alumno: orozco martínez rodrigo

Universidad Autónoma Metropolitana Unidad Iztapalapa

1

Alumno:

Orozco Martínez Rodrigo.


2

Índice Introducción.

• El origen del problema 7 • La necesidad de la seguridad lógica 7

Situación actual de las empresas 8 • Noticias actuales del sector 9 • Antecedentes 9

Capítulos. Capitulo I.- Fallas de protocolo TCP y su comparación con el modelo OSI.

• Amenazas típicas y tipos de ataques básicos en Internet 11 • Amenaza del tipo "rechazo de servicio” 19 • Amenazas típicas del tipo "Cambio e imposición del enrutamiento" y ataques del tipo

"objeto falso” 20 • Programas de generación indefinida 34

• ¿Qué es un Virus? 34 • Ciclo de vida de un virus 34 • Caballo de Troya, Troyanos, Gusanos 35 • Variedad de virus 36 • Variedad de gusanos 36

Capitulo II.- Análisis de normas de seguridad.

• Qué es y cómo funciona BS 7799 39 • Necesidad actual de los SGSI 40 • Estructuración de la seguridad a través de la ISO17799 41 • Objetivos 41

o Objetivos generales 41 o Objetivos específicos 42

• Encuesta realizada 44 • Resultados generales 45

o Certificaciones, auditorias y LOPD 45 o Resultados por tamaño de la organización 46 o Elementos y soluciones tecnológicas de seguridad 46 o Resultados por tamaño de la organización 47 o Resultados referidos a la norma 48 o Resumen general de la implantación 49 o Resultados en función del tamaño de la Organización 49 o Resumen general de los principales obstáculos de la Implantación 50 o Resultado en función del tamaño de la Organización 51 o Resultados por secciones 51 o Resumen por secciones 51 o Resumen de los principales obstáculos por secciones 52


3

o Validación de Resultados 53 o Listado de resultados del estudio 55

� Políticas de Seguridad de la Información 55 o Estructura organizativa para la Seguridad 55

� Infraestructura de la Seguridad de la Información 55 � Seguridad en los accesos de terceras partes 56 � Subcontratación 56

o Control y clasificación de Activos 56 � Responsabilidad sobre los activos 56 � Clasificación de la Información 57

o Seguridad relacionada con el personal 57 � Seguridad en la definición de trabajos y asignación de recursos 57 � Formación de los usuarios sobre seguridad 58 � Respuesta ante incidentes 58

o Seguridad física y de entorno 59 � Área de seguridad 59 � Seguridad de los equipos 59 � Controles generales 60

o Gestión de comunicaciones y operaciones 60 � Procedimientos operacionales y responsabilidades 60 � Planificación y aceptación de sistemas 61 � Protección contra software dañino 61 � Administración de sistemas y equipamiento 62 � Gestión de red 62 � Seguridad y gestión de soporte 62 � Intercambio de información y software 63

o Control de acceso 63 � Requisito de negocio para el control de acceso 63 � Gestión de acceso de los usuarios 64 � Control de acceso a la red 64 � Control de acceso al sistema operativo 65 � Control de acceso a las aplicaciones 65 � Monitorización del uso y accesos al sistema 65 � Portátiles y tele trabajo 66

o Desarrollo y mantenimiento del sistema 66 � Requisitos de seguridad de los sistemas 66 � Seguridad en los sistemas de aplicaciones 67 � Control de cifrado 67 � Seguridad de los archivos de sistema 68 � Seguridad en los procesos de desarrollo y soporte 68

o Gestión de la continuidad de negocio 69 � Aspecto de la gestión de la continuidad de negocio 69

o Conformidad legal 69 � Conformidad con requerimientos legales 69 � Revisión de la política de seguridad y conformidad técnica 70


4

III.- Proceso de una auditoria de Seguridad Informática.

• Análisis de Vulnerabilidad 71 o Herramientas de seguridad 72 o Conectividad 72 o Bitácoras 72 o Usos Varios (SNMP) 72 o Analizador de protocolos (Sniffer) 72 o Escaneo de puertos en Windows 73 o Escaneo de puertos en UNIX 73 o Herramientas UNIX 73 o Herramientas Windows 74 o Gestión 74 o Antivirus 74 o Encriptación 74 o Servicios de Internet 74

• Auditoria 76 o Reporte Ejecutivo 76 o Análisis Superior de Vulnerabilidad y Administración de Mejoras 76 o Total de Vulnerabilidades por Nivel de Riesgo 76 o Total de Vulnerabilidades por Cuenta Auditada 76 o Total de Vulnerabilidades por Antivirus Auditado 76 o Total de Vulnerabilidades de CGI Scripts Auditado 76 o Total de Vulnerabilidades por CHAM Auditado 77 o Total de Vulnerabilidades de Base de Datos Auditada 77 o Total de Vulnerabilidades de DNS Auditado 77 o Total de Vulnerabilidades de DoS Auditados 77 o Total de Vulnerabilidades de Servidores de FTP Auditados 77 o Total de Vulnerabilidades de Servidores de Correo Auditados 77 o Total de Vulnerabilidades de Misceláneos Auditados 77 o Total de Vulnerabilidades de NetBIOS Auditado 77 o Total de Vulnerabilidades de Registros Auditados 77 o Total de Vulnerabilidades de Acceso Remoto Auditado 77 o Total de Vulnerabilidades por Nivel de Riesgo 78 o Total de Vulnerabilidades de Servicios de RPC Auditado 78 o Total de Vulnerabilidades de Control de Servicio Auditado 78 o Total de Vulnerabilidades de Servidores de SNMP Auditados 78 o Total de Vulnerabilidades de Servidores SSH Auditados 78 o Total de Vulnerabilidades de Servidores WEB Auditados 78 o Total de Vulnerabilidades Wireless 78

• Recomendaciones 79 o Por donde empezar 79 o Análisis de riesgos 79 o Implantación de las recomendaciones mas importantes de la norma ISO

17799 79 o Servicio TCP/IP de red, subsistemas de control de acceso y redes privadas

virtuales (seguridad IP) 80


5

o Cuaderno de propiedades de subsistemas y servicios TCP/IP 80 o Cuaderno de propiedades de control de acceso TCP/IP 80 o Iniciar (o renovar) un sistema TCP/IP 81 o Establecer opciones de inicio/detención para un subsistema 81 o Establecer características de reinicio para inetd 82 o Configurar subservidores de reinicio para syslogd 82 o Establecer características de reinicio para subsistemas routed 83 o Establecer características de reinicio para un subsistema gated 83 o Establecer características de reinicio para un subsistema named 83 o Establecer características de reinicio para un subsistema timed 83 o Establecer características de reinicio para un subsistema autoconf6 84 o Tareas para redes privadas virtuales (Seguridad de IP) 84 o Crear un nuevo túnel de gestión de claves 84 o Crear un nuevo túnel de gestión de datos 85 o Creación de un nuevo túnel manual 85 o Importar túneles de seguridad IP 85 o Exportar túneles de seguridad IP 86 o Visualizar o cambiar las propiedades de un túnel 86 o Activar túnel 86 o Desactivar túnel 87 o Copiar túnel 87 o Suprimir túnel 87 o Crear una nueva política de gestión de claves 87 o Crear una nueva política de gestión de datos 88 o Suprimir una política 88 o Iniciar rastreo de seguridad IP 88 o Detener rastreo de seguridad IP 88 o Creación de una nueva regla de filtro estático 89 o Importar reglas de filtro de seguridad IP 89 o Exportar reglas de filtro de seguridad IP 89 o Activar reglas de filtro de seguridad IP 89 o Desactivar reglas de filtro de seguridad IP 90

Conclusiones 91

• Beneficios que aporta un Sistema de Gestión de la Seguridad 92 Glosario 96 Bibliografía.

• Libros 99 • Referencias de Internet 100


6

Introducción Hoy en día casi todas las empresas dependen absolutamente de su sistema informático, si éste se para, se para el negocio, además, la competencia no podría recibir mejor regalo que cierta información confidencial de la empresa como su business plan, la base de datos de clientes, etc. El que una empresa no pueda continuar su actividad normal por un incidente, para el cual se debían haber tomado medidas preventivas evidentes, es un problema muy serio que la ley contempla, no sólo porque se hagan mal las cosas, sino también por no hacerlas. Desde esta perspectiva la seguridad de los sistemas de la información es una necesidad ineludible para las empresas.


7

El origen del problema. Es evidente que el uso de las tecnologías de la información y las comunicaciones ha dado un vuelco a la forma de hacer negocios que sin duda es beneficiosa tanto para los usuarios particulares como para las empresas. En la actualidad a las empresas ya no les queda otra opción que abrir sus sistemas informáticos al resto del mundo. ¿Qué empresa puede prescindir hoy en día del correo electrónico como herramienta habitual de comunicación con sus proveedores, distribuidores y entre sus propios empleados? ¿Qué empresa renunciaría actualmente a la facilidad y rapidez de acceso a los web sites de posibles nuevos proveedores para conocer los productos y servicios que ofrecen y, así, mejorar notablemente su capacidad negociadora de compra? Ya son muchas las empresas que a través de Internet ofrecen información personalizada a sus clientes e incluso la posibilidad de realizar algunas transacciones comerciales. Hoy en día el negocio de bastantes compañías depende del funcionamiento de sus sistemas de información, hasta el punto que si estos sistemas se detienen, se detiene el negocio. Así pues, al mismo tiempo que el dilema “abrir o no abrir“ los sistemas informáticos al resto del mundo se ha decantado decididamente hacia la primera opción, se ha planteado la cuestión ¿cómo hacerlo con seguridad y confianza?. Esta forma nueva de trabajar y hacer negocios introduce una serie de riesgos que hay que cubrir con medidas de seguridad, pero no es sencillo determinar qué medidas adoptar. Según con quién se hable, es imprescindible adoptar tales o cuales medidas o comprar tal o cual producto. Para afrontar una aplicación racional de estas medidas de seguridad hay que hacer un análisis la situación real de la compañía, no sólo los aspectos relacionados con un área del negocio o con un producto determinado sino del impacto global de la seguridad dentro de la empresa y de su alcance. La necesidad de la seguridad lógica. Para las organizaciones que necesitan explotar sus sistemas de información la seguridad lógica es una necesidad (obviamente ya resuelta la parte física de sus sistemas de información) Lo primero que hay que tener en cuenta es que existe una legislación sobre seguridad que hay que contemplar dentro de los planes estratégicos de la compañía. Por otra parte hoy en día las empresas no pueden permitir que su sistema de la información se vea afectado por interrupciones o degradaciones de sus servicios informáticos ni por robos de información propia o de terceros.


8

Todos estos incidentes redundan en una pérdida de horas de trabajo, credibilidad y de imagen de la compañía provocada por los incidentes de seguridad, que no es sostenible. Actualmente es imprescindible generar confianza hacia la sociedad de la información. Pero no sólo se trata de generar confianza, los recursos de los sistemas de la información deben estar bien aprovechados. Por ejemplo, las organizaciones nunca tienen ancho de banda suficiente en Internet, sea cual sea la capacidad que contrate, y el problema no es la velocidad de la línea, sino el trafico, que no tiene nada que ver con el trabajo, y que los usuarios introducen. En ese sentido el incorporar la seguridad de una forma global a la operatividad informática de la empresa, asegura de forma activa que los usuarios, tanto internos como externos, utilizan los sistemas de la empresa de una forma adecuada. Situación actual de las empresas. Constantemente se están publicados estudios y noticias bastante representativos de la situación actual de las compañías en referencia a la seguridad lógica. Una encuesta de seguridad realizada por Ernst & Young en 2001 llegaba a las siguientes conclusiones:

• El 75% de las empresas tienen planes de continuidad, pero sólo un 33% de ellas los han puesto a prueba

• El miedo a la inseguridad es el mayor inhibidor a la expansión del comercio

electrónico Sólo un 33% de las compañías están seguras de detectar un ataque de hackers El 75% de las empresas entrevistadas tuvieron fallos en sistemas decisivos para el negocio en el último año.

• Más de la mitad de los encuestados no dispone de una estrategia clara en comercio

electrónico y no obstante acometen significativas actividades en e-business Los directivos de las compañías opinan que los retos para lograr los niveles de seguridad requeridos son...

o Concienciar a los empleados (56%) o Herramientas o soluciones de seguridad (44%) o Disponer de personal cualificado (40%) o Presupuesto (37%) o Apoyo de la dirección (26%)

En este sentido está claro que es imprescindible contar con un paquete de productos que permitan establecer los niveles de seguridad requeridos, pero sin unas medidas de gestión y administrativas adecuadas, no existe ningún producto o herramienta de seguridad que pueda dar un mínimo de seguridad.


9

Noticias actuales del sector. Todos los días aparecen en los medios especializados noticias relacionadas con la seguridad de los sistemas de la información, hemos querido recoger aquí algunas que pueden dar una idea de la situación actual. Los incidentes de seguridad se duplican cada año con respecto al anterior. Diariamente se descubren entre 2 y 5 nuevas vulnerabilidades. Los incidentes por virus provocaron pérdidas por 14,500 millones de Euros en 2001. El 70% de las empresas medianas, el 84% de las grandes y el 89% de las muy grandes, han tenido pérdidas significativas por incidentes de seguridad en el año 2002. El gasto europeo en seguridad pasará de 2,000 millones de Euros en el año 2000, hasta alcanzar los 6,900 millones de Euros en 2005. El 54% de las empresas han incrementado su presupuesto para seguridad con respecto al año 2001, con un crecimiento medio del 25% Entre los años 2000 y 2001 la Agencia de Protección de Datos abrió expedientes sancionadores por 20 millones de Euros. En el año 2001 la Agencia de Protección de Datos realizo 400 inspecciones. El 25% de las agencias del gobierno norteamericano son vulnerables a un ataque. Un 70% de 250 grandes empresas Europeas no sabe cuándo ni con qué frecuencia revisa su política de seguridad. El estudio realizado sobre 3,000 empresas de ámbito mundial, señala que los fallos de seguridad cuestan a las compañías entre el 5,7 y el 7 por ciento de sus ingresos anuales. Este concepto supuso unas pérdidas de 17,200 millones de dólares en empresas a nivel mundial. Habiéndose multiplicado el número de ataques en la Red por 2,400 en los últimos seis años produciendo unas perdidas valoradas en unos 250,000 millones de dólares, no se entiendo que el presupuesto típico que una empresa de Internet destina a la seguridad sea menos del 5%. Antecedentes. La información es un activo que, como otros importantes para el negocio, tiene valor para una organización y consecuentemente necesita ser debidamente protegido. La confidencialidad, integridad y disponibilidad de la información son esenciales para mantener un perfil competitivo, liquidez económica, rentabilidad, conformidad legal y una imagen comercial. Cada vez más las organizaciones, sus sistemas informáticos y redes se enfrentan con amenazas relacionadas con la seguridad que provienen de fuentes muy diversas. En una primera aproximación, es fácil detectar amenazas como fuego, inundaciones, robo, espionaje, sabotaje o alteración de datos y, cómo no, desastres causados por virus, otro software malicioso o piratas informáticos.


10

Los riesgos que corren las empresas al vulnerarse la seguridad de su información no son nuevos, fugas de información a la competencia, alteración de datos con fines fraudulentos, destrucción de datos que ponen en serio peligro la continuidad del negocio, etc. La situación se agrava por el hecho de que la implantación de sistemas informáticos y los nuevos medios de transmisión y tratamiento de la información han potenciado y facilitado las posibilidades de manipular, capturar o destruir los datos de las empresas. También es un fenómeno importante para las empresas y el sistema productivo. La transición hacia la nueva economía, constituye factor clave para mantener la competitividad y configura la base para el crecimiento económico, para mejoras en la productividad y la creación de riqueza y empleo en los próximos años. La constante evolución tecnológica que caracteriza al sector de las telecomunicaciones y las tecnologías de la información, así como la permanente aparición de nuevos servicios, hace necesario una constante adecuación de las empresas para la continuidad del negocio. La adquisición de nuevos conocimientos para la implantación del estándar internacional de Seguridad de la Información en todos los ámbitos de actividad de los servicios de la Sociedad de la Información en empresas permitirá, entre otras ventajas,

• Mantener relaciones de negocio tanto interiores como exteriores, sin limitaciones por falta de seguridad o certificación de los Sistemas de Gestión de la Seguridad de la Información. • Ayudar a que las empresas estén entre las más avanzadas en el terreno de la seguridad de las Tecnologías de la Información y la Comunicación y el nuevo entorno de la Sociedad de la Información. • Impulsar la confianza de empresas, consumidores y ciudadanos en general en los nuevos servicios, apoyando los sistemas de resolución extrajudicial de conflictos y la elaboración de códigos de conducta de los prestadores de servicios, así como promoviendo el uso seguro de Internet. • Reducir el miedo a la inseguridad, que sigue siendo el mayor inhibidor a la expansión del comercio electrónico.

La norma ISO17799 es el pilar en el que se apoyan los esquemas de certificación como el BS7799-2:1999, que prepara a las empresas para que reciban la acreditación de seguridad a través de una auditoria realizada por un auditor externo acreditado, exactamente de la misma forma que se obtiene una certificación ISO9000 ó ISO14000. La acreditación es un elemento muy valioso, de cara a que los clientes y asociados de una empresa certificada, confíen en que la información guardada en su red empresarial está segura y que la seguridad general de la empresa es fiable.


