diseÑo de una arquitectura de red basado en un …
TRANSCRIPT
DISEÑO DE UNA ARQUITECTURA DE RED BASADO EN UN MODELO DE DEFENSA EN PROFUNDIDAD UTILIZANDO ESTANDARES DE LAS NORMAS
ISO 27000 Y COBIT 5.0
Daniel Ernesto Suarez Acuña 20081005031
Anteproyecto de monografía para optar al título de: Ingeniero Electrónico
Director: Roberto Ferro Escobar
Universidad Distrital Francisco José de Caldas Facultad de Ingeniería Electrónica
Bogotá D.C. – Colombia Marzo de 2015
CONTENIDO
CONTENIDO ..................................................................................................................................... 2
1. PLANTEAMIENTO DEL PROBLEMA ................................................................................... 3
2. OBJETIVOS .............................................................................................................................. 5
3. JUSTIFICACIÓN ....................................................................................................................... 6
4. MARCO TEORICO ................................................................................................................... 8
5. ESTADO DEL ARTE .............................................................................................................. 13
6. METODOLOGÍA SEGUIDA DURANTE LA INVESTIGACIÓN ....................................... 23
7. DESARROLLO DEL DISEÑO .............................................................................................. 25
8. ALCANCES, LIMITACIONES Y FUTUTOS TRABAJOS ................................................. 53
10. BIBLIOGRAFIA ................................................................................................................... 56
ANEXO A
1. PLANTEAMIENTO DEL PROBLEMA
La ciberseguridad y ciberdefensa son dos conceptos que está implementando el
gobierno [1], para concienciar tanto las entidades gubernamentales como las no
gubernamentales, de los riesgos que pueden causar el tener acceso a internet y
hacer un uso inapropiado de él, así como las debilidades de las infraestructuras
tecnológicas respecto a la nuevos ataques virtuales y la posible pérdida de
información generado por ellos. Por lo que Colombia, como un país en desarrollo,
se ve urgida de generar métodos y estrategias para seguir en un continuo proceso
de avance.
La información como uno de los activos más importantes para cualquier empresa,
requiere que se proteja y asegure su confidencialidad, disponibilidad e integridad.
Para lo cual al interior de toda empresa o negocio, se generan estrategias en
cuanto a seguridad de la información, abarcando desde normativas o políticas
empresariales hasta la implementación de seguridad virtual y física.
Debido al avance tecnológico la información ha pasado de estar en medio físico a
un medio digital, el cual solo pueda ser accedido por las personas idóneas. Lo que
hace necesario crear un modelo de red que sea más segura y confiable, en donde
los distintos niveles de información, posean también distintos niveles de seguridad.
Habitualmente los usuarios finales no tienen en consideración la seguridad cuando
hacen uso de un sistema, ya que, frecuentemente se ignoran los aspectos
relacionados con la seguridad. De igual forma, estos aspectos a veces pueden
considerarse una molestia, ya que la seguridad suele ir en el sentido opuesto de la
comodidad y facilidad de uso en la balanza del diseño de un sistema. Es por esto
que los usuarios a veces puedan tener una imagen negativa de la seguridad, por
considerarlo algo molesto y que interrumpe su capacidad de realización de un
trabajo determinado. En un entorno seguro, un usuario se encuentra con tareas
que le pueden resultar incómodas (como por ejemplo, recordar contraseñas,
cambiarlas periódicamente, etc.) y que pueden limitar las operaciones que puede
realizar así como los recursos a los que se le permite acceder.
Por lo que se desea diseñar un modelo de red en donde se dé la mayor seguridad
posible a las diferentes empresas, siendo necesario basar la estructura de red en
una estrategia de defensa en profundidad, en donde se pueda disminuir el impacto
respecto a los ataques que intentan destruir, dañar o modificar información.
Protegiendo la red interna de posibles ataques internos o externos, y tenga en
cuenta cada uno de los niveles del modelo OSI [2], y estándares internacionales
como la norma ISO 27000, que disminuyen el riesgo de errores humanos y
tecnológicos en el negocio.
El grupo LIDER, como grupo de investigación, y como uno de sus lineamientos, el
Estudio de normatividad y aplicaciones al entorno colombiano en el campo de las
TICs., ha puesto a disposición este proyecto, para estudiantes investigadores, con
el fin de trabajar en apoyo a sus metas.
2. OBJETIVOS
2.1. Objetivo General
Diseñar un modelo de red que aplique a la empresa colombiana basada en
defensa en profundidad aplicando normas ISO 27000 y COBIT 5.0.
2.2. Objetivos Específicos
Definir parámetros de escalabilidad del diseño de red para empresas de
menor tamaño que requieran proteger su información.
Utilizar estándares de seguridad como los ISO27000 Y COBIT 5.0 que
ayuden a la protección de la información.
.
Utilizar nuevas herramientas de software y hardware en el diseño de red
segura.
Generación de pruebas de penetración sobre la red mediante el software
libre Kali
3. JUSTIFICACIÓN
Desde el punto de vista social y empresarial, la información se ha vuelto el recurso
más importante en desarrollo interno y externo, brindando la oportunidad de
crecer tanto en el ámbito local, nacional e internacional, ofreciendo al país un
recurso más de crecimiento y aumentando la calidad de vida de las personas.
El creer que la información que se posee no es importante y no debe ser tratada
como recurso vital de una empresa, que la inversión en seguridad de la
información no es necesaria, debido a que no aporta nada a los objetivos
principales de la misma, o que siempre ha tenido ese esquema de seguridad y
nunca le ha sucedido nada, genera debilidad en cuanto estructuras de seguridad,
lo que las expone a robos, cambios o perdidas de información, que se van a ver
reflejadas en un futuro en pérdidas económicas.
Las vulnerabilidades a una red pueden crease con intención o sin intención desde
adentro o afuera de la organización. El ataque puede ser de organizaciones
consideradas la competencia, en caso del gobierno algunos centros de inteligencia
o espionaje, así como de grupos que tratan de luchar por su propia causa
(Hackers, grupos de delincuentes) e incluso pueden venir desde el interior de la
organización como represalia de alguna decisión, lo que pone en peligro los
intereses de cada organización.
Según la Encuesta anual de seguridad en la información realizada por EI [3], el
67% de las organizaciones se enfrenta a amenazas sobre su información digital y
más del 37% de ellas no tiene datos suficientes para poder tomar acciones y
combatir los riesgos cibernéticos.
Sin embargo, estos no son los únicos resultados que ponen en alerta a las
organizaciones sobre los posibles ataques de hackers a la información
corporativa, entre los datos más significativos del estudio se encuentran:
43% de las organizaciones afirmó que su presupuesto en seguridad se
mantendrá igual en los siguientes 12 meses, a pesar de estar al tanto de las
constantes amenazas.
El 53% afirma que la falta de recursos calificados es uno de los principales
obstáculos a la hora de tener un programa sofisticado de seguridad de la
información.
Solo el 5% de las organizaciones cuenta con un equipo de analistas dedicados
a tratar las amenazas cibernéticas.
El desarrollo de este proyecto traerá consigo la profundización del área de
telemática. Para alcanzar los objetivos se requiere la aplicación de los
conocimientos adquiridos a lo largo de la carrera y la investigación y
profundización de nuevas ideas. Además, hay que destacar que jugará un papel
importante el criterio de ingeniería con el que se tomen las decisiones, ya que
estas serán las que encaminen el avance del proyecto hacia la aplicación y
utilización real del diseño de red.
Este proyecto no eliminara los riesgos de seguridad, pero se tendrá un estándar
de arquitectura de red que los mitigará a niveles más bajos que los de las redes
planas con un único nivel de defensa, ofreciendo un punto de inicio para nuevas
empresas y un punto de mejora para las ya establecidas.
Al mismo tiempo, este trabajo busca entrar en un campo que se ha venido
promoviendo desde todos los gobiernos mundiales, en el cual se busca garantizar
que la información esté disponible, sea integra y veraz para el público objetivo.
4. MARCO TEORICO
Defensa en profundidad es una estrategia que pretende aislar en capas y dividir
en diferentes áreas las instalaciones, con el propósito de hacer más difícil el
acceso a la información más sensible, es decir, los servidores donde se contiene
nuestra información más crítica [4].
Se puede generar una analogía con respecto a un Banco, donde nuestra
información vendría a ser el dinero contenido en una Caja fuerte. Para protegerlo
desde la entrada ya vemos medidas de seguridad tales como vidrios y puertas de
seguridad, cámaras, guardias, y un área pública de atención al cliente. Mientras
más nos acercarnos a la bóveda más controles existen.
