AUDITORIA DE SEGURIDAD INFORMATICA A LOS SERVIDORES PUBLICOS DE MEDIACOMMERCE S.A

DANIEL ECHEVERRY MATIAS

UNIVERSIDAD CATÓLICA DE PEREIRAFACULTAD DE CIENCIAS BASICAS E INGENIERIA

PROGRAMA DE INGENIERÍA DE SISTEMAS Y TELECOMUNICACIONESPRACTICAS ACADÉMICAS

PEREIRA 2011

1

AUDITORIA DE SEGURIDAD INFORMATICA A LOS SERVIDORES PUBLICOS DE MEDIACOMMERCE S.A

DANIEL ECHEVERRY MATIAS

INFORME DE PRÁCTICA ACADEMICA

TUTORDANIEL FELIPE BLANDÓN GÓMEZ

INGENIERO DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD CATÓLICA DE PEREIRAFACULTAD DE CIENCIAS BASICAS E INGENIERIA

PROGRAMA DE INGENIERÍA DE SISTEMAS Y TELECOMUNICACIONESPRACTICAS ACADÉMICAS

PEREIRA 2011

2

TABLA DE CONTENIDO

1. PRESENTACIÓN DE LA ORGANIZACIÓN 7

2. D EFINICIÓN DE LAS LÍNEAS DE INTERVENCIÓN 9

3. IDENTIFICACIÓN DE LAS NECESIDADES 10

4. EJE DE INTERVENCIÓN 12

5. JUSTIFICACIÓN DEL EJE DE INTERVENCIÓN 13

6. OBJETIVOS 14

6.1. OBJETIVO GENERAL 14

6.2. OBJETIVOS ESPECÍFICOS 14

7. MARCO TEÓRICO 15

8. DEFINICIÓN OPERACIONAL DE TÉRMINOS 23

9. CRONOGRAMA DE ACTIVIDADES PLANEADAS 25

10. DESARROLLO Y ANALISIS DE RESULTADOS 26

11. CONCLUSIONES 36

12. RECOMENDACIONES 40

3

13. REFERENCIAS BIBLIOGRAFICAS 41

APÉNDICES 42

4

LISTA DE ILUSTRACIONES

TABLA 1. Relación servidores-servicios. 25

TABLA 2. Checklist 27

TABLA 3. Formato cedula 28

ILUSTRACION 4. Arquitectura Openvas 30

ILUSTRACION 5. Screenshot Openvas 32

ILUSTRACION 6. Nmap 34

ILUSTRACION 7. Nikto 35

TABLA 8. Clasificación según el riesgo 36

ILUSTRACION 9. Clasificación según el riesgo 37

TABLA 10. Clasificación según el motivo 38

ILUSTRACION 11. Clasificación según el motivo 38

5

SINTESIS

SINTESIS

En este trabajo se plantea todo el proceso de auditoría de seguridad informática a los servidores públicos de la empresa Media Commerce Telecomunicaciones, con el fin de evaluar el estado actual de la infraestructura tecnológica de la compañía, buscando posibles fallos o malas prácticas que pongan en riesgo la integridad y seguridad de la información.

Descriptores: Seguridad informática, auditoria, vulnerabilidades, servidores

ABSTRACT

This paper presents the whole process of security auditing informatics to public servers of Media Commerce Telecommunications Company, in order to assess the current state of technological infrastructure of the company, looking for possible failures or bad practices that jeopardize the integrity and security

information.

Keywords: Computer security, audit, vulnerability, Servers

6

INTRODUCCIÓN

1. PRESENTACIÓN DE LA ORGANIZACIÓN O SITIO DE PRÁCTICA

Media Commerce Telecomunicaciones es un gran operador nacional de telecomunicaciones, que nació hace varios años en Barranquilla, comenzando como un proyecto casi familiar, transformándose al corto andar en una operación en constante crecimiento; adquiriendo pequeñas operaciones locales, desarrollando redes para carriers y operadores locales; siendo la red de telecomunicaciones de Cable Unión S.A. la mayor operación que adquirió, con lo que pasó a convertirse en la mayor red de fibra óptica de Colombia.

Media Commerce es una empresa perteneciente al International Telecommunications Holdings Ltd., el cual tiene inversiones en la India y EE.UU. Iniciando con grandes centros de gestión para el sector bancario y posteriormente adquiriendo y construyendo redes de fibra óptica en Colombia para incursionar en el sector de las telecomunicaciones.

Media Commerce Telecomunicaciones ha desarrollado importantes inversiones en infraestructura en su red de fibra óptica, en protocolo Metro Ethernet IP, lo que permite prestar un servicio completamente compatible con las redes privadas de las empresas colombianas, con una cobertura tan amplia que nos permite decir con gran orgullo que nos hemos convertido en EL MAYOR OPERADOR DE TELECOMUNICACIONES EN REDES DE FIBRA ÓPTICA DE COLOMBIA. Sin lugar a dudas, este desarrollo no es sólo tecnológico, sino también humano, pues contamos con un equipo humano altamente calificado y capacitado en los procesos de instalación, operación y mantenimiento de nuestra red, desde Riohacha hasta Ipiales.

La red de oficinas comerciales de Media Commerce Telecomunicaciones, cuyo crecimiento ha ido a la par con el crecimiento de nuestra red, permite un alto nivel de servicio pre y post venta a nuestros clientes, el que unido a nuestro Centro de Gestión Nacional, permite un elevado y sobresaliente servicio de post venta y mantenimiento sobre los servicios prestados.

MISIÓN

Proporcionar soluciones innovadoras de comunicaciones a través del uso de la mejor tecnología disponible, anticipando y superando siempre las necesidades de nuestros clientes, desarrollando la mejor calidad y buscando la excelencia en la

7

provisión del mejor servicio por medio de la preparación permanente de nuestro talento humano.

VISIÓN

Posicionarnos para el año 2014, como la mejor alternativa en la provisión de servicios de telecomunicaciones por su calidad y sus innovaciones permanentes generando constantemente el mejor Valor Agregado.