11

Capitulo I Fallas en el protocolo TCP y su comparación con el modelo OSI Amenazas típicas y tipos de ataques básicos en Internet. Los tipos de amenazas típicas en redes son invariantes con respecto a las características de los sistemas de computación particulares, pues todos están son diseñados según los mismos principios, usando los mismos protocolos y negociaciones de sistema internacionales. Por lo tanto, podemos hablar sobre las amenazas típicas (aquí el termino "amenaza" se tratando como una posibilidad potencial para llevar a cabo un ataque típico), y sobre el modelo de una amenaza típica refiriéndolas a la infraestructura y protocolos de red. Para la toda consideración siguiente usaremos la representación de la infraestructura de red global según de estándar internacional ISO.


12

Aquí hay que hacer unas notaciones adicionales: Sea una red global consiste de N objetos de dos tipos (un host Xi, i = 1,…, m y un enrutator Gj, j = m + 1,…,N) conectados entre si por medio de las líneas de la comunicación KS en el nivel físico y en el nivel de canal de OSI. Hay que notar que en el nivel físico todo el conjunto de objetos se partido en el conjunto de los subconjuntos los cuales se llaman segmentos. Dentro de un segmento los todos hosts interactúan entre sí y con un enrutador correspondiente por medio de las líneas físicas de comunicación bidireccionales (esta proposición es posible para simplificar consideración los modelos de ataques típicos, porque en este caso la comunicación de un host con varios enrutadores dentro de un segmento no influye en el resultado final). Hay que notar que aunque todos los objetos dentro de un segmento siempre se conectan en nivel físico, puede ser que la comunicación en el nivel de canal entre ellos existe no para todo el par. De tal manera la comunicación entre hosts los cuales se colocan en unos segmentos diferentes, sea posible solamente a través de enrutador (o a través de una cadena de los enrutadores intermedios). En el nivel de canal cada el objeto se caracteriza por medio de su dirección de 48 bits de la tarjeta de la red (para la siguiente aquí siempre referiremos a la estructura de las redes del tipo Ethernet). En el nivel de la red todos los mismos objetos se conectan entre si por medio de los canales lógicos Kl. Para esto en el nivel de la red cada objeto se caracteriza por medio de su 32 bits dirección lógico (dirección-IP en Internet). En este nivel (en modelo de OSI) cada objeto de la red puede comunicarse con cualquier otro objeto remoto por medio de una línea bidireccional o unidireccional de comunicación lógica. En el nivel K del modelo OSI, la comunicación entre dos objetos existe solamente cuando ya existe comunicación en los niveles del 1 hasta el K-1 (K= 1, …, 7), excepto en el caso de que no haya comunicación en nivel de canal entre dos objetos de un mismo segmento de red, pero exista comunicación al nivel de red – llamada de difusión (broadcast) del ARP-protocolo (del protocolo SAP en los sistemas operativos Novell), la cual se reciben por todos los objetos de un mismo segmento de red. Las amenazas típicas en redes globales son:

• La interceptación e imposición de tráfico; • Cambio e imposición del enrutamiento;

Estas amenazas se realizan en varios ataques básicos y en cada uno de estos ataques básicos se llevan a cabo amenazas potenciales casi siempre en varias combinaciones. Por ejemplo, la interceptación del tráfico común dentro de un segmento se usa para preparar el otro ataque típico del tipo "objeto falso" y este ataque se usa para interceptar el tráfico entre objetos deseados remotos (o locales). A su vez, los ataques básicos se realizan por medio del uso de las desventajas (del punto de vista de seguridad de la información) en protocolos de Internet (RFC 1110) – vea Fig. 1.


13

Fig.1

Diagrama de la jerarquía de los protocolos de red en Internet según los niveles lógicos de OSI (ISO 7498).

Aquí observemos brevemente: En la Fig. 1. se muestra cuales protocolos (UDP o TCP) están predeterminados para realizar las aplicaciones. Pero esto no significa que, por ejemplo, el protocolo FTP no pueda basarse en el protocolo UDP. Un caso común al empezar un proceso de comunicación entre un par de las aplicaciones, en primer paso se establezca canal virtual (se lleva a cabo en Internet por medio de protocolo-FTP), puede ser, después de unos procedimientos de autenticación llamada "comunicación en régimen con conexión". Entonces para realizar cualquier tipo del ataque en este caso hay que superar el sistema de autenticación en nivel de aplicación y el sistema de la identificación de paquetes-TCP (en protocolo-TCP para que identificar los paquetes se usan dos números de 32 bits: uno para el número de paquete y otro para el número del canal virtual). En caso de las comunicaciones, sin un canal virtual estableciendo (dada la "comunicación sin conexión", las cuales se usan por ejemplo, para enviar el mensaje de control del parte de enrutador, etc.,) el objeto autenticación se realiza solo por medio de su IP dirección (lo cual puede cambiarse fácilmente por parte de un usuario) y además, para que identificar paquetes-IP se use solo un identificador de 8 bits. Esta situación permita enviar mensajes de control falsos, los cuales pueden crear los obstáculos graves para el funcionamiento de red, por ejemplo, pueden cambiar la configuración de la red. Aquí es posible distinguir dos tipos de los ataques básicos:

• Ataques del tipo "interceptación e imposición del tráfico",


14

• Ataques del tipo "objeto falso", Todos los datos y comandos de control entre redes se envían por medio de paquetes. Esto junto con la estructura esparcida de redes en los sistemas distribuidas, crea una amenaza a la seguridad de información que se llama "sniffing" (análisis del flujo de tráfico o imposición de tráfico adicional). La amenaza (como un ataque potencial) de este tipo pasivo, en el caso más sencillo, puede ser realizada dentro de un segmento en el nivel físico y no puede cambiar el tráfico. El modelo de este ataque, al tener en cuenta las notaciones del anterior, puede ser presentado como un grafo con los arcos que se corresponden a las líneas de comunicación en el nivel físico de OSI ("sniffing" se realiza solo a dentro de un segmento) – vea la Fig. 2.

Fig.2

Grafo de comunicación en el caso de una implementación de una amenaza del tipo "sniffing". Para este propósito se usan varios programas específicos ("sniffers"), que se llaman a veces "LAN analyser", "WAN analyser", etc., los cuales pueden analizar todo el tráfico y seleccionar paquetes según un criterio dado de antemano, en un segmento de red con arquitectura de difusión (broadcasting). Esto es posible porque cualquier tarjeta de red en una computadora puede ser programada para recibir cualquier paquetes-Ethernet con cualquier Dirección-Ethernet. Como puede verse de este modelo, en caso común, la realización de esta amenaza se caracteriza por la aparición el objeto nuevo Xn+1 y los arcos nuevos KSn,n+1 y KSk,n+1 en el grafo de la red. En primer lugar, esta implementación de esta amenaza permite interceptar y analizar la lógica del funcionamiento de la red local para preparar ataques de cualesquiera otros tipos. En segundo lugar, la interceptación del tráfico entre segmentos permite controlar y analizar el flujo de información entre otros usuarios, en otras palabras, permite recibir acceso no autorizado a la información confidencial de otros usuarios. Por ejemplo en este caso es posible recibir una contraseña y nombre para acceso a hosts en otros segmentos de la red global, si son enviados en modo abierto (no encriptado) a través de la red (tal manera es la mas usada por ahora). En efecto, en Internet los protocolos básicos son FTP (File Transfer Protocol) y TELNET (Virtual Terminal Protocol) que se usa para conectarse al servidor del host remoto en el régimen de terminal virtual. FTP se usa para la transmisión de archivos entre hosts remotos. En ambos protocolos los usuarios se identifican usando sus nombres y contraseñas, los cuales se envían a través de la red en el modo abierto. En este punto,


15

TELNET descompone la contraseña en símbolos y envía cada símbolo en paquetes diferentes. FTP, al contrario, envía la contraseña completa en un paquete. Como resultado, según los datos de los centros de seguridad en computación en Estados Unidos (CERT, CIAC), en el intervalo 1993-1994 fueron interceptadas cerca de un millón de contraseñas de acceso a los diferentes sistemas de información. Hay muchas dudas de que ahora sea posible insertar, dentro de cada tipo, cualquier clasificación completa para todos los ataques reales y potencialmente posibles en Internet. Es mas, avisos sobre ataques nuevos aparecen periódicamente en publicaciones de los centros de seguridad de la información (CERT, CIAC) de EU. Pero para nuestros propósitos locales es suficiente dar sólo una clasificación parcial con respeto a protocolos y servicios usando para su implementación (vea la Fig. 3).

Fig.3.

Clasificación parcial de los ataques del tipo "interceptación y imposición del tráfico". Los ataques de tipo remoto se refieren al campo de los ataques reales, los cuales dirigen para escanear puertos abiertos en hosts remotos. En realidad, las aplicaciones del servicio remoto, tales como WWW, FTP, TELNET, etc., después de que son cargadas, esperan a las llamadas remotas de clientes por conexión en puertos correspondientes de TCP (a veces de UDP) los cuales han sido reservados previamente para ellos.

Fig. 4.

Formato de un TCP- paquete ( URG, ACK, … son banderas).


16

De tal manera, que la lista de números de puertos abiertos (activos) en el servidor significa la existencia de las aplicaciones activas en el servidor, las cuales pueden conceder el acceso remoto. Para crear una conexión con una aplicación arbitraria, en primer lugar el cliente debe de crear una conexión-TCP con el puerto de TCP correspondiente en el servidor. Para este propósito el cliente envía al servidor el paquete de TCP con el bit SYN establecido – formato del encabezado del TCP- paquete que se muestra en la Fig. 4. Si el cliente recibe una respuesta del tipo TCP SYN ACK, entonces el puerto está abierto y el canal virtual puede ser establecido. Si no hubo respuesta, esto puede significar que el puerto está cerrado, o que el servidor está fuera de servicio. Después de que el canal virtual ha sido establecido, el cliente y el servidor se mandan comandos específicos para la aplicación dada y la conexión en el nivel de aplicaciones de OSI se crea. Hay que hacer notar que el primer paso (la conexión-TCP) es absolutamente independiente del tipo de aplicación y que está propiedad se usa en todos los métodos para el escaneado de puertos. Todos estos métodos conocidos pueden ser divididos en dos grupos:

• Escaneado de puertos de manera abierta, cuando el autor se puede identificar por medio de su dirección-IP original.

• Escaneado de puertos en una manera "invisible", cuando solamente se puede

detectar la dirección de la fuente intermedia; entonces de está manera se garantiza el anonimato del autor.

En el primer caso, el método obvio consiste en la transmisión al objeto de llamadas TCP-SYN por conexión consecutivamente a los puertos diferentes. Como se mencionó anteriormente, si la respuesta es TCP SYN ACK, entonces el puerto está abierto, si respuesta es TCP RST (recuperar conexión), entonces el puerto está cerrado. Para este propósito puede usarse en lugar de la TCP SYN llamada, la TCP FIN llamada también, pero el uso de está último posibilidad es mas restringido porque algunos sistemas operativos ignoran está llamada (por ejemplo, Windows). Hay que notar que ahora existen varios productos de software, los cuales permiten detectar las pruebas de escaneado de puertos, evaluar IP - dirección de fuente y registrar todos los eventos pertinentes. Por lo tanto, este método ahora hay que considerarlo como un método anticuado. El primer método del segundo grupo de métodos de escaneado de puertos de manera anónima se llama "FTP Bounse Attack" (ataque encubierto por FTP) y está basado en ciertos detalles sutiles del protocolo FTP.


17

En general, el cliente de FTP después de la conexión envía o recibe archivos exclusivamente por si mismo. Pero este protocolo incluye opciones para realizar conexiones que se llaman conexiones "FTP-proxy". Esto significa que cada usuario (incluyendo el anónimo) que está conectado al servidor, puede crear un proceso que se llama DTP- servidor (Data Transmision Process) para la transmisión de los archivos a cualquier otro servidor FTP en Internet. Está característica del protocolo IP permite realizar el escaneado de los puertos en una manera encubierta por medio del uso de un servidor " FTP proxy”. Para este propósito después de la conexión con un FTP servidor dado, se envía el comando PORT con atributos de dirección-IP y el número de puerto del objeto escaneado. Después, sigue el comando LIST para leer el catálogo correspondiente de este puerto. Todas estas operaciones se realizan consecutivamente para cada puerto. Hay que hacer notar aquí, que no todas las versiones de servidor-FTP tienen habilitado el servidor " ”proxy”. Por ejemplo, las versiones: Versión wu-2.4(3), Versión wu-2.4(11), Versión SunOS 4.1 lo tienen, pero Versión DG-2.0, "Microsoft FTP service" Versión 3.0 no. Hasta finales del año 1998 este fue el único método usado. Ahora se usan otros, anteriormente el problema más grande para un intruso consistía en la imposibilidad de descubrir la fuente de escaneado por la necesidad de recibir respuestas a las llamadas. Además, los "firewalls" (filtros de paquetes) entre redes a veces podían filtrar llamadas de direcciones IP desconocidas. Por lo tanto, este método revolucionó los métodos de escaneado de puertos porque, primero; permitía encubrir la dirección del intruso y, segundo, presentaba posibilidades para escanear el segmento de red protegido por medio de un "firewall" a través deservidor FTP interno. El método mas reciente de escaneado de puertos en modo encubierto se llama "Dumb host scan" (escaneado por medio de un host mudo) – vea la Fig.5–. A grande rasgos consiste en lo siguiente: El objeto X1 (vea Fig.5a) envía al puerto dado del host Xc la llamada TCP SYN con nombre (del dirección IP) del host Xm – host "mudo", el host, que durante el proceso de escaneado está encendido pero trabaja en modo pasivo (no mantiene ninguna comunicación) – obviamente hay muchos de estos hosts en Internet en un momento dado.

Fig. 5.a. b.

Escaneado de puertos por medio de un host "mudo".


18

Si un puerto dado está abierto, el host Xc envía confirmación TCP SYN ACK al host Xm (según la llamada del nombre Xm), si el puerto dado está cerrado, el host Xc envía sólo TCP RST (vea Fig. 5.b). A su vez, el host Xm respeta a la confirmación "inesperada" del paquete TCP RST (recuperar conexión) y ignora al paquete RST. Mientras el objeto X1 por medio de programa "ping" (pueden usarse varios tipos del programa "ping") revisa la ID de paquetes IP provenientes del objeto Xm – vea el formato del paquete IP en la Fig. 6.

Fig 6.

Formato del paquete IP en estándar de Internet IPv.4.

Si la ID de cada próxima paquete IP aumenta por uno, entonces Xm se comunica sólo con el programa "ping" y entonces el puerto dado en el objeto Xc está cerrado. Si el ID de uno o varios IP - paquetes consecutivos aumenta en dos o tres, entonces Xm envió respuesta RST y entonces el puerto dado en Xc está abierto. Amenaza del tipo "rechazo de servicio". Obviamente que cualquier sistema operativo posibilita mantener solo un número limito los canales virtual abiertos y un número límite las respuestas de llamadas (restricciones por la longitud del bufero de llamadas, por la longitud de la cola de llamadas, restricciones por el numero de canales virtual, por el tiempo para refinar la cola, etc). Estas restricciones se establecen para cada sistema operativo individualmente. Entonces un flujo de llamadas con la frecuencia suficiente puede resultar en desbordamiento de la cola de llamadas y por lo tanto, en la violación de los funcionamientos del sistema: del rechazo del acceso remoto para otros objetos del sistema y hasta de parada completa de computadora. Este tipo de amenaza puede realizarse por dos maneras:

• Un flujo continuo de llamadas de direcciones diferentes con la frecuencia suficiente baja de la capacidad de canal;

• Un flujo continuo de llamadas de una dirección con frecuencia cerca del capacidad de

canal;


19

El primero caso es más "preferible" y puede realizarse en sistemas en los cuales no mantienen procedimientos de autenticación rigurosos (en la mayor parte de los casos). El segundo caso es más restringido, porque la mayoría de los sistemas operativos recientes incluirán varias restricciones por el número (frecuencia) de las llamadas de una dirección. Estos ataques típicos se llevan a cabo por medio de imposición el tráfico y se usan frecuentemente como una parte auxiliar en ataques del otro tipo. Desde el punto de vista de la tecnología (pero no de la seguridad). Amenazas típicas del tipo "Cambio e imposición del enrutamiento" y ataques del tipo "objeto falso". Este tipo de amenaza consiste en la inserción de un objeto adicional intermedio en la ruta de comunicación entre dos objetos en la red para recibir control completo sobre el flujo de información deseado. El modelo abstracto de la red en este caso puede ser representado por medio de grafo en la Fig.8 (vea las notaciones en el parte delantera del texto). En esta figura se muestra el resultado de la realización del ataque "objeto falso" en caso común, cuando el objeto X1 comunica con el objeto remoto Xm con el nombre del objeto X2. En esta situación la topología de la red se cambia de tal manera que en el grafo aparecen dos arcos adicionales: otra línea lógica LS2m unidireccional la cual conecta los objetos X1 y Xm, y además el camino nuevo KS1m el cual conecta los mismos objetos en el nivel de canal – vea Fig.7. Mientras la comunicación entre los objetos X2 y Xm se lleva a cabo por medio de la línea lógica LS2m, para la cual corresponde el camino físico KS2m.