Adicionalmente, en esta sección se presentará una reseña de los principales
conceptos manejados en la investigación
4.1 Firewalls
Un firewall es un sistema que permite ejercer políticas de control de acceso entre
dos redes, tales como su red LAN privada e Internet, una red pública vulnerable.
El firewall define los servicios que pueden accederse desde el exterior y viceversa.
Los medios a través de los cuales se logra esta función varían notoriamente, pero
en principio, un firewall puede considerarse como un mecanismo para bloquear el
tráfico y otro para permitirlo. Un firewall constituye más que una puerta cerrada
con llave al frente de su red. Es su servicio de seguridad particular [5].
4.2 Antivirus
Un antivirus es un software cuyo propósito es combatir y erradicar los virus
informáticos malware. Trabajan en base a firmas ya establecidas por los distintos
virus que ya han sido subidos a una base de datos, su funcionamiento es
descargar dichas firmas y analizar los paquetes en busca de dichos rasgos.
4.3 Redes privadas virtuales (VPN)
Una red privada virtual (VPN) es una red privada construida dentro de una
infraestructura de red pública, tal como la red mundial de Internet. Las empresas
pueden usar redes privadas virtuales para conectar en forma segura oficinas y
usuarios remotos a través de accesos a Internet económicos proporcionados por
terceros, en vez de costosos enlaces WAN dedicados o enlaces de marcación
remota de larga distancia [6].
4.4 Segmentación
La segmentación de red, es una forma de dividir la red en cuanto a servicios
prestados, o a usuarios de la compañía de los usuarios terceros. De esta manera
se pretende limitar el tráfico de ciertas partes de la organización, o el acceso no
deseado de personas no pertenecientes directamente a la organización.
4.5 Contraseña
Una contraseña es una cadena de caracteres que se utilizan para la autenticación
de un usuario en un sistema informático. Para limitar los riesgos de ataques a las
contraseñas, se debería tener los siguientes controles:
- Vencimiento de contraseñas
- Bloqueo de la cuenta después de x intentos de registro fallidos
- Registro del sistema
4.6 Logs
Un log es un registro de actividad de un sistema, que generalmente se guarda en
un fichero de texto, al que se le van añadiendo líneas a medida que se realizan
acciones sobre el sistema [7].
4.7 Terminales de trabajo o endpoint
Las terminales de trabajo o los endpoints son el último elemento de una red, los
computadores portátiles, celulares, y otros elementos electrónicos, son elementos
que ingresan y salen de la arquitectura de red con facilidad por lo que se requiere
un tratamiento también especial dentro de ellas. Herramientas como firewalls
particulares, antivirus y software de acceso remoto son imprescindibles en todas
las terminales.
4.8 Arquitectura de Red
Las redes deben admitir una amplia variedad de aplicaciones y servicios, como así
también funcionar con diferentes tipos de infraestructuras físicas. El término
arquitectura de red, en este contexto, se refiere a las tecnologías que admiten la
infraestructura y a los servicios y protocolos programados que pueden trasladar
los mensajes en toda esa infraestructura [8]. Debido a que Internet evoluciona, al
igual que las redes en general, se puede dar cuatro características básicas que la
arquitectura profunda necesita para cumplir con las expectativas de los usuarios:
tolerancia a fallas, escalabilidad, calidad del servicio y seguridad.
4.9 Virus.
Según el RFC 2828 un virus es definido como una sección oculta de un programa,
que usualmente se auto replica y posee una lógica maliciosa, no puede ejecutarse
por sí mismo por lo que generalmente remplaza los ejecutables de algunos
programas o vienen oculto en los mismos.
4.10 DDoS (Distributed Denial of Service)
Los ataques DDoS (Distributed Denial of Service) son una forma relativamente
sencilla y efectiva de hacer caer a una Web. Las acciones se pueden realizar de
forma voluntaria siguiendo las instrucciones dadas para iniciar el ataque a una
hora señalada en una convocatoria mediante foros en la Red o utilizando redes de
ordenadores previamente infectados por virus (botnet) de forma que los usuarios
ni siquiera son conscientes de que participan. Los ataques DDoS no siempre
tienen un trasunto ideológico. Cada vez más responden a puras extorsiones. Se
están trasladando a Internet los mismos esquemas que empleaba la mafia en el
mundo físico.
Se genera mediante la saturación de los puertos con flujo de información,
haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios;
por eso se le denomina "denegación", pues hace que el servidor no dé abasto a la
cantidad de solicitudes. Esta técnica es usada por los llamados crackers para dejar
fuera de servicio servidores objetivos.
4.11 Botnets
Los botnets (robots de la Red) son redes de ordenadores zombis. Las redes han
aumentado de modo exponencial, según informes de la Fundación Shadowserver
y se emplean para realizar ataques, envíos masivos de correo basura y espionaje
contra empresas. Un botnet se crea infectando ordenadores sin que sus
propietarios lo sepan. Cada máquina reclutada por el virus se pone en contacto
sigilosamente con el cibercriminal a la espera de sus órdenes.
Los ciberdelincuentes bien, de modo aislado, o en una organización, construyen
sus botnets y los venden o alquilan a empresas que desean mandar correo
basura, bombardear o espiar a otras empresas, o robar datos bancarios. El virus
puede enviarse por correo electrónico aunque lo habitual es ponerlo en páginas
web, fundamentalmente que tengan muchas visitas. Una vez dentro del
ordenador, el virus descargará un programa y lo instalará, es el bot, el lazo entre el
ordenador infectado y la net, la red que permite su control remoto.
Los botnets se usan mayoritariamente para el envío masivo de correo basura y
virus, el bombardeo contra empresas y el espionaje, sea de empresas o de la
información bancaria de los dueños de los ordenadores infectados. Otro método
empleado por los creadores de los botnets, es el caso del fraude publicitario. El
fraude consiste en crear una página cualquiera, poner en ella algunos anuncios
legales y hacer que todos los ordenadores de la botnet los visiten. A efectos
prácticos en las estadísticas se verá que los clics provienen de cientos o miles de
direcciones IP diferentes, repartidas por todo el mundo y por tanto parecerá que
son usuarios legítimos y no una estafa, de esta forma el anunciante deberá pagar
el porcentaje convenido.
4.12 Pentesting o pruebas de penetración
Pruebas de penetración es la simulación de un ataque de un sistema, red, equipo
u otro centro, con el objetivo de demostrar lo vulnerable que sistema o "blanco"
sería la de un ataque real [14].
5. ESTADO DEL ARTE
DEFENSA EN PROFUNDIDAD
El origen del concepto de defensa en profundidad es militar. Esta palabra se utilizó
luego en el ámbito nuclear, el cual hace de éste un método. El concepto es
retomado luego en el marco más general de la industria (química) y del transporte.
En el ámbito industrial, la defensa en profundidad permite completar el análisis
probable de riesgos mediante un aspecto determinista y una creación de un
modelo a nivel de los elementos. El concepto fue retomado principalmente en los
Estados Unidos a nivel de la seguridad de los sistemas de información.
1. Defensa en Profundidad en el ámbito militar
Aunque el concepto de defensa en profundidad podría haber tenido su inicio en el
siglo XV con la aparición de balas de cañón metálicas capaces de destruir las
fortificaciones verticales, lo que provoco la construcción de fortificaciones mucho
más bajas que utilizan la profundidad del terreno [9].
De la aplicación militar se pueden observar ciertos aspectos fundamentales:
Los bienes que se deben proteger están rodeados de varias líneas de
defensa.
cada línea de defensa participa en la defensa global.
cada línea de defensa desempeña un papel: debilitar el ataque,
entorpecerlo, retardarlo (por ejemplo, entrega de terreno a cambio de
ganar tiempo).
cada línea de defensa es autónoma (está prevista la pérdida de la línea
anterior para evitar un efecto castillo de naipes): la pérdida de una línea de
defensa debilita a la siguiente pero ésta dispone de sus propios medios de
defensa frente a los distintos ataques (cada posible proceso de ataque
ocasiona su correspondiente defensa)
Se ponen en marcha todos los medios para reforzar la defensa de las
distintas líneas:
utilización del terreno (la fortificación es una adecuación del
terreno).
murallas para limitar los efectos de penetraciones y los tiros por
carambola.
informarse para evitar sorpresas.
Actualmente el concepto de defensa en profundidad no se utiliza frecuentemente,
la defensiva sólo es el resultado de una posición de inferioridad que será utilizada
con el fin de retomar la iniciativa. Por lo tanto, dos principios tomaron mucha
importancia:
La información, la cual permite validar o refutar las hipótesis realizadas
sobre las acciones enemigas, detectar su intención, etc.
El movimiento (aspecto dinámico de la defensa).
