Post on 19-Sep-2018
Universidad de Colima Facultad de Telemática
“ANÁLISIS E IMPLEMENTACIÓN DE UN ESQUEMA DE
SEGURIDAD EN REDES PARA LA UNIVERSIDAD DE COLIMA”
TESIS
Que para obtener el grado de
MAESTRO EN CIENCIAS, AREA TELEMATICA
Presenta
Ing. Aaron Clemente Lacayo Arzú
Asesor
M.C. Raymundo Buenrostro Mariscal
Colima, Colima Julio de 2004
Dedicatoria A Dios.
Por darme la fuerza espiritual que siempre le pedí para llegar a mis metas.
A mi Padre, Antonio Lacayo García, que en paz descanse.
Por que siempre me aconsejo y me indico el buen camino.
Te Amo, Papa, que Dios te tenga en su gloria.
A mi Madre, Bertha Isabel Arzú Cacho
Por estar siempre apoyándome y darme aliento para seguir adelante.
Te Amo, madre, que Dios te bendiga.
A mis hermanos
Por creer en mí y motivarme a seguir adelante.
A Patricia Alejandra Tabora Motiño.
Mi linda.
Por su inmenso amor y cariño
Te Amo.
Al Gobierno de México
Porque esta tesis corresponde a los estudios realizados con una beca otorgada por la
Secretaría de Relaciones Exteriores del Gobierno de México
Muchas gracias por darme la oportunidad de completar mis estudios de maestría.
Agradecimiento
Luego de un largo período y esfuerzo doy por terminada la Maestría en Ciencias Área
Telemática, por lo que deseo agradecer a todos los que día a día me brindaron su apoyo
incondicional.
Primeramente deseo darle gracias a Dios, por todas las bendiciones derramadas en mi vida
y principalmente por toda la fortaleza que obtuve y que hoy me permite culminar una etapa
importante en mi vida.
A mi familia, que me ha brindado apoyo y motivación constante para poder enfrentar este
reto tan importante para mi bienestar personal y profesional.
A la MAE. Patricia Alejandra Tábora Motiño por su tutoría constante en el desarrollo de la
investigación.
Al M.C. Raymundo Buenrostro por su apoyo incondicional para sacar adelante la
investigación.
A todos y cada uno de los profesores que participaron en el programa de la maestría por sus
enseñanzas, su comprensión y disponibilidad.
Al personal de la Dirección General de Servicios Telemáticos de la Universidad de Colima,
por su apoyo y aportaciones.
Al Gobierno de México, por permitirme culminar mis estudios gracias a la beca
otorgada por la Secretaría de Relaciones Exteriores.
y a todas y cada una de las personas que han estado a mi lado y me han brindado apoyo y
palabras de aliento.
Resumen La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos
y recursos humanos capacitados y especializados, esta meta es difícil de alcanzar pues existe
un constante cambio, ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de
ataques y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación
de la seguridad en una tarea sumamente compleja y demandante.
El presente documento es sobre el desarrollo de la seguridad informática en la Intranet
Universitaria, considerando las amenazas de seguridad desde perspectivas diferentes para
permitir de esta forma conocer algunos riesgos que pueden afectar a la institución, así como
determinar el nivel de madurez de la seguridad informática con relación al estándar
ISO/17799, además se presentan una serie de lineamientos que la Dirección General de
Servicios Telemáticos tiene que seguir para la adecuada implementación del plan táctico que
se propone en la presente investigación.
Abstract Not only does computer security require technological resources, but also processes
combined with trained and specialized human resources. Due to constant changes this goal
is difficult to achieve, since new forms of vulnerability are discovered on a daily basis,
along with new kinds of attack and new patches to be applied in institutional systems,
hence turning the operation of security into a highly complex and demanding task.
This research project deals with the development of computer security in the university
Intranet, taking into consideration security threats from different perspectives so as to
identify some risks which could affect the institution. This project also intends to determine
the level of maturity regarding computer security in relation to the ISO/17799 standard, in
addition to presenting the guidelines that the General Department of Telematic Services has
to follow to properly implement the tactic proposed in this research project.
INDICE DE CONTENIDO
CONTENIDO …………………………………………………………………... Pagina Introducción ………………………………………………………………………………ii
Descripción de la Problemática ........................................................................................ iii
Objetivo General............................................................................................................... iv
Metas y Alcances .............................................................................................................. iv
Justificación ……………………………………………………………………………..iv
Capitulo 1: Seguridad Informática………………………............................................ 1 1.1 Antecedentes de la Seguridad ....................................................................... 2
1.2 Estándares de Seguridad en Redes ............................................................... 7
1.2.1. Estándar BS7799 .......................................................................................... 7
1.2.2. Estándar ISO/17799 ...................................................................................... 8
1.3 La Seguridad en Redes .............................................................................. 10
1.4 Tipos de Ataques y Amenazas.................................................................... 13
1.4.1 Amenazas Internas ...................................................................................... 15
1.4.1 Amenazas Externas..................................................................................... 19
1.4.2.1 Reconocimiento ....................................................................................... 20
1.4.2.2 Acceso no Autorizado ............................................................................. 23
1.4.2.3 Denegación de Servicios ......................................................................... 27
1.5 Mecanismos de Seguridad………………………………………………..32
1.5.1 Roles de los Mecanismos de Seguridad en Redes ...................................... 35
1.5.1.1. Seguridad Perimetral ........................................................................... 35
1.5.1.2 Control de Rutas Permitidas. ................................................................... 35
1.5.1.3 Detección de Intrusión ............................................................................. 36
1.6 Políticas de Seguridad…………………………………………………….37
1.6.1 Selección de Controles…………………………………………………….41
1.6.2 Puntos de Inicio para la Política de Seguridad Informática....................... 42
1.6.3 Factores Críticos de Éxito .......................................................................... 43
1.6.4 Documento de la Política de Seguridad Informática .................................. 44
1.6.5 Revisiones y Evaluaciones ......................................................................... 45
1.6.6 Coordinación de la Seguridad Informática ................................................. 45
1.6.7 Controles de Autorización para la Asignación de Recursos de Seguridad
Informática.................................................................................................. 47
1.6.8 Consejo de un especialista en seguridad informática ................................. 47
1.6.9 Coordinación entre organizaciones ............................................................ 48
1.6.10 Verificación independiente de la Política de seguridad informática .......... 48
1.6.11 Errores en la Planificación de la Seguridad Informática ............................ 48