Fig.7.

El modelo general para el ataque típico "objeto falso" (vea en el texto). De esta manera, en caso común los ataques del tipo "objeto falso" acompañan por las violaciones de la topología de la red (violación en la concordancia entre caminos de comunicación en el nivel lógico y en nivel físico) y por lo tanto los "objetos falsos" en este caso no son estables – para mantener tal "objeto falso" haya que llevar a cabo varios acciones adicionales dinámicos (vea el texto mas adelante).


20

Anteriormente aquí usamos una clasificación parcial para los ataques típicos del tipo "objeto falso" – vea la Fig.8.

Fig.8.

La clasificación parcial de los ataques del tipo "objeto falso". Como puede verse de la esta clasificación, hay dos clases de los ataques del tipo "objeto falso":

• Ataques dentro de un mismo segmento de red (ataques locales), • Ataques entre segmentos diferentes (ataques remotos).

Ataques dentro de un mismo segmento de red. El protocolo IP es el protocolo básico para Internet (vea la Fig.6). Pero en el nivel de canal de estructura del modelo OSI, el paquete IP se coloca dentro de un paquete Ethernet (así como un paquete TCP se coloca en el campo de datos de un paquete IP). Por lo tanto, cada paquete en las redes de cualesquier tipo con cualesquiera protocolos al fin se envían a la dirección de tarjeta de red la cual recibe y envíe paquetes directamente. Entonces, para dirigir un paquete a un host dentro de un segmento de red, además de su dirección IP, hay que tener su dirección Ethernet también o, en caso de comunicación entre segmentos, hay que tener la dirección del enrutador Ethernet. Puede ser que un host (por ejemplo, uno nuevo) no tenga la información sobre la dirección Ethernet del enrutador o de otro host nuevo. Para resolver estos problemas se usa el protocolo ARP (Address Resolution Protocol), lo cual permita recibir la concordancia necesaria entre las direcciones IP y Ethernet para cada host dentro de un segmento de red. En este caso un host emprende los siguientes pasos: Envía una llamada esparcida a la dirección Ethernet FFFFFFFFFFFFh con la IP - dirección del enrutador (la dirección IP del enrutador se le asigna a cada host durante el proceso de instalación del sistema operativo) la cual recibirán todos los hosts dentro de este segmento, incluyendo el enrutador.


21

En el enrutador está almacenada toda la información en una tabla especial con las parejas de direcciones IP y Ethernet para cada host dentro del segmento dado. Después de que fue recibida tal llamada, el enrutador aumenta su tabla de direcciones ARP con un registro adicional con las direcciones IP y Ethernet del host nuevo y después envía la respuesta al host nuevo con su dirección Ethernet. A su vez, si el host nuevo reciba una respuesta del enrutador, escribe está información en su propia tabla de direcciones ARP. Todos estos pasos se realizan de manera semejante en caso de búsqueda por la dirección Ethernet de cualquier otro host dentro de un segmento. Como resultado, después de un corto tiempo cada sistema operativo dentro, de un segmento dado, puede obtener toda la información sobre la concordancia de las direcciones dentro de este segmento. Un ataque típico del tipo "objeto falso" dentro de un segmento - " servidor ARP falso" - en este caso se realiza por medio de la interceptación de la llamada esparcida y de la transmisión de la ARP- respuesta falsa – Fig.9 a.b.

Fig.9.a.b.

Esquema de ataque típica "ARP servidor falso" (vea en el texto).


22

En esta figura supongamos que el objeto X1 envía una ARP-llamada-esparcida al enrutador, el objeto Xf recibe está llamada (como todos los objetos dentro del segmento dado) y enseguida envía la respuesta falsa, que ha sido preparada anteriormente, con el nombre del enrutador al objeto X1. La respuesta falsa de Xf , en este caso, incluye la dirección Ethernet del objeto Xf en lugar de la dirección Ethernet del enrutador. Luego, si el objeto X1 percibe una respuesta falsa, la configuración de red se cambiara de tal manera que todos los paquetes del objeto X1 han de pasar por un camino nuevo Kf1f que pasa a través del enrutador falso – el objeto Xf (línea punteada en la Fig. 9.b). Mientras que todos los paquetes que llegan de afuera al objeto X1 a través del enrutador estarán siendo enviados al objeto X1, por lo que se ha dicho anteriormente, las direcciones IP y Ethernet del objeto X1 fueron escritas en la tabla de ARP cuando el enrutador recibió la llamada esparcida del objeto X1. Por lo tanto, este acercamiento no puede crear (como ha discutido anteriormente – vea la Fig.7 y el texto correspondiente) el "objeto falso" estable y recibir interceptación completa del flujo de la información del objeto X1. Hay varias posibilidades para la interceptación completa en este caso. El método más eficaz consiste en lo siguiente: El objeto Xf puede seguir mas adelante y enviar su propia llamada ARP al enrutador para cambiar su dirección IP por cualquier dirección IP libre dentro el grupo de direcciones IP de este segmento. Obviamente, en está llamada hay que indicar la dirección Ethernet del objeto X1 (significado predeterminado de dirección Ethernet en tarjeta de red puede cambiarse por medio de programación en el ámbito de tarjeta API). Entonces en este caso todo el flujo de información al objeto X1 y así mismo del objeto X1 estará pasando a través de servidor ARP falso. De tal manera este acercamiento crea "objeto falso" estable y esta tecnología coincide casi completamente con una tecnología bien conocida, la cual se usa en " Servidor Proxy”. Aquí hay que notar adicionalmente que: El objeto Xf en este paso podría cambiar su IP - dirección por la IP - dirección del objeto X1, en este caso no puede conservar su transparencia, porque casi todos los sistemas operativos recientes detectan este evento y envían un mensaje con la advertencia "Está dirección IP ya está siendo usada en el sistema" (envían un mensaje pero no impiden). Lo que se ha dicho anteriormente sobre "ARP servidor falso" se refiere sólo a las posibilidades dentro de un segmento de la red, y una amenaza del tipo "objeto falso" puede ser llevada a cabo en este caso muy fácilmente en él porque el protocolo ARP no contiene procedimientos para autentificación excepto el de la IP- dirección, el cual puede ser cambiado muy fácilmente. La eficacia de este tipo de ataque depende parcialmente de especificación en la organización del servicio ARP dentro de los diferentes sistemas operativos: Linux (UNIX) envía una llamada ARP sólo cuando su tabla ARP interna no incluye la dirección Ethernet deseada.


23

Windows 95 también envía una llamada ARP sólo cuando su tabla interna no incluye la dirección Ethernet deseada, pero periódicamente(cada minuto) envía una llamada al enrutador por el su dirección Ethernet, entonces en caso de este ataque, después varios minutos esto sistema operativo puede ser controlado completamente por el " servidor ARP falso"; Windows NT – casi lo mismo, sólo que envía llamadas ARP periódicamente cada cinco minutos. Sun5.3 envía una llamada ARP cada vez que establezca comunicación con algún host dentro del segmento; Ataques remotos del tipo "objeto falso". Estos ataques comúnmente son más difíciles desde el punto de vista técnico si se comparan con los locales. Desde el punto de vista del usuario cada host en Internet tiene su nombre, pero la comunicación en redes se realiza por medio de la dirección IP única de 32bit para cada host en Internet. El sistema que actualmente se usa en Internet para transformar los nombres en las direcciones IP correspondientes se llama DNS (Domain Name System) y él se mantiene por medio del protocolo DNS. El algoritmo del protocolo DNS que se usa para una búsqueda remota de una dirección IP a partir del nombre del host deseado incluye los pasos siguientes: El host dado envía una llamada DNS dirigida a la dirección IP del servidor DNS más cercano (su dirección IP se ha escrito en sistema operativo de red en el proceso de instalación). Está llamada incluye el nombre del host, cuya dirección IP fue solicitada. El servidor DNS recibe está llamada, busca en su base de nombres este nombre y si la búsqueda se termina con éxito, entonces envía la respuesta al host dado. Si el nombre deseado no existe en su base, entonces a su vez envía una llamada al servidor DNS en el nivel inmediato superior en jerarquía de los servidores DNS. Si fue recibida una respuesta, el DNS- servidor escribe estos datos en su base y envía la respuesta al host dado. Ataque del tipo " servidor DNS falso". En tiempo reciente existen tres posibilidades para realizar un ataque de este tipo: Antes de considerar el algoritmo de un ataque a un servicio DNS hay que prestar atención a varias sutilezas del protocolo DNS. En primer lugar, el protocolo DNS se usa protocolo UDP que no incluye procedimientos para autentificación de los objetos de comunicación (vea la Fig.10).

Fig.10.

Estructura de la información en un UDP - paquete de una DNS - llamada.


24

En segundo lugar, cualquier sistema operativo de red exige que:

• En la respuesta del servidor DNS la dirección IP del remitente ha de coincidir con la dirección IP del servidor DNS ,

• El nombre en la respuesta DNS ha de coincidir con el nombre en la llamada DNS, • El número del puerto UDP ha de coincidir con el número en la llamada DNS, • El valor de ID en la respuesta ha de coincidir con el valor ID del remitente (vea la

Fig.10). Por lo tanto, para realizar este ataque por medio de interceptación de una llamada DNS hay que usar toda la información del paquete interceptado para formar una respuesta DNS falsa con su propia dirección IP en lugar de la dirección IP del objeto solicitado – vea la Fig.11.a.

Fig.11.a.

Esquema de un ataque "DNS- servidor falso" . Aquí: Objeto “D” –DNS-servidor.

En la Fig.11.a pongamos que el objeto X1 tiene que comunicarse con el objeto remoto Xc y con este propósito llama al servidor DNS para recibir la dirección IP del objeto deseado. El objeto Xf tiene la posibilidad de interceptar una llamada DNS dirigida sólo en los casos de que esté en el mismo segmento que X1 o de que esté en el mismo segmento que un servidor DNS. En estos casos Xf intercepta está llamada y después envía una respuesta falsa del nombre del servidor DNS al X1.


25

Fig.11.b.

Esquema de un ataque "DNS- servidor falso" –la información fluye (línea puntada) a través de Xf (DNS- servidor falso).

Si X1 percibe está respuesta falsa, entonces la estructura de comunicación en la red cambiará de tal manera que todo el flujo de la información entre los objetos X1 y Xc estará pasando a través del servidor falso – vea la Fig.11.b. Obviamente que en este caso el objeto Xf también no esta estable y para guardar el control del flujo de la información deberá cambiar su dirección IP por la dirección IP del objeto X1 para todos los paquetes de X1 al Xc y viceversa. Es que en realidad cuando el cliente FTP se conecta con el servidor FTP remoto, después de cada comando FTP escrito por el usuario del tipo "get", "put", etc., el cliente FTP produce el comando "PORT" el cual envía al servidor FTP en el campo de datos del paquete TCP el número de puerto y la dirección IP del cliente. Por lo tanto, si la dirección IP del objeto X1 no se cambia dentro den objeto Xf, entonces el siguiente paquete del servidor se enviara al objeto X1 directamente y por lo tanto Xf perderá su control sobre la comunicación entre X1 y Xc. Está posibilidad para realización de este ataque aparece porque el servidor FTP no tiene ninguna posibilidad para la autenticación de clientes y supone que todos los procedimientos de autenticación se realizan al nivel de protocolo TCP. Realmente este esquema de ataque es muy raro porque comúnmente el objeto Xf se coloca en cualquier otro segmento de red y no tiene ninguna posibilidad para interceptar la llamada DNS dirigida. Imposición de una respuesta DNS falsa. En este caso (X1, Xf y el servidor DNS se colocan en segmentos diferentes) el objeto Xf envía al objeto X1 una serie continua de respuestas falsas, las cuales han sido preparadas previamente, del nombre del servidor DNS (Xf no sabe cuando X1 enviará su llamada DNS). Este método de actuación es posible porque para llamadas DNS que usan el protocolo UDP, que no incluye procedimientos para autentificación de paquetes. Pero ahora Xf no puede interceptar una llamada DNS y por lo tanto deberá resolver el problema principal con el número de puerto y el ID número en el paquete UDP de X1 (vea la estructura de un paquete UDP presentada en la Fig.10) para construir su respuesta DNS falsa. Pero se encuentra que este problema realmente no es tan difícil:


26

El número de ID en un paquete UDP depende de la aplicación que produce la llamada DNS - si está llamada es enviada por el sistema operativo de un host (Linux o Win95, por ejemplo), entonces el valor de ID siempre será igual a uno, si está llamada se envía por Netscape o por un servidor DNS, entonces para cada llamada siguiente el ID número en el paquete UDPse aumenta en uno. Luego es mas probable que el número de ID este entre uno y diez. El valor inicial del número de puerto UDP (puerto remitente – vea la Fig.10) debe de ser mayor que 1023 (para aplicaciones) y éste se incrementa en uno por cada llamada DNS nueva. Al tener en cuenta estos detalles, el esquema de ataque en este caso pueda ser representado por Fig. 12.a.b.

Fig.12.a.

Esquema del ataque " servidor DNS falso". Aquí: Objeto "D" es un servidor DNS.

En la Fig.12.a, Xf envía una serie de respuestas DNS falsas al objeto X1 del nombre (de la dirección IP) del servidor DNS en la que se indica la dirección IP del objeto Xf en lugar de la dirección IP del objeto Xc. Está serie incluye paquetes UDP con varias combinaciones de números de ID y puertos del remitente según nuestra discusión anterior. En está situación, si X1 enviara su llamada DNS, enseguida recibirá la respuesta falsa de la serie continua de respuestas falsas y ya. Desde este momento el sistema operativo de X1 considerara Xf como objeto Xc y por eso el flujo de la información entre X1 y Xc pasará a través del objeto falso Xf – vea Fig.12.b. Aquí hay que hacer notar lo siguiente: Para el éxito de tal modo de ataque hay que garantizar que el objeto X1 recibirá una respuesta DNS falsa antes de una respuesta DNS válida del servidor DNS. Con este propósito usualmente Xf genera simultáneamente a las respuestas DNS falsas una serie continua de llamadas DNS al puerto 53 (número de puerto UDP predeterminado en servidor) para crear una sobrecarga en su cola de llamadas.


27

Fig.12.b.

Esquema del ataque " servidor DNS falso". Aquí: Objeto "D" es un servidor DNS. Para mantener el control sobre el flujo de la información ("objeto falso" no estable), el objeto Xf en caso de recibir un paquete del objeto X1 ha de cambiar la dirección IP de X1 por su propia dirección IP antes de enviar este paquete al objeto Xc y viceversa, ha de cambiar la dirección IP en paquete de Xc por su propia dirección IP antes de enviarlo al objeto X1. Interceptación de una llamada de un servidor DNS. Como se ha dicho anteriormente, si el - servidor DNS local no encuentra en su base el nombre deseado, entonces envía su propia llamada DNS dirigida a uno de los servidores DNS en el nivel inmediato superior de la jerarquía. Obviamente que en este caso el esquema de ataque anterior puede ser cambiado de tal manera que la serie de DNS - respuestas falsas se envían a través del objeto Xf al servidor DNS local del nombre (del la dirección IP) de un servidor DNS inmediato superior (en la jerarquía de los servidores DNS). Aquí hay que tener en cuenta que cada servidor DNS mantiene su base de concordancia entre nombres y direcciones IP en el modo de " tabla – hash”. Esta tabla se mantiene en el modo dinámico sobre cambios continuos y nombres nuevos entre los objetos de la red. De tal manera que si el servidor DNS recibe una respuesta a su llamada, escribe este par nuevo con el nombre y su dirección IP en su tabla de direcciones para no hacer búsquedas adicionales en caso de llamadas repetidas – vea Fig.13. Es obvio que en el caso de flujo continuo de respuestas DNS falsas al servidor DNS en las cuales se indica la dirección IP del objeto Xf por el nombre del objeto Xc, después de un cierto tiempo en la tabla de direcciones del servidor DNS se encuentra un registro con está información falsa.


28

Fig. 13.

Imposición al servidor DNS local de la respuesta falsa del servidor inmediato superior Aquí: Dl – servidor DNS local; Dr – servidor DNS inmediato superior.

Pero comúnmente Xf no puede interceptar llamada DNS directamente si se coloca en un segmento de red arbitrario. Por eso el objeto Xf para construir una respuesta falsa para la llamada DNS correspondiente tendrá que resolver el problema con el ID número de un paquete UDP de la llamada DNS (el número de puerto remitente en el servidor DNS como se ha notado anteriormente está predeterminado y tiene el valor 53). Este número de ID se incrementa en uno para cada llamada consecutiva y en este caso Xf ha de cambiar ID números sucesivamente entre 0 y 216. Comúnmente el servidor DNS envía su llamada DNS sólo después de la llamada de un host arbitrario la cual incluye un nombre desconocido. Para evitar una espera indefinida, Xf desde su dirección IP envía una llamada DNS solicitando el nombre del objeto deseado a fin de provocar al servidor DNS para una búsqueda remota – vea Fig.14.

Fig. 14.

Xf provoca al servidor DNS local con una DNS-llamada para que este servidor envíe una llamada DNS al servidor DNS inmediato superior. Aquí: Dl –servidor DNS local; D –servidor DNS inmediato superior.