Los grandes principios de la defensa en profundidad son los siguientes:
La información es la primera línea de defensa: desde la información sobre
las amenazas efectivas, la detección de actuaciones a menudo
precursoras de ataques, hasta cualquier detección no sólo de ataques
comprobados e identificados sino también de todo comportamiento
“anormal” y, por lo tanto, sospechoso.
Existen varias líneas de defensa coordinadas y ordenadas por capacidad
de defensa.
La pérdida de una línea de defensa debe debilitar el ataque (al menos
indirectamente, recogiendo un máximo de información sobre su origen o
sus orígenes, su naturaleza, sobre las próximas etapas posibles o
probables), no ocasionar la pérdida de otras líneas de defensa sino por el
contrario permitir reforzarlo.
Una línea de defensa debe incluir las muestras (aunque éstas se limiten a
la detección de anomalías y al trazado en el caso de ataques de tipo no
identificables) en todos los ataques posibles (completado de una línea en
ella misma).
La defensa no excluye acciones ofensivas.
2. Defensa en Profundidad en el ámbito industrial (nuclear)
El concepto de defensa en profundidad aplicado al ámbito de la seguridad nuclear
proviene de los trabajos posteriores a accidentes cuando los núcleos de los
reactores fallaban, enfriados en forma insuficiente, se fundían parcialmente [10].
Se define como una defensa que incluye tres barreras sucesivas independientes
que llevan a un nivel extremadamente bajo la probabilidad de que un accidente
pueda tener repercusiones fuera de la central. La idea es que cada dispositivo de
seguridad debe ser considerado a priori como vulnerable y que, por lo tanto, debe
ser protegido por otro dispositivo.
Se identifica también tres líneas de defensa de distinta naturaleza:
la pertinencia del diseño (en especial la práctica de la redundancia y de la
diversificación).
la detección de fallos latentes y de incidentes.
la limitación de consecuencias “mitigación”
3. Defensa en Profundidad en el ámbito informático.
Cuando se analiza la defensa en profundidad en el ámbito informático se deben
tener en cuenta los siguientes puntos, teniendo en cuenta los otros ámbitos:
El factor sorpresa:
en el ámbito militar, se busca sistemáticamente y forma parte de la
maniobra.
en el ámbito nuclear, es, sin duda, el factor que se busca reducir al
máximo aunque no deba ser ignorado.
en el ámbito de la seguridad informática, está presente en el hecho
de que siempre existirán nuevas formas de ataque (actualmente la
defensa no tiene la iniciativa).
La información: va a permitir, en particular, la disminución de la
incertidumbre sobre las acciones enemigas confirmando o refutando las
hipótesis y ayudará a evitar los ataques por sorpresa. la información no
debe estar disociada de la planificación.
La cooperación entre las distintas líneas de defensa:
en el ámbito militar, sistemáticamente se busca la asociación entre
los distintos medios: el agregado de un medio suplementario debe
procurar una ventaja más importante que la simple suma de líneas
de defensa que no son independientes.
En el ámbito nuclear, se insiste en el aspecto de independencia
relacionado con las amenazas (las causas de fallos) de las distintas
líneas de protección.
En seguridad informática, el agregado de los dispositivos de
protección está fuertemente ligado a la presencia de amenazas,
tomadas éstas en forma unitaria.
El origen de las amenazas (internas/externas):
La noción de defensa vecina ilustra perfectamente este principio: el
enemigo puede encontrarse en toda la profundidad del dispositivo y
por consiguiente, cualquiera sea el papel que tenga, cada
combatiente debe asegurar su propia protección vecina.
En el ámbito industrial, se toman en cuenta las amenazas externas
(por ejemplo, terrorismo) al igual que las amenazas internas (el
proceso industrial en sí mismo).
En la seguridad informática encontramos el aspecto global del
ataque que proviene del interior y del exterior. la profundidad del
dispositivo de protección deberá, por lo tanto, definirse en varias
dimensiones. Esto significa que la profundidad de la defensa deberá
contemplar la organización, la implementación y las tecnologías, sin
contentarse con una simple defensa perimétrica frente al "exterior"
del sistema.
Para que exista defensa en profundidad se requiere como mínimo:
Varias líneas de defensa independientes en el sentido en que cada
una sea capaz de defenderse sola contra todos los ataques.
rigurosamente convendría hablar de líneas de defensas autónomas o
completas, es decir, aptas para responder a todas las amenazas.
efectivamente, uno de los principios de la doctrina militar dice que
además, las líneas participan en la defensa global que presenta
entonces una fuerza de defensa superior a la suma de defensas de
cada línea (este punto no es retomado como principio en el ámbito
industrial ya que se vincula más a la independencia de las barreras).
Cooperación entre las líneas de defensa, sino el concepto es llevado
únicamente a simples barreras sucesivas cuya resistencia no
depende de la anterior (entonces pueden ser atacadas
sucesivamente).
La pérdida de una línea debe permitir reforzar la defensa y no
debilitarla.
En cuanto a Cyberseguridad es importante tener en cuenta como fueron creciendo
los ataques cibernéticos y como fue evolucionando lo que algunos llaman en este
momento como la Cyberguerra.
El Ejército de Brasil y la empresa española de seguridad Panda Security
juntos contra la ciberguerra [13]
«Panda Security firmó un acuerdo a finales de octubre de 2010 con el Ejército de
Brasil para apoyar a la institución en la profesionalización de sus capacidades
operacionales en la lucha contra el ciberterrorismo, los crímenes virtuales y su
preparación estratégica para potenciales intervenciones en caso de guerra
cibernética» (El Mundo 2010). El acuerdo se ha realizado entre Panda Security y
el Centro de Comunicaciones de Guerra Electrónica del Ejército de Brasil
(CCOMGEX) y busca trabajar conjuntamente en la formación de primer nivel del
personal del Ejército así como en la investigación científica y forense de los
cibercrímenes tratando de dar respuesta en menos de 24 horas a todos aquellos
códigos dañinos (maliciosos) que afecten fundamentalmente a Brasil.
Esta noticia saltó a los medios de comunicación mundiales y brasileños y cada día
abundan las colaboraciones entre empresas fabricantes y distribuidoras de
soluciones de seguridad informática y ejércitos nacionales de diferentes países.
Irán sufre un ataque informático contra sus instalaciones nucleares [15]
Irán sufrió el 27 de septiembre de 2010, de confirmarse, el ataque cibernético más
grande de la historia. Los sistemas de control de la central nuclear de Bushehr, así
como de otras industrias, se vieron afectados por un virus de una potencia sin
precedentes, denominado Stuxnet. Los expertos consultados afirman que el 60%
de los ordenadores iraníes se podrían haber visto afectados, igual que el 20% en
Indonesia y el 8% en India. El virus Stuxnet se convierte en agente durmiente y se
puede accionar a distancia en el momento que su creador lo desee sin que el
usuario sea consciente. Dada su complejidad sin precedentes es imposible que
haya sido creado por un hacker en solitario. Todo apunta a un equipo de
profesionales que han dispuesto de medios y dinero suficiente y al menos seis
meses de tiempo para prepararlo.
Los expertos consideran que el Stuxnet es el primer virus capaz de penetrar en los
sistemas automáticos de control de infraestructuras públicas como centrales
eléctricas y nucleares, presas e industrias químicas. La complejidad del programa
fue tal que los especialistas en seguridad informática que lo han examinado están
convencidos de que no puede ser obra de un mero pirata informático. La mayoría
opina que hay un Estado detrás y que fue el primer ejemplo de guerra cibernética
[15].
Israel militariza la cibernética [16]
«En Israel se cree que el virus Stuxnet que ha atacado a las instalaciones
nucleares iraníes fue introducido por un especialista extranjero que se limitó a usar
una memoria tipo lápiz electrónico USB que estaba preparado para infectar la red
iraní» (La vanguardia 2010).
Probablemente nunca se sabrá de forma oficial y confirmada quien ha lanzado el
ataque cibernético –el mayor de la historia– contra las instalaciones atómicas
iraníes, pero lo que está claro es que en muchas capitales occidentales se mira
hacia la zona de Gelilot, al norte de Tel Aviv, donde está situada la gran unidad de
inteligencia militar conocida por sus iniciales Aman y que formada por cientos de
soldados especializados en la guerra cibernética y que en la jerga de Aman se
conoce como «las guerras del siglo XXI». La Inteligencia israelí como ya están
haciendo otras organizaciones internacionales comienza a reclutar a grandes
expertos en informática. Se señala que los especialistas en ciberseguridad
informática se aglutinan en torno a los sistemas estratégicos de Israel: el Ministerio
de Defensa, las centrales nucleares de Dimona y Sorek, el Instituto Biológico de
Nes Tsiona, las compañías de electricidad y de agua, los aeropuertos de Ben
Gurion, de Sde Dov y de Eilat, y cientos de bases militares del país, por ejemplos,
todas aquellas en las que están almacenados misiles.
