es necesario
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
establecer un plan para la forma de abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo es, y en qué orden hacer las cosas.
Cierto es que la mayoría de los casos son muy estándar, y el procedimiento siempre sigue las mismas pautas. Casos típicos son:
Hacker accede a un sistema explotando una vulnerabilidad de un servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel de super-usuario, e instala un kit de herramientas que le permita volver a acceder al sistema cuando desee, aunque la vulnerabilidad original se haya solucionado.
Usuario legítimo del sistema provoca una infección del ordenador (software de dudosa procedencia, “drive-by downloads”, ficheros adjuntos en correo electrónico, etc.) que instala un troyano que convierte al sistema en un “zombie” parte de una “botnet”.
Empleado desencantado sabotea los sistemas de su propia empresa.
Se sospecha de la posesión por parte del usuario de material no autorizado o ilegal (software pirata, propiedad intelectual, pornografía infantil)
Empleado roba documentación e información confidencial, o la envía a la competencia.
Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)
Ninguna investigación forense se inicia sin tener al menos una sospecha de la conducta o incidente a investigar, y esto permite adaptar la metodología al caso concreto.
¿Apagar o no apagar?
Un elemento de la metodología que es importante tener claro es la decisión de apagar o no apagar la máquina, y en caso de no apagar, si mantenerla conectada a la red o no.
Toda decisión que se toma desde el momento que se inicia la investigación debe estar meditada, sopesada, y evaluada en relación a sus posibles beneficios y posibles perjuicios.
En los casos donde la actividad maliciosa está clara, y en los que cada segundo que pasa se hace más daño a la organización, puede ser buena práctica tirar del cable de alimentación (mejor que apagar usando la función de “shutdown” del sistema, que tiende a alterar
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
más el estado de la evidencia). Por supuesto, en este caso tenemos que haber decidido que el contenido de la memoria no es importante, o haber obtenido previamente una imagen de memoria o información útil sobre los procesos activos.
Existen casos en los que apagar o desconectar de la red un sistema, particularmente servidores de aplicaciones críticas de línea de negocio, no es una opción. Ya sea por el impacto que puede tener en el negocio, o por motivos regulatorios o de procesos estrictos de gestión del cambio, una caida no planificada de un sistema crítico puede ser peor que la incidencia que se está investigando.
¿Apagar dispositivos móviles?
Con la incorporación de sistemas móviles a la infraestructura de nuestros sistemas aparece un problema nuevo. ¿Qué hacer cuando se investiga un teléfono móvil, Blackberry, o PDA? Es importante evitar comunicaciones salientes o entrantes del dispositivo cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes. Existen dos opciones cuando se incauta un dispositivo de comunicaciones móvil:
Apagar el dispositivo Mantenerlo encendido pero aislado de la red
Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas contraseñas o buscar una manera de obviarlas. Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería.
Con la opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red. Pero en general, estos dispositivos, al no encontrar portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente.
Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y esperar a que siga encendido varios días después cuando se va a realizar la investigación de la evidencia.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías) que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento puede ser interesante en ciertos casos.
En cualquier caso, mientras la metodología esté documentada y justificada, queda a la discreción del investigador el método exacto a seguir.
Protección.
Un aspecto a tener en cuenta, sobre todo en casos con implicaciones legales, es la posible existencia de información confidencial o personal, ajena al caso, entre la evidencia recolectada.
¿Qué medidas se toman para proteger esa información? ¿Quién tiene acceso a ella? La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la intimidad y la privacidad de datos de carácter personal.
Un juicio en Michigan (EEUU) ha puesto este tema de actualidad. Una de las partes litigantes había solicitado al juez una orden para examinar el disco duro de un PC de otra de las partes .
El juez dictaminó que un experto investigador forense realizase la investigación del disco duro sin participación de ninguna de las partes litigantes. El perito elaboraría un inventario de los elementos de evidencia que sería presentado al propietario del disco. Este tendría un tiempo determinado para indicar los elementos a ser excluidos del caso, mediante una solicitud al juez. La parte demandante debería cubrir los gastos del procedimiento.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.3 Análisis Forense sobre Sistemas Los servicios de análisis forense de Sistemas comprenden el estudio de los sistemas para determinar el grado de compromiso y exposición de los sistemas, los datos de los presuntos atacantes y el nivel de intrusión alcanzado y la recuperación de datos en caso de pérdidas. Los servicios de análisis forense surgen dada la necesidad de analizar los ataques sufridos, así como la necesidad de desvelar a los atacantes o intrusores. Es igualmente preciso conocer qué herramientas y metodologías han empleado los atacantes para entrar en nuestros sistemas, y todo ello orientado a planificar adecuadamente planes que impidas que los ataques se repitan. La experiencia en los informes de análisis forense facilita la elaboración de un protocolo de análisis forense exclusivo de la organización, mediante el cual se preservan los datos y la privacidad de los afectados, y se tratan las evidencias obtenidas con las máximas condiciones de asepsia, para impedir la contaminación de pruebas. Los servicios de análisis forense son especialmente útiles
Para analizar las intrusiones externas a nuestros sistemas
Para analizar las intrusiones internas a nuestros sistemas
Para conocer los detalles de posibles fugas de
confidencialidad
Para minimizar el riesgo de fallas de seguridad del personal
Para obtener evidencias útiles en procesos judiciales
Realizar trabajos de análisis forense es necesario para asegurar, principalmente, que las brechas de seguridad han sido resueltas y que el incidente que se haya producido no se produzca más. Los datos de un análisis forense le permiten trazar la identidad de los atacantes, así como su localización, pudiendo obtener de éstos datos, información útil para procesos judiciales o laborales.
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Fases de una auditoría
Los servicios de auditoría constan de las siguientes fases:
Enumeración de redes, topologías y protocolos Identificación de los sistemas operativos instalados Análisis de servicios y aplicaciones Detección, comprobación y evaluación de vulnerabilidades Medidas específicas de corrección Recomendaciones sobre implantación de medidas
preventivas.
Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001 analizado por maritee.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.3.1 Imágenes en Medios de Almacenamiento
La presente invención se refiere a un dispositivo para la presentación visual de una imagen estereoscópica para presentar una imagen estereoscópica con paralaje en un medio de presentación, caracterizado porque comprende: un medio de almacenamiento de datos de imagen para almacenar los datos de imagen fuente en los cuales una pluralidad de imágenes se basan para producir una imagen plana que no tiene paralaje; un primer medio de almacenamiento temporal que se puede escribir/leer que incluye por lo menos un área de almacenamiento con puntos que corresponden al número de pixeles para una imagen del medio de presentación visual para almacenar temporalmente los primeros datos de imagen de presentación para presentar una primera imagen de presentación visual para la izquierda; un segundo medio de almacenamiento temporal que se puede escribir/leer que incluye por lo menos un área de almacenamiento con puntos que corresponden al número de pixeles para una imagen del medio de presentación visual para almacenar temporalmente los segundos datos de imagen de presentación para presentar una segunda imagen de presentación visual para la derecha; un medio de almacenamiento de información de paralaje para almacenar la información de paralaje para especificar una cantidad de desplazamiento de la primera y segunda imágenes de presentación en una dirección lateral entre sí; un medio de control de escritura para convertir los datos de imagen plana para una imagen en los datos de imagen fuente en primeros y segundos datos de imagen de presentación y escribir los primeros datos de imagen de presentación en el primer medio de almacenamiento temporal y escribir los segundos datos de imagen de presentación en el segundo medio de almacenamiento temporal con base a la información de la paralaje, de tal manera que la primera y segunda imágenes de presentación son desplazadas por el número de puntos que corresponden a la paralaje en la dirección lateral entre sí, cuando la primera y segunda imágenes de presentación son presentadas por el medio de presentación; un medio de control de lectura para leer los primeros o segundos datos de imagen de presentación almacenados temporalmente en el primero o segundo medios de almacenamiento temporal, cuando el medio de control de escritura no está realizando la operación de escritura para el primero o segundo medios de almacenamiento temporal; y un medio de suministro para suministrar primero y segundo datos de
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
imagen de presentación leídos por medio de control de lectura al medio de presentación.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.3.2 Revisión de Bitácoras
Bitácora, del francés bitacle, es una especie de armario que se utiliza en la vida marítima. La bitácora se fija a la cubierta y cerca del timón, ya que allí se instala la aguja náutica que facilita la navegación.
En la antigüedad, la bitácora solía albergar un cuaderno (el cuaderno de bitácora) donde los navegantes relataban el desarrollo de sus viajes. Dicho cuaderno, al guardarse en la bitácora, era protegido de las tormentas y los avatares climáticos.
Con el tiempo, la noción de bitácora pasó a asociarse de manera casi exclusiva a la de cuaderno de bitácora (por ejemplo: “El avistaje de la isla fue narrado de forma detallada en la bitácora del capitán”) y se extendió a otros ámbitos.
Una bitácora es, en la actualidad, un cuaderno o publicación que permite llevar un registro escrito de diversas acciones. Su organización es cronológica, lo que facilita la revisión de los contenidos anotados. Los científicos suelen desarrollar bitácoras durante sus investigaciones para explicar el proceso y compartir sus experiencias con otros especialistas.
Las bitácoras consiguieron una gran fama a partir del desarrollo de los weblogs o blogs, que son bitácoras virtuales que se publican n. Los blogs recopilan información de todo tipo y pueden ser escritos por uno o más autores. Este tipo de bitácora suele aceptar la participación de los lectores a través de comentarios y opiniones.
El fotolog o flog, por otra parte, es un blog que se basa en la publicación de imágenes y comentarios de escasa extensión.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.3.3.1 Tiempos de Modificación, Acceso y Creación Supongamos que ya tenemos montadas las imágenes del sistema comprometido en nuestra estación de trabajo independiente y con un sistema operativo anfitrión de confianza. El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello re-copile la siguiente información sobre los ficheros:
acceso, creación y borrado).
Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instala-ción del sistema operativo, por lo que un sistema que se instaló hace meses y que fue com-prometido recientemente presentará en los ficheros nuevos, inodos y fechas MAC muy distin-tas a las de los ficheros más antiguos. La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que ade-más se encuentren en rutas poco comunes. Piense que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se sue-le mirar, como por ejemplo en los directorios temporales.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
A modo de guía céntrese primero en buscar los archivos de sistema modificados tras la instalación del sistema operativo, averigüe después la ubicación de los archivos ocultos y écheles un vistazo a ver dónde están y de qué tipo son, busque también los archivos borrados o fragmentos de éstos, pues pueden ser restos de logs y registros borrados por sus atacantes. Aquí cabe destacar nuevamente la importancia de realizar imágenes de los discos pues po-dremos acceder al espacio residual que hay detrás de cada archivo, (recordemos que los fiche-ros suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve. Piense que está buscando “una aguja en un pajar”, por lo que deberá ser metódico, vaya de lo general a lo particular, por ejemplo parta de los archivos borrados, intente recupe-rar su contenido, anote su fecha de borrado y cotéjela con la actividad del resto de los archi-vos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque. Sin perder de vista ese timestamp anterior, comience a examinar ahora con más detalle los ficheros logs y de registros que ya ojeó durante la búsqueda de indicios del ataque, intente buscar una correlación temporal entre eventos. Piense que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones específicas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modificación de usuarios, estado del sistema, etc. Por lo que tendremos que buscar nuevamente entradas anómalas y compararlas con la actividad de los ficheros. Edite también el archivo de contra-señas y busque la creación de usuarios y cuentas extrañas sobre la hora que considere se inició el compromiso del sistema.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.3.4 Revisión de Procesos Revisión de todos los procesos encargados de producir resultados, entre ellos la captura de la información, los sistemas hardware de explotación, los recursos humanos de explotación y otros. 3.3.3.5 Herramientas y Técnicas del Análisis Forense.
Componentes del análisis forense
• Identificación de la evidencia: los investigadores deben conocer muy bien los formatos que tiene la información con el fin de saber cómo extraerla, dónde y cómo almacenarla y preservarla. • Preservación de la evidencia: es importante que no se generen cambios en la evidencia al analizarse, sin embargo en algunos casos donde deba presentarse esos cambios deben ser explicados ya que toda alteración debe ser registrada y justificada • Análisis de la evidencia: cada uno de los datos recopilados como prueba deben ser examinados por expertos en el tema. • Presentación: las metodologías que se utilicen para la presentación de los datos analizados deben ser serias, probadas y confiables.