29

Ataques de este tipo pueden realizarse sólo debido a fallas en la seguridad en el DNS- servicio y pueden violar el enrutamiento entre cualquier par de objetos en Internet de cualquier parte de la red global. Los resultados de ataques de estos tipos son muy peligrosos porque la información falsa escrita en la base de servidor DNS será difundida entre otros servidores DNS en Internet. "Objeto falso" por medio de imposición de ruta falsa por ICMP. El enrutamiento en Internet se realiza en el nivel de red (nivel IP) según la estructura de OSI. Dentro de cada sistema operativo en red existen tablas especiales incluyendo los datos sobre rutas diferentes. Dentro de un segmento todos los mensajes dirigidos hacia fuera del segmento se envían al enrutador, el cual los reenvía más adelante según la IP- dirección de la ruta óptima. Todos los enrutadores en la red global tienen tablas específicas del enrutamiento, las cuales incluyen para cada dirección IP una lista de nodos intermedios óptima. Para manejar el enrutamiento se usan protocolos específicos: RIP(Routing Internet Protocol), OSPF(Open Shortest Path First) . Notificaciones a los hosts sobre rutas nuevas se realizan por medio del protocolo ICMP (Internet Control Message Protocol). El control remoto por enrutadores se realiza por medio del protocolo SNMP (Simple Network Management Protocol, vea RFC- 1089). Todos estos protocolos permiten cambiar el enrutamiento remotamente, y por lo tanto son protocolos de control de red global. Cada tabla de enrutamiento dentro del sistema operativo en el host consiste en cinco columnas:

• IP- dirección; • Máscara de red; • Dirección del enrutador; • Interfaces; • Métrica;

Además, usualmente el sistema incluye una ruta predeterminada (cuyo campo correspondiente a la dirección IP tiene solamente ceros y el campo correspondiente al enrutador tiene dirección IP del enrutador). De esta manera todos los paquetes que se envían fuera del segmento dado serán envinados por está ruta predeterminada. Como es bien conocido uno de los mecanismos del protocolo ICMP es el control remoto de la tabla de enrutamiento en los hosts dentro de un segmento dado. Este mecanismo ha sido diseñado para evitar las transmisiones de mensajes a través de rutas no óptimas, y además para mejorar la fiabilidad de redes cuando un segmento tiene mas de un enrutador. Por ejemplo, puede ser que una ruta es mas corta a través de un enrutador, pero por otra dirección la ruta es mas corta a través de otro enrutador y además cuando un enrutador está descompuesto, la comunicación con Internet será posible a través de otro enrutador.


30

El control remoto del enrutamiento en la red local se realiza por medio de la transmisión del ICMP aviso "redirect message" (aviso por el redireccionamento) del enrutador al host. La estructura del encabezado de este mensaje se muestra en la Fig.15. El contenido de lo campos es como sigue: El tipo: es igual a cinco (número de protocolo); El código: 0- "redirect datagrams for the Network",

Fig.15.

Encabezado del ICMP aviso "Redirect Message" (vea en el texto).

1 – "redirect datagram for the host", 2 – "redirect datagrams for the type of service and Network", 3 – "redirect datagrams for the type of service and host".

Como se sigue de la especificación del protocolo ICMP, el código "0" indica al host que debe de cambiar la dirección del enrutador que le fue predeterminado, o indica que debe de cambiar la dirección a la otra subred. Código "1" informa al host que debe de crear una ruta nueva hacia el objeto mencionado en el mensaje, e insertarlo en la tabla de enrutamiento (la dirección del host, para el cual es necesario un cambio del enrutamiento, será escrita en el campo "destino" dentro del encabezado del paquete IP asociado). La dirección IP nueva del enrutador para el host mencionado se escribe en el campo "Internet dirección…" (Vea la Fig.15). Según los datos de las publicaciones dedicadas al ICMP protocolo (RFC - 1089), el mensaje con el código "0" es anticuado y no se usa en los sistemas operativos recientes. Mientras que los mensajes del ICMP protocolo con el código "1" ahora son válidos para los sistemas operativos Win95 y Win NT, pero no son válidos para los sistemas operativos recientes del tipo UNIX (Linux). EL análisis del mecanismo de la autentificación en el protocolo ICMP indica, que el único atributo, que se usa para autentificar el mensaje "redirect", es la dirección IP del remitente. Está dirección IP ha de coincidir con la IP- dirección del enrutador, porque un aviso de este tipo puede enviarse por parte del enrutador. Por lo tanto nada impide a cada usuario enviar el aviso "redirect" del nombre (de la dirección IP) del enrutador más cercano. Hay dos posibilidades para realizar los ataques de este tipo:

• El cambio del enrutamiento dentro de un mismo segmento; • El cambio del enrutamiento desde afuera de un segmento;

En el primer caso el esquema del ataque puede se muestra en la Fig.16.


31

En primer lugar el objeto Xf envía un aviso "ICMP redirect datagrams for host" al host X1 del nombre (de la dirección IP) del enrutador, en lo que se indica su dirección IP como IP- dirección del enrutador nuevo (en este caso es mejor usar la de cualquier dirección IP libre del grupo de direcciones IP en este segmento). En el caso de éxito, la tabla de enrutamiento dentro de X1 se cambia de tal manera que la ruta al host Xs pasara a través del enrutador falso Xf – vea Fig.16.b.

Fig.16.a.

Esquema de un ataque típico "ICMP redirect…".

Fig.16.b. Esquema del resultado de un ataque típico "ICMP redirect…" para la inserción de un enrutador falso

(vea el texto). Si el host X1 envía una ARP-llamada solicitando la dirección Ethernet de este nuevo enrutador, Xf envía una respuesta falsa con su propia dirección Ethernet.

• Si Xf recibe un paquete del host X1, entonces envía este paquete al enrutador real G1. • Si Xf recibe un paquete del host remoto Xs, entonces envía este paquete al host X1.

En el caso común Xf puede atacar a cualquier host de cualquier segmento de la red global y por lo tanto no tiene posibilidad de controlar el tráfico entre X1 y Xs, porque el enrutador falso y el enrutador real deben de pertenecer al mismo segmento. Es decir, en este caso Xf no


32

puede recibir acceso al flujo de la información entre X1 y Xs. Pero, por medio de un ataque de este tipo Xf puede violar la comunicación entre los objetos mencionados. El esquema de un ataque remoto por medio del uso del procedimiento "ICMP Redirect…" se muestra en Fig.17.a.

Fig 17.a.

Esquema de un ataque ”ICMP redirect…” en la manera remota En este caso el objeto Xf de cualquier lugar en Internet puede enviar el aviso "ICMP Redirect …" al objeto X1 en el que se indica la dirección IPde cualquier host del mismo segmento que X1 como la dirección IP del enrutador nuevo. Si el sistema operativo de X1 percibe este aviso, entonces la comunicación del objeto X1 se viola – vea Fig.17.b.

Fig.17.b.

El esquema del resultado de un ataque típico "ICMP redirect…" de la manera remota. Está violación de la comunicación del objeto X1 sucede porque la tabla de enrutamiento en X1 ahora incluye un registro con la ruta falsa: en lugar de la dirección IP del enrutador se indica la ruta al host arbitrario X2 - vea Fig.17.b. Aquí hay que hacer varias observaciones: De lo que se ha escrito anteriormente se sigue que para realizar un ataque de este tipo, Xf debe de resolver dos problemas: En primer lugar hay que tener la dirección IP interna del enrutador G1. Desde la red externa sólo es posible encontrar la dirección IP externa del enrutador G1 (por ejemplo, por medio del uso del programa "traceroot"). Si suponemos que la red local dada pertenece a la clase C (como la mayoría de las redes locales), entonces Xf ha de enviar a lo más 256 avisos "ICMP Redirect… ".


33

En segundo lugar, el objeto Xf ha de escoger el nombre (o dirección IP) del host, el cual estará usando para el cambio de enrutamiento. Generalmente para este propósito se usan nombres de servidores bien conocidos, por ejemplo, de los servidores de empresas famosas, de los sistemas para la búsqueda en el Internet, etc. La primera causa de tal situación en el campo de la seguridad es que hasta ahora en Internet (IPv.4 estándar) se usa protocolos que fueron diseñados en años 60-80, antes de que las computadoras personales aparecieran. Ahora para cada individuo hay disponible una computadora tan poderosa como las más poderosas de esa época y además cada individuo tiene disponible acceso casi irrestricto a la red global y como resultado la situación de los actuales sistemas de computación no tiene precedentes. Actualmente existen varios protocolos de comunicación, que permiten proteger el canal virtual y encriptar el tráfico completamente (por ejemplo, SSL, SKIP, PPTP, etc.) [1], pero estos no han reemplazado a los anteriores y todavía no están incluidos en el estándar para Internet (con excepción del protocolo SSL, pero este protocolo sólo se usa en algunas transacciones de Web). Posiblemente la situación de la seguridad en Internet mejorará después de la introducción del nuevo estándar para Internet IPv.6. Programas de generación indefinidos Le llamamos programas de generación indefinidos dado que no se tiene programado ni su origen, ni tampoco la fecha en que son originados, estos programas son creados con la finalidad de detener el correcto funcionamiento de empresas o entidades gubernamentales por medio de la saturación de sus medios de comunicación, ya sea correo, internet o saturando sus aplicaciones mediante un exceso de peticiones en sus servidores principales. ¿Que es un virus? Un virus es un programa – una porción de código ejecutable – que tiene la habilidad única de reproducirse. Como los virus biológicos, los virus informáticos pueden diseminarse rápidamente y algunas veces son difíciles de erradicar. Se pueden adherir a cualquier tipo de archivo y se diseminan con los archivos que se copian y envían de persona a persona. Además de reproducirse, algunos virus informáticos tienen algo en común: una rutina dañina, que el virus descarga como una bomba. Mientras que las descargas pueden ser simples mensajes o imágenes, estas también pueden borrar archivos, reformatear el disco duro o causar otro tipo de daño. Si el virus no contiene una rutina dañina, aún puede causar problemas, como tomar espacio libre del disco y de la memoria, y también disminuir el rendimiento de la computadora. Hace varios años la mayoría de los virus se diseminaban vía disquette, pero el auge de Internet introdujo un nuevo mecanismo de distribución de virus. Con el e-mail, utilizado como la herramienta más importante de comunicación, los virus se están diseminando rápidamente. Los virus en los e-mails pueden infectar toda una empresa en cuestión de minutos, con un costo de millones de dólares anualmente en productividad perdida y gastos de limpieza.


34

Los virus no desaparecerán en ningún momento. Más de 10,000 han sido identificados y se crean mensualmente 200 virus nuevos de acuerdo con la International Computer Security Association. Con cifras tan alarmantes, la mayoría de las empresas luchan regularmente con ataques de virus. Nadie que use computadoras está inmune a los virus. Ciclo de vida de un virus Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente. El siguiente resumen describe cada etapa: Creación: hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de programación ensamblador. Hoy en día, cualquiera con un poco de conocimiento en programación puede crear un virus. Generalmente, los creadores de los virus, son personas maliciosas que desean causar daño a las computadoras. Gestación: Luego de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego enviándolo a algún BBS o distribuyendo copias en oficinas, colegios u otras organizaciones. Reproducción: Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos lados. Activación: Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina dañina no se activan, pero causan daño al robar espacio en el disco. Descubrimiento: Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática. Asimilación: En este punto, quienes desarrollan los productos antivirus, modifican su programa para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quien lo desarrolle y el tipo de virus. Erradicación: Si suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede erradicarse cualquier virus. Hasta ahora, ningún virus ha desaparecido completamente, pero algunos han dejado de ser una amenaza. Caballo de Troya, Troyanos, Gusanos Los troyanos o caballos de Troya son programas que contienen código destructivo oculto, pero no se reproducen. Actúan como virus con excepción de ésa característica: la autopropagación. Los archivos troyanos no son removibles completamente debido a que todo el código fuente del archivo es malicioso, por lo cual si se remueve éste código es igual que borrar el archivo.


35

Ejemplo: Descripción del troyano WORM PE_SKA El troyano PE_SKA worm no intenta alterar o destruir los datos del usuario, pero intentará adjuntar una copia de sí mismo a cualquier correo SMTP y publicaciones a newsgroups. En Enero pasado, Happy99.exe fue publicado como adjunto en diversos newsgroups y fue enviado a muchas direcciones de correo. Cuándo un archivo adjunto infectado se ejecuta, el "gusano" despliega una gráfica de fuegos artificiales y el mensaje, "Happy New Year 1999!!" ("Feliz año nuevo 1999!") Entonces se copia a sí mismo a la carpeta Windows\System bajo el nombre de Ska.exe. Si el mencionado archivo no existe, el ejecutable extrae un archivo Ska.dll de sí mismo y lo escribe en Windows\System. También verifica la existencia del archivo Wsock32.ska en la carpeta Windows\System Si ése archivo no existe, el virus cambia el nombre del archivo WSOCK32.DLL a WSOCK32.SKA. Entonces modifica "Connect" y "Send" en WSOCK32.DLL, permitiéndole monitorear actividad de red. Éste archivo consiste en una rutina para que cuando el usuario conecte a Internet, el virus sea activado. Si el archivo WSOCK32.DLL está en uso y no puede ser modificado, el virus creará la entrada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce=SKA.EXE para que el virus sea ejecutado la siguiente vez que el sistema arranque. Por ejemplo sí el virus es hallado en su sistema, borre el archivo SKA.EXE de la carpeta Windows/System. También reemplace el archivo WSOCK32.DLL con WSOCK32.SKA, finalmente, asegúrese de localizar y borrar el archivo original Happy99.exe Variedad de Virus BRAIN Pakistani, Pakistani Brain, Lahore o Ashar. 1986. Sector de arranque y stealth. El primer virus para PC capaz de infectar el sector de arranque de los disquetes y en ciertos aspectos el primero en poder ser considerado como tal (en libertad, con altas tasas de infección y extendido por todo el mundo). Usó por primera vez una técnica stealth, es decir, capaz de ocultar sus acciones. En aquellos tiempos de MSDOS, la instrucción DIR permitía comprobar el contenido del disquete. Pero el virus dirigía la petición a donde había copiado el sector de arranque original. Teniendo en cuenta que su creador fue pionero, podemos comprender la inmensa creatividad e inteligencia del mismo. PING-PONG Junto con el virus Barrotes (que mostraba unos barrotes en el monitor), uno de los que obtuvieron más fama por su “payload” gráfico: una pelotita recorría la pantalla rebotando en los lados, también conocido como “Italian Bouncery” o virus “italiano”.


36

Infecta el sector de arranque de disquetes y discos duros. Sólo funcionaba en ordenadores de la época (los procesadores 8086) por una instrucción en ensamblador. Fue detectado en marzo de 1988, en Argentina. Al no tener efectos destructivos se extendió por todo el mundo sin que se le prestara mucha atención. Variedad de Gusanos HYBRIS I-Worm.Hybris. Septiembre de 2000. Gusano capaz de actualizarse a través de Internet, por lo que el programador mantiene control sobre su creación. En este caso es el conocido coderz brasileño Vecna, Su objetivo es hacerse con el control de la librería WSOCK32.DLL Y tiene una filosofía curiosa: busca los “plug-ins” en Internet (se han detectado hasta 32 diferentes). El gusano utiliza cifrado fuerte de 128 bits. Lo que hace realmente muy difícil neutralizarlo. CODERED Gusano de origen chino, explota una vulnerabilidad del servidor IIS 5.0 de Microsoft. Escanea IPs en busca de servidores ISS, intentando entrar por el puerto 80, Una vez dentro, controla el kernel, intercepta las peticiones de los usuarios del servidor y les muestra una página. Si la fecha se encuentra entre los días 20 y 28 del mes, inicia un ataque contra el sitio de la Casa Blanca (www.whitehouse.gov) enviando muchos datos basura al puerto 80. No modifica nada, funciona residente en memoria. SIRCAM Win32.Sircam. Detectado el 17 julio 2001. Virus de archivos, gusano y caballo de Troya. Escrito en lenguaje Delphi. De origen mexicano (Michoacán), utilizaba técnicas parecidas a la del virus llamado Magistr para propagarse. Afecta a todas las variantes de Windows. Toma el control del Registro de Windows. Usa la libreta de direcciones y las direcciones que encuentra en la memoria caché (Archivos Temporales de Internet). Los mensajes eran en español y también los realizaba en inglés. Tras 8.000 ejecuciones, el virus deja de funcionar. NIMDA W32/Nimda.A. Este gusano recibe su nombre de la inversión de la palabra ADMIN (ADMINinstrador). Escrito en Microsoft Visual C++. Detectado el 18 Septiembre 2001, su característica principal es la velocidad de propagación. Utilizaba varios métodos: un fallo de IIS, se aprovecha de numerosos fallos ya conocidos (hasta 16). Los analistas de seguridad detectan un aumento del tráfico en determinado puerto y éste puede estar asociado a la actividad de un gusano: en el caso de Nimda fue el 80. Se llegaron a 2 millones de escaneos por culpa de Nimda.


37

Capitulo II Análisis de normas de seguridad y propuesta de red segura Antedecentes La norma ISO/IEC 17799 tiene su origen en una Norma Británica anterior, la BS7799, que fue elevada a estándar internacional en el año 2000. El origen del BS 7799 se remonta a la fundación del Commercial Computer Security Centre (organismo dependiente del Departamento de Comercio e Industria del Reino Unido) en 1987.