La Unión Europea prueba sus defensas en un simulacro de «ciberataque»
El 4 de noviembre de 2010, se realizó el primer ejercicio de simulación de un
ciberataque llevado a cabo a nivel paneuropeo con el objetivo de mejorar la
seguridad comunitaria frente a los ataques a las redes electrónicas. El ejercicio
llamado «Cyber Europe 2010» ha sido impulsado por la Comisión Europea (CE) y
pretendía hacer frente a piratas informáticos en un intento simulado de paralizar
en varios estados miembros de la UE servicios en línea de importancia crítica.
El ejercicio fue organizado por los países de la Unión Europea con el apoyo de
ENISA [16] (Agencia Europea de Seguridad de las Redes y de la Información) y
del Centro Común de la Investigación (JCR) de la CE. Neely Kroes, vicepresidenta
de la Comisión y responsable de la Agenda Digital Europea, visitó el centro de
ataques del Reino Unido como acto preparatorio del ejercicio. A esta visita
asistieron también representantes de información de los ministerios de
comunicaciones, responsables de la protección de infraestructuras de información
esenciales, organismos de gestión de crisis, equipos de respuesta a incidentes de
seguridad informática, responsables de seguridad de la información y servicios de
inteligencia en el campo de la seguridad.
El Centro de Control del Ejercicio se estableció en Atenas y asistieron 50 personas
como participantes activos, como observadores o como directores del ejercicio.
Adicionalmente intervinieron 80 personas desplegadas por toda Europa que
actuaban bajo las instrucciones de los moderadores de Atenas y que a su vez
podían contactar con otras personas de los estados miembros de la UE.
Estuvieron implicadas más de 70 organizaciones europeas en el desarrollo del
ejercicio. El ejercicio ha nacido con la idea de continuidad en el tiempo; de hecho y
de modo anecdótico parece que el logo diseñado por ENISA para el ejercicio será
la imagen de Cyber Europe y solo habrá que cambiar en cada ocasión que se
realice el año correspondiente.
Las notas de prensa publicadas por ENISA el día 5 de noviembre hablan de que el
ejercicio concluyó con «éxito». El ejercicio consistió en exponerse a más de 320
«incidentes» y tenía como objetivo fortalecer la ciberdefensa en Europa. El director
ejecutivo de ENISA, Udo Helmbrecht, aseguró que es el primer paso para
fortalecer la ciberprotección europea. Se trataba de analizar la respuesta a los
incidentes y aprender de los errores como «lecciones aprendidas» de modo que
los Estados miembros analicen e implementen adecuadamente los resultados y
mejoren los canales y procedimientos de comunicación.
LA ACTUAL SEGURIDAD EN INTERNET. DOMINIOS INFECTADOS Y EL
NUEVO PROTOCOLO DE SEGURIDAD DNSSEC DE ICANN
La seguridad en Internet ha estado en un grave riesgo en los últimos años debido
a los riesgos existentes en el sistema legal de registro de nombres de dominio,
DNS que llegó a producir infecciones masivas de direcciones de sitios Web. El
«agujero de seguridad» parece que se ha resuelto gracias a la investigación de
ICANN, el organismo internacional regulador de los nombres de dominio, y el
posterior diseño, construcción e implantación del protocolo de seguridad DNSSEC.
Dominios infectados (estadísticas)
La compañía de seguridad McAfee publica cada año un informe sobre los
dominios más peligrosos de la Red. En este informe ha realizado un análisis
exhaustivo de más de 27 millones de sitios Web comprobando si existían
amenazas de tipo malware o spam, afiliaciones sospechosas o pop ups agresivos.
McAfee ha utilizado la tecnología Trustedforce centrada en la protección de datos
y que reúne más de 150 sensores localizados en 120 países. Como resultados
más significativos del informe, destaca que la lista de los 5 dominios más
peligrosos son:
1. .com (31,3%)
2. .info (30.7%)
3. .vn (Vietnam)
4. .cm (Camerún)
5. .am (Armenia)
Los resultados destacan que el dominio.com, el más utilizado en Internet es, a su
vez, el dominio de mayor riesgo, lo que confirma la tendencia de los hackers de
centrarse en los soportes y plataformas más masivos. El informe también destaca
que el riesgo en la Red ha aumentado con el correr de los años y los
cibercriminales son más rápidos en atacar a sus víctimas y cambian de tácticas
con gran frecuencia para no ser descubiertos
6. METODOLOGÍA SEGUIDA DURANTE LA INVESTIGACIÓN
Para el desarrollo del trabajo es importante definir una metodología y seguirla a lo
largo del proyecto, dado que será ésta la que ofrezca los pasos en que se debe
actuar para lograr el objetivo. De acuerdo a lo planteado por Mario Tamayo en el
libro El proceso de la investigación científica [11], existen diferentes tipos de
investigación que se pueden seguir y son los que definen de alguna manera los
métodos para quien investiga.
Continuando con lo sugerido en [11], el presente trabajo puede guiarse por las
líneas de una investigación correlacional. Se emplea la investigación correlacional
cuando lo que se busca es determinar el grado en el cual las variaciones de
algunos factores aparecen o actúan conjuntamente con la variación de otros
agentes. A diferencia de la investigación experimental, en este tipo de
investigación no se tiene el control de las variables independientes y se lleva a
cabo en contextos naturales.
Primero que todo hay que hacer una revisión bibliográfica de los trabajos previos
que se han realizado y que están relacionados con la seguridad de la información
en especial con la teoría de defensa en profundidad. Debido a que este campo
presenta una gran variedad de artículos, hay que tener en cuenta que la búsqueda
debe estar orientada en estudiar las diferentes etapas relacionadas con un diseño
de red, teniendo siempre presente que las redes varían en cuanto al tamaño del
negocio y personal, y del tipo de negocio. De cada una de las consultas se debe
rescatar los niveles de seguridad que se efectúan y los diferentes diseños
presentados.
Es fundamental centrar la atención en artículos y publicaciones en los que se
emplean estándares de las normas internacionales ISO 27000 para la creación de
los diversos diseños de red. Al hacer uso de esta norma en este proyecto, es
necesario observar las experiencias de otras investigaciones acerca de su manejo
y de las ventajas respecto a otras normas internacionales en las diferentes
implementaciones.
Se debe también recolectar de los distintos ataques informáticos que se dan hoy
en día, y las posibles soluciones para cada uno de ellos, así utilizar las distintas
herramientas ya establecidas en un diseño más compacto.
El siguiente paso debe ser una recolección de diferentes diseños de red ya
establecidos, para observar sus beneficios y sus errores respecto a otros modelos
y a los ataques que se dan en la actualidad.
Posteriormente se debe empezar a generar el diseño de red en los distintos
niveles de profundidad, y comenzar con la sinergia entre los mismos, aplicando
las distintas herramientas que mitiguen los riegos de los diferentes ataques
conocidos y los posibles ataques nuevos
Cuando se posea un diseño preliminar se desea validar la arquitectura de red
creado con algunos administradores de red, así como consultores para que para
que se pueda validar la viabilidad real del diseño y hacer las modificaciones del
caso. Así como la validación mediante la herramienta Kali, la cual brinda la
posibilidad de creación de pruebas de penetración sobre el diseño de red.
Para terminar, es de gran importancia la documentación de todo el proceso a lo
largo del proyecto. Allí se debe hacer una estimación de la relación costo-beneficio
del diseño para su posible implementación además de mostrar los resultados
obtenidos y las conclusiones que se abstraen de todo el trabajo.
7. DESARROLLO DEL DISEÑO
Dada la creciente sofisticación de los métodos de cibercrimen, las organizaciones
deben emplear herramientas y prácticas de evaluación avanzada para reducir o
eliminar las brechas de seguridad. La realización de una revisión objetiva de la
situación actual es el primer paso hacia el logro de una base de seguridad. Una
evaluación completa debe evaluar la postura actual en todos los ámbitos, desde la
arquitectura de red y la infraestructura política de seguridad y de capacidad de
monitoreo y preparación de respuesta a incidentes. Al llevar a cabo esta
evaluación, organizaciones generarán la entrada necesaria para diseñar un plan
para operaciones fundamentalmente seguras.