Software de Libre Distribución y Open Source
Vamos a comenzar con una recopilación de herramientas que necesitan ser ejecutadas bajo un sistema operativo anfitrión, bien sea MS Windows o UNIX/Linux. The Forensic ToolKit
Se trata de una colección de herramientas forenses para plataformas Windows, creado por el equipo de Foundstone. Puede descargarlo desde www.foundstone.com, donde además encontrará gran cantidad de herramientas de seguridad. Este ToolKit le permitirá recopilar información sobre el ataque, y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd.exe.
The Sleuth Kit y Autopsy
Este conjunto, cuyo autor es Brian Carrier, consiste en una colección de herramientas forenses para entornos UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit (TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd. Pese a ser de libre distribución (puede descargarlo del sitio Web
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
www.sleuthkit.org) ofrece más detalle que algunos programas de pago. Incluye funciones como registro de casos separados e investigaciones múltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, genera la línea temporal de actividad de los archivos (timestamp), permite buscar datos dentro de las imágenes por palabras clave, permite crear notas del investigador e incluso genera informes. HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. F.I.R.E. Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.4 Herramientas para Obtener información de la Red Seguro que muchas veces, sobre todo los que nos dedicamos al mundo de la informática, nos hemos encontrado el caso de tener que efectuar alguna acción en una red local pero sin saber cuantas maquinas la componen ni que sistemas poseen estas maquinas y no disponer de mucho tiempo para averiguarlo. Para tener un informe rápido de las maquinas que integran una red les recomiendo la herramienta Kaboodle es gratis y se puede usar en Linux, Windows y FreeBSD. Además puede generar informes a través de VPN, también tiene VNC para administración remota y sistema para transferir ficheros. Es una herramienta muy aconsejable para administradores de sistemas.
3.3.5 Análisis de la Información y Resultados
Análisis de resultados cuando se hayan terminado de usar los métodos y herramientas seleccionados para el estudio, se tendrá información almacenada en cuadernos, archivos e índices organizada cronológicamente o por método usado, o ambos. Este apartado trata sobre los procesos que permiten analizar la información recopilada; verificar su confiabilidad mediante la triangulación; interpretar y comprender los resultados; y presentar y usar los resultados. Debido a que la documentación es uno de los resultados más importantes de un estudio de evaluación de la higiene se demuestra, en términos prácticos, cómo la investigación y el análisis se vinculan con la redacción de informes.
Existen cuatro etapas principales en el análisis e interpretación de la información cualitativa. Estos se tratan más detalladamente en varios textos, incluidos Patton (1986, 1990), Miles y Huberman (1994) y Silverman (1994). Aquí nos centraremos más en las tareas prácticas que en los temas teóricos. Análisis descriptivo
La descripción y análisis de la información cualitativa están estrechamente vinculados, de ahí la frase análisis descriptivo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Este análisis incluye una descripción de la finalidad del estudio, la localidad y personas comprometidas, y sus generalidades usualmente se presentan en la introducción del informe.
El análisis descriptivo se centra en cómo, dónde y quién recolectó la información, lo cual implica revisar la información, identificar vínculos, patrones y temas comunes, ordenar los hechos y presentarlos como son, sin agregar ningún comentario sobre su importancia. En el informe, esto se presenta generalmente en la sección de Resultados.
El orden de los resultados puede ser cronológico, según la secuencia de observación de los hechos, o jerárquico, de acuerdo a la importancia de los temas. La introducción y la sección del análisis descriptivo (resultados) del informe deben responder las siguientes preguntas básicas:
La sección de la introducción
• ¿Dónde se realizó el estudio? ¿Cuáles son las condiciones físicas y climáticas?
• ¿Cuándo se realizó el estudio? ¿Por qué?
• ¿Cuáles fueron los objetivos y los resultados esperados del estudio?
• ¿Quién realizó el estudio? ¿Qué métodos y herramientas se usaron? ¿Por qué?
• ¿Cómo participaron las personas en el estudio?
¿Qué grupos étnicos, idiomas u otros grupos participaron? ¿Cómo se compara el nivel de participación logrado en su estudio con el carácter distintivo de la participación comunitaria?
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Sección de resultados
Incluirá resultados en cuanto a:
• Método y herramienta de investigación usados; • Núcleo de prácticas de higiene; • Cualquier otro orden relevante.
Las respuestas a estas preguntas requieren un análisis y descripción rigurosos, pero no una interpretación. En el análisis descriptivo se debe incluir detalles suficientes para permitir que el lector vea qué pasos siguió en la investigación, cómo tomó decisiones metodológicas o cambios de dirección y por qué. Recuerde que los hechos tienen que presentarse de manera clara, coherente y completa antes de que puedan ser interpretados. Una característica muy importante del análisis es la verificación, seguida de la verificación cruzada de la información a fin de establecer la calidad y confiabilidad de los resultados.
Interpretación
La segunda etapa es determinar el significado de los resultados y cuán significativos son en su contexto específico. Las razones que motivan ciertas prácticas de higiene y la influencia de los factores socioculturales sobre ellas pueden analizarse con el aporte de las múltiples perspectivas del equipo de estudio. Tomando como base los resultados, también pueden explorarse temas más amplios que vinculen las prácticas de higiene con la salud.
A continuación se presentan algunas de las preguntas que deben ser respondidas por el equipo de estudio al interpretar los resultados del estudio:
• ¿Qué significan los resultados? • ¿Cómo surgieron los resultados? • ¿Cuáles son las posibles explicaciones de los resultados’? • ¿Se ha respondido a todos los por qué? ¿Algunos requieren investigación adicional?
Idealmente, la interpretación de los resultados debe reflejar los comentarios y sugerencias hechas por la población durante las sesiones de retroalimentación sobre el uso de métodos y herramientas analíticos y de investigación.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Esto ayudará a minimizar los prejuicios que pudieran influir en la interpretación de los resultados y asegurará que se tome en cuenta el contexto de la información.
Juicio
El análisis descriptivo y la interpretación de los resultados, en último término, permiten evaluar los resultados como positivos, negativos o ambos y determinar sus razones. Los valores del equipo de estudio y de las partes interesadas influyen en los resultados del estudio. Por ejemplo, los resultados pueden indicar qué es bueno, malo, aconsejable o indeseable respecto a cómo el proyecto ha promovido un mejor abastecimiento de agua, saneamiento, higiene y salud o cómo han respondido las personas a las intervenciones externas y por qué. En este sentido, las preguntas que deben responderse son:
• ¿Cuál es la importancia de los resultados para los diversos interesados en este entorno específico? • ¿para el proyecto? • ¿para la población estudiada? • ¿para los investigadores interesados en los vínculos entre determinadas prácticas de higiene y la salud?