38

Sus objetivos eran dos:

• El primero fue ayudar a los proveedores de productos de seguridad para las tecnologías de información a establecer un conjunto de criterios de evaluación y un esquema de certificación para los productos que pudiera ser reconocido internacionalmente (lo que hoy se conoce como UK ITSEC Scheme);

• El segundo era la elaboración de un código de buenas prácticas en seguridad, que

generó el “Users Code of Practice”, publicado en 1989. La primera parte de la norma fue propuesta como un estándar ISO en Octubre de 1999. La votación internacional fue cerrada en Agosto de 2000, y recibió la mayoría de votos requeridos. En Octubre de 2000, tras unos cambios menores el estándar fue aprobado y publicado el 1 de Diciembre de 2000 como ISO/IEC 17799:2000. Una segunda parte, BS 7799- 2:1998, fue añadida en Febrero de 1998. Tras una extensiva revisión y otro periodo de consulta pública, que comenzó en Noviembre de 1997, la primera revisión de la norma, denominada BS 7799: 1999, fue publicada en Abril de 1999. Mientras tanto, el comité responsable del desarrollo del BS 7799 ha finalizado y está preparando la actualización de la Parte 2 con vistas a ser propuesta también como un estándar ISO. Qué es y cómo funciona BS 7799. El BS 7799 tiene dos grandes secciones:

• BS 7799-1:1999. Contiene el código estándar de ética o de “best practices” de seguridad. Esta parte es la que ha sido asumida recientemente, por la ISO y AENOR convirtiéndola respectivamente en el ISO/IEC 17799:2000 y en el UNE717799, completando de esta manera otras iniciativas anteriores (por ejemplo, la ISO 13335 “Information technology – Guidelines for the management of IT security”).


39

En esta parte, existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles que brindan ayuda a las empresas en la protección de la información. Un enfoque general de esta sección es el manejo de riesgos cuyo objetivo es ayudar a la empresa en un plan previo para sus políticas de seguridad. No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar controles relevantes a desarrollar e implantar. Para la acreditación, la empresa debe especificar los controles que no están incluidos en sus políticas de seguridad y justificar su exclusión. • BS 7799-2:1999. Contiene las especificaciones estándar para un SGSI (Sistemas de Gestión de la Seguridad de la Información). Un SGSI es el medio por el cual se monitoriza y controla la seguridad, minimizando los riesgos residuales y asegurando que la seguridad continua cumpliendo los requerimientos corporativos, legales y de los clientes. Esta segunda parte ayuda al personal de sistemas a evaluar y dar prioridad a las redes de acuerdo a los objetivos de la compañía para luego organizarlos en un plan de seguridad, o de sistemas, para el manejo de la seguridad de la información. Actualmente AENOR esta desarrollando la UNE717799-2, y a nivel internacional se ha abierto el periodo de estudio para desarrollar el proyecto ISO, en las reuniones del Subcomité 27 de ISO celebradas en Varsovia en octubre de 2002. Necesidad actual de los Sistemas de Gestión de la Seguridad de la Información. Nos encontramos en un momento de profundas transformaciones sociales de enorme trascendencia y de alcance mundial, derivadas de la utilización masiva de las tecnologías de la información y las comunicaciones en todos los ámbitos, simbolizado a través del fenómeno de Internet. No se trata de una cuestión únicamente tecnológica o económica, sino fundamentalmente social y cultural que afectará a las personas en todos sus ámbitos de actividad. La norma ISO17799 puede ser usada para auditar la Gestión de Seguridad de la Información y como base para el esquema de certificación. Cubre áreas como, control de documentos, política de seguridad y organización, clasificación y control de activos, seguridad del entorno y física, comunicaciones y gestión de operaciones, control de acceso y cumplimiento con los requisitos legales. Al igual que en su día el problema de llevar la calidad a las organizaciones supuso muchos problemas y se intentaron sacar adelante muchas iniciativas sin éxito, hasta que se adopto como sistema para hacerlo, la implantación de un Sistema de Gestión de la Calidad, hoy en día estamos en la misma situación pero frente a otro problema, la seguridad de la


40

información, y la solución pasa por ser la misma, adoptar un Sistema de Gestión, pero en este caso de la seguridad de la información. En este sentido la Norma ISO17799 establece el código de buenas prácticas para la gestión de la seguridad, y la Norma BS7799-2 establece las especificaciones para el sistema de Gestión de la Seguridad de la Información. El gobierno del Reino Unido recomendó como parte de su Ley de Protección a la Información de 1998, que entró en vigencia el 1 de Marzo del 2000, que las compañías británicas utilicen BS 7799 como método para el cumplimiento de la ley. El que la primera parte del estándar internacional BS 7799 haya sido reconocido (ISO 17799 en diciembre de 2000) como un estándar de seguridad por la ISO, unido al hecho de que la implantación de dicha norma puede ser acreditada por un tercero (al igual que las normas ISO 9000 de calidad) hacen pensar que ya se dispone de un marco común, homogéneo y estándar para desarrollar políticas, normas y procedimientos de seguridad empresarial. Este estándar está orientado a actuar como una referencia, y así regularizar la seguridad en el tratamiento de la información, en el mundo de los negocios electrónicos y de la nueva economía digital. El ISO17799 es un detallado estándar reconocido a escala mundial para la gestión de la seguridad de la información. Estructuración de la seguridad a través de la ISO17799. Esta norma va dirigida a organizaciones del mundo que utilizan las tecnologías de la Información para conseguir sus objetivos, especialmente a aquellas que trabajan en comunicaciones y relacionadas. Pretende mejorar la competitividad de estas compañías optimizando su seguridad, funcionamiento, sus productos y servicios, para ponerlas en mejor situación ante el entorno de intercambio de información europeo y mundial por necesidades de negocio. Su resultado más visible será mejorar estas empresas individualmente y como sector, y en consecuencia, mejorar los productos y los servicios que dan a las empresas, las personas y la sociedad, que son en síntesis información y comunicación. Objetivos. La finalidad principal es implantar en las empresas de la sociedad de la información una cultura de gestión, seguridad y calidad basada en los aspectos específicos de su actividad y que les permita afrontar las demandas de su sector y crecer competitivamente. Mejorando las empresas de la sociedad de la información, (cuyos servicios a empresas y particulares están cada vez más extendidos, son más críticos como recurso base para otros negocios y cuya influencia es cada vez mayor), se mejorará la actividad de sus clientes, empresas y organizaciones y se ganarán adeptos a la sociedad de la información.


41

Objetivos generales.

• Aumentar la seguridad objetiva de los sistemas de información y de las comunicaciones que constituyen una de las infraestructuras claves de la sociedad actual.

• Mejorar la seguridad de la información percibida y aumentar el grado de confianza de

empresas, ciudadanos y administraciones en las tecnologías de la información y de las comunicaciones para facilitar el desarrollo de la Sociedad de la Información.

• Mejorar el grado de protección de activos humanos, de información y materiales

frente a accidentes y agresiones.

• Garantizar la integridad, confidencialidad y disponibilidad de la información por su gran valor estratégico.

• Protección de los datos personales, la seguridad en el comercio electrónico y en los

pagos a través de Internet, la confidencialidad de las comunicaciones, la autentificación de los usuarios y la protección frente a virus informáticos y ataques de hackers.

• Mejorar la competitividad, crecimiento económico, mejoras en la productividad,

creación de riqueza y empleo en los próximos años.

• Adquisición de nuevos conocimientos para la implantación del estándar internacional de seguridad de la información en todos los ámbitos de actividad de los servicios de la Sociedad de la Información, en las empresas.

• Mantener relaciones de negocio tanto interiores como exteriores, sin limitaciones por

falta de seguridad o certificación en los Sistemas de Gestión de la Seguridad de la Información.

• Ayudar a que las empresas estén entre las más avanzadas en el terreno de la

seguridad de las Tecnologías de la Información y la Comunicación y el nuevo entorno de la Sociedad de la Información.

• Conseguir en todo momento un rápido acceso a los datos y un oportuno empleo de

los Sistemas de Seguridad de la Información que aumenten la competitividad de sus organizaciones.

• Poner en marcha Planes de Contingencia activos, que reduzcan los tiempos de retorno

a la situación normal.

• Impulsar la confianza de empresas, consumidores y ciudadanos en general en los nuevos servicios, apoyando los sistemas de resolución extrajudicial de conflictos y la elaboración de códigos de conducta de los prestadores de servicios, así como promoviendo el uso seguro de Internet.


42

• La acreditación es un elemento muy valioso, de cara a que los clientes y asociados de

una empresa certificada, confíen en que la información guardada en su red empresarial está segura y que la seguridad general de la empresa es confiable.

• Establecer una sistemática para que el usuario en la Sociedad de la Información

pueda contratar servicios con seguridad y calidad contrastada, con lo que se ganará un nuevo adepto para dicha sociedad.

Objetivos específicos. Esta norma persigue así mismolos siguientes objetivos:

• Política de seguridad. o Obtener el máximo apoyo y control sobre la protección de información.

• Organización de la seguridad.

o Gestionar, de forma efectiva, la protección de información de la compañía. o Controlar los efectos potenciales del acceso de terceros. o Mantener la seguridad de la información cuando la responsabilidad del proceso

se ha contratado a otra organización.

• Clasificación y control de activos. o Mantener un control apropiado de los activos de la compañía. o Asegurar que la protección es adecuada para toda la información de valor.

• Seguridad relacionada con el personal.

o Controlar los riesgos de seguridad relacionados con el personal. o Proporcionar la seguridad de que la naturaleza de las amenazas a la

información es entendida por aquellos con acceso legítimo y que los individuos con dicho acceso conocen las medidas de control.

o Minimizar el daño de los incidentes relacionados con la protección y su sucesiva optimización.

• Seguridad física y del entorno.

o Prevenir el acceso sin autorización y el daño e interferencias en los negocios e información.

o Prevenir la pérdida, o daño de materiales e interrupción de las actividades del negocio.

o Prevenir el robo de información o que ésta se vea comprometida, así como la protección de los sistemas de procesamiento de la información.

• Gestión de comunicaciones y operación.

o Asegurar el funcionamiento correcto y seguro de los sistemas de procesamiento de la información.

o Minimizar el riesgo de fallos en el sistema. o Proteger la integridad del software y la información ante software malicioso

(virus, gusanos, troyanos, etc.).


43

o Mantener la integridad y disponibilidad de los procesos de información y los servicios de comunicación.

o Asegurar la salvaguarda de la información en la red y la protección de la infraestructura.

o Prevenir el daño e interrupciones en el negocio de la compañía. o Prevenir la pérdida, modificaciones o mal uso de la información intercambiada

entre organizaciones.

• Control de acceso al sistema. o Controlar el acceso a la información. o Prevenir el acceso no autorizado a los sistemas de información. o Prevenir accesos de usuarios no autorizados. o Protección de los servicios de red. o Prevenir el acceso no autorizado a los equipos. o Prevenir acceso no autorizado a la información mantenida por los sistemas de

información. o Detectar actividades no autorizadas. o Asegurar la seguridad de la información cuando se utilicen equipos portátiles y

tele trabajo.

• Desarrollo y mantenimiento. o Asegurar que la seguridad está integrada en los sistemas de información. o Prevenir pérdida, modificación o mal uso de los datos de usuario en las

aplicaciones de sistema. o Proteger la confidencialidad, autenticidad o integridad de la información. o Asegurar que los proyectos de Tecnología de la Información y las actividades

de apoyo se realicen de una forma segura y que el acceso a los archivos del sistema está controlado.

o Mantener la seguridad del software de aplicación del sistema y de la información.

• Planes de continuidad de negocio.

o Minimizar las interrupciones de las actividades del negocio y proteger los procesos críticos de los efectos de grandes fallos y desastres.

• Conformidad legal.

o Prevenir que no se produzcan incumplimientos con ninguna ley civil ni penal, estatutos, regulaciones u obligaciones contractuales o de algún requerimiento de seguridad.

o Asegurar la conformidad de los sistemas con las políticas de seguridad de la organización.

o Maximizar la efectividad y minimizar la interferencia con los procesos de auditoría del sistema.

Encuesta realizada.


44

Con el objetivo de obtener los datos que permitieran conocer el grado de implantación de la seguridad de los sistemas de la información en las empresas entrevistadas, se preparó un cuestionario que se reproduce en los apéndices de este documento. Como se puede observar en el contenido del cuestionario, se han incluido una batería de cuestiones que son clave para conocer el estado de la seguridad de la información en las organizaciones entrevistadas. Se ha consultado al personal de las organizaciones entrevistadas por su situación de con respecto a los 127 controles que contempla la norma y 17 controles adicionales. Una serie de las cuestiones se refieren a aspectos generales de la organización, así como de la tecnología implantada, y otra a la situación con respecto a las recomendaciones de la Norma ISO17799, así como los principales problemas con los que se encuentran las organizaciones para implantar dichas recomendaciones. A continuación detallamos las mismas. 1. Cuestiones generales.

a. Cargo de la persona entrevistada. b. Sector de actividad de la organización. c. Numero de empleados. d. Facturación anual. e. Numero de servidores y PCs. f. Elementos de sistemas y de seguridad disponibles.

2. Situación respecto a las recomendaciones de la norma.

a. Política de seguridad. b. Estructuración de la seguridad en la compañía. c. Clasificación y control de activos. d. Seguridad relativa al personal. e. Seguridad física y del entorno. f. Gestión de comunicaciones y operación. g. Control de acceso. h. Desarrollo y mantenimiento de sistemas. i. Plan de continuidad de negocio. j. Cumplimiento legal.

Resultados generales. El objetivo de la parte general del cuestionario era conocer el nivel de implantación de los elementos de seguridad y sistemas más habituales. Certificaciones, auditorias y LOPD. Se ha buscado conocer el nivel de implantación con referencia a 4 elementos que se han considerado especialmente representativos:


45

1. Si se ha llevado a cabo o no alguna actuación con referencia a la LOPD CP. 2. Si la organización efectúa o no auditorias de sus sistemas de la información. 3. Si se ha implantado una norma de calidad tipo ISO9000. 4. Si la organización cuenta con un plan de continuidad de negocio.

Los resultados demuestran que la situación es claramente deficiente, con un nivel de implantación inferior al 50% de las organizaciones entrevistadas. Es de especial interés la situación respecto de la LOPD, ya que pese a los esfuerzos realizados en divulgar la legislación, así como el eco que han tenido las memorias de la Agencia de Protección de Datos (especialmente en lo referente a sanciones e inspecciones), sólo el 42% de las organizaciones entrevistadas han llevado a cabo actuaciones al respecto. Resultados por tamaño de la organización.


46

Elementos y soluciones tecnológicas de seguridad. La encuesta también se ha realizado con el objeto de conocer las herramientas de seguridad que han incorporado las organizaciones entrevistadas, ya que esto nos da una idea de la concepción que de la seguridad tienen las mismas.


47

Los resultados obtenidos ponen de manifiesto, que como tecnologías de seguridad sólo se han consolidado los antivirus y los firewalls, y en grado menor la autenticación. El resto de las soluciones de seguridad, aunque sean claramente necesarias para las organizaciones, su implantación aún no está extendida. Resultados por tamaño de la organización.

Existen algunos elementos de sistemas que condicionan en cierta medida la seguridad del sistema, en tanto que suponen una vía de acceso desde el exterior, o bien dan una idea del compromiso de las organizaciones entrevistadas con la disponibilidad de sus sistemas. El número de organizaciones entrevistadas que disponen de servidores públicos propios ha sido elevado, sin embargo queda también de manifiesto que no existe una conciencia de que se deban adoptar medidas con problemas tan habituales como los del suministro eléctrico por medio de la implantación de un SAI o similar.


48

Resultados referidos a la norma.

El objetivo perseguido por la parte del cuestionario referido a la norma, era conocer el grado de implantación de la seguridad como concepto global dentro de las organizaciones entrevistadas. De acuerdo con esta norma, una organización que quiera mantener un buen nivel de seguridad para su sistema de la información, debe tener en cuenta una serie de recomendaciones organizadas en 10 secciones diferentes, a través de las que se tratan todos los aspectos que pueden comprometer la Autenticación, Confidencialidad, Integridad y Disponibilidad de la información. Resumen general de implantación. Fundamentado en la norma ISO desarrollada por un comité internacional y multidisciplinar de expertos, para que una organización tenga un buen nivel de seguridad, debería tener plenamente implantadas del orden del 90% de las recomendaciones.


49

Los resultados muestran que el grado de implantación de las recomendaciones de la norma es muy inferior a lo que sería deseable. Resultados en función del tamaño de la Organización.

Resumen general de los principales obstáculos a la Implantación. Otro de los objetivos importantes que el informe pretende cubrir, es conocer las causas que motivan el que las organizaciones entrevistadas no implanten las recomendaciones de seguridad a nivel global.


50

De los resultados obtenidos cabe destacar algunos aspectos:

1. El mayor obstáculo a la implantación de la seguridad es la cultura empresarial, por encima de los problemas que a priori podrían parecer más relevantes como presupuesto o tecnología.

2. Las organizaciones consideran que un porcentaje muy elevado de las

recomendaciones de seguridad no les son aplicables. Únicamente entre un 5% y un 10% de las recomendaciones pueden no ser aplicables en función de la naturaleza de la organización, por lo que realmente las respuestas de controles no aplicables realmente reflejan problemas de desconocimiento, más que de no aplicabilidad.