Para el desarrollo del diseño se deben tener en cuenta, que este va ser parte del
sistema de gestión de la seguridad de la información (SGSI), por lo cual debe
alinearse a ciertos parámetros y controles que nos da las normas ISO27001:2013
y COBIT 5.0. Por lo cual se necesita definir o establecer los siguientes parámetros
o esquemas:
Conocer el contexto de la organización; se necesita establecer y determinar
los aspectos internos o externos que afectan a la organización y que son
necesarios para cumplir con el propósito de la organización. Esto debido a
que no todas las empresas necesitan el mismo nivel de seguridad para los
mismos sistemas de información.
Generar una evaluación de impacto y riesgos de la seguridad de la
información; se debe realizar para determinar cuáles son los posibles
riesgos e impactos que se pueden generar en la empresa, así como cuáles
son sus procesos, áreas o sistemas de información críticos, y a los cuales
se les deberá de dar mayor protección y prioridad.
Generación de las políticas organizacionales; son necesarios para el
cumplimiento del sistema de gestión de seguridad de la información, en
nuestro caso el establecimiento de una arquitectura de red segura.
Generación de la arquitectura de red del sistema en forma general;
generación de la arquitectura de red basada en los tres puntos anteriores.
Calificación de la arquitectura de red basada en diseño en profundidad; se
debe verificar y validar la arquitectura de red, y comparar con otras
arquitecturas de red.
Generar una evaluación permanente y periódica del diseño de red; es
necesario para la mejora continua que necesitan los sistemas de
información, y los sistemas tecnológicos en general.
7.1 Contexto De La Organización
Dentro del contexto de la organización se debe tener en cuenta:
Tamaño de la organización, se debe verificar el número de empleados que
se posee.
Tipo de negocio: Cual es el área de trabajo de la empresa (educación,
financiero, gubernamental, etc.)
Qué tipo de información se maneja en la organización.
7.1 Evaluación de impacto y riesgos
Para la evaluación de Impacto y de Riesgo de una organización, se debe generar
una matriz de riesgo donde se evalué y se tomen las siguientes consideraciones:
Aspecto a Evaluar Consideraciones
Arquitectura de red
Acceso y Salida de
información.
¿Cuántos puntos de acceso y salida de información se
poseen?
¿Dónde se encuentran estos puntos de acceso y
salida de información, y como se utilizan?
¿Cómo se están protegiendo estos puntos, y quien
está controlando y gestionando la información que
pasa por ellos?
Servicios Críticos para la
organización
¿Cuáles son los servicios críticos necesarios para
ejecutar las operaciones de negocio del día a día?
¿Están debidamente protegidos por la segmentación
física?
¿Qué controles existen para proteger su operación?
Información crítica del
negocio
¿Cuáles son las fuentes de datos críticos y donde se
almacena esa información?
¿Están debidamente protegidos por una correcta
segmentación física?
¿Qué controles existen para proteger el acceso y la
integridad de los datos?
¿Qué datos se deben cifrar en reposo y en
movimiento?
Segmentación de la
arquitectura de red
La red esta segmentada para prevenir el fácil acceso a
través de grandes secciones de la red?
¿Los puntos de ingreso y salida están segmentados
similarmente? ¿Y Servicios y datos críticos?
Infraestructura De Seguridad
Controles De Seguridad ¿Qué controles de seguridad se encuentran
actualmente?
¿En los puntos de entrada / salida?
¿Para proteger los servicios críticos?
¿Para proteger los datos críticos?
¿Se cifran los datos críticos en reposo y en
movimiento?
¿Los controles de seguridad admiten identidad de los
usuarios?
¿Los controles de seguridad detectan o previenen?
¿Están los controles de seguridad establecidos para
bloquear ataques conocidos o críticos?
¿Qué política de controles de contraseñas existen
para la administración, operación y usuarios en
general?
¿Qué controles avanzados de prevención de
amenazas están en su empresa?
¿Dónde están desplegados?
¿Están en la detección o el modo de prevenir?
¿Están integrados y apoyan a toda la
infraestructura de seguridad o están de forma
independiente?
Tabla 1. Aspectos a evaluar
Para la generación de la infraestructura de red y como uno de los riesgos más
importantes, se debe conocer los tipos de ataques cibernéticos más usados y las
herramientas de hardware y software que se estén utilizando y probando en este
momento para disminuir el riesgo residual de cuando ocurren.
Dentro de las definiciones del RFC 2828 la Internet Engineering Task Force
(IETF) define un ataque como un acto inteligente que es un intento deliberado
(sobre todo en el sentido de un método o técnica) para evadir los servicios de
seguridad y violar la política de seguridad de un sistema.
Además define dos tipos de ataques
Pasivo: Un ataque pasivo trata de aprender o hacer uso de información del
sistema, pero no afecta la información ni los recursos del sistema.
Activo: un ataque activo trata de alterar los recursos del sistema y/o afectar
la operación del mismo.
Ataque Software o Hardware
Pasivo
Sniffers Firewall
Port scanner Firewall, IPS
Idle scanner Firewall, IPS
Activos
Denegación de servicios DoS DDoS,
Ataques de Día Cero IPS, Firewall
Spoofing Firewall
Man In The Middle MITM IPS
ARP Poisoning IPS
Buffer overflow DDoS
Format string attack Firewall, IPS
Tabla 2. Tipos de ataques
7.2 Políticas Organizacionales
Las políticas de seguridad de la información, deben contemplar tanto el
fortalecimiento y aseguramiento de una buena infraestructura física de seguridad,
como el correcto actuar de las personas que poseen información. Debido a que la
información se ve comprometida muy frecuentemente por desconocimiento de los
procedimientos.
7.3 Arquitectura de red
Teniendo en cuenta los diseños de red y las recomendaciones de seguridad dados
por algunos proveedores de seguridad como Checkpoint, Cisco, Mcafee, Fortinet,
etc, se establece la seguridad en profundidad como un diseño en capas o por
escalones que fortifican la información de la empresa, la siguiente grafica muestra
una recopilación de esas capas o escalones que se deben de tener en cuenta
para generar un buen diseño de red.
Figura 1. Capas de defensa en profundidad
En esta imagen se puede observar, como los datos que son la información real,
son los más importantes y son los que se trataran de proteger con las demás
etapas. Así también se muestra que es vital que se posean políticas
procedimientos y una seguridad física que proteja la entidad o empresa.
Debido al rápido crecimiento de las empresas, de la tecnología y el internet,
muchas de las empresas poseen una arquitectura de red plana en donde todos los
segmentos de red si es que se poseen, están concentrados todos a una única
puerta de enlace un firewall en algunos casos o directamente a un Switch Core
como se muestra en la siguiente figura
Red LAN
Internet
Vlan DMZ
Router Sedes
MPLS
Switch Core
Router
Terceros
Router
Internet
Servidores DMZ
Gate
way
Vlan
Servidores
Sedes
Figura 2. Topología de red plana
Dado los diversos escenarios de las empresas pero la similitud en cuanto a
funcionamiento de su flujo de información, es necesario como primer paso generar
una correcta segmentación y unas políticas de acceso entre esos distintos
segmentos.
Con el fin de empezar a implementar la defensa en profundidad, se debe
considerar el siguiente escenario, lo cual es una configuración común de una
empresa. Muchas empresas utilizan a terceros como proveedores de
infraestructura de alojamiento, y lo hacen por varias razones. Mediante el uso de
hospedajes externos, las empresas son capaces de aprovechar bien el espacio
tradicional o la potencia del modelo (también llamado colocación) en un entorno
físicamente seguro en el proveedor de alojamiento, mientras gestionan el sistema
ellos mismos, o compran los servicios gestionados de hosting del proveedor, que
incluyen servicios de redes, de sistemas y de seguridad.
Estos entornos suelen estar diseñados para albergar los sistemas de acceso
públicos de una empresa, que podrían variar desde los servicios de correo o de
transferencia de archivos para usuarios corporativos, hasta la plataforma de
comercio electrónico de la empresa.
Al igual que con cualquier colocación o implementación gestionada, la seguridad
juega un papel importante en el entorno. Un enfoque típico para el diseño de la
seguridad de un entorno comienza con la red.
La plataforma de negocio simplificada generalmente consiste en el nivel web que
actúa como la capa de presentación de la entidad, y donde se pueden
realizar varias de las operaciones. Esto, a su vez, está soportado por el
middleware (servidores de aplicación) y los niveles de base de datos. El diseño
requiere que cada uno de los niveles se encuentre alojado en su propia red
dedicada, principalmente las redes locales virtuales de área o VLAN. Esto se
realiza generalmente mediante la segmentación de los niveles, utilizando un
dispositivo de filtración (como un firewall) en los servidores web en la interfaz de
baja seguridad, mientras que los niveles de middleware y la base de datos se
alojan en el interfaz de alta seguridad.