VALORES ÉTICOS

• RESPETO• HONESTIDAD• HUMANISMO• TRABAJO EN EQUIPO• RESPONSABILIDAD• COMPROMISO

POLÍTICA DE CALIDAD

Nuestra prioridad es satisfacer las necesidades de comunicación en condiciones de calidad y sostenibilidad para lograr el liderazgo mediante la aplicación tecnológica, con inversiones que logren mejorar la interconexión, preservando el medio ambiente, tanto en las áreas urbanas como rurales, en términos de eficiencia, eficacia y efectividad organizacional y el mejoramiento continuo de nuestros procesos y procedimientos, garantizando la disposición de recursos, el desarrollo y bienestar de nuestros trabajadores y garantizando márgenes adecuados de rentabilidad para las partes interesadas, en su propósito de ser reconocida como empresa eficiente.1

1 Sistema de gestión de Calidad de la empresa publicado en la Intranet

8

2. DEFINICIÓN DE LAS LÍNEAS DE INTERVENCIÓN

La línea de intervención para dicho trabajo de práctica profesional, será las telecomunicaciones, debido a que Media Commerce, es un proveedor de servicios de comunicaciones, el cual tiene la infraestructura necesaria para desarrollar una práctica en dicho campo, donde el practicante seguramente podrá aplicar todos los conceptos de telecomunicaciones vistos a lo largo de su formación profesional.

9

3. IDENTIFICACIÓN DE LAS NECESIDADES

Hoy en día, la Seguridad Informática juega un papel fundamental en cualquier empresa, ya que las organizaciones se concientizan cada vez más de la importancia de cuidar su activo más importante: “La información”.

De otro lado, es común que en toda infraestructura de red existan fallos y vulnerabilidades que en la mayoría de ocasiones no son identificadas o peor aún; no existe la preocupación por descubrir dichos peligros potenciales que pueden convertirse en un gran dolor de cabeza para la seguridad de la empresa. Actualmente Media Commerce S.A tiene implementada una gran infraestructura de red, que contiene desde pequeños switch’s hasta grandes servidores, que estratégicamente enlazados tienen como fin soportar el gran flujo de datos que viajan a través de la red de fibra óptica.

En dicha red se administra información de más de 1000 clientes corporativos, quienes confían en que sus datos siempre estarán seguros y confiables, sin que ninguna persona no autorizada pueda acceder a ellos. Por esta razón, surge la necesidad de realizar una auditoría de seguridad informática a todos los servidores públicos de Media Commerce S.A, buscando posibles fallas, vulnerabilidades en configuraciones, aplicativos, y otros aspectos importantes, con el fin de plantear las recomendaciones pertinentes para corregir y minimizar los riesgos de posibles intrusiones no autorizadas; que puedan poner en peligro toda la información no solo de los clientes, sino de la misma empresa.

Para realizar el proceso de auditoría se hizo uso de la siguiente metodología para recolectar información:

Observación Directa. Para el levantamiento de la información se tuvo relación directa con el Ingeniero encargado del departamento de sistemas de Media Commerce S.A, en la que se evidenciaron todos los procedimientos realizados habitualmente ante una falla o requerimiento de otra área de la compañía.

De Igual manera se observó cómo se diseñan y se implementan las políticas de seguridad en cada servidor, así como también las copias de seguridad y demás configuraciones. Adicionalmente se estudió toda la documentación existente (manuales, planes de contingencia, topologías) y toda la información digital y física sobre los procedimientos de seguridad que se han diseñado por parte del área de sistemas.

10

Listas de Chequeo: Se diseñó una lista de chequeo para que fuera diligenciada por el Ingeniero encargado del área de sistemas, en este formato se realizaron preguntas fundamentales las que con sus debidas respuestas dan un concepto más amplio sobre las políticas implementadas en cada uno de los servidores. Asimismo, se indagó por aspectos como: Esquema de redes, bases de datos, sistemas operativos, documentación de manuales, procedimientos, hardware y equipos.

Cedulas: Podemos definir las cedulas como un documento en el cual se consigna todo el trabajo realizado por el auditor. En ellas, se organiza toda la información recolectada. En esta ocasión cada servidor tendrá una cedula asignada donde se evidencian todos los hallazgos encontrados con sus respectivas sugerencias.

11

4. EJE DE INTERVENCIÓN

Media Commerce S.A requiere un proceso de auditoría serio, el cual como producto evidencie aquellas fallas y vulnerabilidades que pueda tener cualquier servidor público de la empresa.

Por tal motivo, el eje de intervención se ha definido como “Proceso de auditoría a los servidores públicos de la empresa Media Commerce S.A”

Con este proceso se analizará y auditará, en cada uno de los servidores externos, los siguientes parámetros:

1. Sistemas operativos2. Aplicativos3. Bases de datos.4. Servicios

Para levantar la información necesaria en el proceso de auditoría, se usarán encuestas, cuestionarios, bibliografía, y observación directa, posteriormente se organizara toda la información, se estudiará y finalmente se plantearán las conclusiones y recomendaciones pertinentes.

Como funciones fundamentales, el practicante deberá realizar:

1. Realizar un proceso serio de levantamiento de información usando la metodología descrita anteriormente.

2. Llevar a cabo, pruebas y laboratorios con el fin de encontrar vulnerabilidades

3. Analizar, estudiar y organizar, la información recolectada, así como también los resultados de las pruebas realizadas.

4. Redactar un informe donde se evidencien las fallas y los errores encontrados a través del proceso.

5. Tratar de corregir y reparar el mayor número de vulnerabilidades encontradas, para disminuir el riesgo al menor umbral.

12

5. JUSTIFICACIÓN DEL EJE DE INTERVENCIÓN

En una empresa, donde brindar servicios de conectividad a sus clientes es el objetivo principal; la seguridad se convierte en parte fundamental ya que a través de la infraestructura de la empresa, pasa la información más importante y critica de los clientes.

Debido al rápido crecimiento de las empresas, pocas de ellas piensan en la seguridad informática como un factor importante, por esta razón es común encontrar organizaciones en la actualidad, que comienzan a preocuparse por la protección de sus datos debido a que poco a poco toda la información critica de las organizaciones es almacenada en servidores y medios digitales los cuales si no se protegen tomando las medidas necesarias estarán expuesta a personas no autorizadas. El proceso de auditoría es una buena práctica que indica el norte que se debe seguir para implementar un buen esquema de seguridad.

Si bien, el principal beneficiado con el proyecto, es la misma empresa, porque gracias a la auditoria se logra evitar fugas de información, daños a los sistemas informáticos y consolidar los esquemas y las políticas de seguridad, los clientes también serán beneficiados, ya que si la infraestructura de la empresa se solidifica en cuanto a seguridad y protección, ellos ( los clientes) estarán más tranquilos y confiados por que la plataforma por la que viaja toda su información critica de sus negocios, será cada día más robusta implementado nuevos procesos y procedimientos con el único fin de tener asegurada los datos.