Capitulo 2: Contextualización y Análisis de Vulnerabilidades …………..…………51
2.1. Marco Metodológico………………………………………………………52
2.1.1. Levantamiento Información ....................................................................... 53
2.1.2. Análisis de Vulnerabilidades ...................................................................... 53
2.1.3. Análisis de Riesgos ..................................................................................... 54
2.1.4. Plan táctico de seguridad ............................................................................ 55
2.2 Introducción al desarrollo de la metodología ............................................. 57
2.3 Contextualización ....................................................................................... 58
2.3.1. Redes y Comunicaciones ............................................................................ 61
2.3.2. Servicio Electrónicos de Intranet ................................................................ 65
2.3.3. Seguridad Perimetral .................................................................................. 68
2.3.3.1 Zona de Internet ......................................................................................... 69
2.3.3.2 Zona de Red Interna .................................................................................. 70
2.3.3.3 Zona Militarizada ...................................................................................... 70
2.3.3.4 Zona Desmilitarizada ................................................................................. 71
2.3.3.5 Estructura General de cada Campus .......................................................... 72
2.4 Infraestructura Tecnológica evaluada ......................................................... 77
2.5 Descripción de las pruebas ......................................................................... 79
2.5.1 Pruebas Internas .......................................................................................... 79
2.5.2 Pruebas Externas ........................................................................................ 80
2.6 Ejecución del Análisis de Vulnerabilidades ............................................... 80
2.6.1 Ejecución de las pruebas............................................................................. 81
2.5.3 Dispositivos de Comunicación ................................................................... 83
2.5.4 Firewalls ..................................................................................................... 83
2.6.2 Herramientas Utilizadas ............................................................................. 84
2.7 Análisis de Pruebas ..................................................................................... 85
2.7.1 Generación de reportes ............................................................................... 86
2.7.2 Interpretación de los resultados .................................................................. 87
2.8 Hallazgos Internos ...................................................................................... 88
2.9 Hallazgos Externos ..................................................................................... 90
Capitulo 3: Análisis de Riesgos………………..…………………………………..….92
3.1 Administración de Riesgos ......................................................................... 93
3.1.1. Valoración de riesgos ................................................................................. 94
3.1.2. Mitigación de Riesgos ................................................................................ 98
3.2 Desarrollo del Análisis de Riesgos………………………………………..99
3.2.1 Priorización de Riesgos ............................................................................ 108
3.2.2 Priorización de Controles ......................................................................... 108
3.2.3 Priorización de Actividades ...................................................................... 110
3.3 Controles de DIGESET respecto a las mejores prácticas ......................... 112
3.3.1 Nivel de madurez de los controles de Seguridad Informática con base en el
estándar ISO17799 ................................................................................... 113
3.3.2 Resultados Consolidados .......................................................................... 116
3.4. Mejoras a Corto Plazo………………………………….………………..118
Capitulo 4: Plan Táctico de Seguridad Informática………..……………………...122
4.1. Objetivo del Plan Táctico de Seguridad Informática para DIGESET ...... 123
4.2. Descripción General del Plan Táctico de Seguridad Informática............. 124
4.2.1. Preparación ............................................................................................... 126
4.2.2. Operación.................................................................................................. 127
4.2.3. Optimización ............................................................................................ 128
4.3. Estructura operativa del plan táctico ........................................................ 128
4.4. Desarrollo de la línea táctica de funciones de seguridad .......................... 129
4.4.1. Antecedentes ............................................................................................. 130
4.4.2. Objetivos de la línea táctica funciones de segurida .................................. 130
4.4.3. Departamento de seguridad Informática................................................... 130
4.4.4. Beneficios ................................................................................................. 132
4.4.5. Alcance ..................................................................................................... 132
4.4.6. Actividades ............................................................................................... 132
4.4.7. Resultados esperados de la línea táctica funciones de seguridad ............. 133
4.5. Desarrollo de la línea táctica Políticas de Seguridad ................................ 135
4.5.1. Antecedentes ............................................................................................. 136
4.5.2. Objetivo del desarrollo de las políticas de seguridad ............................... 136
4.5.3. Beneficios ................................................................................................. 136
4.5.4. Alcance ..................................................................................................... 136
4.5.5. Actividades ............................................................................................... 137
4.5.6. Políticas propuestas .................................................................................. 137
4.6. Desarrollo de la línea táctica programa de concienciación ...................... 151
4.6.1. Antecedentes ............................................................................................. 151
4.6.2. Objetivo del desarrollo de la línea táctica ................................................ 152
4.6.3. Beneficios ................................................................................................. 152
4.6.4. Alcance ..................................................................................................... 152
4.6.5. Actividades ............................................................................................... 152
4.6.6. Resultados esperados de la línea táctica de concienciación ..................... 153
4.7. Desarrollo de la línea táctica arquitectura tecnológica ............................. 154
4.7.1. Antecedentes ............................................................................................. 155
4.7.2. Objetivo .................................................................................................... 155