3. El nivel de desconocimiento de los distintos aspectos que condicionan la seguridad es

también más alto de lo que cabía esperar. Resultados en función del tamaño de la Organización.


51

Resultados por secciones. Tal como se ha comentado anteriormente la norma esta dividida en 10 secciones a través de las cuales se contemplan la totalidad de los aspectos que pueden comprometer la seguridad de una organización. El estudio se ha realizado conforme con esta división. Resumen por secciones. A continuación se puede apreciar el nivel de implantación de las recomendaciones de seguridad, dividido por secciones.


52

De los resultados cabe destacar las siguientes conclusiones:

1. La implantación de la seguridad es deficiente en todos los aspectos.

2. Los aspectos de la seguridad que mejor están son los técnicos (concretamente control de acceso y gestión de comunicaciones y operación) y los de seguridad física.

3. El porcentaje de organizaciones que dispone de un plan de continuidad de negocio es

preocupantemente bajo.

4. El nivel de recomendaciones implantadas orientadas al cumplimiento con la legislación también es muy bajo, lo que quiere decir que muchas organizaciones podrían verse comprometidas ante una inspección.

Resumen de los principales obstáculos por secciones. Al igual que en el caso de los resultados generales, se dispone de los obstáculos que las organizaciones encuentran para adoptar las recomendaciones de la norma, divididos por secciones.


53

De los resultados obtenidos se pueden extraer las siguientes conclusiones:

1. El problema de la cultura de la seguridad dentro de la organización esta distribuido en todas las secciones, aunque especialmente en lo referido a la seguridad relacionada con el personal (formación, acuerdos de confidencialidad, términos y condiciones, verificación de la información aportada, etc.) y los planes de continuidad de negocio.

2. Las organizaciones consideran que las recomendaciones de seguridad no les son de

aplicación en muchas secciones, donde realmente si lo son. Únicamente en la sección de seguridad física y del entorno sí es posible que haya un porcentaje considerable de cláusulas que no sean aplicables a determinadas organizaciones.

3. El nivel de desconocimiento de los requisitos legales que las organizaciones deben

cumplir es muy elevado.

4. Las empresas manifiestan que en muchos casos las recomendaciones no se implantan por problemas de tiempo, lo que pone de manifiesto que en muchos casos no se cuenta con los recursos humanos y/o técnicos necesarios para llevar a cabo una gestión segura del sistema de la información.

Validación de resultados. Cuando se planteó la posibilidad de analizar la situación real de las empresas con respecto a la seguridad de sus sistemas de la información desde la perspectiva de una normativa internacional, se vio que se podían llevar a cabo varias actuaciones.


54

La más sencilla se basaba en realizar un pequeño muestreo de una serie de empresas, pero realizándoles un estudio en profundidad de su situación. Esta posibilidad planteaba la problemática de que la mayor parte de las organizaciones no estaban dispuestas a destinar sus recursos durante un periodo de tiempo largo para realizar el estudio. La siguiente posibilidad era efectuar una encuesta muy elaborada en la que se obtuviese de una visión lo suficientemente detallada de la situación de las empresas, pero sin entrar a verificar las respuestas que daba la organización. Se redactó el cuerpo de la encuesta y se determinó que, debido a la complejidad de los temas que se abordan en el estudio, la forma de conseguir resultados fiables era mediante una entrevista personal con el responsable de sistemas, informática o seguridad de la organización. El mayor problema con el que nos hemos encontrado a lo largo de todo el proceso ha sido la confidencialidad de los datos suministrados. Se ha tenido un cuidado extremo a la hora de escoger las preguntas, de forma que no se solicitase ninguna información que pudiera comprometer la seguridad de la organización entrevistada. Por otra parte se ha omitido la mecanización de la razón social de la empresa o cualquier otro dato que permitiera identificarla, garantizando la privacidad de la información suministrada. En este sentido, en la primera hoja de la encuesta se solicita el nombre de la organización, y se asigna un código a la misma. Luego ese código se escribe a mano en el resto de las hojas de la encuesta. De la primera hoja sólo se mecanizan los datos con valor estadístico para la encuesta, y se guarda esa hoja en un archivo seguro. De esta forma se garantiza que aunque un ataque prosperase y el fichero con los resultados de las encuestas se viera comprometido, únicamente se dispondrá de la información estadística recogida en el mismo. En ningún caso habría posibilidad de identificar a qué organizaciones corresponden las respuestas. Para algunas organizaciones que les resultó imposible dedicarnos el tiempo necesario para una entrevista personal, se ofreció la posibilidad de remitirles el cuestionario para que o bien se realizase la entrevista por teléfono, o bien lo rellenasen ellos mismo con nuestro asesoramiento. Las entrevistas que no se han realizado presencialmente se han estudiado cuidadosamente antes de incluirlas en la muestra. Como aliciente para las empresas que han colaborado en el estudio se les ofreció la posibilidad de recibir un informe detallado que reflejase su situación con referencia a las recomendaciones de seguridad que da la norma.


55

Listado de resultados del estudio. Política de Seguridad de la Información. El objetivo de las recomendaciones incluidas en esta cláusula es dirigir y dar soporte para la gestión de la seguridad de la información, poniendo de manifiesto que la dirección debe establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información.

Estructura organizativa para la seguridad. Infraestructura de la Seguridad de la Información. El objetivo de las recomendaciones incluidas en esta cláusula es gestionar la seguridad de la información dentro de la Organización, para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la misma.


56

Seguridad en los accesos de terceras partes. El objetivo de esta cláusula es mantener la Seguridad de los recursos de tratamiento de la información y de los Activos de Información de la Organización que sean accesibles por terceros, controlando el acceso de terceros a los dispositivos de tratamiento de información de la Organización.

Subcontratación. El objetivo de esta cláusula es mantener la Seguridad de la información cuando la responsabilidad de su tratamiento se ha externado a otra Organización.

Control y clasificación de activos. Responsabilidad sobre los activos. El objetivo de esta cláusula es mantener una protección apropiada de los activos de la organización.


57

Clasificación de la información. El objetivo de esta cláusula es garantizar que los activos informáticos reciben el nivel de protección adecuado de acuerdo con su categoría o clasificación.

Seguridad relacionada con el personal. Seguridad en la definición de trabajos y asignación de recursos. El objeto de esta cláusula es reducir los riesgos ocasionados por error humano, robo, fraude o mal uso de las instalaciones.


58

Formación de los usuarios sobre seguridad. El objetivo de esta cláusula es garantizar que los usuarios conozcan los peligros y amenazas a la información y estén equipados para respaldar la normativa de seguridad de la organización en el curso de su trabajo diario.

Respuesta ante incidentes. El objetivo de esta cláusula es reducir el daño ocasionado por los incidentes de seguridad y malos funcionamientos, supervisar y aprender de estos incidentes. Implantación


59

Seguridad física y de entorno. Áreas de seguridad. El objetivo de esta cláusula es prevenir accesos no autorizados, daños e interferencias con la propiedad del negocio y la información.

Seguridad de los equipos. El objetivo de esta cláusula es prevenir la pérdida, daño o situaciones comprometidas de los valores y la interrupción de las actividades del negocio.


60

Controles generales. El objetivo de esta cláusula es evitar el robo o las situaciones comprometidas para la información y aplicaciones de procesamiento informático.

Gestión de comunicaciones y operaciones. Procedimientos operacionales y responsabilidades. El objetivo de esta cláusula es garantizar el funcionamiento seguro de las aplicaciones de procesamiento informático.


61

Planificación y aceptación de sistemas. El objetivo de esta cláusula es reducir el riesgo de fallo en los sistemas.

Protección contra software dañino. El objetivo de esta cláusula es proteger la integridad del software y la información.


62

Administración de sistemas y equipamiento. El objetivo de esta cláusula es mantener la integridad y disponibilidad del proceso de la información y los servicios de comunicación.

Gestión de red. El objetivo de esta cláusula es garantizar la salvedad de la información en las redes y la protección de la infraestructura de apoyo.

Seguridad y gestión de soportes. El objetivo de esta cláusula es prevenir daños a los valores e interrupciones de las actividades del negocio.


63

Intercambios de información y software. El objetivo de esta cláusula es prevenir la pérdida, modificación o uso indebido de la información intercambiada entre organizaciones.

Control de acceso. Requisitos de negocio para el control de acceso. El objetivo de esta cláusula es controlar el acceso a la información.


64

Gestión de acceso de los usuarios. El objetivo de esta cláusula es prevenir el acceso no autorizado a los sistemas informáticos.

Control de acceso a la red. El objetivo de esta cláusula es proteger los servicios en red.


65

Control de acceso al sistema operativo. El objetivo de esta cláusula es prevenir los accesos informáticos no autorizados.

Control de acceso a las aplicaciones. El objetivo de esta cláusula es prevenir el acceso no autorizado a la información de los sistemas.

Monitorización del uso y accesos al sistema. El objetivo de esta cláusula es detectar actividades no autorizadas.


66

Portátiles y tele trabajo. El objetivo de esta cláusula es garantizar la seguridad cuando se emplea la informática portátil y las utilidades de tele trabajo.

Desarrollo y mantenimiento del sistema. Requisitos de seguridad de los sistemas. El objetivo de esta cláusula es garantizar la seguridad interna de los sistemas informáticos.


67

Seguridad en los sistemas de aplicaciones. El objetivo de esta cláusula es prevenir la pérdida, modificación o uso indebido de los datos de usuario en los sistemas de aplicaciones.

Controles de cifrado. El objetivo de esta cláusula es proteger la confidencialidad, autenticidad e integridad de la información.


68

Seguridad de los archivos de sistema. El objetivo de esta cláusula es garantizar que los proyectos de las tecnologías de la información y actividades de apoyo sean dirigidos de forma segura.

Seguridad en los procesos de desarrollo y soporte. El objetivo de esta cláusula es mantener la seguridad del software e información del sistema de aplicaciones.


69

Gestión de la continuidad de negocio. Aspectos de la gestión de la continuidad de negocio. El objetivo de esta cláusula es contrarrestar las interrupciones y proteger las actividades y procesos críticos del negocio causados por fallos importantes o catástrofes.

Conformidad legal. Conformidad con requerimientos legales. El objetivo de esta cláusula es evitar las infracciones de cualquier ley civil o criminal, reglamento, regulación u obligaciones contractuales de cualquier requisito relacionado con la seguridad.


70

Revisiones de la política de seguridad y conformidad técnica. El objetivo de esta cláusula es garantizar la conformidad de los sistemas con las normativas y estándares de seguridad de la organización.


71

Capitulos III. Proceso de una auditoria de Seguridad Informática. Para empezar una correcta auditoria de seguridad informática primeramente es necesario conocer los pasos que se deben de llevar a cabo y las herramientas a utilizar, con la finalidad de asegurar un completo análisis de la red, en este capitulo tenemos una serie de herramientas para realizar una auditoria en una red con máquinas con sistema operativo Windows con en una red con máquinas con sistema operativo UNIX. Análisis de vulnerabilidad. Durante el análisis se simula un atacante externo e interno con intenciones maliciosas. Se utilizan diferentes técnicas para encontrar las vulnerabilidades y/o debilidades, utilización de técnicas de fuerza bruta, explotación de vulnerabilidades, etc.


72

Las pruebas a realizar para una auditoria de vulnerabilidades son las siguientes:

• Reconocimiento pasivo. • Reconocimiento activo. • Estudio de la red externa. • Scanner de puertos: TCP y UDP. • Scanner ICMP. • Estudio de debilidades. • Scanner de vulnerabilidades en componentes de red. • Scanner de vulnerabilidades de sistemas operativos. • Scanner de vulnerabilidades a nivel de aplicación. • Scanner de vulnerabilidades en scripts y programas • Scanner de vulnerabilidades en fallos de configuración. • Explotación de vulnerabilidades encontradas. • Elevación de privilegios. • Ataques de fuerza bruta: FTP, NETBIOS, POP3, HTTP, IMAP, TELNET y SNMP. • Comprobación de políticas de claves. • Análisis de las políticas de protección (Firewalls, ACL, etc.). • Análisis de la red y topología (estudio de vulnerabilidades en la red: ARP Poisoning,

Sniffers, etc.). • Análisis de aplicaciones WEB propietarias. • Otros.

Herramientas de seguridad. A continuación se citara algunas herramientas que nos ayudara a realizar la auditoria, dichas herramientas están divididas dependiendo del punto a analizar dentro de la red, tanto para Windows como Unix ó Linux. Conectividad.

• Solarwinds. • Netsaint. • Wintsup. • Ethreal.

Bitacoras. • Web Alizer. • Log Check. • Snortsnarf.

Usos Varios (SNMP). • Network node manager. • Mrtg.

Analizador de protocolos (Sniffer).

• Snmplink. • Snoop solaris.


73

• Iris. • Tcpdunp. • Ntbscan. • Windump.

Escaneo de Puertos en Windows.

• Languard. • Microsoft baseline Security Advisor. • Shadow Security Scanner. • Iris.

Escaneo de Puertos en Unix.

• Nessus. • Sara. • Saint. • Nmap. • Superscan.

Herramientas Unix.

• NMAP (Escaneo de puerto, rango de Direcciones, sistemas operativos). • TRIPWIRE (Auditor de Archivos del Sistema detector de intrusos). • SNORT/ACID/SNORT SNARF (Detector de Intrusos). • FIREWAN IPTABLES/IPCNAINS (Filtrado de paquetes). • TCP WRAPPER (Control de acceso). • Xinetd (Control de Acceso). • MRTG (Monitoreo de Red). • OPEN SSH (Encriptamiento en comunicación). • MUR (Mandrake UpDate Robot) (Actualizador de Paquetes). • SCP (Secure Copy) (Encriptación para envío de archivos seguros). • John Ripper/Crack (desifrador de password). • Satan (búsqueda de vulnerabilidades). • Saint (búsqueda de vulnerabilidades). • TCPDUMP (Analizador de Tráfico). • Snoop (Sniffer, analizador tráfico). • Strance (Seguimiento de llamadas al sistema). • LINSNiffer (SNIffer). • DesNiffe (SNiffer). • Hunt (Sniffer, Spoffer). • Lsoft (Herraminenta para ver procesos). • Nestat (Herramienta de monitoreo de Redes). • NTBScan (Monitoreo hacia Redes Windows). • Ntop (Monitoreo de Redes). • Traceroute (Monitoreo de rutas de paquetes). • Kerberos (software de encriptación de comunicaciones). • Nessus (Monitoreo de Redes, puertos). • Amavis (Puente Antivirus). • Hauri (Antivirus).


74

• UVScan (Antivirus). • Strings ( CERT cadenas en archivos binarios). • Prelude ( Detector de Intrusos)

Herramientas Windows.

• Winroute. • Wingate. • Winproxy. • Squis. • ISA server. • Misnetic. • Allegro surf (personal). • Zone alarm. • Black ice.

Gestion.

• Cisco work. • Open view. • MRTG. • Fluke Network Inspector. • Protocol Inspector. • Retina. • Cybmcop.

Antivirus.

• Hauri. • McAfee. • Norton Antivirus. • Pc-cillin. • panda-prot.

Encriptación.

• PgP. Servicios de internet.

• IIS • Apache • Iplanet • Exchange • Webmail • Email


75

Auditoria A continuación se mostrara los resultados de una auditoria de de huecos de seguridad y vulnerabilidades de una red mediana en México, dichos resultados se muestran dentro de un reporte ejecutivo Reporte Ejecutivo

A las 10:58:31 Retina analizó el desempeño de aproximadamente de 80 equipos en cuestión de vulnerabilidades y paquetes de actualización El sistema auditado : 010.000.000.002 - 010.000.000.200 Retina analizo los siguientes puntos:

• Scaneo de desempeño de la red para determinar el rango de riesgo de todos los sistemas y servicios.

• Analisis de todos los sistemas, servicios y desempeño envio de datos a traves de la red.

• Ataque y explotación de huecos de seguridad en los servidores de aplicaciones.

• Generar información de los paquetes y las vulnerabilidades encontrados.

• Crear reporte de seguridad de la organización.

La red tiene 53 vulnerabilidades de nivel bajo, 65 de nivel medio y 59 de nivel alto. De estos 32 host[s] son vulnerables a un nivel muy alto y 28 host[s] son vulnerables a nivel medio.

Análisis Superior de vulnerabilidad y Administración de mejoras


76

Este reporte generado el 26/10/2004 a las 5:51:07. Muestra el scaneo de desempeño de políticas de seguridad.

Auditoria El software encargado de auditor en esta ocasión fue Retina, el cual divide toda la auditoria en varias secciones. Las secciones están basadas en tipos de servicios en servidores y estaciones de trabajo. Total de Vulnerabilidades por Nivel de Riesgo. La gráfica ilustra el número total de vulnerabilidades de todas las máquinas analizadas, divididas por nivel de riesgo.

Total de Vulnerabilidades por Cuenta Auditada. La gráfica ilustra el número total de vulnerabilidades de todas las máquinas analizadas, divididas por nivel de riesgo.