13

6. OBJETIVOS

6.1 OBJETIVO GENERAL

Desarrollar y aplicar un proceso de auditoría de seguridad informática a todos los servidores públicos de la empresa Media Commerce S.A. Con el fin de evaluar y diagnosticar su estado actual, identificando las vulnerabilidades, y realizando las recomendaciones necesarias para aumentar al máximo el nivel de seguridad.

6.2 OBJETIVOS ESPECÍFICOS

• Realizar un estudio inicial a los servidores públicos de la compañía con el fin de determinar el punto de partida de la auditoria.

• Revisar y estudiar la documentación que el área de sistemas maneja para la administración de los servidores.

• Identificar, las fallas y las vulnerabilidades que poseen los servidores de la empresa Media Commerce.

• Determinar el nivel de seguridad de los servidores públicos de la empresa cliente, tomando como vectores de ataque aquellos servicios que pueden ser accedidos a través de Internet.

• Realizar un informe donde se concluya todos los hallazgos encontrados en todo el proceso de auditoría, además de las recomendaciones.

14

7. MARCO TEÓRICO

Hoy en día, las organizaciones buscando un mejoramiento continuo y viendo la necesidad que va surgiendo en la actualidad donde nacen nuevas tecnologías de información, buscan fortalecer sus sistemas de seguridad con el fin de salvaguardar el activo más importante: “La información”. Adicionalmente la seguridad informática se ha convertido en un requisito para cualquier compañía que desee certificarse a nivel de calidad o por lo menos certificar todos sus procesos y procedimientos en el campo informático, para esto existe la norma ISO 27000, la cual describe las acciones a realizar para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información Cualquier empresa que desee diseñar e implementar todo un sistema de seguridad, deberá estudiar, analizar y aplicar la ISO 27000 con el fin de elaborar planes de seguridad que cubran aspectos generales de la información como confidencialidad, integridad y disponibilidad, en los ámbitos de la seguridad física, lógica y de usuarios;

Aplicar la norma no es tarea fácil, lleva tiempo y mucho trabajo, ya que simplemente no es implementar políticas de seguridad. La ISO 2700 va mucho mas allá de esto, incluye capacitar al personal, documentar cada uno de los procesos y procedimientos, entre otras tareas. El primer paso para cualquier empresa que se desee certificar o fortalecer sus esquemas de seguridad es realizar la auditoria, un proceso que evidencia las posibles fallas con el fin de corregir diversos errores buscando siempre un mejoramiento y la calidad esperada.

Para poder llevar a cabo una auditoria en seguridad informática, es muy importante que el auditor esté familiarizado con la terminología usada en el campo de la tecnología y los sistemas, debido a que en este campo es común el uso de siglas y términos específicos, los cuales si no se tienen claros, es probable que la auditoria quede con algunas falencias, o no tenga el alcance que se espera.

Por esta razón, se ve necesario abordar algunos conceptos preliminares, que servirán para que cualquier persona que desee revisar el proceso, entienda sin ningún problema.

Se define el entorno en el cual se desarrolla este trabajo:

SEGURIDAD INFORMATICA: “La seguridad informática es definida por 3 aspectos fundamentales.

15

• La confidencialidad → Asegura que la información no esté disponible o sea descubierta por personas no autorizadas. En otras palabras, se refiere a la capacidad del sistema para evitar que terceros puedan acceder a la información.

• La disponibilidad → Un sistema seguro debe mantener, la información disponible para los usuarios, significa que el sistema, tanto en hardware y software se debe mantener funcionando eficientemente, y que es capaz de recuperarse rápidamente en caso de fallo.

• La integridad → Garantiza que la información pueda ser modificada, incluyendo su creación y borrado, solo por el personal autorizado. El sistema no debe modificar o corromper la información, que almacene, o permitir que alguien no autorizado lo haga.

El orden de importancia de estos tres factores es diferente, e incluso entran en juego otros elementos como la autenticidad, y el no repudio.”(Salvador, 2003, 101)

Es claro que este campo de la informática anteriormente no era tenido en cuenta por algunas compañías, En los años 90's la mayoría de empresas se preocupaban por optimizar aun mas sus procesos de producción con el fin de obtener más dinero. Sin embargo, a medida que todos estos procesos se fueron sistematizando, y automatizando, se vio la necesidad de asegurar la información vital de la compañía, para esto, se crearon diversos estándares, “buenas prácticas” y ciertos procesos los cuales garantizaban que aplicándolos su información estaría más segura y confiable. Pero ¿como se puede verificar que efectivamente nuestra información está a salvo? Para resolver este interrogante nace lo que se denomina una auditoria informática.

AUDITORIA INFORMATICA: “Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software, e información, utilizados en una empresa, sean individuales, compartidos y/o redes, así como a sus instalaciones, telecomunicaciones, equipos periféricos y demás componentes.

Dicha revisión se realiza de igual manera, a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad, y los bienes de consumo necesarios, para el funcionamiento del centro de cómputo. El propósito fundamental, es evaluar el uso adecuado de los sistemas, para el correcto ingreso de los datos, el procesamiento adecuado de la información, y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el incumplimiento de las funciones, actividades, y operaciones de funcionarios, empleados y

16

usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa”. (Muñoz, 2002, 23)

Realizar un proceso de auditoría informática, requiere mucho tiempo y trabajo ya que se deben tomar en cuenta muchos aspectos importantes, es decir, realizar una auditoría informática completa, sería realizar una evaluación exhaustiva a aspectos de la informática como: Software, Hardware, licenciamiento, seguridad, bases de datos, redes, entre otros.

Por tal motivo para dicho trabajo, se realizo una auditoria en seguridad informática, “la cual tiene como objetivo realizar una evaluación a los procesos y procedimientos aplicados por el área de sistemas de la compañía para el manejo de la información. Igualmente una auditoria en seguridad informática, incluye test's o análisis a toda la infraestructura técnica de la empresa, lo que ayuda al auditor a encontrar y recolectar información para llegar a las conclusiones en las que basa su informe, se obtiene de una mezcla apropiada de pruebas de control, de procedimientos sustantivos, análisis de proyecciones, y análisis de los indicadores de claves de éxito”. (Mirra, 2006, 240)

Ahora, teniendo claro lo que es una auditoria informática, es pertinente definir que es una auditoria en seguridad informática. Este tipo de auditoría consiste en diagnosticar cada uno de los aspectos técnicos de toda la infraestructura tecnológica de la compañía, con el fin de buscar vulnerabilidades o fallos de seguridad los cuales puedan poner en riesgo la información confidencial de la organización.