4.7.3. Alcances.................................................................................................... 155
4.7.4. Elementos administrados .......................................................................... 155
4.7.5. Actividades propuestas ............................................................................. 158
4.7.6. Resultados esperados de la línea táctica de arquitectura tecnológica ....... 161
4.8. Factores críticos de éxito…………………………………………………161
Capitulo 5: Conclusiones Y Recomendaciones………………….…………………..163
Bibliografía …………………………………………………………………………....169
Glosario ……………………………………………………………………………..172
Anexos……………………………………………………………………………….183
ÍNDICE DE TABLAS Y FIGURAS
Tabla 1.1 Incidentes de Delito Informático………………………………………….…4
Figura 1.1. Diez puntos claves para el contexto de ISO/17799……………………..…10
Figura 1.2. Representación de los tipos de intrusos en una red………………………..21
Figura 1.3. Muestra los posibles intrusos en una Intranet……………………………...24
Figura 1.4. Proceso normal de Acuerdo en Tres Fases………………………………..31
Figura 2.1. Metodología de la Investigación…………………………………………..52
Figura 2.2. Algunos servicios que proporciona DIGESET……………………………60
Tabla 2.1. Ubicación y modelo de los conmutadores………………………………….63
Figura 2.3. Diagrama General de la red Telefónica……………………………………64
Figura 2.4. Organigrama de DIGESET………………………………………………...65
Figura 2.5. Diagrama de la seguridad perimetral de DIGESET………………………..69
Figura 2.6. Diagrama general de los campus de la Universidad de Colima……………73
Tabla 2.2. Enlaces de la Universidad de Colima……………………………………….74
Figura 2.7. Diagrama del campus Colima………………………………………………77
Tabla 2.3 Equipos críticos incluidos en el análisis de vulnerabilidades………………...79
Tabla 2.4. Grupo de pruebas aplicadas a los servidores Windows 2000………………..82
Tabla 2.5. Grupo de pruebas aplicadas a los servidores Unix…………………………..83
Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación………………..83
Tabla 2.7. Grupo de pruebas aplicadas al cortafuego …………………………………..84
Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades………………….85
Tabla 2.9. Clasificación de vulnerabilidades……………………………………………86
Figura 2.8. Porcentaje de vulnerabilidades en servidores Windows 2000………………88
Figura 2.9. Porcentaje de vulnerabilidades en servidores Unix…………………………89
Figura 2.10. Porcentaje de vulnerabilidades en dispositivos de comunicación…………90
Figura 2.11. Porcentaje de vulnerabilidades externas…………………………………...90
Figura 3.1. Cuatro actividades de la administración de riesgos…………………………94
Figura 3.2. Espectro de riesgos………………………………………………………….95
Tabla 3.1. Información de los hallazgos encontrados en DIGESET…………………...102
Figura 3.3. Priorización grafica de los hallazgos………………………………………108
Figura 3.4. Relación tiempo y costo de los controles de seguridad……………………109
Figura 3.5. Representación grafica de la priorización de actividades …………………110
Tabla 3.2. Niveles de madurez con base al estándar ISO/17799……………………....115
Tabla 3.3. Resultados de los niveles de madurez de DIGESET……………………….117
Figura 4.1. Diagrama conceptual del plan táctico de seguridad……………………….125
Figura 4.2. Relación de las etapas del modelo de operación………………………......126
Figura 4.3. Relación del plan táctico con el modelo de operación………………..…...129
Figura 4.4. Organigrama de DIGESET con el departamento de seguridad…………...131
Tabla 4.1. Dispositivos parte de la administración de seguridad……………………...156
Figura 4.4. Actividades propuestas para la administración de seguridad……………...158
Tabla de Contenido Introducción ...................................................................................................................... iiDescripción de la Problemática ......................................................................................iiiObjetivo ............................................................................................................................ ivMetas y Alcances ............................................................................................................. ivJustificación ..................................................................................................................... iv
“Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima”
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
ii
Introducción La Dirección General de Servicios Telemáticos (DIGESET) tiene como objetivo
ofrecer servicios de telecomunicaciones e informática, para apoyar las actividades mas
importantes del área de comunicación de la universidad de Colima a través de la
investigación y modernización de la infraestructura Intranet universitaria. Otro objetivo,
es la vinculación de las dependencias de la Universidad de Colima con otras
instituciones, brindando asesorías, propiciando la transferencia de conocimiento y
tecnología. Además, busca impulsar la venta de servicios electrónicos en la comunidad
universitaria para tener una fuente alterna de financiamiento que permita apoyar las
inversiones en capacitación, recursos humanos e infraestructura de la dirección
(Telemáticos, 2002).
La DIGESET para cumplir con los objetivos planteados gestiona proyectos que
permitan incrementar y modernizar las tecnologías de información de la institución.
Entre ellos se tienen el PIFI, PROMEP, PRONAD e internos(Telemáticos, 2002).
La Universidad de Colima incorporó a su Intranet 1200 equipos de cómputo, con una
inversión que superó los 12 millones de pesos, donde el 20% fueron adquiridas con
recursos propios. En el año 2002 la Universidad instalo 28 redes y a la fecha se cuenta
con 4423 equipos conectadas a Internet. Se ha incrementado la capacidad del enlace que
une los campus de Coquimatlán y Villa de Álvarez. La universidad de colima se coloca
como una de las universidades estatales de México con tecnología de vanguardia y es
una institución compuesta por varias delegaciones regionales en una red Intranet, que
hace uso de muchas aplicaciones a través de Internet, permitiendo a los alumnos y
profesores estar en contacto con el mundo de la información en línea.(Telemáticos,
2002).
DIGESET incrementa su capacidad de ancho de banda de Internet de 4 Mbps a 34
Mbps y coloca su enlace de 2 Mbps al backbone de Internet 2, este crecimiento que se
“Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima”
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
iii
observa en la Universidad de Colima, trae consigo el incremento del uso de Internet y el
surgimiento de nuevas tecnologías, dando lugar a nuevos retos, uno de esos retos es el
mantenimiento de la seguridad e integridad de la información y servicios de las redes
informáticas, a través de procedimientos bien definidos que permitan disminuir las
vulnerabilidades, dicho en otras palabras, la Universidad de Colima está a la vanguardia
con la aplicación de esta tecnología, pero al mismo tiempo está expuesta a nuevas
vulnerabilidades que se pueden convertir en problemas si no se tratan a tiempo y con el
debido procedimiento.
Descripción de la Problemática Actualmente la Universidad de Colima se ha preocupado por la seguridad e integridad
de la información y servicios contenidos en su Intranet, por lo que ha invertido una
fuerte cantidad de dinero en equipos y aplicaciones que ayudan a disminuir las
vulnerabilidades de seguridad. Esta inversión a logrado incrementar el nivel de
seguridad pero no al grado que la institución requiere y esto se debe principalmente a
que estos equipos y aplicaciones no están funcionando a un cien por ciento, además la
falta de algunos elementos entre los que se pueden mencionar:
• Políticas oficializadas
• Procedimientos,
• Reglas de seguridad y
• Monitoreo constante de la información que proporcionan los equipos y
aplicaciones.