Total de Vulnerabilidades por AntiVirus Auditado. La gráfica ilustra el número total de vulnerabilidades de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de CGI Scripts Auditado. La gráfica ilustra el número total de vulnerabilidades de CGI Scripts de todas las máquinas analizadas, divididas por nivel de riesgo.


77

Total Vulnerabilidades de CHAM Auditado. La gráfica ilustra el número total de vulnerabilidades de CHAM en todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Base de Datos Auditada. La gráfica ilustra el número total de vulnerabilidades en la base de datos de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de servicio de DNS Auditado. La gráfica ilustra el número total de vulnerabilidades de servicio de DNS de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de DoS Auditados. La gráfica ilustra el número total de vulnerabilidades de DoS de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Servidores de FTP Auditados. La gráfica ilustra el número total de vulnerabilidades de servidores de FTP de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de servicio de IP Auditado. La gráfica ilustra el número total de vulnerabilidades de servicios de IP de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Servidores de Correo Auditados. La gráfica ilustra el número total de vulnerabilidades de los servidores de correo de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Misceláneos Auditados. La siguiente grafica ilustra el número total de vulnerabilidades de misceláneos de todas las maquinas analizadas, divididas por nivel de riesgo.

Total de Vulnerabilidades por NetBIOS Auditado. La gráfica ilustra el número total de vulnerabilidades de NetBIOS de todas las máquinas analizadas, divididas por nivel de riesgo.


78

Total Vulnerabilidades de Registros Auditados. La gráfica ilustra el número total de vulnerabilidades en los registros de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Acceso Remoto Auditado. La gráfica ilustra el número total de vulnerabilidades de acceso remoto de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Servicios de RPC Auditados. La gráfica ilustra el número total de vulnerabilidades de servicio de RPC de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Control de Servicio Auditados. La gráfica ilustra el número total de vulnerabilidades de Control de servicios de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Servidores SNMP Auditados. La gráfica ilustra el número total de vulnerabilidades de servidores de SNMP de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Servidores de SSH Auditados. La gráfica ilustra el número total de vulnerabilidades de servidores de SSH de todas las máquinas analizadas, divididas por nivel de riesgo.

Total Vulnerabilidades de Servidores WEB Auditados. La gráfica ilustra el número total de vulnerabilidades de web server de todas las máquinas analizadas, divididas por nivel de riesgo.

Auditoria Total de Vulnerabilidades wireless. La gráfica ilustra el número total de vulnerabilidades de wireles de todas las máquinas analizadas, divididas por nivel de riesgo.


79

Recomendaciones. Por dónde empezar. Cuando las organizaciones se enfrentan a un proceso de adaptación a una nueva concepción de la seguridad, la sensación es que falta tanto por hacer que no se sabe por donde comenzar. Análisis de riesgos. El punto de partida de cualquier actuación en seguridad debe ser el conocimiento del riesgo al que la organización se esta enfrentando. Las tres cuartas partes de las empresas entrevistadas, no cuentan con un análisis de riesgos formal, por lo que realmente no se tiene constancia de que niveles de riesgo esta soportando la organización, y eso hace muy difícil determinar qué esfuerzo hay que hacer. El análisis de riesgos es una técnica que esta poco extendida en nuestro país, pero realmente ayuda a conocer cual es la situación de las organizaciones con respecto a sus activos. Para desarrollar el análisis de riesgos es necesario adoptar una metodología. La norma ISO17799 no establece la metodología que hay que emplear para realizar un análisis de riesgos, por lo que cada organización puede adoptar el que considere más conveniente de acuerdo con su naturaleza. Implantación de las recomendaciones más importantes de la norma ISO 17799. Aunque todas las recomendaciones de la norma ISO 17799 son importantes para la seguridad, hay 10 que son críticas y por lo tanto deben estar totalmente implantadas. Algunas de ellas pueden parecer poco importantes, pero realmente se trata de 10 elementos de seguridad que tienen unas implicaciones muy profundas en la definición y planteamiento general de la seguridad de la organización. Es similar al proceso de estudio y planificación de un proyecto, parece que tener que dedicar una semana a planificar un proyecto, es perder una semana de desarrollo, pero realmente es ahorrarse tres meses de desarrollo en cambios, reestructuraciones, retrasos, etc. Los diez controles críticos de la norma son los siguientes:

1. Disponer de un documento de Políticas de Seguridad de la información. 2. Asignar las responsabilidades sobre seguridad de la información. 3. Garantizar que se cumple con la política de seguridad en cada departamento. 4. Proteger los datos de carácter personal conforme a la legislación. 5. Salvaguarda de todos los registros importantes de la organización. 6. Garantizar que se cumple con la legislación de propiedad intelectual.


80

7. Implantar un proceso de gestión de la continuidad de negocio. 8. Adoptar medidas y controles contra software maligno. 9. Disponer de los canales necesarios para que el personal pueda comunicar las

incidencias de seguridad. 10. Formar a los empleados en seguridad de la información.

Servicios TCP/IP de red, subsistemas, control de accesos y redes privadas virtuales (Seguridad IP). Este apartado describe las tareas de red asociadas con la configuración del control de acceso, subsistemas y servicios de TCP/IP, lo cual incluye las posibilidades siguientes:

• Iniciar, detener y configurar subsistemas y servicios de TCP/IP. • Especificar propiedades y características de reinicio de diversos subsistemas. • Establecer el acceso emitido para sistemas principales remotos y la protección de

usuario contra el acceso FTP. Cuaderno Propiedades de subsistemas y servicios de TCP/IP. Para configurar las propiedades de los subsistemas y servicios de TCP/IP (Servidor Primario de Dominio, todo esto sobre Unix ó Linux)):

• Efectúe una doble pulsación sobre Subsistemas y servicios de TCP/IP en el árbol del contenedor o selecciónelo y a continuación seleccione Propiedades en el menú Seleccionado. Se visualiza la página Subsistemas TCP/IP del Cuaderno Propiedades de subsistemas y servicios de TCP/IP. Puede realizar las acciones siguientes:

• Iniciar y detener los subsistemas listados. • Establecer opciones de inicio y detención. • Renovar algunos subsistemas de la lista. • Establecer o cambiar las características de reinicio de un subsistema. Tenga en cuenta

que esta opción está disponible para los subsistemas syslogd, inetd, gated, named, routed, timed y autoconf6.

• Configurar subservidores inetd. Tenga en cuenta que Configurar... sólo está disponible para el subsistema inetd.

• Utilice el diálogo para completar la tarea de esta página del cuaderno. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

• Seleccione la pestaña Servicios de TCP/IP. Se visualiza la página Servicios de TCP/IP. Puede visualizar servicios de Internet y añadir, cambiar o inhabilitar un servicio.

• Utilice el diálogo para completar la tarea de esta página del cuaderno. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Cuaderno Propiedades de control de acceso de TCP/IP. Para establecer las propiedades de control de acceso de TCP/IP:


81

• Efectúe una doble pulsación sobre Control de acceso de TCP/IP en el árbol del

contenedor o selecciónelo y a continuación seleccione Propiedades en el menú Seleccionado. Se visualiza la página Acceso remoto del Cuaderno Propiedades de control de acceso de TCP/IP. Puede añadir o suprimir sistemas principales remotos que tengan posibilidad de ejecutar mandatos en el sistema principal local sin que se deba utilizar una contraseña. En el cuadro de lista se permite una múltiple selección de entradas.

• Utilice el diálogo para completar la tarea de esta página del cuaderno.Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

• Seleccione la pestaña Limitar acceso FTP. Se visualiza la página Limitar acceso FTP. Puede definir o eliminar usuarios locales protegidos contra el acceso FTP remoto. Si se lista un usuario, otro usuario no puede efectuar FTP de archivos hacia o desde el perfil del usuario protegido aunque se conozca la contraseña de dicho usuario. En el cuadro de lista se permite una múltiple selección de entradas.

• Utilice el diálogo para completar la tarea. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Iniciar o detener (o renovar) un subsistema TCP/IP. Para iniciar o detener un subsistema:

• Efectúe una doble pulsación sobre Subsistemas y servicios de TCP/IP en el árbol del contenedor o selecciónelo y a continuación seleccione Propiedades. Se visualiza la página Subsistemas TCP/IP del Cuaderno Propiedades de subsistemas y servicios de TCP/IP.

• Seleccione un subsistema y a continuación pulse el botón Iniciar para iniciarlo o Detener para detenerlo (o renovarlo, en algunos casos). Cuando el sistema haya llevado a cabo la acción, se actualizará el campo "Estado actual" del cuadro de lista para mostrar el nuevo estado del subsistema.

• Utilice el diálogo para completar las tareas de esta página. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Establecer opciones de inicio/detención para un subsistema.

• Tenga en cuenta que esta tarea se realiza como un paso dentro de la tarea de iniciar o detener un subsistema TCP/IP. Para establecer las opciones de inicio o detención de un subsistema:


• Seleccione un subsistema y a continuación seleccione una de las opciones listadas.


82


Establecer características de reinicio para inetd. Para establecer las características de reinicio del subsistema inetd:


• Seleccione el subsistema inetd en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de inetd.


Configurar subservidores inetd. Para añadir, cambiar o inhabilitar un subservidor inetd:


• Seleccione el subsistema inetd en la lista y a continuación pulse el botón Configurar.... Se visualiza el diálogo Configurar subservidores inetd.


Establecer características de reinicio para syslogd. Para establecer las características de reinicio del subsistema syslogd:


• Seleccione el subsistema syslogd en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de syslogd.

• Utilice el diálogo para completar las tareas de esta página. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la


83

ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Establecer características de reinicio para un subsistema routed. Para establecer las características de reinicio del subsistema routed:


• Seleccione el subsistema routed en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de routed.


Establecer características de reinicio para un subsistema gated. Para establecer las características de reinicio de un subsistema gated:


• Seleccione el subsistema gated en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de gated.


Establecer características de reinicio para un subsistema named. Para establecer las características de reinicio de un subsistema named:


• Seleccione el subsistema named en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de named.



84

Establecer características de reinicio para un subsistema timed. Para establecer las características de reinicio de un subsistema timed:


• Seleccione el subsistema timed en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de timed.


Establecer características de reinicio para un subsistema autoconf6. Para establecer las características de reinicio del subsistema autoconf6:


• Seleccione el subsistema autoconf6 en la lista y a continuación pulse el botón Características de reinicio. Se visualiza el diálogo Características de reinicio de autoconf6.

• Utilice el diálogo para completar la tarea. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Tareas para Redes privadas virtuales (Seguridad de IP). Este apartado describe las tareas asociadas con la aplicación Redes privadas virtuales (VPN), que incluye Seguridad de IP e ISAKMP. Seguridad de IP es un protocolo de seguridad de la capa IP que proporciona servicios de seguridad para asegurar la confidencialidad, el control de acceso, la integridad y la autentificación de los paquetes. Se establece un túnel seguro entre los dos sistemas para poder efectuar el intercambio de claves, el cifrado de mensajes y la autentificación de mensajes. Además, ISAKMP proporciona un sistema de gestión de claves distribuido. Crear un nuevo túnel de gestión de claves. Este procedimiento crea un túnel de gestión de claves IKE. Cuando configure un túnel de gestión de claves, debe especificar los puntos finales de la negociación (las dos máquinas que enviarán y validarán mensajes IKE), asociar el túnel a una política y especificar una clave. Para simplificar el proceso de configuración, se proporcionan diversas políticas de gestión de claves predefinidas que funcionan en la mayoría de las situaciones.


85

Para crear un túnel de gestión de claves:

1. En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione Nuevo túnel de gestión de claves dentro del menú Túnel.

2. Utilice el diálogo para completar las tareas necesarias. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Crear un nuevo túnel de gestión de datos. Este procedimiento crea los túneles de gestión de datos para que se puedan utilizar AH y ESP con el fin de proteger el tráfico de IP. También se debe especificar qué sistema principal o subsistema principal podrá utilizar el túnel de Seguridad de IP que se creará a partir de esta negociación. En la mayoría de los casos, la definición de un túnel de gestión de claves tiene relación con un solo túnel de gestión de datos. No obstante, en los casos en que se configuran diversas subredes tras una pasarela o en que distintos números de protocolo y puerto de un sistema principal determinado utilizan distintos parámetros de seguridad, será preferible tener diversos túneles de gestión de datos utilizando la misma definición de túnel de gestión de claves. Para crear un túnel de gestión de datos:

1. En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione Nuevo túnel de gestión de datos dentro del menú Túnel.

2. Utilice el diálogo para completar la tarea. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Creación de un nuevo túnel manual. Para crear un túnel manual:

1. En el contenedor Red, pulse dos veces sobre el icono Túneles manuales o seleccione el icono y a continuación seleccione Abrir en el menú Seleccionado.

2. En la ventana Túneles manuales, seleccione Nuevo túnel manual... en el menú Túnel 3. En el diálogo Propiedades de túnel manual especifique la información requerida para

crear el nuevo túnel. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Importar túneles de Seguridad IP. Para importar un túnel de seguridad IP:

1. En el contenedor Red, pulse dos veces sobre el icono Túneles manuales o seleccione el icono y a continuación seleccione Abrir en el menú Seleccionado.


86

2. En la ventana Túneles manuales, seleccione Importar túneles... en el menú Túnel. 3. En el diálogo Importar túneles de seguridad IP, especifique o seleccione la

información requerida para importar el túnel. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Exportar túneles de seguridad IP. Para exportar un túnel de seguridad IP: En el contenedor Red, pulse dos veces sobre el icono Túneles manuales o seleccione el icono y a continuación seleccione Abrir en el menú Seleccionado. En la ventana Túneles manuales, seleccione Exportar túneles... en el menú Túnel. En el diálogo Exportar túneles de seguridad IP, especifique o seleccione la información requerida para exportar el túnel. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo. Visualizar o cambiar las propiedades de un túnel. Para visualizar o cambiar las propiedades de un túnel: En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione el icono de un túnel y, a continuación, realice una de las acciones siguientes para visualizar sus propiedades:

1. Efectúe una doble pulsación sobre el icono del túnel. 2. Seleccione Propiedades en el menú Seleccionado. 3. Efectúe una doble pulsación sobre el icono Propiedades de la barra de herramientas. 4. En el diálogo visualizado del cuaderno de propiedades, puede especificar o seleccionar

información nueva. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

5. Cuando termine de realizar cambios, pulse Aplicar para aplicar los cambios sin cerrar el cuaderno de propiedades o bien OK para aplicar los cambios y cerrar el cuaderno de propiedades. Tenga en cuenta que pulsar OK o Aplicar aplica los cambios realizados en todas las páginas del cuaderno.

Activar un túnel. Debe activar un túnel de gestión de claves antes de activar una gestión de datos asociada. Si se activan satisfactoriamente ambos túneles, se crea un túnel de Seguridad de IP y se insertan sus normas de filtración en la tabla de filtros dinámica. No obstante, si no ha activado un túnel de gestión de claves, al activarse el túnel de gestión de datos automáticamente se desarrolla esta tarea. Para activar un túnel:


87

1. En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione el túnel

que desee activar. 2. Seleccione Activar en el menú Seleccionado o en la barra de herramientas.

Desactivar un túnel. Para desactivar un túnel:

1. En la ventana Túneles de intercambio de claves de Internet (IKE), efectúe una doble pulsación sobre Monitor dentro del árbol del contenedor.

2. En la ventana Monitor, seleccione el túnel que desee desactivar y, a continuación, seleccione Desactivar en el menú Seleccionado.

Copiar un túnel. Copiar un túnel le permite crear un nuevo túnel a partir de un túnel existente. Puede utilizar o modificar algunos o todos los parámetros de túnel ya definidos en el túnel que copie; no obstante, debe especificar otro nombre para el túnel nuevo. Para copiar un túnel:

1. En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione el túnel que desee copiar.

2. Seleccione Copiar en el menú Seleccionado o en la barra de herramientas. 3. Utilice el diálogo para completar la tarea. Si desea ver la ayuda según contexto para

un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Suprimir un túnel. Para suprimir un túnel:

1. En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione el túnel que desee suprimir.

2. Seleccione Suprimir en el menú Seleccionado o en la barra de herramientas. Crear una nueva política de gestión de claves. Este procedimiento crea una política personalizada que especifica los parámetros a utilizar durante la negociación del intercambio de claves de Internet. En la fase de gestión de claves, se determinará qué propiedades de seguridad de gestión de claves se han de utilizar para llevar a cabo el intercambio. Para crear una política de gestión de claves:

1. En la ventana Políticas de protección de gestión de claves (fase 1), seleccione Nueva política de gestión de claves dentro del menú Política de claves.


88


Crear una nueva política de gestión de datos. Este procedimiento crea una política personalizada que especifica el tipo de protección a utilizar para proteger el tráfico de datos de un túnel. Para crear una política de gestión de datos:

1. En la ventana Políticas de protección de gestión de datos (fase 2), seleccione Nueva política de gestión de datos dentro del menú Política de datos.


Suprimir una política. Para suprimir una política:

1. En la ventana Túneles de intercambio de claves de Internet (IKE), seleccione el túnel que desee suprimir.

2. Seleccione Suprimir en el menú Seleccionado o en la barra de herramientas. Iniciar rastreo de seguridad IP. Para iniciar el rastreo de seguridad IP:

1. En el contenedor Red, seleccione Diagnósticos-> Iniciar rastreo de seguridad IP en el menú Seleccionado.

2. En el diálogo Iniciar rastreo de seguridad IP seleccione el método y opciones de inicio. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Detener rastreo de seguridad IP. Para detener el rastreo de seguridad IP:

1. En el contenedor Red, seleccione Diagnósticos-> Detener rastreo de seguridad IP en el menú Seleccionado.

2. En el diálogo Detener rastreo de seguridad IP seleccione el método y opciones de detención. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.