“Una vulnerabilidad es un fallo de seguridad, puede ser flagrante y permitir a un pirata atacar el sistema, o ser un simple punto débil que pueda ayudarle indirectamente.

La detección de vulnerabilidades es una etapa muy importante, que permite finalizar la implementación de su política de seguridad. Consiste en buscar los puntos débiles de su arquitectura de seguridad y formalizarlos por escrito.

Como siempre debemos partir del principio pesimista de que ninguna protección es fiable al 100% por lo que existen algunos fallos, en alguna parte, solo nos queda determinar dónde”. (Royer, 2004, 324)

De otro lado, existen diversos modelos los cuales facilitan la tarea del auditor, dichos modelos describen los pasos a seguir para evaluar y auditar un sistema informático.

17

MODELOS DE SEGURIDAD: “Un modelo de seguridad es la expresión formal de una política de seguridad y se utiliza como directriz para evaluar los sistemas de información. Al decir formal queremos expresar que estará redactado fundamentalmente en términos técnicos y matemáticos.” (Aguilera, 2004, 23)

Clasificación

En relación a las funciones u operaciones sobre las que se ejerce mayor control podemos clasificar los modelos de seguridad en tres grandes grupos:

Matriz de acceso. Este modelo considera tres elementos básicos: sujeto. Objeto y tipo de acceso. Un sujeto tiene autorización de acceso total o parcial a uno o más objetos del sistema. Aplicable a cualquier sistema de información, controla tanto la confidencialidad como la integridad de los datos.

Acceso basado en funciones de control (RBAC -Role›Acccss Base Control-): Puede considerarse una modalidad del de matriz de acceso, pero, en este caso, el acceso no se define en función de quién es el sujeto. sino de qué función tiene. Por ejemplo, un determinado individuo puede ser alumno de una universidad en cuanto que está estudiando una carrera, pero también puede ser profesor de la universidad en otra especialidad distinta de la misma universidad. Tratándose del mismo individuo, en calidad de profesor tendrá un tipo de acceso al sistema Y en calidad de alumno tendrá 0tro. También controla la confidencialidad y la integridad de los datos.

Multinivel: Este modelo se basa en la jerarquización de los datos (todos los datos son importantes pero unos son mas privados que otros. Por ejemplo, el nivel de protección de datos personales ha de ser superior que los nombres de los artículos con los que comercia una empresa). Los usuarios tendrán acceso a un nivel u otro de la jerarquía en función de las autorizaciones que les hayan sido dadas. Este nivel controla el flujo de datos entre los niveles de la jerarquía.

Quizás uno de los modelos más importante es:

MODELO COBIT: “El Modelo COBIT (Control Objetives Technologies) es un modelo de referencia basado en las mejores prácticas, sistemas de información de auditoría, control de procesos y objetivos de IT. El cual tiene como objetivo

18

principal el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de tecnologías de información.

El Modelo COBIT sirve para salvar las brechas entre riesgos de negocios, necesidades de control y aspectos técnicos y está dirigido a los auditores informáticos, además permite determinar el alcance de la tarea de auditoría e identificar los controles mínimos. Además es posible emplearla como una Herramienta de autoevaluación del Área Informática ya que es aplicable a todos los tamaños y tipos de organización”. ( Balceca, 2008, 24)

CONTROLES FISICOS: Para soportar los esfuerzos y los desastres (como son los incendios, inundaciones, desastres naturales, entre otros) se debe contar con un sitio seguro de almacenamiento para los archivos y los documentos que se están utilizando. Además, todos los archivos de respaldo, los programas y otros documentos importantes se deberán almacenar en lugares externos de las instalaciones que tengan un nivel adecuado de seguridad. Los dispositivos para protección de archivos deberán emplearse para evitar un borrado accidental bajo condiciones de temperatura y humedad.

CONTROL DE ACCESO A DATOS: Este control se realiza para asegurar que los usuarios tengan el perfil y privilegios asignados por el Administrador, además asegurar que los comandos críticos sobre los objetos de la Base de Datos (créate, alter, drop, etc.) sean registrados, revisados y evaluados.

CONTROL DE CONCURRENCIA: Cuando se comparten datos entre usuarios, se deben establecer controles de concurrencia para asegurar la consistencia en la actualización y lectura de la Base de Datos. El control de transacciones concurrentes en una base de datos brinda un eficiente desempeño del Sistema de Base de Datos, puesto que permite controlar la ejecución de transacciones que operan en paralelo, accesando a información compartida y, por lo tanto, interfiriendo potencialmente unas con otras.

CONTROL DE RESPALDOS Y RECUPERACIÓN: Los controles de respaldos y recuperación deben asegurar la vigencia y protección de respaldos de datos, así como la realización de pruebas de integridad y legibilidad desde los respaldos, su documentación y evaluación.

Ahora que se conocen un poco más sobre el modelo COBIT y sus características, es conveniente hablar, sobre qué aspectos se van a evaluar en este proceso de auditoría. Los más importantes son:

19

Documentación de procedimientos y procesos. Plan de contingencia. Control de usuarios Control de versiones de aplicativos. Políticas de Respaldo y recuperación. Políticas de seguridad implementadas.

Este último es quizás la escencía de una auditoria en seguridad informática, por que las políticas de seguridad de cada compañía definen el nivel de seguridad que un ingeniero pueda tener implementado en su red, no solamente se debe comprobar que existan dichas políticas, sino que se debe verificar que las políticas establecidas se estén cumpliendo a cabalidad y que si estén dando el resultado para lo cual fueron implementadas. Según Aguilera(2004, 23) una política de seguridad se puede definir de la siguiente manera:

POLITICAS DE SEGURIDAD: Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información. Forma parte de su política general v, por tanto, ha de ser aprobada por la dirección.

El objetivo principal de la redacción de una política de seguridad es la de concienciar a todo el personal de una organización, y en particular al involucrado directamente con el sistema de información, en la necesidad de conocer qué principios rigen la seguridad de la entidad y cuáles son las normas para conseguir los objetivos de seguridad planificados. Por tanto, la política de seguridad deberá redactarse de forma que pueda ser comprendida por todo el personal de una organización.

