Proyecto Final de Seguridad

IntegrantesFranklin GmezJos Luis RojasMarcos Maita BaltazarTelmo CaluaWalter VelaMauricio Espino

Caso de estudio 4

Empresa

El Grupo RFS.

Descripcin de la empresa

El Grupo RFS, es una empresa multimillonaria que se especializa en la fabricacin de productos qumicos, tiene su sede central en Los ngeles. Las diferentes sucursales se conectan a la central a travs de lneas arrendadas. Para reducir los costos, la organizacin conecta las sucursales mediante una VPN. Mantiene el equipo necesario, tales como routers y firewalls.

Las sucursales se conectan a Internet mediante el uso de un proveedor de Internet.

El grupo RFS est creciendo rpidamente y est expandiendo su negocio. Por lo tanto, el grupo quiere hacer de su sede el punto de control para todas las oficinas regionales y fabricacin de redes unitarias.

Sistema Existente

El Grupo RFS no cuenta con una infraestructura planificada. Sin embargo, la organizacin tiene el siguiente sistema existente:

Todas las estaciones de trabajo tienen instalado Windows 2000 Professional. El servidor central de correo del Grupo RFS no est configurado. Las cuentas de usuario no se crean en cualquier ubicacin. Se ha detectado con cierta regularidad, la existencia de virus worms (gusanos) en algunos lugares de la organizacin. El Grupo RFS cuenta con diversas polticas en el lugar, que estn siendo seguidos por la mayora de los empleados.

Sistema Previsto

Se ha solicitado un equipo formado por ingenieros de redes, ingenieros de sistemas, ingenieros de seguridad, y consultores de seguridad fsica para llevar a cabo un estudio a profundidad del Grupo RFS y lograr las siguientes tareas:

La conectividad interna deber ser de un PSI diferente que el que proporciona la conectividad de red externa es decir, si la conectividad de Internet externa es proceder de Delphi, la conectividad interna entre todas las ubicaciones ser desde CompuServe. La red interna debe basarse en VPN. Crear el plan de recuperacin de desastres. Alojar la Website de la organizacin en un servidor web local, donde las rdenes puedan ser colocadas, es decir, lo que es un portal de comercio electrnico. Fortalecer los servidores de correo y el servidor Web.ANALISIS DE LA INFRAESTRUCTURA Seguridad Fsica. Monitoreo ambiental Control de acceso Desastres naturales Control de incendios Inundaciones Seguridad en las conexiones a Internet. Polticas en el Firewall VPN Deteccin de intrusos Seguridad en la infraestructura de comunicaciones. Routers Switches Firewall Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrnico Seguridad en las aplicaciones crticas. Se define las aplicaciones que son crticas para la organizacin y por cada una de ellas se obtendr una matriz de riesgo. Es importante considerar que las aplicaciones estn soportadas por: Sistemas operativos, hardware servidor, redes LAN y WAN, y el Centro de cmputo.

EVALUACION DE SEGURIDAD FISICA

El objetivo es prevenir accesos no autorizados, daos, robos a los activos del negocio y la organizacin.La evaluacin de riesgo permite identificar las reas ms crticas y definir los controles requeridos. Permetros de seguridad. Seguridad de equipos. (Medio ambiente). Escritorios limpios.

LANWEB - CORREO - VPN

SEGURIDAD FSICA CENTRO DE CMPUTO

IDENTIFICACION Y PRIORIDADES DE RIESGO EN APLICACIONES CRTICAS

WINDOWS 2000 PROFESSIONAL.

Un error de lmite dentro de LSASS (Local SecurityAuthority Subsystem Service) se puede explotar para causar un desbordamiento del buffer enviando solo un mensaje especialmente creado. El exploit permite la ejecucin de cdigo arbitrario con privilegios del SYSTEM. La vulnerabilidad se puede explotar segn se informa solamente en forma remota en los sistemas de Windows 2000 y de Windows XP.

Un error dentro de LSASS permite reboot por cdigo malicioso el sistema de dominio.

La vulnerabilidad afecta solamente alcontrolador de dominiode win2000

Un error de lmite dentrodelMicrosoft Secure Sockets Layer (SSL) el procesar paquetes del PCT (Private Communications Transport)) causando un desbordamiento de buffer. El exploit permite la ejecucin de cdigo con privilegios de SYSTEM.