Por lo tanto DIGESET requiere de una planificación que involucre los puntos
anteriormente expuestos a través de un plan de táctico de seguridad informática para las
funciones críticas.
“Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima”
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
iv
Objetivo
Analizar el esquema actual de seguridad informática utilizado para la Intranet de la
Dirección General de Servicios Telemáticos, con el fin de mejorarlo a través de un plan
táctico que de solución a los puntos expuestos en la problemática.
Metas y Alcances
• Generar las políticas de seguridad para las áreas del nodo principal de la
Intranet.
• Establecer las mejoras necesarias para la correcta operación los equipos y
sistemas de seguridad, con el objetivo de proteger la Intranet universitaria de
intrusos internos y externos, especialmente aquellos de misión crítica del
nodo principal y así lograr un nivel de seguridad que evite las potenciales
perdidas tangibles o intangibles de la información en la red universitaria.
• Establecer una serie de lineamientos para el personal responsable del área de
seguridad informática, dando a conocer las amenazas y vulnerabilidades que
surgen día a día en la tecnología, con la única finalidad de capacitar al
personal para vigilar y mantener la integridad de la Intranet.
Justificación
Los sistemas de información de hoy en día están relacionados en un 100% con la
exposición de la información a entidades externas que son ajenas a la organización o
delegación a la que pertenecen. La Universidad de Colima esta compuesta por muchas
delegaciones y dependencias, cada una de ellas tienen sistemas de información
independientes que hacen uso de la red externa (Internet) e interna (Intranet). Esto los
“Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima”
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
v
hace vulnerables a eventos de amenazas que conllevan a riesgos que pueden provocar
perdidas tangible e intangibles, para evitar estas perdidas que en muchos de los casos
serán monetarias, se requiere del planteamiento de un esquema de seguridad que no solo
contemple elementos técnicos que comúnmente encontramos en el mundo de la
seguridad informática, sino que establezca una base sólida para el establecimiento de
controles, políticas y proyectos de seguridad que administren el ciclo de vida de la
seguridad informática. DIGESET es la dependencia encargada de la distribución y
administración de la red externa e interna de la Universidad de Colima, por lo tanto, será
el objeto de estudio de la investigación.
Tabla de Contenido
1.1 Antecedentes de la Seguridad Informática.................................................... 2 1.2 Estándares de Seguridad en Redes ................................................................ 7
1.2.1. Estándar BS7799 ........................................................................................... 8 1.2.2. Estándar ISO/17799 ...................................................................................... 8
1.3 La Seguridad en Redes ............................................................................... 10 1.4 Tipos de Ataques y Amenazas .................................................................... 13
1.4.1 Amenazas Internas ...................................................................................... 15 1.4.1 Amenazas Externas ..................................................................................... 19
1.4.2.1 Reconocimiento........................................................................................ 20 1.4.2.2 Acceso no Autorizado .............................................................................. 23 1.4.2.3 Denegación de Servicios .......................................................................... 27
1.5 Mecanismos de Seguridad .......................................................................... 32 1.5.1 Roles de los Mecanismos de Seguridad en Redes ...................................... 35
1.5.1.1. Seguridad Perimetral ............................................................................ 35 1.5.1.2 Control de Rutas Permitidas..................................................................... 35 1.5.1.3 Detección de Intrusión ............................................................................. 36
1.6 Políticas de Seguridad ................................................................................. 37 1.6.1 Selección de Controles ................................................................................ 41 1.6.2 Puntos de Inicio para la Política de Seguridad Informática ....................... 42 1.6.3 Factores Críticos de Éxito ........................................................................... 43 1.6.4 Documento de la Política de Seguridad Informática................................... 44 1.6.5 Revisiones y Evaluaciones .......................................................................... 45 1.6.6 Coordinación de la Seguridad Informática ................................................. 45 1.6.7 Controles de Autorización para la Asignación de Recursos de Seguridad
Informática. ................................................................................................. 47 1.6.8 Consejo de un especialista en seguridad informática .................................. 47 1.6.9 Coordinación entre organizaciones ............................................................. 48 1.6.10 Verificación independiente de la Política de seguridad informática ........... 48 1.6.11 Errores en la Planificación de la Seguridad Informática ............................. 48
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
2
1.1 Antecedentes de la Seguridad Informática
No se puede proponer un esquema de seguridad sin antes de hablar de algunos
antecedentes trascendentales que determinaron la importancia de la seguridad
informática. Al mismo tiempo es necesario definir qué es la seguridad informática, los
elementos que intervienen en la seguridad y las diferentes tecnologías existentes para
asegurar la información y los servicios de una red informática.
El departamento de defensa de los Estados Unidos da los primeros pasos en cuestión de
seguridad, cuando en 1967, la unidad de Defensa Científica concentro sus esfuerzos en
un sistema de seguridad que salvaguardara la información confidencial que los sistemas
de acceso remoto compartían. Como resultado de la aplicación de este nuevo sistema en
febrero de 1970 se pública “Controles de Seguridad para los Sistemas de Cómputo”, el
cual era un reporte de una serie de políticas y recomendaciones técnicas en las prácticas
cotidianas de los sistemas de computo para reducir las amenazas que comprometían la
seguridad de la información confidencial (Latham, 1985).
En 1972 y 1973 se publicaron las primeras recomendaciones de políticas uniformes,
requerimientos de seguridad, controles administrativos y medidas de seguridad técnica,
para la protección de la información confidencial procesada por un sistema de cómputo.
A mediados de los años setenta, la fuerza aérea, la agencia de proyectos de investigación
avanzada y otras agencias de defensa, llevaron acabo investigaciones y desarrollo de
algunas soluciones para los problemas técnicos que conlleva el control del flujo de
información en los recursos de los sistemas de computo (Latham, 1985). La iniciativa
del departamento de defensa acerca de la seguridad en sistemas de computo inicia en
1977, con el auspicio de la secretaria de defensa para la investigación e ingeniería.