Es importante lograr un equilibrio justo entre los aspectos positivos y negativos. Los resultados positivos deben recalcarse sin dejar de lado los negativos. De igual manera, los resultados negativos no sólo deben enumerarse, sino discutirse de modo que exploren posibles soluciones prácticas o remedios factibles.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.6 Sistemas de Detección de Intrusos
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos en la Seguridad Informática.
En aquellas organizaciones donde la seguridad es altamente crítico el contar con personal de respuesta de incidentes es prácticamente una obligación (en estos ambientes un sistema de detección de intrusos instalado y configurado apropiadamente suele ser muy
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
valioso); algunas organizaciones donde este tipo de sistemas suelen ser más efectivos son:
Instituciones gubernamentales (principalmente aquellas relacionadas con seguridad pública)
Instituciones financieras Empresas que manejan gran cantidad de información
confidencial.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.6.2 Tipos de Sistemas de Detección de Intrusos Básicamente existen dos tipos de detectores de Intrusos: IDSes basados en red Un IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el tráfico (como un HUB o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en máquina. IDSes basados en máquina Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.3.6.3 Nivel de Interacción de los Sistemas de Detección de Intrusos La interacción, permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. La correlación es una nueva característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.4 RESPUESTA Y MANEJO DE INCIDENTES El manejo de incidentes su objetivo primordial es restablecer el servicio lo más rápido posible para evitar que el cliente se vea afectado, esto se hace con la finalidad de que se minimicen los efectos de la operación. El término incidente se refiere a un evento desfavorable en un sistema de información o una red o el riesgo de ocurrencia de tal evento. En algunos casos el incidente permanece sin corregirse por dos o más días, lo que provoca que se dé alta varias veces el mismo incidente.
3.4.1 RESPUESTA A INCIDENTES
Una respuesta a incidentes es una reacción acelerada a un problema. Con respecto a la seguridad de la información, un ejemplo seria las acciones del equipo de seguridad en contra de un hacker que ha penetrado un cortafuego y está actualmente husmeando el tráfico de la red. El incidente es la violación de la seguridad. La respuesta depende de cómo el equipo de seguridad reaccione, que acciones toman para reducir los datos y cuando restablecen los recursos, todo esto mientras intentan garantizar la integridad de los datos.
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se afecta en prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el dado potencial causado por el sistema en peligro.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
3.4.2 CREACIÓN DE UN EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA
"Creación de equipos de respuesta a incidentes de seguridad en computo", las redes de computadoras han revolucionado la forma en que se llevan a cabo los negocios, a la vez que han introducido riesgos potenciales. Los cambios en la manera en campo la sociedad hace uso de la tecnología trae consigo nuevas posibilidades de intrusión. En la mayoría de los casos, los administradores de las redes o sistemas no cuenta con la gente ni la experiencia para defenderse en contra de los ataques y reducir los datos. Las organizaciones pueden responder de diferentes formas como defensa en contra de las amenazas de seguridad en internet, ya sea manteniéndose con los últimos parches de los sistemas operativos y las actualizaciones los productos, instalar defensas perimetrales e internas como ruteadores, firewalls, scanner y sistemas detectores de intrusos, con nuevas políticas y procedimientos de seguridad, lanzando alertas de seguridad, capacitando a los empelados, clientes y miembros de la organización. Un csirt (computer security incident response team) es una organizaciã³n o equipo que provee servicios y soporte para prevenir, manejar y responder a los incidentes de seguridad computacional. En general: es un punto de contacto para el reporte de los problemas locales y de su rango de acción. Asiste a la organización y en general a la comunidad de cómputo en la prevención y manejo de incidentes de seguridad en computo. Comparte información y experiencias con el csirt/cc, otros equipos de respuesta y otros sitios y organizaciones adecuados. la creaciã³n de un csirt es uno de los pasos que las organizaciones pueden tomar para proveer una estrategia mas rápida de respuesta, para lo que habrá que identificar claramente las acciones y decisiones claves a considerarse para la planeación e implementación de este en la organización.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Para poder implementar exitosamente un csirt, la organización deben reunir la información necesaria para ello (tipo de problemas, puntos críticos, procesos, etc.), identificar el rango de acción y los servicios que proporcionaría, la forma en que se estructurara, los equipos e infraestructura, obtener recursos (incluyendo personal, experiencia y financiamiento), autoridades, entre otras cosas mas, basando sus acciones en una vision global de los requerimientos de su organización y en la mision que tiene la creacion de este equipo. Se puede aprender de la experiencia de otros csirt, como lo son: mxcert, singcert, cancert, cert nask, etc. cada equipo determina: el rango de servicios que proporcionaría: horarios, políticas, modo de operación, prioridades, herramientas y equipo, responsables, etc. El nivel de soporte que daría a cada uno de los servicios: asignación de recursos, extensión y profundidad del servicio proporcionado, etc., el plan de creacion de un csirt, también tiene que ser retroalimentado por otros expertos de seguridad, otros csirt, proveedores de servicios de internet y otros grupos de la misma organización. Puede pensarse incluso, en modelos alternativos de csirt, los que pueden atender aspectos muy específicos de seguridad, pueden ser equipos locales, virtuales, centralizados, combinados, etc. los que pueden evolucionar de acuerdo a los cambios y necesidades que vayan surgiendo y que se vayan evaluado, ya sea a corto o largo plazo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Unidad IV
Entorno social e impacto económico de la seguridad informática
4.1 LEGISLACIÓN MEXICANA La legislación es un conjunto de leyes por las cuales se gobierna un estado o una materia determinada.
La palabra legislación puede referirse a una variedad de normas jurídicas cuyo rasgo común es que regulan las relaciones de ciertas personas que tienen en común la pertenencia a un territorio o sociedad.