Un error de lmite en el lproceso dela conexin de Windows (Winlogon) puede ser explotado por usuarios maliciosos con permisos suficientes para modificar objetos del dominio y causar un ataque DOS. La vulnerabilidad afecta Windows NT 4,0, Windows 2000, y los sistemas de Windows XP que son miembros de un dominio.

5) Un error de lmite dentro de la representacin de meta files puede ser explotada para causar un ataque DOS.

Un error de la validacin de la entrada dentro del "centro de la ayuda" al dirigir HCP URLs se puede explotar para ejecutar cdigo arbitrario en un sistema vulnerable va HCP especialmente diseado va URLs. El exploit requiere que se engae al usuario en la visita de un sitio web malicioso.

Un error dentro del Manager Utility se puede explotar por usuarios locales para ganar privilegios del SISTEMA. La vulnerabilidad afecta solamente sistemas Windows 2000.

Un error dentro de la Windows task puede en ciertas circunstancias permitir la creacin de tareas que sern ejecutadas y explotadas por usuarios locales para ganar privilegios del SISTEMA. La vulnerabilidad afecta solamente los sistemas de Windows XP.

Un error dentro de programming interface usado para crear entradas en la Local Descriptor Table (LDT) se puede explotar para tener acceso a memoria protegida. Esto puede permitir a usuarios malvolos locales para ganar privilegios extendidos en un sistema vulnerable.

Los errores de lmite dentro de H.323 protocol implementation se pueden explotar para causar un DOS. El exploit permite la ejecucin de cdigo arbitrario pero requiere comnmente que NetMeeting funcione. La vulnerabilidad puede afectar los usos y los servicios siguientes: TelephonyApplication ProgrammingInterface NetMeeting Cortafuego De la Conexin Del Internet (ICF) El Compartir la Conexin de Internet Servicio de la encaminamiento de Microsoft y del acceso alejado NetMeeting est instalado como parte de Windows 2000, de Windows XP, y del servidor 2003 de Windows. La vulnerabilidad no afecta Windows NT 4,0 a menos que la versin independiente de NetMeeting haya estado instalada.

Un error dentro del componente delsistema operativoque maneja el subsistema virtual de la mquina del DOS (VDM) se puede explotar para tener acceso a memoria protegida del ncleo. Esto puede permitir a usuarios maliciosos locales ganar privilegios extendidos.

Un error de lmite dentro de Negotiate SecuritySoftware Provider(SSP) se puede explotar para causar un DOS. El exploit da lugar a una negacin del servicio pero puede comnmente tambin permitir la ejecucin del cdigo arbitrario.

Un error dentro de Microsoft Secure Sockets Layer (SSL) al manejar mensajes del SSL se puede explotar para hacer un sistema vulnerable parar el aceptar de conexiones o del reinicio del SSL.

El error "double free" dentro de "ASN1BERDecZeroCharString()" en la biblioteca de la funcin de Microsoft ASN.1 ("msasn1.dll") se puede explotar para corromper memoria enviando un valor especialmente hecho a mano, codificado ASN.1. Elexploitsrealizado de forma adecuada da lugar a un DOS pero puede comnmente tambin permitir la ejecucin de cdigo arbitrario.

Incompatibilidad con Sistemas de ltima generacin.

SERVIDOR CENTRAL DE CORREO SIN CONFIGURAR.

Unservidor de correoes un equipo que enva, recibe y almacena correo electrnico para muchos usuarios. Prcticamente todos los proveedores deacceso a Internet(ISP) incluyen en su oferta bsica al menos unbuznen su servidor de correo. Cada uno de estos buzones del servidor tiene un nombre nico que normalmente se corresponde con elnombre de inicio de sesinque utiliza para conectarse a su ISP, aunque no siempre es as. Cada buzn se asocia tambin a unadireccin de correo electrniconica, que normalmente est formada por una combinacin del nombre deinicio de sesiny elnombre de dominiodel ISP con esta forma: nombre-inicio-sesin@example.com. Para tener acceso a un servidor, debe utilizar un programa denominadocliente de correocolector de correo, como Outlook Express.