No todas las políticas de seguridad son iguales. El contenido depende de la realidad y de las necesidades de la organización para la que se elabora. Existen algunos estándares de políticas de seguridad por países y por áreas (gobierno. medicina, militar...), pero los más internacionales son los definidos por la ISO (International Organización ƒor Srandardizarion).

Una política de seguridad contendrá los objetivos de la empresa en materia de seguridad del sistema de información, generalmente englobados en cuatro grupos:

• Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de información, así como evaluar los impactos ante un eventual ataque.

• Relacionar todas las medidas de seguridad que deben implementarse para afrontar los riesgos de cada activo 0 grupo de activos.

20

• Proporcionar una perspectiva general de las reglas v los procedimientos que deben aplicarse para afrontar los riesgos identificados en los diferentes departamentos de la organización

• Detectar todas las vulnerabilidades del sistema de información v controlar los fallos que se producen en los activos. incluidas las aplicaciones instaladas.

• Definir un plan de contingencias.

Otro factor fundamental es el plan de contingencia, toda organización deberá tener entre sus manuales y documentación, un plan el cual contenta algunos pasos o medidas a tomar en caso de que el sistema de información o la infraestructura tecnológica sufra algún daño que impacte la normal continuidad de la organización. Según Aguilera (2004, 23) un plan de contingencia se puede definir como:

PLAN DE CONTINGENCIA: Determinadas amenazas a cualquiera de los activos del sistema de información pueden poner en peligro la continuidad de un negocio. El plan de contingencias es un instrumento de gestión que contiene las medidas (tecnológicas, humanas V de organización) que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que lo amenazan o recuperándolo tras un impacto.

El plan de contingencias consta de tres sub-planes independientes:

• Plan de respaldo. Ante una amenaza, se aplican medidas preventivas para evitar que se produzca un daño. Por ejemplo, crear y conservar en lugar seguro copias de seguridad de la información, instalar pararrayos o hacer simulacros de incendio.

• Plan de emergencia. Contempla qué medidas tomar cuando se está materializando una amenaza o cuando acaba de producirse. Por ejemplo, restaurar de inmediato las copias de seguridad o activar el sistema automático de extinción de incendios.

• Plan de recuperación. Indica las medidas que se aplicarán cuando se ha producido un desastre. El objetivo es evaluar el impacto y regresar lo antes posible a un estado normal de funcionamiento del sistema y de la organización. Por ejemplo, tener un lugar alternativo donde continuar la

21

actividad si el habitual hubiese sido destruido. sustituir el material deteriorado. reinstalar aplicaciones y restaurar copias de seguridad.

La elaboración del plan de contingencias no puede descuidar al personal de la organización. que estará informado del plan y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o un impacto.

22

8. DEFINICIÓN OPERACIONAL DE TÉRMINOS

• switches -> Es un dispositivo digital de lógica de interconexión de redes de computadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.

• Redes (Behrouz A. Forouzan, 2003, P100): Una red de computadores, de sistemas (por ejemplo, una computadora) conectados mediante un medio de transmisión (alambre, aire, fibra óptica).

Una red de computadores puede abarcar un área geográfica pequeña, mediana o grande. En el primer caso la red es una red de área local (LAN: Local área network), en el segundo caso la red es una red de área metropolitana (MAN: Metropolitan área networ) y en el tercer caso se trata de una red de área amplia (WAN: wide área network).

• Fibra óptica -> Sistema de transmisión que utiliza fibra de vidrio como conductor de frecuencias de luz visible o infrarrojas. Este tipo de transmisión tiene la ventaja de que no se pierde casi energía pese a la distancia (la señal no se debilita) y que no le afectan las posibles interferencias electromagnéticas que sí afectan a la tecnología de cable de cobre clásica.

• Servidor -> Ordenador conectado a una red informática que ofrece servicios a otros ordenadores conectados a él

• Nicas -> Tarjetas de red.

• Backups -> Copias de Seguridad.

• Rack ->Un rack es un bastidor destinado a alojar equipamiento electrónico, informático y de comunicaciones. Las medidas para la anchura están normalizadas para que sea compatible con equipamiento de cualquier fabricante, siendo la medida más normalizada la de 19 pulgadas, 19". También son llamados bastidores, cabinets o armarios.

• DMZ -> En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la

23

externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

• Asterisk -> Es un programa de software libre (bajo licencia GPL) que proporciona funcionalidades de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o bien a una RDSI tanto básicos como primarios.

• Pentesting -> Es un método para evaluar la seguridad de un sistema informático o red mediante la simulación de un ataque. El proceso implica un análisis activo del sistema de las vulnerabilidades potenciales que podrían resultar de mala o inadecuada configuración del sistema, tanto conocidas como desconocidas, fallas de hardware o software, fallos operativos. Este análisis se lleva a cabo desde la posición de un atacante potencial y puede implicar la explotación activa de vulnerabilidades de seguridad.

24

9. CRONOGRAMA DE ACTIVIDADES PLANEADAS

Actividades

Febrero Marzo Abril Mayo Junio 1º 2º 3º 4º 1º 2º 3º 4º 1º 2º 3º 4º 1º 2º 3º 4º 1º 2º 3º 4º

A1 XA2 X XA3 X XA4 X X X XA5 X X X XA6 X X XA7 X X XA8 X

A1: Establecer los Objetivos y Alcances de la auditoria a realizar, dejando también claro entre el auditor y auditado lo que se auditara y lo que se dejara de auditar

A2: Conocimiento de la organización (Estudio Inicial).

A3: Revisar documentación sobre el área de sistemas, es decir realizar y generar los papeles de trabajo

A4: Recolección de información: En esta actividad se realizara el proceso de recolección de información a través de diversos medios como: (las entrevistas, encuestas, y listas de chequeo).

A5: Desarrollo de pentesting y obtención de información técnica importante, a través de escaneo de puertos, scanner de vulnerabilidades y herramientas de fingerprint.

A6: Analizar todo las pruebas, evidencias y datos recopilados durante el proceso de la auditoria

A7: Elaboración del informe final

A8: Sustentación informe final, donde se plantearan los hallazgos y las evidencias encontradas. Igualmente se darán a conocer las sugerencias brindadas por el auditor.

25

10. DESAROLLO Y ANALISIS DE LOS RESULTADOS

ANALISIS INICIAL.