Por lo general, los estatutos son una forma de derecho propio. El Derecho surge como un medio efectivo para regular la conducta del hombre en sociedad. Pero la sociedad no es la misma en cada uno de los lugares del planeta ni es la misma en cada momento de la historia. El Derecho regula la conducta y los fenómenos sociales a través de leyes. El proceso de creación de las leyes es largo y lento, sobre todo en el Sistema Jurídico Latino. En los últimos años, las Tecnologías de la Información y la Comunicación han revolucionado la vida social en numerosos aspectos: científicos, comerciales, laborales, profesionales, escolares, etc. La tecnología avanza a una velocidad vertiginosa y el Derecho, en especial, el Derecho mexicano, se ha quedado con mucho rezagado en la regulación de una materia que lo ha rebasado.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
4.1.1 ACCESO ILÍCITO A SISTEMAS
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este articulo se incrementaran en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
4.1.2. CÓDIGO PENAL
Un código penal es un conjunto unitario y sistematizado de las normas jurídicas punitivas de un Estado, es decir, un compendio ordenado de la legislación aplicable en materia penal, que busca la eliminación de redundancias, la ausencia de lagunas y la universalidad: esto es, que no existan normas penales vigentes fuera del compendio.
El primer código penal que recogió los requisitos que, a partir de la Ilustración, fueron estableciéndose sobre la forma de un cuerpo legislativo moderno, fue el Código Penal francés, de la época napoleónica (por ello también es denominado Código penal napoleónico), promulgado con la finalidad de dar coherencia a un sistema jurídico casi indescifrable por la multitud de normas dispersas que existían.
La idea jurídica de la existencia de códigos es típicamente burguesa y liberalista, dado que favorece los intercambios comerciales y de seguridad jurídica. Además, en el caso del Código penal, permite a los ciudadanos un mayor conocimiento de los delitos, y no ser enjuiciados por actos delictivos que podrían desconocer.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
4.1.3 DERECHOS DE AUTOR
Es la facultad exclusiva que tiene el creador intelectual para explotar temporalmente, por sí o por terceros, las obras de su autoría (facultades de orden patrimonial), y en la de ser reconocido siempre como autor de tales obras (facultades de orden moral), con todas las prerrogativas inherentes a dicho reconocimiento.
El derecho de autor se basa en la idea de un derecho personal del autor, fundado en una forma de identidad entre el autor y su creación.
El derecho moral está constituido como emanación de la persona del autor: reconoce que la obra es expresión de la persona del autor y así se le protege.
La protección del copyright se limita estrictamente a la obra, sin considerar atributos morales del autor en relación con su obra, excepto la paternidad; no lo considera como un autor propiamente tal, pero tiene derechos que determinan las modalidades de utilización de una obra.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
4.1.4 ACTUALIDAD DE LA LEGISLACIÓN SOBRE DELITOS INFORMÁTICOS
En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz para obtener y conseguir información, lo que las ubica también como un nuevo medio de comunicación, y condiciona su desarrollo de la informática; tecnología cuya esencia se resume en la creación, procesamiento, almacenamiento y transmisión de datos.
La informática esta hoy presente en casi todos los campos de la vida moderna.
Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos, y comienzan a utilizar los sistemas de Información para ejecutar tareas que en otros tiempos realizaban manualmente.
En la actualidad la informatización se ha implantado en casi todos los países.
Tanto en la organización y administración de empresas y administraciones públicas como en la investigación científica, en la producción industrial o en el estudio e incluso en el ocio, el uso de la informática es en ocasiones indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta comienzan a surgir algunas facetas negativas, como por ejemplo, lo que ya se conoce como "criminalidad informática".
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
4.2 LEY MODELO (CNUDMI)
La CNUDMI, mejor conocida por sus siglas en inglés UNCITRAL1 es el órgano jurídico central del sistema de la Organización de las Naciones Unidas (ONU) en el ámbito del derecho mercantil internacional. Desde su fundación en 1966, esta Comisión ha desempeñado un papel de suma relevancia en el apoyo que brinda la ONU al comercio internacional y es considerada como uno de los instrumentos más importantes para el desarrollo de la economía mundial. La Asamblea General de la ONU le encomendó la labor de fomentar la armonización y unificación progresivas del derecho mercantil internacional, por lo que como parte de sus funciones se encuentra la elaboración de convenciones internacionales y leyes modelo, de entre las que se encuentran: la Convención sobre los Contratos de Compraventa Internacional de Mercaderías (Convención de Viena), la Ley Modelo de la CNUDMI sobre la Insolvencia Transfronteriza, la Convención de las Naciones Unidas sobre el Reconocimiento y Ejecución de las Sentencias Arbitrales Extranjeras (Convención de Nueva York), la Convención sobre Letras de Cambio Internacionales y Pagarés Internacionales y la Ley Modelo sobre Arbitraje Comercial Internacional (Ley Modelo de arbitraje).
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Unidad V
Nuevas tendencias y tecnologías
5.1 CULTURA DE LA SEGURIDAD INFORMÁTICA
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática.
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.
En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.
Si los usuarios de su red conocen cómo actuar ante situaciones de riesgo, se evitarán en gran medida los errores cometidos por la falta de información, minimizando al máximo las posibles pérdidas. Lo primero es establecer unas normas básicas a seguir por los usuarios (Políticas de comportamiento seguro) y plantear un plan de formación de los mismos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Las Políticas de comportamiento seguro sirven para establecer una normativa que defina cómo actuar ante determinadas situaciones de riesgo. Por ejemplo, entre ellas estarían las siguientes:
Si se reciben ficheros no solicitados o de origen desconocido, hay que rechazarlos por muy interesantes que parezcan, ya que pueden contener virus.
Al recibir un nuevo mensaje de correo electrónico, se deben analizar siempre con el antivirus antes de abrirlo, aunque se conozca al remitente.
Evitar la descarga de programas desde lugares no seguros de Internet y procurar confirmar que están avalados por un organismo público, editoriales o una empresa antivirus.
Poner la máxima precaución si se observa que en el ordenador se llevan a cabo acciones sospechosas (aumento de tamaño de los ficheros, aparición de avisos de Windows no habituales, recepción de correos de personas desconocidas o en idiomas no utilizados habitualmente, etc.).
Muchas veces, son las personas y no las tecnologías, quienes presentan el punto débil en la seguridad de una compañía.
México se ubica en el lugar 15 como generador de ciberataques.
En tanto, el país que genera y recibe mayor cantidad de ataques en América es Estados Unidos. Le siguen Corea del Sur, China, Alemania, Francia, Taiwan, Canadá, Italia, Gran Bretaña y Japón.