Cuando un cliente se conecta a un servidor, ambos equipos deben hablar el mismo idioma (denominadoprotocolo). En el caso de los servidores de correo, se pueden utilizar cuatro protocolos. El que ms se utiliza esPOP3, que significa Protocolo deoficina de correosv.3. Casi siempre se usa junto conSMTP, o Protocolo simple de transferencia de correo. POP3 se utiliza pararecuperar el correodesde el servidor (entrante), mientras que SMTP se utiliza para enviar correo a travs del servidor (saliente).IMAP, o Protocolo de acceso a mensajes de Internet, es un protocolo ms reciente que no se usa con tanto como POP3.HTTP, o Protocolo de transferencia de hipertexto, es el protocolo que utilizan los servidores web, pero tambin se puede utilizar para tener acceso a correo en casos especiales como Hotmail. Outlook Express admite estos cuatro protocolos. Si bien los cuatro protocolos llevan a cabo operacionesrelacionadas con el correo, existen importantes diferencias en el modo en que funcionan enel servidor.

Worms.

Ungusano informtico(tambin llamadoIWormpor su apcope en ingls,Ide Internet,Wormde gusano) es unmalwareque tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las partes automticas de unsistema operativoque generalmente son invisibles al usuario. Los gusanos informticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo ms peligroso de los worms o gusanos informticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podra enviar cientos o miles de copias de s mismo, creando un efecto devastador a gran escala.

A diferencia de unvirus, un gusano no precisa alterar los archivos de programas, sino que reside en lamemoriay se duplica a s mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendoancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicacin, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Los gusanos se basan en unared de computadoraspara enviar copias de s mismos a otros nodos (es decir, a otrasterminalesen la red) y son capaces de llevar esto a cabo sin intervencin del usuario propagndose, utilizando Internet, basndose en diversos mtodos, como SMTP,IRC,P2Pentre otros.

Red de Windows y Linux

Directorios compartidos, puertos abiertos, cuentas no usadas. Revisin de actualizaciones aplicadas en los sistemas operativos. Deteccin de dispositivos USB

OBJETIVOS GENERALES Y ESPECFICOS

GENERALES:Garantizar la continuidad de las actividades de El Grupo RFS, ante eventos que podran alterar el normal funcionamiento de la Tecnologa de la Informacin y Comunicaciones, a fin de minimizar el riesgo no previsible, crticos o de emergencia, y responder de forma inmediata hacia la recuperacin de las actividades normales.ESPECFICOS: Contar con documentacin prctica y actualizada que garantice a El Grupo RFS la continuidad de las operaciones de los sistemas informticos sin sufrir paralizaciones o prdidas relevantes.

Identificar y analizar riesgos posibles que pueden afectar las operaciones y procesos informticos de la empresa.

Establecer las estrategias adecuadas para asegurar la continuidad de los servicios informticos en caso de interrupcin y que sta no exceda las 24 horas.

Contar con personal debidamente capacitada y organizada para afrontar adecuadamente las contingencias que puedan presentarse en las actividades de El Grupo RFS.

ALCANCE

La Implementacin del Plan de Contingencia informtico, incluye los elementos referidos a los sistemas de informacin, equipos, infraestructura, personal, servicios y otros, direccionado a minimizar eventuales riesgos ante situaciones adversas que atentan contra el normal funcionamiento de los servicios de la empresa.

MARCO TEORICO

El Plan de Contingencia informtico es un documento que rene conjunto de procedimientos alternativos para facilitar el normal funcionamiento de las Tecnologas de Informacin y de Comunicaciones de El Grupo RFS, cuando alguno de sus servicios se ha afectado negativamente por causa de algn incidente interno o externo a la organizacin.

ACCIONES A SER CONSIDERADAS:

Antes, como un plan de respaldo o de prevencin para mitigar los incidentes.

Durante, como un plan de emergencia y/o ejecucin en el momento de presentarse el incidente.

Despus, como un plan de recuperacin una vez superado el incidente para regresar al estado previo a la contingencia.

El Plan de Contingencia permite minimizar las consecuencias en caso de incidente con el fin de reanudar las operaciones en el menor tiempo posible en forma eficiente y oportuna.

El trmino incidente en este contexto ser entendido como la interrupcin de las condiciones normales de operacin en cualquier proceso informtico en la empresa.

PLAN DE PREVENCIN

Es el conjunto de acciones, decisiones y comprobaciones orientadas a prevenir la presencia de un evento con el propsito de disminuir y mitigar la probabilidad de ocurrencia del mismo en los factores identificados en el presente plan.

El plan de prevencin es la parte principal del Plan de Contingencia porque permite aminorar y atenuar la probabilidad de ocurrencia de un estado de contingencia.