Actualmente este departamento se dirige a los asuntos de seguridad en computo
liderando a la NBS (Nacional Bureau of Standards) en la definición de problemas y
soluciones para la construcción, evaluación, y auditoria de sistemas de computo. Como
parte de este trabajo la NBS posee dos áreas de trabajo que son complementarias, estas
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
3
son la auditoria y la evaluación de seguridad en computo. La primera fue constituida en
marzo de 1977 y la segunda en noviembre de 1978. Uno de los resultados del trabajo
realizado en la evaluación fue un reporte definitivo sobre los problemas relacionados a
los criterios de evaluación y efectividad de técnicas de seguridad en cómputo. A
consecuencia de las recomendaciones publicadas en este reporte y soportando la
iniciativa del departamento de defensa, la corporación MITRE empieza a trabajar en
criterios de evaluación de seguridad en computo que contribuían a determinar el grado
de confianza que un sistema de seguridad podría tener al momento de proteger la
información confidencial. En 1981 nace en los Estados Unidos el “Centro de Seguridad
en Computo” para dotarse de personal y expandir el trabajo iniciado por el área de
ingeniería e Investigación del departamento de defensa (Latham, 1985). En agosto de
1985 el Centro de Seguridad en Computo del Departamento de Defensa cambio su
nombre a Centro Nacional de Seguridad en Computo.
El concepto de seguridad de redes no es nuevo cuando en 1974 surgen las primeras
conexiones que posteriormente dieron origen al Internet. Su crecimiento exponencial dio
lugar a las primeras aplicaciones comerciales que permitían al usuario intercambiar
información y con ella el crecimiento de posibles atacantes que día a día comprometían
el funcionamiento de las redes de computadoras. Hasta ese momento la seguridad no era
importante para los administradores de redes y es hasta el 2 de mayo de 1987, cuando
dos hackers alemanes ingresan sin autorización al sistema central de investigaciones
aeroespaciales mas grande del mundo, la NASA (Villalón Huerta, 2000). Aun cuando no
destruyeron ni robaron información, estos dos jóvenes demostraron lo vulnerable que
puede llegar a ser el sistema informático de la agencia espacial. Por otro lado, en 1988
Robert Morris propicia el primer incidente de perdida de información debido a que uno
de sus programas denominado worm o gusano, invadió gran parte de las computadoras a
través del navegador en Internet, imposibilitando durante días a más de 6000 sistemas
dañados o perjudicados. Es después de estos y otros acontecimientos que surge la
preocupación de los administradores por la seguridad en redes. La tabla 1.1 presenta
algunos eventos de delito informático.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
4
Fecha Autor(es) Virus Descripcion Impacto Castigo
May-87 Wau Holland y Steffer Wenery
Ingresaron sin autorización al sistema de investigaciones de la NASA.
No destruyeron, no robaron información. Pero pone en estredicho la seguridad de la agencia espacial.
Ninguno
Nov-88 Robert Morris Gusano Morris lanzó un gusano diseñado por el mismo para navegar en internet y mutiplicarse por si solo, causando sobreutilización de recursos de la maquina.
Causó consumo de los recursos de muchisimas maquinas y que mas de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Significó días de productividad perdidos y millones de dólares.
Fue condenado y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo el cargo de fraude computacional y abuso.
Ene-86 Herber Zinn (Shadowhack)
Zinn tenía 17 años cuando violó el acceso a AT&T y los sistemas del departamento de defensa.
Destruyó el equivalente a US$174,000 en archivos y copias de programas valorados en millones de dólares. Publicó contraseñas e instrucciones de cómo violar la seguridad de los sistemas computacionales.
Fue el primer sentenciado bajo el cargo de fraude Computacional y Abuso. Fue sentenciado a 9 meses de carcel y a una fianza de US $10,000.
No registrado David Smith Melissa Detenido por la FBI, junto con los ingenieros de American Online. Se le acuso de bloquear las comunicaciones públicas y dañar los sistemas informáticos.
Crea el Virus Melissa, que consiguió contaminar a más de 100,000 computadoras en todo el mundo. Afectó en forma sustancial buzones de millones de usuarios que utilizaban el Outlook Express.
Esta en espera de su condena, puede enfrentar 10 años de carcel. Esta en libertad bajo fianza de 10,000 dólares.
A raíz de estos incidentes el 17 de Noviembre de 1988, la agencia DARPA (Defense
Advanced Research projects Agency) creó el CERT1
1 CERT en ingles significa Computer Emergency Response Team
(Equipo de respuestas a incidentes
de Seguridad en Computo), un grupo formado en su mayoría por voluntarios calificados
de la comunidad informática, con el objetivo de proporcionar a soluciones rápidas a los
problemas de seguridad que se presenten en los host de Internet. Este organismo se
encarga de divulgar las noticias de seguridad de redes mas recientes, así como las
vulnerabilidades más importantes de las aplicaciones, sistemas operativos y productos.
Hoy por hoy, CERT cumple 15 años de proporcionar servicio a las organizaciones que
Tabla 1.1. Incidentes de Delito Informático
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
5
se han visto afectadas por incidentes de delito informático, convirtiéndose en la
institución que más publicaciones de seguridad ha realizado (Artigas, 2003).
Hay otras organizaciones que se dedican a la investigación de soluciones de seguridad,
tal es el caso de SANS2
(SysAdmin, Audit, Network, Security); la cual se dedica a la
investigación, certificación y capacitación de profesionales que sean capaces de diseñar
soluciones de seguridad. Esta institución fue creada en 1989 en respuesta a los
incidentes de delito informático que se suscitaron a causa del crecimiento exponencial
de Internet. SANS, cuenta con mas de 156,000 profesionales (seguridad, auditores,
administradores de sistemas y administradores) que comparten experiencias vividas con
respecto a la solución de nuevos retos que emergen del mundo de la seguridad. En el
corazón de esta institución se encuentran agencias de gobierno, corporaciones y
universidades de todo el mundo que invierten miles de horas anualmente en la
investigación y capacitación para apoyar a la comunidad de la seguridad informática.
Todas las instituciones anteriormente mencionadas se dedican a la publicación o
divulgación de los incidentes de delito informático que se presentan en las
organizaciones con aplicaciones de comercio electrónico.