Los niveles de middleware y base de datos no son accesibles directamente desde
la red pública. En algunos diseños de escenarios, los niveles de middleware y
bases de datos están detrás de la misma interfaz de firewall pero en VLANs
separadas. En tales escenarios, no hay filtrado de tráfico entre los dos niveles a
menos que sea forzado por los conmutadores.
Basado en esto se puede tener obtener un primer acercamiento a lo que se
podría considerar un diseño de red de los servicios accedidos por internet, y lo que
nos daría un primer nivel de seguridad en la capa perimetral así como en la capa
de aplicación y datos.
Vlan DMZ
Router
Internet
VLAN
APLICACION
Internet
FW-SERVIDORES
VLAN BD
FW-PERIMETRAL
Bases de
datos
Figura 3. Topología de red con servidores
El firewall en este caso actúa como la principal, y potencialmente la única línea de
defensa contra amenazas basadas en Internet. Se utiliza este entorno como base
para implementar una estrategia de defensa en profundidad usando tecnologías
de seguridad existentes.
En el siguiente proceso se debe tener en cuenta que la mayoría de las empresas
cuentan con una red interna en la cual se encuentran los terminales de los
usuarios contratados por la misma, teniendo en cuenta que muchas veces los
usuarios internos tienen acceso a servidores y a las bases de datos, y también
requieren un nivel de protección tanto de internet hacia ellos, como de ellos a los
servidores.
En la siguiente figura se puede observar cómo se puede implementar la
segmentación de red, y dar por lo menos dos capas de seguridad de red desde
internet y hacia los servidores.
Vlan DMZ
Router
Internet
VLAN
APLICACION
Internet
FW-SERVIDORES
VLAN BD
FW-PERIMETRAL
Bases de
datos
FW-LAN
RED LAN
Figura 4. Topología de red con red LAN
En esta figura se puede visualizar como se obtienen los dos niveles de protección
para los datos desde nuestra red LAN y desde la INTERNET.
Tomando en cuenta que muchas empresas no son totalmente centralizadas o
poseen centros de prestación de servicios de donde son consultados los
servidores de la entidad sin pasar por internet, generalmente pasan por una MPLS
o canales dedicados prestados por un ISP.
Por lo que es necesario al igual que los usuarios de la LAN crearles listas de
acceso y protección desde internet y hacia las bases de datos y aplicaciones.
Vlan DMZ
Router
Internet
VLAN
APLICACION
Internet
FW-SERVIDORES
FW
-PE
RIM
ET
RA
L
Bases de
datos
FW-LAN
RED LAN
Router MPLS
MPLS
Sede 1 Sede 2 Sede 3 Sede 4
FW-WAN
Figura 5. Topología de red con red WAN
En la gráfica se puede observar que las sedes se conectan por una red MPLS
directamente o por un canal dedicado a un router conectado directamente a un
nuevo firewall en donde se darían las nuevas listas de acceso de las sedes.
Por último en cuanto a terminales de personas se tienen los contactos con
terceros, que no son accedidos por internet, y se conectan mediante enlaces
dedicados a la empresa, lo que hace necesario conectar esas interfaces a un
firewall para crear las listas de acceso, y generar seguridad de posibles fallas de
seguridad producidas en las otras empresas.
RED LAN
Router
Internet
Vlan
Servidores
FW-Perimetral
FW-LAN
Servidores DMZ
INTERNET
FW-WAN
FW-
SERVIDORE
S
FW-
TERCEROS
Router MPLS
MPLS
Sede 1 Sede 2 Sede 3 Sede 4
Tercero 1
Tercero 2
Tercero 3
Figura 6. Topología de red con red de terceros
De esta manera se protege nuestra data de terceros que la consuman con un nivel
extra, y se da la posibilidad de mantener una única ruta por defecto en caso de
que nuestra empresa necesite consumir los servicios de otras empresas al
emplear el firewall perimetral como la única puerta de enlace.
Luego de tener en la segmentación completa y funcionamiento principal de toda
empresa es necesario referirse a las normas ISO 27001:2013 Y COBIT 5
Information Security para tener en cuenta los controles que conciernen a cuanto al
diseño y poder añadir ciertos parámetros necesarios.
Los controles que se encuentran en los anexos de los artículos y se ven
directamente relacionados con el diseño de red se encuentran principalmente en
el anexo A de la ISO 27001:2013:
“Control A6.2.1 Política para dispositivos móviles. Se debe adoptar una
política y una medidas de seguridad de soporte, para gestionar los riesgos
introducidos por el uso de dispositivos móviles.”
“Control A6.2.2 Teletrabajo. Se deben implementar una política y una
medidas de seguridad de soporte para proteger la información a la que
tienen acceso, que es procesada o almacenada en los lugares en los que
se realiza teletrabajo”
“Control A 9.4.4 Uso de programas utilitarios privilegiados. Se debe
restringir y controlar estrechamente el uso de programas utilitarios que
podrían tener capacidad de anular el sistema y los controles de
aplicaciones”
“A.12.1.4. Separación de los ambientes de desarrollo, ensayo y
operación. Se deben separar los ambientes de desarrollo, ensayo y
operativos, para reducir los riesgos de acceso o cambios no autorizados al
ambiente operacional.”
“A.12.2.1. Controles contra códigos maliciosos. Se deben implementar
controles de detección, de prevención y de recuperación, combinarlos con
la toma de conciencia apropiada de los usuarios, para proteger contra
códigos maliciosos.”
“A.12.3.1. Copias de respaldo de la información. Se deben hacer copias
de respaldo de la información, software e imágenes de los sistemas y
ponerlas a prueba regularmente de acuerdo con una política de copias de
respaldo acordadas.”
“A.12.4.2. Protección de la información de registro. Las instalaciones y
la información de registro se deben proteger contra alteración y acceso no
autorizado.
“A.13.1.2. Seguridad de los servicios de red. Se deben identificar los
mecanismos de seguridad y los niveles de servicio y los requisitos de
gestión de todos los servicios de red, e incluirlos en los acuerdos de
servicios de red, e incluirlos en los acuerdos de servicio de red, ya sea que
los servicios se presten internamente o se contraten externamente.”
“A.13.1.3. Separación en las redes. Los grupos de servicios de
información, usuarios y sistemas de información se deben separar en las
redes.”
“A.14.2.6. Ambiente de desarrollo seguro. Las organizaciones deben
establecer y proteger adecuadamente los ambientes de desarrollo seguros
para las tareas de desarrollo e integración de sistemas que comprendan
todo el ciclo de vida de desarrollo de sistemas.”
“A.17.2.1. Disponibilidad de instalaciones de procesamiento de
información. Las instalaciones de procesamiento de información se deben
implementar con redundancia suficiente para cumplir los requisitos de
disponibilidad.”
En el siguiente diagrama se puede apreciar los cambios proporcionados los por
los controles.
RED LAN
Router
Internet
Vlan
Servidores de aplicacion
FW-Perimetral
FW-LAN
Servidores DMZ
INTERNET
FW-WAN
FW-
SERVIDORES
FW-
TERCEROS
Router MPLS
MPLS
Sede 1 Sede 2 Sede 3 Sede 4
Tercero 1
Tercero 2
Tercero 3
Vlan
Servidores de Bases de datos
FW-
SEGURIDAD
FW-BD
MGMT
Servidores
de
Seguridad
Servidores
de
monitoreo
FW-
DESARROLLO
Servidores
de
Desarrollo
y Pruebas
Servidores
de
Backup
VLAN de
Wireless
VLAN de
Dispositivos
moviles
En el anterior diagrama se puede apreciar cómo se dividen las dos VLAN de
aplicaciones y Bases de datos en distintos firewalls para darles mayor seguridad a
los datos.
Se creó una VLAN de Backup dentro del Firewall de aplicaciones, y teniendo en
cuenta que para la tarea de Backup es primordial que los datos no atraviesen los
firewalls debido a que pueden llegar a modificar los mismos es necesario que se
creen conexiones directas entre los servidores a los cuales se les va a realizar el
respaldo y la VLAN creada.
De la misma manera se crearon las VLAN de Wireless y una de acceso a
dispositivos móviles pegados al Firewall de LAN, es de considerar que si los
dispositivos móviles a conectar no son propios del personal de la empresa y no
son para tareas empresariales es de considerar la creación de la VLAN en un
firewall distinto. Debido a que comprometería la LAN directamente.
Se generó un nuevo firewall de Desarrollo con el cual se separan los ambientes de
desarrollo y producción por completo, en caso de que los usuarios desarrollares se
encuentren en la LAN sería necesario generar una conexión de este al FW LAN.