En México la situación es preocupante. Actualmente nuestro país pasó del cuarto al tercer lugar en recibir ataques cibernéticos, según Symantec, corporativo dedicado a la seguridad informática. Y principalmente por los virus de tipo Worm.
Especialistas reconocen que México está rezagado en materia de seguridad informática y en plena desventaja mundial, sus programas de difusión, capacitación y fomento de la cultura de seguridad informática son deficientes.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
En parte, esta situación se debe a que las instituciones de nivel superior no han abordado el problema. Deberían crearse licenciaturas especializadas en seguridad de la información, incluso en áreas como Derecho, pues no contamos con las suficientes leyes para sancionar el mal uso de recursos informáticos.
A diferencia de la delincuencia habitual, los crímenes cibernéticos pueden ser ejecutados desde la comodidad de la casa, la oficina o desde un café internet, pues los hackers usan el correo electrónico (phishing), los sitios web falsos (phar-ming) y los chats o messengers para obtener información confidencial.
También mandan un mail al usuario con el pretexto de advertir sobre problemas con su cuenta bancaria, clonación de tarjeta, premios, actualización de datos o cambio de políticas de seguridad.
Según un informe elaborado por AOL y la Alianza Nacional para la Seguridad Cibernética, uno de cada cuatro internautas está expuesto a amenazas, por ejemplo, mensajes electrónicos falsos, que tratan de robar información personal. Y los que navegan por el ciberespacio, de acuerdo con los expertos, no están preparados para afrontar tales engaños.
El estudio señala que 70 por ciento de los usuarios no sospechaba que estos correos eran falsos y que procedían de fuentes ilegítimas. Por ello, el usuario ingenuamente, introduce sus datos personales, hace clic en la liga del correo y se le transfiere a un sitio web falso al mismo tiempo que se envían sus datos confidenciales al hacker.
La gente que labora en las grandes compañías tiene poco cuidado al elegir el lugar para guardar passwords y tira libretas o apuntes confidenciales en la basura. Otro riesgo es revelar datos privados durante las conversaciones telefónicas que se realizan en lugares públicos.
Hoy en día las empresas deben enfocar su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se puedan traducir en pérdidas cuantiosas de dinero.
El usuario debe tener cuidado de no dar acceder a sitios que considere poco fiables y no bajar programas piratas o de fuentes no confiables, pues a pesar de que son más económicos pudiera ser víctima de un fraude.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Así como optar por sistemas operativos que han sido configurados para redes como UNIX. También se deben mantener las mejores prácticas de seguridad, algunas muy sencillas como no compartir el password.
El interés por la cultura de la seguridad cibernética ha hecho que surjan organismos encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias como el Computer Emergency Response Team Coordination Center, un centro de alertas y reacción frente a los ataques informáticos, destinados a las empresas y administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
Además, ya se pueden encontrar en la Red, sitios destinados a proporcionar información sobre la seguridad cibernética. Uno de ellos, es BlogAntivirus, un espacio de información sobre Seguridad Informática, en el cual se abordan temas como Virus, Troyanos, Espías, Spam, Pishing, y de todas las herramientas que pueden ayudar a evitar estos ataques: antivirus, antiespias, cortafuegos, antispam.
Sin duda, la seguridad informática es un tema complejo que requiere de estrategias que alerten y garanticen la protección de la información contenida en los ordenadores, así como de soluciones eficaces que satisfagan los problemas informáticos actuales y prevean los futuros.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
5.2 NUEVAS TECNOLOGÍAS DE PROTECCIÓN En la actualidad, las empresas presentes en Internet y empiezan a introducirse en el ámbito de las Nuevas Tecnologías y la protección de datos, deben tener en cuenta los nuevos problemas jurídicos y técnicos los cuales plantean estos nuevos medios. Debido a la gran importancia que ha obtenido el internet en nuestros días y debido a los conflictos de intereses que se suscitan, es importante proteger los derechos mediante la aplicación de estrategias para hacer valer y defender las innovaciones tecnológicas y en línea.
Actualmente en rama del derecho se encuentran:
Protección de programas de cómputo
Registro y protección de nombres de dominio
Representación en controversias por nombres de dominio
Redacción de contratos para uso en Internet
Asesoría en comercio electrónico
Redacción de avisos legales para sitios web
Protección de contenidos de sitios web, etc.
Parte de un exitoso desarrollo de las empresas se deriva tanto del concepto de creatividad, como de inventiva, es por lo anterior que las empresas independientemente de su tamaño, busquen la protección de su imagen, de su nombre, o de sus procesos derivados de una actividad inventiva, para tener mayor penetración en un mercado cada vez más competido.
La entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD- hace que surjan una serie de obligaciones para las empresas que posean datos de carácter personal.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
En este sentido, “Legaldata, Protección de Datos y Servicios Jurídicos de las T.I.C.” proporciona asesoramiento jurídico, en todo el territorio nacional, a las empresas que manejan datos de carácter personal, en las siguientes materias: Realización de Informes de adecuación a la legislación
vigente en materia de Protección de Datos de Carácter Personal.
Clasificación de ficheros según su contenido y finalidad así
como inscripción y actualización de tales ficheros en el Registro General de Protección de Datos.
Mediación y representación del cliente ante la Agencia de
Protección de datos, gestionando altas, modificaciones o cancelaciones de ficheros así como la defensa del cliente en caso de apertura de expedientes.
Redacción y actualización de los documentos de seguridad y
planificación de los procedimientos y prácticas en la actividad del cliente al objeto de evitar lar responsabilidades derivadas del incumplimiento de la legislación vigente en materia de Protección de Datos de Carácter Personal.
Elaboración de cláusulas informativas de Protección de Datos.
Gestión de las reclamaciones de los derechos de los
afectados. Revisión del grado de cumplimiento de la legislación vigente
en materia de Protección de Datos de Carácter Personal. Seguridad Pública y Derecho Penal.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
5.3 TENDENCIAS EN ATAQUES Y NUEVOS PROBLEMAS DE
SEGURIDAD 5.3.1 SPAM Se llama SPAM a la práctica de enviar indiscriminadamente mensajes de correo electrónico no solicitados. Generalmente, se trata de publicidad de productos, servicios o de páginas web. Los que envían SPAM suelen comprar o generar una lista de direcciones de correo electrónico, y envían mensajes desde muchas cuentas diferentes de toda la red. Además, suelen "falsificar" los mensajes para ocultar quién los envía de verdad.