En vista de que la mayoría de los ataques son realizados en Internet o bien en una
Intranet, CERT cuenta con una Centro de Coordinación (CERT/CC) el cual se dedica
exclusivamente a la seguridad en plataformas intranet. CERT/CC se dedica a
proporcionar consejos técnicos de prácticas de seguridad que ayuden a los
administradores de redes. Además, se encarga de coordinar las respuestas a los
incidentes de seguridad, trabajar en la solución de los problemas de seguridad,
identificar las tendencias de ataques de intrusos, divulgar información a toda la
comunidad, analizar código malicioso y las vulnerabilidades de los productos, publicar
documentos técnicos y proporcionar cursos de capacitación (University, 2003).
2 SANS (Administración de Sistemas, Auditoria, Redes, Seguridad)
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
6
La forma de operar del CERT/CC, está en la identificación de dos aspectos: Las
vulnerabilidades de los sistemas de información que usa una intranet y el análisis del
código maligno desarrollado por el intruso. En ambos aspectos lo que se busca es la
identificación de las fallas o defectos. Una vez identificados los defectos se procede a la
atención del incidente, que consiste en explotar los defectos encontrados en el sistema y
en el código maligno, para que éstas sean la base de la solución del incidente.
El CERT/CC cuenta con procedimientos bien definidos acerca de cómo se deben de
atender los delitos informáticos. Además, trabaja en alianza con las siguientes
instituciones (University, 2003):
• Departamento de Defensa de los Estados Unidos de América.
• Oficina Ejecutiva del Presidente de los Estados Unidos.
• Servicio de Seguridad de los Estados Unidos.
• Alianza de Seguridad de Internet.
• Agencia de Defensa de Sistemas Informáticos.
• Centro Nacional de Protección de Infraestructura de los Estados Unidos.
• Protección de la Infraestructura Nacional de los Estados Unidos (INFRAGARD)
• Sistema Nacional de Comunicaciones de los Estados Unidos.
• Unified Incident Reporting and Alert Scheme (UNIRAS)
• Australian Computer Emergency Response Team (AUSCERT)
• Comité Nacional de Asesores en Seguridad de las Telecomunicaciones
• Departamento de Homeland Security
• Internet Engineering Task Force (IETF)
• North American Network Operators Group (NANOG)
Sin embargo, el CERT, pública solo las vulnerabilidades que han sido reportadas por
parte de las empresas afectadas, pero se dan casos en los cuales muchos de los incidentes
de delito informático no son reportados por el temor de la misma empresa que se ve
afectada, ya que puede comprometer la imagen del negocio; por ejemplo, el acceso a la
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
7
base de datos de prestamos de un banco, puede ser algo catastrófico para la imagen del
negocio.
A raíz de los incidentes de inseguridad de la información que se suscitaron en otros
países surge en la ciudad de México el UNAM-CERT (Universidad Nacional Autónoma
de México - Computer Emergency Response Team) Básicamente se encarga de
proporcionar el servicio de respuestas a incidentes de seguridad en computo a sitios que
han sido victimas de algún ataque. También publica información acerca de las últimas
vulnerabilidades de seguridad, así como las alertas de la misma índole. Es reconocido
por el Gobierno Federal para capacitar a la policía informática en el manejo de este tipo
de delitos (Ponce Lopez & Guel Lopez, 2003). Además, es reconocido por el FIRST3
(Forum Incident Response Security Team) en América Latina. El UNAM-CERT es la
única institución en México, que cuenta con ese reconocimiento internacional.
Además, UNAM-CERT realiza investigaciones de la amplia área del cómputo con la
única finalidad de mejorar la seguridad de los sitios, y es un vínculo de apoyo al CERT
internacional en problemas suscitados en América Latina.
UNAM-CERT esta localizado en el Departamento de Seguridad en Computo (DSC) de
la Dirección General de Servicios de Computo Académico (DGSCA), de la UNAM.
1.2 Estándares de Seguridad en Redes BS77994
y ISO/17799 son estándares de seguridad que representa una serie de controles
basados en las mejores prácticas de seguridad informática. Cubren aspectos de equipos,
políticas, recursos humanos y asuntos legales.
3 FIRST (foro del Equipo de Respuesta de Incidentes de Seguridad en Cómputo) 4 BS (Estándar Británico)
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
8
1.2.1. Estándar BS7799
BS7799 (parte 2) contiene medidas para la eficiente administración del esquema de
seguridad. En 1995 surge la parte 1 del estándar BS 7799, establecido por el instituto
británico de estándares.
En 1998 surge la parte 2 de este estándar con mejoras de seguridad actualizadas (Callio,
2003). BS 7799-2 ayuda a la organización a establecer un sistema de administración de
seguridad informática y por lo tanto prepararse para la auditoria de certificación.
En Diciembre del 2000 el estándar británico BS7799 se convierte en un estándar
internacional con el nombre de ISO/17799 y fue adoptado bajo un procedimiento de
ruta rápida por el comité técnico ISO/IEC JTC 1. (ISO/IEC, 2000)
1.2.2. Estándar ISO/17799
ISO/17799 es el que contiene controles y recomendaciones a través de los cuales la
organización puede garantizar la seguridad de su información. Sus características son las
siguientes:
• Ha sido probado
• Es internacional
• Esta asociado a la calidad
• Evolutivo y flexible
• Disponibilidad de herramientas y soporte
La organización internacional de estandarización (ISO) y la comisión internacional
electrotécnica (IEC) forman un sistema especializado para la estandarización mundial.
Organismos nacionales que son miembros de ISO o de IEC participan en el desarrollo de
los estándares internacionales a través del establecimiento de comisiones que colaboran
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
9
mutuamente en un campo de interés. Además existen organizaciones internacionales,
gubernamentales y no gubernamentales, que están en alianza con ISO e IEC y también
forman parte del desarrollo de los nuevos estándares internacionales (ISO/IEC, 2000).
Los anteproyectos de los estándares internacionales son escritos en coordinación con los
reglamentos establecidos por las directivos de ISO/IEC.