Dado que los firewall generan una protección de listas de acceso y de inspección
de los paquetes evitando paquetes corruptos o con firmas maliciosas evitamos
accesos a segmentos de red o a terminales finales de personas no deseadas, sin
embargo es necesario tener en cuenta que no solo con listas de acceso se logran
controlar los ataques que puede surgir nuestra empresa. Para ello es necesario
agregar ciertos elementos complementarios que colaboran con la seguridad de la
empresa y disminuyen el riesgo de ataques.
Entre el software o hardware que se puede tener en cuenta para la arquitectura de
red se puede encontrar:
IPS: Debido a su función como sistema de detección de intrusos
generalmente en las nuevas tecnologías está incluido como software dentro
de los cortafuegos ya que los complementa verificando el estado de la red
desde tres puntos de vista. Verificando los paquetes en busca de firmas de
software malicioso, de acuerdo a políticas que el administrador de la
plataforma le instale de acuerdo a las normas establecidas, y basadas en
anomalías comportamentales de la red.
Anti-Virus: este software está incluido en la totalidad de soluciones de
cortafuegos de última generación, presta la solución en contra de virus,
spyware, troyanos, rootkids, etc. Este software se encuentra generalmente
tanto en los cortafuegos protegiendo la red o el perímetro y el los terminales
o computadores personales.
Anti-bot: Este software es generalmente implementado en partes de la red
en donde se concentren o pase gran parte del tráfico, trata de evitar que se
generen peticiones repetitivas desde una terminal a otra generando trafico
innecesario dentro de la red.
Anti-Spam: Software o hardware encargado de verificar que los correos
provean de fuentes confiables y no ocupen espacio en los buzones de
entrada de los usuarios.
Prevención de ataques de Denegación de Servicios DoS: Este dispositivo
se encarga de evitar ataques por denegación de servicio o ataques
distribuidos de denegación de servicios, evitando las caídas de
generalmente nuestros servidores front ubicados en la DMZ y servidores de
aplicaciones.
RPKI: Herramienta relativamente nueva (2011), posee una plataforma
encargada de verificar las IPs públicas que se trasladan dentro de la red,
generalmente se presenta sobre los routers de borde en una infraestructura
BGP. Tratando de evitar la sustitución de IPs y ataques desprendidos del
mismo.
Ataques por DNS: Este Dispositivo es encargado de validar los paquetes
por DNS y la validación de los certificados implementados por los mismos.
Evitando el robo de los certificados SSL de la organización o el re
direccionamiento de páginas web.
Control de aplicaciones y filtrado web: este software es el encargado de
proteger la red de páginas Web o aplicaciones no deseadas y con
contenidos maliciosos o no productivos para la empresa, generalmente se
controla desde los cortafuegos de última generación o con un dispositivo en
la salida a internet o en las peticiones que se generan al proxy.
RED LAN
Router
Internet
Vlan
Servidores de aplicacion
FW-Perimetral
FW-LAN
Servidores DMZ
INTERNET
FW-WAN
FW-
SERVIDORES
FW-
TERCEROS
Router MPLS
MPLS
Sede 1 Sede 2 Sede 3 Sede 4
Tercero 1
Tercero 2
Tercero 3
Vlan
Servidores de Bases de datos
FW-
SEGURIDAD
FW-BD
MGMT
Servidores
de
Seguridad
Servidores
de
monitoreo
FW-
DESARROLLO
Servidores
de
Desarrollo
y Pruebas
Servidores
de
Backup
VLAN de
Wireless
VLAN de
Dispositivos
moviles
Figura 8. Topología de red final
7.4 Pruebas de penetración
Para las pruebas de penetración se generaron dos ambientes, uno simple en
donde los servicios están directamente conectados al servidor de Kali para las
pruebas de penetración, y otro con un nivel de seguridad mayor con los
parámetros descritos en el punto 7.3 como se muestra en la gráfica, y así verificar
la eficiencia de dichos controles.
Las herramientas utilizadas para realizar las pruebas de penetración fueron
NMAP, Openvass y metasploit.
La metodología utilizada para realizar el proceso de análisis de vulnerabilidades y
pruebas de hacking ético es la siguiente:
Fase I. Evaluación de la información
En esta fase se realiza reconocimiento y recolección de la información que se
posee o es identificada a través de un proceso de escaneo ético basado en
métodos de ingeniería social o herramientas tecnológicas especializadas.
Igualmente, se identifican los activos de información y se realiza un análisis de
riesgos, se identifican y analizan los posibles escenarios reales a ser impactados
posteriormente.
Actividades de la Fase I
En la Fase I el cual contempla la evaluación de la información se definen las
siguientes actividades:
Reconocimiento y recolección de información.
Reconocimiento: El reconocimiento se refiere a la fase preparatoria donde el
atacante obtiene toda la información necesaria de su objetivo o victima antes de
lanzar el ataque. Esta fase le permite al atacante crear una estrategia para su
ataque.
Análisis de vulnerabilidades.
Fase II. Análisis
En esta Fase II se realiza el análisis de la información proporcionada de la fase
anterior con el fin de seleccionar los escenarios reales a ser impactados y definir el
plan de trabajo para los escenarios reales a ser impactados.
Actividades de la Fase II
En esta Fase II de análisis se definen las siguientes actividades:
Testeo del plan.
Ejecución de pruebas de análisis.
Escaneo: Esta es la fase que el atacante realiza antes de la lanzar un
ataque a la red. En el escaneo el atacante utiliza toda la información que
obtuvo en la fase de Reconocimiento para identificar vulnerabilidades
específicas.
Identificación de sistemas y puertos activos: Después de escanear la
red y obtener la información de los equipos activos, el atacante determinará
los sistemas operativos y los puertos que se encuentran activos en cada
componente tecnológico.
Identificación de servicios: Al lograr detectar los sistemas operativos que
se encuentran en cada componente y el puerto abierto, será más sencillo
determinar el tipo de servicio que se ejecuta en el puerto y la versión del
mismo.
Análisis de vulnerabilidades: Mediante herramientas automatizadas se
generó la comprobación de las vulnerabilidades existentes en los
componentes tecnológicos a evaluar, de acuerdo con las bases de datos de
vulnerabilidades estándar.
Fase III. Intrusión
En esta fase se realiza el análisis de las vulnerabilidades técnicas a los escenarios
reales seleccionados, detectando los puntos débiles en los mismos y realizando
las pruebas de intrusión para explotarlas. Las vulnerabilidades encontradas se
referenciarán con los estándares de la CVE (Common Vulnerabilites and
Exposures) y NVD (National Vulnerability Database).
Se realizan pruebas de intrusión tipo caja gris de acuerdo a lo establecido en el
alcance de las pruebas de penetración donde explotan las vulnerabilidades y se
intenta acceder a los objetivos de intrusión definidos, escalonar privilegios y atacar
otros que se permitan durante la aplicación de las dichas pruebas.
Actividades de la Fase III
En la Fase III en el cual se realiza la intrusión a las vulnerabilidades encontradas
se definen las siguientes actividades:
Análisis de vulnerabilidades.
Ejecución de pruebas de intrusión.
Explotación de vulnerabilidades (Intrusión): Dentro de la fase de
intrusión, no se realiza la explotación de vulnerabilidades que puedan
desencadenar denegación o degradación de servicio. De esta forma, se
debe tener en cuenta que no serán explotadas el 100% de las
vulnerabilidades identificadas.
Fase IV. Evaluación de exposición
En esta fase se analizan los resultados de las pruebas de intrusión realizadas, se
identifican los controles y recomendaciones pertinentes para mitigar las
vulnerabilidades y riesgos identificados.
Actividades de la Fase IV
En la Fase IV en el cual se realiza la evaluación de exposición de los sistemas de
información, se definen las siguientes actividades:
Análisis de resultado.
Análisis de información: Después de recolectar toda la información de las
vulnerabilidades técnicas encontradas, se procedió a realizar el análisis de
dicha información, con el fin de decidir el vector de ataque a realizar en las
pruebas de penetración. De igual forma se consolidó y organizó la
información recolectada para generar los reportes de vulnerabilidades
críticas, altas y medias encontradas por grupos de dispositivos y por
criticidad de los componentes tecnológicos evaluados.
Escenario 1.
Para el escenario 1 se colocaron los siguientes equipos en una misma red a través
de una plataforma virtualizada por VMware.
Windows Server 2008 R2
Windows 7 home Basic
Kali Linux
Windows Server 2008
Windows 7
KALI
Figura 9. Topología de red Escenario 1
Se realiza como Primera etapa un análisis de puertos abiertos y así visualizar los
servidores
Figura 10. Nmap Windows Server 2008
Figura 11. Nmap Windows 7
Escenario 2.
Para el escenario número 2 se creó la siguiente arquitectura de red con los
mismos servidores y equipos colocados esta vez en diferentes segmentos de red.