Todos aquellos que tenemos una dirección de correo electrónico recibimos a diario varios mensajes publicitarios que no solicitamos sobre cosas que no nos interesan.
Actualmente, se calcula que entre el 60 y el 80% de los mails (varios miles de millones de mails por día) que se envían son no solicitados, o sea, SPAM. El SPAM es perjudicial para todos, hasta para la empresa que lo envía.
Por lo general, las direcciones son robadas, compradas, recolectadas en la web o tomadas de cadenas de mail. Yo mismo recibo cada día dos o tres ofertas de bases de datos con millones de direcciones de email por unos pocos dólares.
Spam entonces es la palabra que se utiliza para calificar el correo no solicitado enviado por Internet.
La mayor razón para ser indeseable es que la mayoría de las personas conectadas a la Internet no goza de una conexión que no les cueste, y adicionalmente reciben un cobro por uso del buzón. Por lo tanto el envío indiscriminado de este tipo de correo ocasiona costos al lector.
Las personas que envían SPAM generalmente compran o generan una lista de direcciones de e-mail a los cuales les envían los mensajes. El origen de estos mensajes tienden a ser "falsificados," para ocultar quién realmente las envió.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Spammer
Es aquel que usa direcciones de destinatarios desconocidos para el envío de mensajes no solicitados en gran número. Hay tres tipos de spammers: Spam User: Es aquel spammer que usa direcciones de destinatarios desconocidos para divulgar sus productos y servicios.
E-mail Deales: Es aquel spammer que vende listas de direcciones de email sin autorización de sus propietarios.
Spam Dealer: Es aquel spammer que usa sus listas de direcciones y vende servicios de spam a un spam user.
Hay que tener presente que los autores del SPAM cuentan con herramientas muy sofisticadas para recolectar direcciones E-mail válidas, entre ellas podemos citar los programas webspiders que permiten rastrear páginas web, news y otros recursos de Internet. Por lo tanto:
Sólo hay que dar nuestra dirección E-mail a nuestros amigos y conocidos.
No publicar nuestra dirección E-mail en las News o en páginas web.
No rellenar formularios en los que se soliciten nuestros datos personales.
Nunca hay que contestar a un mensaje de SPAM ya que en muchos casos la dirección del remitente será falsa y nos devolverán el mensaje y si no es falsa servirá a la empresa de publicidad para saber que nuestra dirección E-mail es correcta.
Los programas de correo suelen incluir sistemas de filtrado de mensajes que pueden ser útiles para evitar el SPAM. Es la solución de andar por casa para tener un programa anti-SPAM sin gastar dinero.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
5.3.2 MALWARE
Malware (también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware.
Programa maligno. Cualquier programa creado con intenciones de molestar, dañar o sacar provecho en las computadoras infectadas.
En general, es fácil determinar si un programa es (o contiene) un malware: sus actividades son ocultas y no son anunciadas al usuario. Pero existen casos en que la distinción no es clara, provocando hasta demandas por parte de los desarrolladores de estos programas a los antivirus y antiespías que los detectan como malignos.
Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado.
Sin embargo la expresión "virus informático" es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware.
Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red.
Existen varios factores que hacen a un sistema más vulnerable:
Código sin confirmar - Un código en un diskette, en CD-ROM o USB, se puede ejecutar por la irresponsabilidad o ignorancia del usuario.
Defectos - La mayoría de los sistemas contienen errores que se pueden aprovechar por el malware, mientras no se ponga el parche correspondiente.
Homogeneidad - Cuando todas las computadoras en una red funcionan con el mismo sistema operativo, sí pueden corromper ese SO, podrán afectar cualquier computadora en el que funcione.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Sobre-privilegios del código - La mayoría de los sistemas operativos permiten que el código sea ejecutado por un usuario con todos los derechos.
Sobre-privilegios del usuario - Algunos sistemas permiten que todos los usuarios modifiquen sus estructuras internas.
Bugs
La mayoría de los sistemas contienen bugs (errores) que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de la que le caben, sobre escribiendo áreas anexas. Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código.
Clasificación
Existen muchísimos tipos de malware, aunque algunos de los más comunes son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware o incluso ciertos bots.
Dos tipos comunes de malware son los virus y los gusanos informáticos, este tipo de programas tienen en común la capacidad para auto replicarse, es decir, pueden contaminar con copias de sí mismos y en algunas ocasiones mutando, la diferencia entre un gusano y un virus informático radica en la forma de propagación, un gusano opera a través de una red, mientras que un virus lo hace a través de ficheros a los que se añade.
Los virus informáticos utilizan una variedad de portadores.
Los blancos comunes son los archivos ejecutables que son parte de las aplicaciones, los documentos que contienen macros (Virus de macro), y los sectores de arranque de los discos de 3 1/2 pulgadas y discos duros (Virus de boot, o de arranque). En el caso de los archivos ejecutables, la rutina de infección se produce cuando el código infectado es ejecutado, ejecutando al primero el código del virus.
Normalmente la aplicación infectada funciona correctamente. Algunos virus sobrescriben otros programas con copias de ellos mismos, el contagio entre computadoras se efectúa cuando el software o el documento infectado van de una computadora a otra y es ejecutado.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Cuando un software produce pérdidas económicas en el usuario del equipo, también se clasifica como software criminal o Crimeware,3 término dado por Peter Cassidy, para diferenciarlo de los otros tipos de software malignos, en que estos programas son encaminados al aspecto financiero, la suplantación de personalidad y el espionaje, al identificar las pulsaciones en el teclado o los movimientos del ratón o creando falsas páginas de bancos o empresas de contratación y empleo para con ello conseguir el número de cuenta e identificaciones, registros oficiales y datos personales con el objetivo de hacer fraudes o mal uso de la información.
También es utilizando la llamada Ingeniería social, que consiste en conseguir la información confidencial del propio usuario mediante engaños, como por ejemplo, mediante un correo en donde mediante engaños se solicita al usuario enviar información privada o entrar a una página falsificada de Internet para hacerlo.
Métodos de protección
Usar sistemas operativos más seguros, mejores y efectivos que windows como GNU/Linux, Mac OS o FreeBSD.
Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo, solo utilizar la cuenta de administrador cuándo se deba cambiar una configuración o instalar un software de confianza. De todas maneras, se debe ser cauteloso con lo que se ejecuta.
Cada vez que se transfiera un archivo desde o hacia Internet se debe tener la precaución de revisarlo contra virus, crimeware o malwares, pero lo más importante saber de dónde proviene.
Se debe comprobar todos y cada uno de los medios magnéticos (Diskettes, ya en desuso), soportes ópticos (CDS, DVD, Blu-ray) o tarjetas de memoria (SD, MMC, XD, compact Flash), que se introduzcan en el ordenador.
Comprobar los archivos comprimidos (ZIP, RAR, ACE, CAB, 7z..).
Hacer copias de respaldo de programas y documentos importantes, pueden ser guardados en un Pendrive, CD, DVD, entre otros medios externos.
No instalar programas de dudoso origen.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Evitar navegar por sitios potencialmente dañinos buscando cosas como "pornografía", "programas gratis", "mp3 gratis", claves, licencias o cracks para los programas comerciales.
Evita descargar programas, archivos comprimidos o ejecutables, desde redes peer-to-peer ya que no se sabe el real contenido de la descarga.
Crear una contraseña de alta seguridad. Mantener las actualizaciones automáticas activadas, como por
ejemplo el Windows Update. Tener un programa antivirus y un firewall (también llamados
cortafuegos) instalados en el ordenador, un anti-espías como SpywareBlaster, Spybot - Search & Destroy, y un filtrador de IP' maliciosas como el PeerGuardian que eventualmente también frena troyanos.
También es importante tener actualizados estos programas ya que cada día aparecen nuevas amenazas.
Desactivar la interpretación de Visual Basic VBS y permitir JavaScript JS, ActiveX y cookies sólo en páginas web de confianza.
Seguir las políticas de seguridad en cómputo.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
5.3.3 EXPLOITS DE DÍAS CERO El término "Zero day" (o "día 0"), se aplica en este caso a un exploit hecho público para una vulnerabilidad de la que aún no existe un parche, generalmente el mismo día de haber sido descubierta.
Un ataque o amenaza de día-cero (o también hora-cero) es un ataque contra un ordenador, a partir del cual se intentan explotar determinadas vulnerabilidades de algún programa o programas que corren bajo el mismo.
Normalmente estas vulnerabilidades son desconocidas, no están publicadas o no existe un parche que las solvente. El término día cero se utiliza también para describir virus desconocidos o virus de día-cero.
Los exploits de día 0 se liberan antes de que el vendedor del parche lo libere públicamente. Este tipo de exploits circulan generalmente entre las filas de los potenciales atacantes hasta que finalmente son liberados en foros públicos. Un exploit de día-cero normalmente es desconocido para la gente y el vendedor del producto.
Ventana de vulnerabilidad
Los ataques día-cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches que los solucionan. Normalmente estos parches los preparan los propios responsables del programa "defectuoso" en cuestión (sobre todo con los programas de pago).
La línea de tiempo que se emplea para los virus y troyanos, entre otros es la siguiente:
Publicación del ataque o exploit al mundo Detección y estudio del problema Desarrollo de una solución al mismo Publicación del parche, (o firma del virus si procede), para
evitar el exploit. Distribución e instalación del parche en los sistemas de los
usuarios y actualización de los antivirus. Este proceso puede durar horas o, incluso, días. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
5.3.4 METASPLOITS El Proyecto Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son las bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.
Metasploit proporciona información útil para las personas que realizan pruebas de penetración, el desarrollo de la firma IDS, y explotar la investigación
Este proyecto fue creado para proporcionar información sobre las técnicas de explotación y de crear un recurso útil para explotar a los desarrolladores y profesionales de la seguridad. Las herramientas y la información en este sitio se proporcionan para la investigación en seguridad jurídica y propósitos de prueba. Metasploit es un proyecto gestionado por la comunidad por Metasploit LLC.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
5.3.5 OTROS
Las tendencias de ataque de los códigos maliciosos se concentraron fundamentalmente en las redes sociales y plataformas 2.0 como Twitter y Slideshare.
Gusano Koobface: se expandió a través de la red social microblogging utilizando una técnica de ingeniería social relacionada con los videos de los usuarios. Además el sitio recibió ataques de denegación de servicios posiblemente asociado a la proliferación del gusano Koobface.
Presentaciones Slideshare: para propagar malware a través de la creación de falsas diapositivas que contenían enlaces maliciosos.
Mayor cantidad de abuso de servidores ajenos y vulnerables a través de herramientas automáticas (bot): para encontrar estos servidores e instalar scripts, que permitan vulnerar sistemas no actualizados de usuarios y empresas, infectándolos.
Mayor movilidad del malware destinado a servidores vulnerables e incremento en la cantidad de variantes de cada malware: Esto tiene como objetivo lograr menores índices de detección por parte de las herramientas antivirus.
Registro y aparición de dominios creados para propagar malware utilizando técnicas de posicionamiento en buscadores: (SEO). En este sentido el rogue actual ha demostrado ser muy efectivo en su propagación.
Mayor disponibilidad de herramientas públicas y/o comerciales para realizar los ataques mencionados: Estas herramientas son desarrolladas por grupos que proveen servicios ilegales de este estilo.
Con este tipo de movilidad en Internet cada componente dañino posee un rol dinámico y activo, buscando maximizar la posibilidad de infección ya sea a través de scripts, de vulnerabilidades encontradas o a través de las miles de variantes de cada malware en particular que aparecen diariamente.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
Al igual que en el caso de Twitter, se continúa advirtiendo el uso de técnicas de Ingeniería Social para captar la atención de los usuarios, por lo que es fundamental prestar especial atención a la hora de abrir enlaces dentro de sitios web poco confiables o en los cuales otros usuarios pueden ser generadores de contenidos.
El código malicioso está haciendo uso de una de sus características más comunes que es la reproducción y lo hace a través de sitios con gran cantidad de visitas como son las redes sociales es por eso que debemos estar alertas a este tipo de riesgos controlando el acceso a estas páginas y no descargando ningún tipo de aplicación ni accediendo a links que no sean de confianza y conjuntamente a una solución de antivirus efectiva estaremos mitigando en gran parte que tengamos un incidente de seguridad por este tipo de riesgos.
INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales
Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.