En el campo de la tecnología de información, ISO e IEC establecen juntos un comité
técnico. Los anteproyectos de los estándares internacionales son examinados por el
comité técnico para posteriormente ser distribuidos a los organismos nacionales para que
éstos a su vez voten para su aprobación. Para que un estándar internacional sea
publicado requiere la aprobación de por lo menos el 75% de los organismos nacionales
que intervienen en la votación (ISO/IEC, 2000).
Existen diez puntos claves para el contexto de ISO/17799 y son los siguientes:
• Política de seguridad
• Seguridad organizacional
• Clasificación de bienes
• Personal de seguridad
• Seguridad física
• Administración de operaciones y comunicaciones
• Control de acceso
• Sistema de desarrollo y mantenimiento
• Administración continua
• Acatamiento
Estos diez puntos pueden ser jerárquicamente organizados en una pirámide que
comúnmente se encuentra en la administración. La figura 1.1 presenta los diez
elementos organizados ya con la operabilidad de cada uno de ellos.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
10
1.3 La Seguridad en Redes
Información, es un bien importante como cualquier otro de los bienes del negocio, tiene
un valor para la organización y consecuentemente necesita una protección planificada.
La seguridad informática, protege la información de una gran gama de amenazas con la
finalidad de asegurar la continuidad del negocio, minimizar los daños del negocio y
maximizar el retorno de inversión. Además contribuyen al aumento de las oportunidades
del negocio (ISO/IEC, 2000).
En una organización se requiere de sistemas de protección que vayan orientados a la
administración, las instalaciones físicas, recursos humanos y sistemas de encriptación
Figura 1.1. Diez puntos claves para el contexto de ISO/17799.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
11
para la protección de información que viaja en la red. Una efectiva seguridad se alcanza
cuando se logra un balance entre la protección y la disponibilidad de estos recursos. El
acceso sin restricción de los usuarios a los recursos atenta contra la integridad de los
mismos, por otro lado, un aseguramiento completo del sistema de información no
permitirá el acceso a los recursos y eso no es lo que se desea. Para alcanzar el balance
deseado, el nivel de seguridad para la organización debe de permitir un acceso razonable
que proteja contra las reales o potenciales amenazas.
Es extremadamente importante entender que la seguridad no sólo se trata de una
configuración o un determinado tipo de tecnología. Un administrador no puede ir al
centro comercial a cotizar un poco de seguridad. Seguridad finalmente es un propósito,
una tendencia, un pensamiento fijo, es saber que la información esta a salvo y que la red
no dejará de funcionar en un determinado momento.
Por lo tanto, a la seguridad también se le puede definir como algo subjetivo. Así como es
difícil de entender porque algunas personas se sienten conformes y otras inconformes
cuando dejan la puerta de enfrente de su casa abierta, mientras disfrutan de una reunión
en la parte de atrás; esto es igualmente difícil de definir cuando un administrador de la
red puede sentirse seguro en conocimiento de que sus sistemas de información están a
salvo, pero esto no le garantiza, que estén fuera de riesgo.
Las computadoras y el ambiente de red en el cual operan, involucran sistemas
sofisticados con un alto grado de complejidad en su operación, consecuentemente la
complejidad de la relación entre los sistemas de información y las redes, comprueban
que son un área de ilimitada vulnerabilidad. Por esto es necesario que las organizaciones
mantengan a la seguridad como una prioridad en su red de información.
Sintetizando, la seguridad es la cualidad o estado de estar libre de peligro, esto significa
protegerse de adversarios, aquellos que harán daño intencional o circunstancial. El
programa de seguridad nacional de los Estados Unidos es un ejemplo de un sistema de
multi-capas que protege la soberanía del estado, sus bienes, recursos, y a sus habitantes.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
12
De la misma manera, alcanzar el nivel apropiado de seguridad para una organización
depende de un sistema multifacético, este sistema debe de proporcionar seguridad en las
siguientes áreas de la organización desde el punto de vista de la seguridad informática:
• Ambiente Físico
• Personal
• Operaciones cruciales de la organización
• Dispositivos de comunicaciones
• Integridad de la Red
• Acceso a la información
Los expertos afirman que no existen sistemas totalmente seguros, la seguridad se define
como una característica de un sistema o una red de computadores que indica que este
sistema o red esta libre de todo peligro, daño o riesgo. En la práctica todo esto es difícil
de alcanzar por la misma finalidad de una red, por ende, se habla de la fiabilidad de la
red, en lugar de seguridad. Cuando una red es fiable significa que la red se comporta tal
como se espera, y para lograr dicho comportamiento se necesita de la confidencialidad,
integridad y disponibilidad de la red (Villalón Huerta, 2000).
La confiabilidad señala que los recursos de la red han de ser accedidos únicamente por
entidades autorizados a ello, y que esas entidades autorizados no van a convertir la
información en disponible para otras entidades; la integridad significa que los recursos
de la red solo pueden ser modificados por entidades autorizadas y de una manera
controlada, y la disponibilidad indica que los recursos de la red deben permanecer
accesibles a las entidades autorizados (Villalón Huerta, 2000).
En contradicción de lo que piensa la mayoría, la primera línea de defensa de un sistema
bien protegido no tiene nada que ver con el flujo de paquetes que entran y salen de la
red. La primera línea de defensa de cualquier sistema es la política de seguridad.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
13
Muchos profesionales de tecnología de información piensan que el cortafuego5
es la
primera línea de seguridad, sin embargo, el cortafuegos no puede ser configurado y
administrado apropiadamente sin una política de seguridad. Esta política de seguridad
debe de indicar ¿quien?, ¿Cuándo?, ¿Por qué?, ¿Cómo? y ¿Dónde? debe de circular el
flujo de datos.
La seguridad informática se alcanza a través de la aplicación de ciertos controles, los
cuales pueden ser prácticas, procedimientos, estructuras organizacionales y funciones de
software. Estos controles necesitan ser establecidos para asegurar que los objetivos
específicos de seguridad de una organización sean alcanzados.
La información, los procesos, los sistemas y las redes son importantes bienes del
negocio. La confiabilidad, integridad y disponibilidad de la información deben ser
esenciales para mantener el margen competitivo, el flujo de caja, la rentabilidad, los
acuerdos legales y imagen comercial.