Windows Server 2008FW-2
Windows 7
FW-1
KALI
Figura 12. Topología de red Escenario 1
Puertos Descubiertos Escenario 1
Windows Server 10 puertos
Windows 7 home basic 10 puertos
Puertos Descubiertos Escenario 2
Windows Server 2 puertos
Windows 7 home Basic 2 puertos
La herramienta utilizada fue Nmap
Vulnerabilidades Descubiertas Escenario 1
Windows Server : 18*
Windows 7 home basic : 16*
Vulnerabilidades descubiertas Escenario 2
Windows Server: 10*
Windows 7 home Basic: 11*
Se tiene que tiene que tener en cuenta que muchas de las vulnerabilidades
encontradas son propias del servicio prestado, como parches de la aplicación y no
pueden ser ocultadas por los dispositivos de seguridad
La herramienta utilizada fue Openvass
Vulnerabilidades Explotadas Escenario 1
Windows Server : 6
Windows 7 home basic : 3
Vulnerabilidades Explotadas Escenario 2
Windows Server: 1*
Windows 7 home Basic: 0
Se tiene que tiene que tener en cuenta que muchas de las vulnerabilidades
encontradas son propias del servicio prestado, como parches de la aplicación y no
pueden ser ocultadas por los dispositivos de seguridad
La herramienta utilizada fue Metasploit framework
Se puede observar que hay una disminución importante de aproximadamente el
80 de las amenazas o vulnerabilidades encontradas y explotadas mediante KALI
2.
Las evidencias de las vulnerabilidades así como si explotación se pueden
encontrar en el anexo A.
8. ALCANCES, LIMITACIONES Y FUTUROS TRABAJOS
El diseño que se llevó a cabo está enfocado a empresas de gran tamaño operativo
que tengan más de 500 empleados, a las cuales se pueda evidenciar todas las
posibles fallas de la arquitectura de red, y posean la capacidad adquisitiva de
todas las herramientas necesarias para asegurar la información.
Se darán únicamente lineamientos básicos en cuanto a políticas administrativas,
para el sostenimiento de la arquitectura de red, esto debido a que la red no se
sostiene por si sola y por el contrario es mayormente el empleado consiente de la
seguridad informática el que brinda la mayor seguridad a la empresa.
Las normas ISO 27000 son una herramienta de apoyo para la creación de la
arquitectura de red, más no una imposición para la misma, se escogieron las que
se consideraron necesarias y propias del proyecto.
Es necesario seguir actualizando la arquitectura de red, debido a que los
ciberataques son cada vez más adaptables y cada vez más potentes, además de
analizar a las personas en el papel de la seguridad corporativo para así evitar la
ingeniería social.
9. CONCLUSIONES
La modernización de los diseños de red es tan necesaria como la
actualización de equipos de seguridad, debido a que la mayoría de los
ciberataques pueden comprometer la información de una empresa
La defensa en profundidad utilizada en computación ayuda a proteger los
diversos niveles de información para así asegurar su confidencialidad,
disponibilidad e integridad.
Los sistemas de gestión de la seguridad de la información son una pieza
clave en la construcción y desarrollo de una red, ya que dan los
lineamientos y controles necesarios para proteger uno de los insumos más
grandes de las empresas.
Para la estabilidad de un diseño de red es necesario, es necesario tener en
cuenta la capacidad de la misma en cuanto a trabajadores, clientes, poder
adquisitivo, y cantidad de información manejada.
Es necesario seguir actualizando la arquitectura de red, debido a que los
ciberataques son cada vez más adaptables y cada vez más potentes,
además de analizar a las personas en el papel de la seguridad corporativo
para así evitar la ingeniería social.
Las personas como la información son un activo demasiado valioso dentro
de una organización, y debido a que son ellas el primer flanco de ataque en
la mayoría de los ciberataques es necesario generar políticas dentro de un
SGSI que les enseñe y les proteja.
Las herramientas de seguridad disminuyen en un 80 % los ataques
cibernéticos, que podrían afectar una compañía, sin embargo son más
efectivas como contención para detectar el problema, y así aplicar los
correctivos necesarios debido a que todo sistema es propenso a fallas.
Las pruebas de penetración son una herramienta muy valiosa para validar
la seguridad de una red, y tomar las medidas de seguridad necesarias
sobre la misma.
10. BIBLIOGRAFIA
[1] República de Colombia, “Agenda Estratégica de Innovación:
Ciberseguridad.” Min TIC, Marzo 2014. [2] CISCO, “CCNA EXPLORATION 4.0- conceptos básicos de networking”,
Septiembre 2012, página 51.
[3] IY, «Encuesta sobre el uso de TIC y del comercio Electrónico en las
empresas 2010/2011,» 2011
[4] 3com, "Seguridad de Redes: Una guía para implementar Firewalls", 2010.
[5] 3com, "Seguridad de Redes: Una guía para implementar Firewalls", 2010,
página 26.
[6] "Red privada virtual" cisco, disponible en http://www.cisco.com/web/LA/
soluciones/la/vpn/index.html
[7] CISCO "CCNA security" 2014, pág. 68
[8] CISCO, “CCNA EXPLORATION 4.0- conceptos básicos de networking”,
Septiembre 2012, página 110.
[9] Republica de Francia "La defensa en profundidad aplicada a los sistemas
de información" compendio disponible en: http://www.ssi.gouv.fr/archive/es/
confianza/documents/methods/mementodep-V1.1_es.pdf pag 8.
[10] Republica de Francia "La defensa en profundidad aplicada a los
sistemas de información" compendio disponible en:
http://www.ssi.gouv.fr/archive/es/
confianza/documents/methods/mementodep-V1.1_es.pdf pag. 9.
[11] G. R. Naik, D. K. Kumar, and M. Palaniswami, “Multi run ICA and surface EMG based signal processing system for recognising hand gestures,” in 8th IEEE International Conference on Computer and Information Technology, 2008. CIT 2008, 2008, pp. 700–705.
[12] Internet Engineering Task Force RFC 2828 Internet Security Glossary
[13] Ángeles ESPINOSA, El País, 28 septiembre de 2010, p. 6.
[14] Kevin M. Henry. Pruebas de Penetración: Protección de Redes y
Sistemas. Gobierno de TI Ltd. ISBN 978-1- 849-28371-7.
[15] [en línea] www.elmundo.es/elmundo/2010/11/08/navegante/1289231632.htm
[16] Ángeles ESPINOSA, El País, 28 septiembre de 2010, p. 8
[17] República de Colombia, “Agenda Estratégica de Innovación:
Ciberseguridad.” Min TIC, Marzo 2014. [18] CISCO, “CCNA EXPLORATION 4.0- conceptos básicos de
networking”, Septiembre 2012, página 51.
[19] IY, «Encuesta sobre el uso de TIC y del comercio Electrónico en las
empresas 2010/2011,» 2011
[20] 3com, "Seguridad de Redes: Una guía para implementar Firewalls",
2010.
[21] 3com, "Seguridad de Redes: Una guía para implementar Firewalls",
2010, página 26.
[22] "Red privada virtual" cisco, disponible en
http://www.cisco.com/web/LA/ soluciones/la/vpn/index.html
[23] CISCO "CCNA security" 2014, pág. 68
[24] CISCO, “CCNA EXPLORATION 4.0- conceptos básicos de
networking”, Septiembre 2012, página 110.
[25] Republica de Francia "La defensa en profundidad aplicada a los
sistemas de información" compendio disponible en:
http://www.ssi.gouv.fr/archive/es/
confianza/documents/methods/mementodep-V1.1_es.pdf pag 8.
[26] Republica de Francia "La defensa en profundidad aplicada a los
sistemas de información" compendio disponible en:
http://www.ssi.gouv.fr/archive/es/
confianza/documents/methods/mementodep-V1.1_es.pdf pag. 9.
[27] G. R. Naik, D. K. Kumar, and M. Palaniswami, “Multi run ICA and surface EMG based signal processing system for recognising hand gestures,” in 8th IEEE International Conference on Computer and Information Technology, 2008. CIT 2008, 2008, pp. 700–705.
[28] Internet Engineering Task Force RFC 2828 Internet Security Glossary
[29] Ángeles ESPINOSA, El País, 28 septiembre de 2010, p. 6.
[30] Kevin M. Henry. Pruebas de Penetración: Protección de Redes y
Sistemas. Gobierno de TI Ltd. ISBN 978-1- 849-28371-7.
[31] [en línea] www.elmundo.es/elmundo/2010/11/08/navegante/1289231632.htm
[32] Ángeles ESPINOSA, El País, 28 septiembre de 2010, p. 8