PLAN DE EJECUCIN

Es el conjunto detallado de acciones a realizar en el momento que se presenta el incidente de contingencia y que activa un mecanismo alterno que permitir reemplazar a la actividad normal cuando este no se encuentra disponible.

Las acciones descritas dentro del plan de ejecucin deben ser completamente claras y definidas de forma tal que sean de conocimiento y entendimiento inequvoco del personal involucrado en atender la contingencia.

PLAN DE RECUPERACIN

Es el conjunto de acciones que tienen por objetivo restablecer oportunamente la capacidad de las operaciones, procesos y recursos del servicio que fueron afectados por un evento de contingencia.

Todo Plan de Contingencia informtico debe tener un carcter recursivo que permita retroalimentar y mejorar continuamente los planes en cada una de las etapas descritas, logrando as tener un documento dinmico.

PLAN DE PRUEBAS

El Plan de Pruebas, ser presentado a la Direccin Ejecutiva del Grupo para su aprobacin previa a su implementacin. El resultado de las pruebas efectuadas ser presentado igualmente para su conformidad.

Las pruebas relacionadas a este plan, se ejecutara semestralmente, mes de Junio y Diciembre con el fin de evaluar la preparacin de la organizacin ante la ocurrencia de un siniestro y realizar los ajustes necesarios.

METODOLOGA

La presente metodologa es el resultado de la experiencia prctica de la empresa en la implementacin de planes de contingencia, mitigacin de riesgos y seguridad, tambin en base a experiencias en otras instituciones, lo cual garantiza que el documento final sea necesariamente objetivo y prctico, a fin de contar con una herramienta efectiva en caso de una contingencia real.

Para elaborar el Plan de Contingencia se seguir una metodologa que tiene las siguientes fases: Fase 1:Organizacin Fase 2:Identificacin y priorizacin de riesgos Fase 3:Definicin de eventos susceptibles de contingencia Fase 4:Elaboracin del Plan de Contingencia Fase 5:Definicin y Ejecucin del Plan de Pruebas Fase 6:Implementacin del Plan de Contingencia

FASES DE LA METODOLOGA PROPUESTA:

Organizacin del Plan de Contingencia

Uno de los aspectos que evidencia un carcter formal y serio en toda organizacin es que sta se encuentre siempre preparada para afrontar cualquier evento de contingencia o dificultades en general y que le permitan poder superarlos por lo menos de manera transitoria mientras dure dicho evento.

Es necesario entonces que la definicin de un Plan de Contingencia informtico deba hacerse de manera formal y responsable de tal forma que involucre en mayor o menor medida a toda la organizacin en el Plan de Prevencin, Ejecucin y Recuperacin, pero definiendo un grupo responsable para su elaboracin, validacin y mantenimiento

Nombre de la Unidad:Unidad de Informtica

Direccin:Calle Los Renegados 666 - Independencia

Ciudad:Lima

Nmero de Telfono:723-3333 Anexo 7000

Unidad Programtica:

Lder del GrupoNombre Contacto Primariode EmergenciaFranklin Gmez Arguiejo

Nmero de Telfono974878889

Numero Alternativo985637282

Correo Electrnicofgomez@gruporfs.com

Unidad Programtica

Suplente de Lder del GrupoNombre Contacto Primariode EmergenciaTelmo Calua

Nmero de Telfono987568765

Numero Alternativo975678432

Correo Electrnicotcalua@gruporfs.com

Unidad Programtica

Inventaro de Hardware y SoftwareNombre del EquipoS.OProcesadoresMemoriaHDDBack-upDBRedSistema de InformacinNmero de Placas CCSSNivel de Criticidad (A,M,B)

ZeusWindows 2000 Server22250gbNingunoSQL Server2000HubSistema PlanillaAlto

NeronWindows 2000 Server22250GbNingunoSQL Server2000HubSistema ContableAlto

AresWindows 2000 Server22250GbNingunoSQL Server2000HubSistema de TesoreraAlto

Captura de la Informacin de Riesgos y Desarrollo de Estrategias de Riesgos

Ttulo del RiesgoDescripcin del RiesgoDescripcin del ImpactoNivel de ImpactoNivel de ProbabilidadNivel de RiesgoEstrategia de MitigacinAcciones a SeguirResponsableEstado