Inicialmente se realizo una reunión con el área encargada, con el fin de identificar y determinar que servidores iban hacer auditados y como iba a ser el proceso de ahí en adelante. En dicha reunión se acordó que la auditoria se aplicaría a los servidores públicos de Media Commerce Telecomunicaciones debido a que estos son los más expuestos a ataques externos y cualquier vulnerabilidad en dichos equipos podría poner en riesgo la integridad de la información que maneja la compañía.

En definitiva los servidores a auditar son los siguientes:

TABLA 1. Relación servidores-serviciosSERVIDOR SERVICIO

Terminal Server Servidor de aplicaciones

Spark Servidor de mensajería instantánea

Proxy Servidor proxy y Firewall

VozIP Servidor de VozIP

Hosting Servidor Hosting

DNS Servidor DNS principal

FTP Servidor de almacenamiento de archivos

MRTG Servidor de monitoreoFuente: Elaboración propia del autor.

Igualmente se acordó en dicha reunión que la auditoria, se centraría en los sistemas operativos y los servicios que corren en la maquina, y que en ningún momento se auditaría las aplicaciones propias de la empresa (como el sistema de información), debido a que esto requeriría mucho más tiempo de lo disponible.

Por último, por petición directa de la compañía, toda la información recolectada, los hallazgos y las evidencias encontradas en el proceso, no serán publicados en este documento debido a que la información es confidencial y de manejo interno.

26

RECOLECCION DE INFORMACIÓN.

La recolección y análisis de requerimientos fue un proceso que se realizó en un lapso de 4 (cuatro) semanas, en el cual se emplearon técnicas de observación directa del entorno, listas de chequeo, y cedulas de trabajos.

Inicialmente, el área encargada de los servidores a auditar, entrego al auditor, toda la documentación existente relacionada con políticas y procedimientos tales como:

Topología de RED. Manuales Planes de contingencia. Direccionamiento.

Posteriormente, se diseño la lista de chequeo, la cual fue diligenciada por el ingeniero Alejandro Gómez, (Encargado del área de sistemas) En este formato se realizaron preguntas cerradas, en los siguientes aspectos:

Redes Bases de datos Sistemas operativos Documentación Hardware

El formato es el siguiente:

27

TABLA 2. Checklist

28

EMPRESA: MEDIA COMMERCE TELECOMUNICACIONES

FECHA DE LA VISITA:

ENCARGADO RESPONSABLE:

REALIZADO POR:

CODIGO SI NO SUGERENCIAS1. Redes1.1 maneja cableado estructurado1.2 maneja una politica direccionamiento ip1.3 maneja una buena seguridad fisica para los dispositivos de red1.4 maneja una buena estandarizacion en cuanto a cableado1.5 Tiene implementado algun firewall (hardware o software)1.6 Realiza algun monitoreo constante sobre consumo de ancho de banda1.7 Maneja algunas restricciones de filtrado de contenido2. Bases de datos2.1 maneja una geston correcta de la informacion2.2 maneja un cronograma de copias de seguridad2.3 maneja una buena seguridad para guardar las copias de seguridad3. Sistemas operativos3.1 maneja las licencias correctas en cuanto a S.O y aplicativos3.2 Tiene un control sobre las fechas de vencimiento de sus licencias3.3 Realice cambios periodicos de contraseña en el sistema operativo3.3 Maneja un control de versiones existentes en las aplicaciones4. Documentación

4.2 se tiene conocimiento sobre los manuales necesarios para los procesos4.3 Existe un plan de accion ante una falla5. Hardware y equipos5.1 manejan inventarios de las partes fisicas que componen el servidor

5.3 Tiene energia regulada

4.1 maneja un apropiado instructivo para los procesos hechos dentro de la empresa

5.2 manejan mantenimientos preventivos y correctivos para cada uno de los servidores

Posteriormente, se diseñaron las cedulas de trabajo, documentos en los cuales se plasmarían todos los hallazgos y evidencias encontradas en cada uno de los servidores, es decir, Cada servidor tendrá su cedula de trabajo, donde se relacionara los fallos de seguridad encontrados, las evidencias y obviamente las sugerencias.

El formato diseñado fue el siguiente.

TABLA 3. Formato Cedulas

Fuente: Elaboración propia del autor.

29

CEDULA:

EMPRESA: Media Commerce Telecomunicaciones

FECHA DE LA VISITA:

TIPO DE VISITA:PREVENTIVO:DETECTIVO: x

CORRECTIVO:

OBJETIVO: Buscar posibles fallos de seguridad que comprometan la seguridad del sistema

REALIZADO POR:

CLASIFICACION DEL RIESGOHALLAZGOS RIESGOS BAJO MEDIO ALTO SUGERENCIAS ANEXOS

DESARROLLO DE PENTESTING Y OBTENCIÓN DE INFORMACIÓN TÉCNICA IMPORTANTE

Después de diseñar los formatos, se procede a iniciar la parte técnica de la auditoria, en esta parte lo que se busca es buscar, recolectar, estudiar, e identificar cualquier evento, mala configuración o software desactualizado, que ponga en peligro la seguridad de cada servidor.

Para cumplir este objetivo, se hizo necesario usar 3 herramientas de código abierto, cada una de ellas tiene su propia función, pero juntas son muy útiles para realizar el proceso de auditoría de seguridad informática. Estas herramientas Fueron:

Nmap ("Network Mapper")

Es una utilidad libre y de código abierto, para la exploración o la auditoría de seguridad de red. También resulta útil para tareas como el inventario de la red,

Nmap utiliza paquetes IP crudos en nuevas formas para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y

Versión), ofrece el host, qué sistemas operativos (y el sistema operativo versiones) se están ejecutando, qué tipo de filtros de paquetes o cortafuegos se están en uso, y docenas de otras características.

Fue diseñada para explorar rápidamente grandes redes, pero funciona muy bien contra equipos individuales. Nmap se ejecuta en los principales sistemas operativos como Linux, Windows y Mac OS X. Además de la clásica consola, la suite de Nmap incluye una avanzada interfaz gráfica de usuario y resultados espectador (Zenmap), una transferencia de datos flexibles, cambio de dirección, y herramienta de depuración (NCAT), una utilidad para comparar los resultados del análisis (Ndiff), un generador de paquetes y una herramienta de análisis de la respuesta (Nping).2

Nmap se ejecuto con los siguientes parámetros:

“nmap -T -A -sV -n -O -v direccion_ip_servidor”

2 http://nmap.org/

30

Como resultado, Nmap arrojaría cada uno de los puertos que están abiertos, los servicios que están corriendo, versión del aplicativo y sistema operativo del servidor.