89

Creación de una nueva regla de filtro estático. Para crear una nueva regla de filtro estático:

1. En el contenedor Red, pulse dos veces sobre el icono Reglas de filtro estático (para túneles manuales) o seleccione el icono y a continuación seleccione Abrir en el menú Seleccionado.

2. En la ventana Reglas de filtro estático, seleccione Nuevas reglas de filtro... en el menú Regla de filtro.

3. En el diálogo Propiedades de regla de filtro, especifique la información requerida para crear la nueva regla. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Importar reglas de filtro de seguridad IP. Para importar una regla de filtro de seguridad IP:


2. En la ventana Reglas de filtro estático, seleccione la regla a importar y a continuación seleccione importar reglas de filtro... en el menú Regla de filtro.

3. En el diálogo Importar reglas de filtro de seguridad IP, especifique información requerida para importar la regla. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Exportar reglas de filtro de seguridad IP. Para exportar una regla de filtro de seguridad IP:


2. En la ventana Reglas de filtro estático, seleccione la regla a exportar y a continuación seleccione Exportar reglas de filtro... en el menú Regla de filtro.

3. En el diálogo Exportar reglas de filtro de seguridad IP, especifique información requerida para exportar la regla. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Activar reglas de filtro de seguridad IP. Para activar reglas de filtro de seguridad IP:


90


2. En la ventana Reglas de filtro estático, seleccione Activar reglas en el menú Regla de filtro. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.

Desactivar reglas de filtro de seguridad IP. Para desactivar reglas de filtro de seguridad IP:


2. En la ventana Reglas de filtro estático, seleccione Desactivar reglas en el menú Regla de filtro. Si desea ver la ayuda según contexto para un campo del diálogo, pulse el botón Ayuda para abrir la ventana Ayuda y desplace el cursor por el campo para visualizar la ayuda sobre el mismo.


91

Conclusiones Se puede observar que se tiene cierta conciencia de los aspectos técnicos del problema, pero no existe una cultura de la seguridad a nivel empresarial que haga que la dirección se plantee otros tipos de medidas más haya de las técnicas. En general las organizaciones tratan de solventar la problemática de la seguridad mediante la implantación de productos, tratando de evitar en la medida de lo posible la adopción de medidas de tipo administrativo o de gestión en general. Son especialmente delicados los temas relacionados con el personal, siendo las organizaciones reacias a adoptar cualquier tipo de medida que afecte al personal. Es fundamental entender que no se puede lograr un nivel de seguridad razonable sin implicar al personal de la empresa en el proceso. Para contar con un sistema de información que sea seguro es preciso cambiar la perspectiva que se tiene del mismo, y comenzar a considerarlo como un proceso más dentro de la organización.


92

Existen varias metodologías que pueden ayudar a la hora de iniciar esta trayectoria entre las que destacaríamos las siguientes:

• ISO/UNE 17799:2000 Código de buenas prácticas de la Gestión de la Seguridad de la Información.

• Reglamento de Medidas de Seguridad RD994/1999.

• UNE 71501 Guía para la gestión de la seguridad de las Tecnologías de la

Información. Aunque el proceso de implantación completo de políticas de seguridad, con el conjunto de normas y procedimientos, puede resultar intimidante para algunas organizaciones, un marco como el que puede proporcionar la norma ISO17799 ayuda a la dirección, en su fase de concienciación e implantación, y al Departamento de Sistemas, en la parte de mantenimiento, a administrar la seguridad de manera más eficiente y efectiva. La experiencia ha demostrado que los siguientes factores son a menudo críticos para la satisfactoria implantación de la seguridad de la información en una organización:

• Normativa de seguridad, objetivos y actividades que reflejan los objetivos del negocio. • Enfoque para la implantación de medidas de seguridad coherentes con la política de

la organización. • Apoyo visible y compromiso por parte de la dirección. • Buen entendimiento de los requisitos de seguridad, evaluación y gestión de riesgos. • Marketing de seguridad efectivo para todos los directivos y empleados. • Distribución de asesoramiento acerca de la normativa y los estándares de la seguridad

de la información a todos los empleados y personal subcontratado. • Facilitar una formación y educación apropiadas. • Sistema de medición exhaustivo y equilibrado para evaluar la gestión de la seguridad

de la información, del cual se obtengan sugerencias para realizar mejoras. Beneficios que aporta. Existen muchas ventajas operativas y estratégicas importantes que justifican la adopción de un Sistema de Gestión de la Seguridad de la Información. Entre sus beneficios específicos se encuentran los siguientes: Mejora de la seguridad de la empresa.

A través del proceso de acreditación, las empresas reducirán la vulnerabilidad de sus sistemas y tendrán una mejor gestión de los riesgos. La reducción de las vulnerabilidades significará menores transgresiones a la seguridad, lo cual generará una disminución de los fraudes, de los riesgos financieros y jurídicos, así como ahorro de tiempo y aumento de la confianza de los clientes.


93

Planificación más efectiva de la seguridad.

La guía que ofrecen estas normativas se basan en recomendaciones detalladas para toda la empresa, que lograrán que las iniciativas en materia de seguridad sean más completas, manejables y prácticas por sus menores costos de implantación.

Gestión más efectiva de la seguridad.

Inevitablemente, toda empresa debe iniciar el proceso de desarrollo de las políticas, normas y procedimientos de seguridad (sobre todo, si se está abriendo al mundo de Internet).

Continúa protección.

Después de la acreditación, la empresa debe mantenerse actualizada en las últimas vulnerabilidades y “buenas practicas” (“best practices”) de seguridad, mediante auditorías y revisiones externas continuas de la aplicación del estándar.

Cumplimiento de requisitos legales.

Aunque sea éste un punto concreto de la norma, lo destacamos aquí puesto que las empresas mexicanas deben observar unas exigencias legales recogidas en la LOPD que, con la norma quedan integradas en un único Sistema de Seguridad.

Alianzas más seguras.

La adopción de un sistema de Gestión de la Seguridad de la Información puede desembocar en una certificación, que la empresa puede utilizar como un requisito de seguridad para sus partners y proveedores.

Comercio electrónico seguro.

La certificación da a los consumidores un sello de seguridad y confianza que puede permitir identificar con facilidad a las empresas acreditadas.

Mayor confianza del cliente. Los clientes y vendedores con una alta sensibilidad a las transgresiones de seguridad, sobre todo en Internet, buscan una evidencia concreta de seguridad. Esta evidencia se puede lograr mediante la certificación.

Mayor eficacia de las auditorias.

El estándar contempla un proceso de certificación, con auditores acreditados. Las empresas tendrán acceso a varios auditores externos acreditados, quienes siguen las mejores prácticas de auditoria para comprobar y evaluar las políticas de seguridad. El resultado será auditorias más seguras, eficaces y fiables.

Ya hemos visto la necesidad de tener un sistema de seguridad, los riesgos que se corren, lo que tenemos que hacer y las recomendaciones indispensables para tener un sistema de seguridad dentro de la empresa (ISO 17799, RD 994 y UNE 71501), a continuación le mostrare una metodología la cual le ayudara a ver por donde empezar y que puntos cubrir:


94

Identificar que debemos proteger en cada empresa, dado lo que esta implementado dentro de esta.

Cada una de estas capas nos indica un tipo diferente de sistema que podemos tener dentro de la empresa, en este caso lo que recomendaría es seleccionar las capas que se encuentran implementadas en su empresa y ver que dicta la norma que debemos hacer para cada capa, a través de esto descartara rápidamente procesos que no son necesarios para su empresa agilizando así el proceso de implementación de la norma ISO dentro de su empresa y posteriormente realice la auditoria de seguridad dentro de la empresa. Una vez seleccionada las capas que debe cubrir en su empresa y haber realizado la auditoria de seguridad, debe realizar un levantamiento de los siguientes puntos:

• Equipos de recuperación de desastre • Requerimiento de datos centrales • Proveedores • Prioridad en las aplicaciones • Protección de los medios de comunicación • Cuarto de funcionamiento de procedimientos • Sistema operativo • Seguridad física y Mando de acceso • Seguridad del software • Medios de backup • Acuerdos recíprocos • La protección de seguro • Vigilando el plan • Mantenimiento del plan de contingencia


95

Todo esto le ayudara a tener toda la información necesaria en caso de un desastre, llamado también DRP por sus siglas en ingles (Disaster Recovery Planning) el cual también es parte de la seguridad de una empresa y a su vez le podrá dar continuidad al funcionamiento de la empresa (BCP Business Continue Planning). El proceso de seguridad dentro de una empresa es un continuo aprendizaje por lo que la siguiente imagen muestra claramente cual es el ciclo que debe seguir para tener un esquema de seguridad al día.

A modo de explicación se escribe lo siguiente: El ciclo comienza a partir del conocimiento de las políticas y estándares de seguridad dentro de la empresa, continua con un análisis de seguridad de la empresa, se continua con un diseño, posteriormente se realiza una implementación que eliminen las vulnerabilidades encontradas en el análisis y finalmente nos aseguramos de tener una administración y soporte que este dando continuidad a los procesos de seguridad y en la capa más externa tendremos lo que es la educación a todos los miembros de la empresa para que aprendan todas los procesos para que sea ocupado de manera más eficiente y segura los recursos informáticos de la empresa.


96

Glosario ARCHIE: Permite la búsqueda de información en los servidores FTP Anónimos. Basado en la arquitectura Cliente/Servidor, archie da nombre a ambos. Los servidores archie contienen una lista de toda la información que contienen los servidores FTP Anónimos a los que agrupa. CGI (Common Gateway Interface) CGI, es un interface para que programas externos (pasarelas) puedan rodar bajo un servidor de información. Actualmente, los servidores de información soportados son servidores WEB. Mensajería electrónica (comunicación con los administradores WWW) FAQ (Frequently Asked Questions) Questiones y problemas más frecuentes. FIREWALLS Pretenden securizar las redes corporativas frente a entradas no autorizadas. El sistema Firewall se coloca entre la red local e Internet. La regla básica de un Firewall es asegurar que todas las comunicaciones entre la red e Internet se realicen conforme a las políticas de seguridad de la organización o corporación. Además, estos sistemas conllevan características de privacidad, autentificación, etc... Las dos técnicas usadas en la construcción de un 'Internet Firewalls" son:

• Filtrado Aplicaciones • Filtrado de paquetes • Inspección de paquetes. • Filtrado de gateway


97

FTP (File Transfer Protocol) FTP permite transmitir ficheros sobre Internet entre una máquina local y otra remota. FTP Anonymous Los servidores FTP anonymous son grandes cajones de ficheros distribuidos y organizados en directorios. Contienen programas (normalmente de dominio público o shareware), ficheros de imágenes, sonido y video. GNU La Fundación para el Software Libre (FSF - Free Software Foundation) está dedicada a eliminar las restricciones de uso, copia, modificación y distribución del software. Promueve el desarrollo y uso del software libre en todas las áreas de la computación. Específicamente, la Fundación pone a disposición de todo el mundo un completo e integrado sistema de software llamado GNU. GOPHER Gopher es un sistema de entrega de información distribuido. Utilizando gopher podemos acceder a información local o bien a acceder a servidores de información gopher de todo el mundo. HTML (Hypertext Markup Language) Lenguaje usado para escribir documentos para servidores World Wide Web. Es una aplicación de la ISO Standard 8879:1986 ( SGML, Standard Generalized Markup Language). INTERNET Es la red de redes. Nacida como experimento del ministerio de defensa americano, conoce su difusión más amplia en el ámbito científico-universitario. Embrión de las 'superautopistas de la información'. Para convertirse en ellas faltan mayores infraestructuras y anchos de banda. Desde el punto de vista técnico, Internet es un gran conjunto de redes de ordenadores interconectadas (la mayor red mundial ). IAB (Internet Architecture Board) Determina las necesidades técnicas a medio y largo plazo, y toma las decisiones sobre la orientación tecnológica de la Internet. Aprueba las recomendaciones y estándares de la Internet a través de una serie de documentos denominados RFC's (Request For Comments). IETF (Internet Engineering Task Force) y IRTF (Internet Research Task Force) Auténticos brazos armados tecnológicos de la Internet, sirven de foros de discusión y trabajo sobre los diversos aspectos técnicos y de investigación, respectivamente. Su principal cualidad es la de estar abiertos a todo aquel que tenga algo que aportar y ganas de trabajar. IESG (Internet Engineering Steering Group) e IRSG (Internet Research Steering Group) Coordinan los trabajos de la IETF y la IRTF IANA (Internet Assigned Number Authority) Responsable último de los diversos recursos asignables de Internet LINK Enlace, hiperenlace.


98

MAIL El correo electrónico es el servicio más básico, antiguo, y más utilizado dentro de Internet. La mensajería electrónica es el medio más eficaz y más rápido de comunicación, permite intercambiar además de mensajes, programas, audio, vídeo e imágenes. MAILING LISTS Listas de correo o listas de distribución, establecen foros de discusión privados a través de correo electrónico. Las listas de correo estan formada por direcciones e-mail de los usuarios que la componen. Cuando uno de los participantes envía un mensaje a la lista, ésta reenvía una copia del mismo al resto de usuarios de la lista (inscritos en ella). MBONE MBONE es una red virtual. Está compuesta por porciones de red física Internet para soportar el enrutamiento de paquetes IP multicast hasta que estas funciones esten integradas en los routers de nueva producción. La red esta compuesta de islas que pueden soportar directamente IP multicast, como 'Ethernet LAN Multicast', enlazados por links virtuales punto-a-punto llamados tuneles. Los puntos finales de los tuneles son normalmente estaciones de trabajo (máquinas que teniendo sistema operativo soportan IP multicast y ruedan un 'daemon' llamado 'mrouted' para enrutar multicast). MICROSOFT WINDOWS Sistema operativo gráfico de Microsoft basado en ventanas. Es el más popular en entornos PC. Permite el acceso a Internet mediante TCP/IP y Winsockets. MIRROR Término usado en Internet para hacer referencia a un FTP, WEB o cualquier otro recurso que es espejo de otro. Estos mirrors se realizan automáticamente y en una frecuencia determinada, y pretenden tener una copia exacta del lugar del que hacen mirror. TCP/IP (Transmission Control Protocol/Internet Protocol) Familia de protocolos que hacen posible la interconexión y tráfico de red en Internet. A ella pertenecen por ejemplo: FTP, SMTP, NNTP, etc.. Los dos protocolos más importantes son los que dan nombre a la familia IP y TCP UNIX Unix es un sistema operativo multiusuario y multitarea. Como características más importantes:

• Redireccionamiento de Entradas/Salidas. • Sistema jerárquico de ficheros. Estructura de árbol invertido (File System).

• Interface simple e interactivo con el usuario. • Alta portabilidad al estar escrito en C. Es casi independiente del hardware • Creación de utilidades fácilmente.


99

Bibliografía Libros

• ISO/IEC 17799:2000 (Information Technology – Code of Practice for Information Security Management).

• BS 7799-2:2002 (Information Security

Management – Specification for Information Security Management Systems (ISMS)).

• ISO 14000.

• ISO 9000.

• CobIT.

• IT Governance.

• Nike D. "Standards and protocols in Internet", M, Channel Trading Ltd., 1999.

• Bellovin S. Security problems in the TCP/IP- protocol suit.Computer communication review, 2:19, p. 32-48, April 1989.


100

• CIAC information bulletin E-17. FTP Daemon vulnerabilities.

• Medvedovsky I., Semianov P., Leonov D. Attacks on Internet. M. 1999. • Landwerr G.E. and oth. Taxonomy of computer security flaws with examples.

Information technology division, Code 5542, Naval Research Laboratory, Washington, D.C. 20375-5337.

• Ranum M. Taxonomy of Internet attacks. CIFS: Common Insecurity fail scrunity.

1997. Referencias de Internet

• www.checkpoint.com • www.netscreen.com • www.trendmicro.com • www.websense.com • www.opsec.com • www.sysmantec.com • www.nai.com • www.netguard.com • www.sun.com • www.microsoft.com • www.ibm.com • www.watchguard • www.suse.com • www.redhat.com • http://seguridad.internautas.org/firewall.php • www.nessus.org • www.sendmail.org • www.mrtg.org • www.cert.org • www.ethereal.org • www.eeyes.com • www.tcpdump.org • www.hp.com • ww.kerberos.com • http://www.pdc.kth.se/kth-krb/ • www.insecure.org • www.fwtk.org • www.lannetscan.com • www.free-firewall.org


101

• www.networkice.com • www.kerio.com • www.dshield.org • www.dsniff.org • www.nmap.org • www.iana.org • www.snort.org • www.ca.com • http://www.l0pht.com/ • http://www.packetfactory.net • http://www.packetfactory.net • http://www.securityfocus.com • http://www.monkey.org • http://reptile.rug.ac.be/~coder/sniffit • www.icsalabs.com • http://www.clarc.net/pub/mjr/pubs/attck/index.html

alumno: orozco martínez rodrigo

Documents