1Sistemas Operativos DesactualizadosEl uso de un sistema operativo desactualizado y que no cuente con mantenimiento preventivo genera vulnerabilidad en la red.Al no tener actualizado en versin y updates, en caso de un ataque todo el sistema se caera7535Cambiar a un sistema operativo ms actualizadoElaborar un Informe Tcnico y Requerimiento a la Administracin y Logstica para su adquisicinAbastecimiento, Gerencia General, Presupuesto, SistemasEn Proceso

2Correo DesconfiguradoEl uso de un correo corporativo que no est bien configurado y que tenga salida al exterior genera vulnerabilidad en mi redAl no tener bien configurado los protocolos y puertos cualquier usuario con poca experiencia podra penetrar mi server y entrar a la Red5735Contactar un servicio temporal para solucionar la configuracinContratar un personal calificado para la configuracin del servidor de correoPersonal, SistemasEn Proceso

3Mal uso de cuentasEl uso de un repositorio inadecuado para crear cuentas de usuario hace poco eficiente la creacin, y la autenticacin de estas.El tener cuentas de usuario en carpetas que no tengan la seguridad adecuada permitira la vulneracin de la informacin5315Contactar un servicio temporal para solucionar la configuracinContratar un personal calificado para la configuracin del servidorPersonal, SistemasEn Proceso

4Problemas de GusanosLa existencia de gusanos en algunos equipos puede generar una lentitud en el sistema y provocar perdida de informacinEl tener gusanos en la red hara que esta se ralentice y vulnere la seguridad de toda la red31030Adquirir un software antivirus con licencia corporativa empresarialSolicitar cotizaciones de proveedores y elaborar un presupuestoAbastecimiento, Gerencia General, SistemasEn Proceso

5Polticas de SeguridadEl que los usuarios conozcan las polticas de seguridad genera huecos en la seguridadUsuarios no experimentados podran manipular fcilmente los accesos al sistema.133Establecer polticas de seguridad cerradas a nivel de gruposContratar un personal calificado para la configuracin del servidor de correoPersonal, SistemasEn Proceso

6Seguridad PerimetralNo Cuenta con Firewall zonas adecuadas de distribucinSer vulnerables a ataques del exterior7535Configurar para denegar por defecto todo trfico entrante y saliente, para protegerse contra trfico malicioso o no autorizado.Elaborar un Informe Tcnico y Requerimiento a la Administracin y Logstica para su adquisicinAbastecimiento, Gerencia General, Presupuesto, SistemasEn Proceso

7Paginas FiltradasLa navegacin por internet es libreMal uso del servicio de internet5525Proxy y firewall bien configurados, listas blancas de tipos de archivos autorizados y categorizacin de contenidos.Elaborar un Informe Tcnico y Requerimiento a la Administracin y Logstica para su adquisicinAbastecimiento, Gerencia General, Presupuesto, SistemasEn Proceso

Tiempos mximos de interrupcinrea, U.P.Funciones afectadasSistemas Informacin de ApoyoFactor RiesgoTMITRTMIRCriticidad

RRHHCierre PlanillasningunoRegulatorioOperativoLegal180MinMedio

ContabilidadCierre ContablesningunoRegulatorioOperativoLegal180MinAlto

TesoreraPagos GeneralningunoRegulatorioOperativoLegal180MinMedio

Esquema equiposJefe de TIC

Soporte de Recuperacin de SoftwareIngeniera de Seguridad

Soporte de Recuperacin de Redes y Comunicacin

Soporte de Recuperacin de Hardware

Composicin de EquiposEquipo U.P. (*)Nombre del EmpleadoRolTelefonoCelularDireccion

Juan PerezSoporte de Hardware99999999999999999lima

Benito CameloSoporte de Aplicaciones 99999999999999999

Omar IcnSoporte de Sistemas99999999999999999

Jos de la PollaSoporte en Redes y Comunicaciones99999999999999999

Informacin Contactos externos

U.P.

CompaaLALITO PC SAC

ServiciosRECUPERACION DE DATOS, INTALACION DE REDES, VPN, CORREO , WEB

Telfono Compaa978858940

Fax Compaa723-3333

Direccin CompaaLIMA

E-mail CompaaSOPORTE@ADMIN.COM

ContactosE-mailTelfonoCelularBeeper

JHONIE WALKERJWALKER@ADMIN.COM985367281985367281