Es fundamental identificar la versión de cada aplicativo (tomcat, apache, mysql, etc.,) por que la mayoría de los fallos de seguridad son causados por estos, y el mayor error que cometen muchos administradores de red, es no actualizar sus aplicativos cuando el desarrollador o grupo de desarrolladores liberan una nueva versión del aplicativo. Es muy común encontrarse servidores con servicios desactualizados, dejando al descubierto graves vulnerabilidades que de forma muy sencilla cualquier persona podía explotar comprometiendo así la información e incluso el control del equipo.

OpenVAS

El Abierto de evaluación de la vulnerabilidad del sistema (OpenVAS) es un marco de diversos servicios y herramientas que ofrece una potente solución de escaneado y gestión de vulnerabilidades.El escáner de seguridad real se acompaña con una alimentación diaria actualizada de la Red de Pruebas de Vulnerabilidad (NVTs), más de 20.000 en total (a partir de enero de 2011).

Todos los productos OpenVAS son Software Libre. La mayoría de los componentes se encuentra bajo la licencia GNU General Public License (GPL).3

ILUSTRACION 4. Arquitectura Openvashttp://www.openvas.org

3 http://www.openvas.org/

31

OpenVAS, es un potente escáner de vulnerabilidades, que nos permite auditar de una forma fácil y sencilla un servidor a nivel de servicios y sistema operativo, por medio de esta herramienta podemos identificar un gran número de vulnerabilidades conocidas en la red. Anteriormente era conocido como NESSUS, sin embargo NESSUS dejo de ser de código abierto y allí nació OpenVAS un fork de Nessus el cual es de pago.

Ilustracion 5. Screenshot Openvas,

http://www.openvas.org

Nikto

Nikto es un escáner para servidores web de código abierto (GPL) que lleva a cabo pruebas exhaustivas a los servidores web en varios aspectos, incluye más de 6400 archivos potencialmente peligrosos / (CGI), controles de versiones no actualizados, y los problemas de la versión específica de más de 270 servidores.

32

Asimismo, los controles de los elementos de configuración del servidor, tales como la presencia de múltiples archivos de índice, las opciones de servidor HTTP.4

Adicionalmente, al darse cuenta que todos los servidores tienen un servidor WEB instalado, se vio la necesidad de realizar un análisis un poco más profundo al ambiente web, debido a que en muchas ocasiones en la parte web se encuentran errores graves de configuración. Por esta razón, se hizo necesario usar nikto, una excelente herramienta para identificar fallos en los servidores WEB.

Después de conocer las herramientas usadas, es necesario conocer también algunos servicios en la red, los cuales son fundamentales a la hora de hacer una auditoria de seguridad informática:

Security Focus: Desde su creación en 1999, SecurityFocus ha sido un pilar en la comunidad de seguridad. Del contenido de las noticias originales de documentos técnicos detallados y columnistas invitados, hemos luchado por ser la fuente de la comunidad para todo lo relacionado con la seguridad. SecurityFocus se formó con la idea de que la comunidad necesitaba un lugar para reunirse y compartir su sabiduría colectiva y el conocimiento. En SecurityFocus, la comunidad ha sido siempre nuestro principal objetivo. El sitio web de SecurityFocus ahora se centra en unas pocas áreas clave que son de mayor importancia para la comunidad de seguridad.5

URL: http://www.securityfocus.com

Exploit-db: un archivo definitivo de exploits y software vulnerable. Un gran recurso para los pentester, los investigadores de la vulnerabilidad, y los adictos a la seguridad por igual. Nuestro objetivo es recoger exploits que envían o se publican en las listas de correo, y concentrarlos en un solo lugar, de fácil navegación.6

URL: http://www.exploit-db.com/

Ahora bien, también hay bibliografía importante a la que es necesario acceder para guiarse en todo el proceso de auditoría, quizás la más utilizada para este proyecto fue:

Hacking Ético (Carlos Tori): Técnicas de intrusión de sistemas, metodologías sobre chequeos de seguridad. La temática está basada en la

4 http://cirt.net/nikto2 5 http://www.securityfocus.com 6 http://www.exploit-db.com/

33

descripción detallada de las técnicas básicas y usuales de ethical hacking más precisamente de un Network Security Assesment externo.

Teniendo claro cuáles fueron las herramientas usadas para obtener toda la información, a continuación se indica cual fue el procedimiento realizado para analizar y buscar vulnerabilidades en cada uno de los servidores auditados:

1. Se diligencio la cedula, con los datos necesarios como: numero de cedula, empresa, fecha de la visita, encargado, tipo de visita, objetivos etc.

2. El siguiente paso, es enumerar cada uno de los servicios (con sus respectivas versiones), para esto se usa nmap con los parámetros mencionados anteriormente.

Ilustracion 6. Nmap

Fuente: Elaboración propia del autor

3. Después que tenemos listados cada uno de los servicios y sus versiones, se procede a ejecutar Openvas, el cual nos arroja un informe con todos los fallos de seguridad encontrados, su impacto, y su respectiva solución.

4. Por último, se ejecuta Nikto con el fin de encontrar posibles fallas en los servidores web, o archivos ocultos los cuales puedan ser vistos por cualquier usuario.

34

Ilustracion 7. Nikto

Fuente: Elaboración propia del autor.

Por último toda esta información recolectada, se organiza en cada una de las cedulas, para ser publicada con la persona encargada.

35

CONCLUSIONES

Después de recolectar la información y realizar el análisis respectivo de cada uno de los hallazgos, se puede argumentar lo siguiente:

En total fueron alrededor de 49 fallos de seguridad en todo el trabajo de auditoría, dichos fallos se clasificaron entre riesgo alto, riesgo medio, y riesgo bajo:

Riesgo Bajo: En esta categoría están ubicadas todas aquellas vulnerabilidades las cuales si bien no ponen en peligro el sistema de información, pueden dar pistas a una atacante, es decir, este tipo de vulnerabilidades, permiten que una persona no autorizada, empiece a recolectar información, que le será muy útil, para realizar un vector de ataque.

Riesgo Medio: En esta categoría están ubicadas todas aquellas vulnerabilidades las cuales no comprometen un sistema por sí mismas, ya que para ello se requiere las concurrencias de otras vulnerabilidades, (de riesgo bajo y alto).

Riesgo Alto: En esta categoría están ubicadas todas aquellas vulnerabilidades las cuales se consideran críticas, es decir, aquellos fallos de seguridad que permitan a un atacante tomar control total del sistema, robar o manipular información confidencial de la compañía.

Tabla 8. Clasificación según el riesgo.

Clasificación Alto Medio Bajo

No. Vulnerabilidades 16 18 15Fuente propia.

36

El 32,65% de las vulnerabilidades encontradas fueron de carácter alto, es una cifra grave, debido a que esta es la probabilidad de que un atacante explote estos fallos y comprometa la seguridad de los datos.

El 36,73% de las vulnerabilidades encontradas fueron de carácter medio, dichas vulnerabilidades se deben corregir.

El 30,61 % de las vulnerabilidades encontradas fueron de carácter bajo.

Adicionalmente, se pueden calificar las vulnerabilidades de acuerdo a su motivo:

• Malas Configuraciones: En esta categoría se encuentran todas las vulnerabilidades que son causadas por malas configuraciones en cada uno de los servidores, por ejemplo políticas mal aplicadas que no están cumpliendo su objetivo.

• Falta de documentación: En esta categoría se ubican las vulnerabilidades que son causadas por que en el departamento de sistemas no hay documentación alguna, como manual de proceso y procedimientos, planes de contingencia, plan de copias de respaldo, entre otros.

• Software desactualizado: En esta categoría se ubican las vulnerabilidades que son causadas por el software desactualizado, estas son las más peligrosas debido a que la mayoría de los fallos, al ser explotados permiten

37

16

18

15

ALTOMEDIOBAJO

Ilustracion 9: Clasificación según el riesgo

a una persona no autorizada tomar el control de un servidor, robar información, o alterar información confidencial.

Tabla 10. Clasificación según el motivo.

Clasificación Mala configuración

Falta documentación Software desactualizado

No. Vulnerabilidades

15 2 32

Fuente propia.

Es demasiado preocupante, observar que el 65,30% del total de las vulnerabilidades encontradas en el proceso de auditoría, son causadas por software que no ha sido actualizado, cabe resaltar la importancia que tiene cada una de las nuevas versiones lanzadas por los diferentes desarrolladores las cuales reparan y corrigen demasiados errores.

Igualmente, hay que tener cuidado con algunas configuraciones encontradas en los diferentes servidores, es claro que el 30,61% de las vulnerabilidades son causadas por malas configuraciones implementadas en los equipos. Falta de reglas que filtren puertos, deshabilitar logueos anónimos y borrar configuraciones por defecto, son unas de las tantas vulnerabilidades encontradas de este tipo.

38

vulnerabilidades0

5

10

15

20

25

30

35

Mala ConfiguracionFalta documentacionSoftware desactualizado

Tabla 11: Clasificación según el motivo

Por otra parte, si bien son pocas las vulnerabilidades encontradas causadas por la falta de documentación 4,08% es necesario tener presente estas fallas con el fin de corregirlas lo antes posible.

Debido a que la información de las vulnerabilidades encontradas a lo largo del proceso de auditoría, es confidencial y no puede ser vista por individuos ajenos a la organización, a continuación se listaran las conclusiones más generales las cuales fueron punto en común en muchos servidores y que deben ser tenidas en cuenta para un posterior mejoramiento de los sistemas de información.

• Según el estudio realizado, no se tiene una documentación clara de cada servidor, donde se almacene todo su inventario y configuración.

• Actualmente la compañía no cuenta con un plan de contingencia, que sirva en caso de que haya algún fallo o catástrofe.

• La empresa debe implementar una política de copias de respaldo en todos los servidores. Que se realicen de forma periódica e incremental

• Se encontraron todas las versiones de los diferentes aplicativos, desactualizadas, esto es fundamental, porque la mayoría de las vulnerabilidades de riesgo alto encontradas en todo el proceso son a causa de aplicativos y servicios que no han sido actualizados durante un largo tiempo.

• Si bien, a lo largo del proceso se encontraron algunas políticas de seguridad, es necesario fortalecer la seguridad, implementando otras políticas en cada uno de los servidores, como por ejemplo:

• Deshabilitar ICMP• Protección SNMP • Filtrado de protocolos no necesarios• Deshabilitar ingreso con permisos de root• Cambio de contraseñas de forma periódica• Manejo y documentación de versiones de aplicativos instalados.• Mantenimiento preventivo de servidores.

39

RECOMENDACIONES

De acuerdo a todo el proceso, se recomienda lo siguiente:

Implementar un firewall principal, que proteja todos los servidores de ataques externos, gracias a una zona DMZ, los servidores y la red LAN siempre estarán protegidos de diversos ataques externos.

Actualizar cada uno de los servidores, desde su sistema operativo hasta cada uno de los aplicativos que este trae instalados.

En todos los servidores, deshabilitar características como:

Ingreso de root, desde Internet Deshabilitar ICMP Deshabilitar SNMP si no es necesario Filtrar puertos no necesarios.

Se recomienda, diseñar e implementar una política de cambios de contraseñas de forma periódica, debido al alto porcentaje de rotación que tiene la empresa.

Realizar una política de backups de forma periódica.

Desarrollar un plan de contingencia, con el fin de saber qué hacer en caso de algún desastre natural.

Con el fin de tener una fácil administración de todos los servidores públicos, se recomienda virtualizar algunos servicios, con el fin de ahorrar costos, aumentar la seguridad, escalabilidad y el rendimiento.

40

REFERENCIAS BIBLIOGRAFICAS

• Ingeniería de proyectos informáticos: actividades y procedimientos (Jose, Salvador, 2003, P101)

• Seguridad en la informática de empresa: riesgos, amenazas, prevención y soluciones (Jean Marc, Royer, 2004, P324)

• Auditoria en sistemas computacionales (Carlos, Muñoz Razo, 2002, P23)

• Apuntes de auditoría (Juan Carlos, Mirra Navarro, P240)

• Introducción a Las Ciencias de La Computación (Behrouz A. Forouzan, 2003, P100)

• Seguridad Informática (Purificacion, Aguilera, P23)

41

APÉNDICES

PLANTILLA DE REGISTRO DE INFORMACION.

NOMBRE S1 S2 S3 S4 S5 S6 S7 S8

FUNCION

SO

SERVICIO

APLICATIVOS

USUARIOS

BACKUPS

POLITICAS

CE

MONTURA

NICS

OBSERVACIONES

42