La política de seguridad es el objeto de estudio de esta investigación, es necesario estar
al tanto de los factores que intervienen y que hay que tener en cuenta al momento de la
elaboración de una política de seguridad. Los siguientes temas expuestos son los factores
que intervienen en una política de seguridad.
1.4 Tipos de Ataques y Amenazas
Para determinar la mejor manera de proteger los recursos, hay que entender como estos
recursos pueden ser destruidos o bien, llegar a ser objeto de ataque.
Los ataques no se consideran una casualidad, la mayoría de los ataques tienen un
objetivo, quizás se pretende ganar algo con la destrucción de alguna información valiosa
para la organización o bien por simple ocio. Por ejemplo un ladrón prefiere robar a una
persona que tiene una buena apariencia física porque esto refleja una buena posición 5 Cortafuegos: Es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes (Villalón Huerta, 2000).
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
14
económica, lo mismo sucede con las empresas grandes como Microsoft, IBM, HP y
otras. Identificar quienes son los que ganan con la destrucción de los recursos de la
organización, es el primer paso en el proceso de la protección de la información
(Brenton, 1999).
Hacker y cracker, son palabras que comúnmente se utilizan como sinónimos, sin
embargo hay fuertes diferencias entre estos dos términos que permiten entender quien
ayudara al fortalecimiento de una postura segura en un sistema de información y quien
simplemente se quiere infiltrar en el sistema de información (Brenton, 1999).
Por lo anterior, se puede clasificar a los intrusos de la siguiente forma:
1. Crackers es un intruso malicioso, con la única finalidad de descubrir Bugs6
. La
instalación de puertas traseras a través de programas es una prueba fehaciente de
las capacidades que puede llegar a tener el cracker para entender el código fuente
y utilizar ese entendimiento para su beneficio.
2. Hacker es un intruso con profundo conocimiento de una tecnología. Ésta puede
ser informática, eléctrica o de comunicaciones. Comúnmente el hacker conoce
todos los terrenos en que se basa la tecnología actual, por lo tanto el verdadero
hacker es alguien que está ansioso por saberlo todo, es aquel que le gusta
investigar, especialmente aquello que es difícil de descifrar. La tecnología se
puede entender como una serie de protocolos y datos correlacionados en cadena,
por lo que, entender esas cadenas de datos conlleva a una superioridad de control
de cualquier tecnología. Ese entendimiento permite entre otras cosas, modificar
la información y ese es el objetivo principal del hacker.
En el mundo de los hackers existen varias categorías según el grado de experiencia del
atacante, por lo que, con el fin de entender los ataques, amenazas y vulnerabilidad, se
6 Es la instalación de puertas traseras en programas de comunicación que permiten realizar otras operaciones además de las permitidas.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
15
utilizará en el presente estudio al hacker como único tipo de intruso que afectará las
redes de comunicaciones.
Vulnerabilidad es algo que se sabe, es cualquier situación que puede desembocar en un
problema de seguridad. Una amenaza es una acción específica que aprovecha una
vulnerabilidad para crear un problema de seguridad. Ambos conceptos están
íntimamente relacionados, si no existen vulnerabilidades, tampoco existen las amenazas
(Villalón Huerta, 2000).
Un Exploit es un método utilizado por los intrusos para obtener beneficios de las
vulnerabilidades existentes en un sistema o dispositivos de interconexión. Para evitar la
aplicación de este método se requiere estar en contacto con fabricantes de sistemas o
dispositivos de red, para obtener las últimas actualizaciones que permitirán disipar o
disminuir el número de vulnerabilidades. Los Exploit dejan a su paso patrones en el
comportamiento del sistema o del dispositivo de interconexión. Estos patrones reciben el
nombre de firmas (Signaturas). Los detectores de intrusos hacen uso estas firmas para
determinar posibles ataques (LearnKey, 2001).
1.4.1 Amenazas Internas
Muchos casos de estudio han demostrado que el origen de la mayoría de los ataques
proviene de las operaciones internas de la organización. Es decir que los estudios
describen que más del 70% de los ataques provienen de alguien que está dentro de la
organización o de alguien que cuenta con información confidencial (como Ex-
empleados con claves de acceso). Mientras se utilizan los cortafuegos para la protección
de la organización contra las amenazas externas, aún están los empleados que cuentan
con información acerca de cómo opera la red internamente. Esto puede ser negativo si se
observa desde el punto de vista de amenazas internas, porque éstos pueden ser
responsables de grandes daños. Estos daños pueden ser intencionales o accidentales
(Brenton, 1999).
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
16
El factor humano juega un papel muy importante en la aplicación de un programa de
seguridad. Las amenazas internas son las que pueden ocurrir dentro de la organización y
en su mayoría provienen del recurso humano. En ocasiones las amenazas internas son
aún más devastadoras que las externas. El administrador de la seguridad, no debe de
subestimar este tipo de amenazas, por ende, hay que estar pendiente de los empleados
que tienen acceso a la información confidencial. Es necesario realizar un estudio de los
procesos para atender el problema de abuso de los empleados.
Identificar a los empleados que tienen acceso a información confidencial, es el primer
paso para determinar una estrategia de defensa contra las amenazas internas de la
organización. Los empleados con acceso a la información confidencial por lo general
son aquellos de tiempo completo que manejan información crucial para el buen
funcionamiento de la institución. Además de los empleados a tiempo completo de deben
de considerar a las practicantes, estudiantes, contratistas, empleados temporales; es
decir, considerar a todas aquellas personas que están en capacidad de cruzar la seguridad
física de la institución. También es importante considerar que no solo los empleados que
tienen acceso físico al sistema de información, constituyen una amenaza; ya que
podemos considerar como amenaza interna a aquellos empleados que cuentan con
claves de acceso al sistema, esto puede ser por contratación de servicios con proveedores
o bien por algún servicio de acceso remoto que ofrece la institución. Por lo tanto, es
necesario tener bien identificados a estos usuarios remotos y tener un registro de todas
las actividades que realizan, cuándo se conectaron, qué operaciones realizaron y a qué
hora finaliza la sesión.
La capacitación en seguridad de los usuarios, es uno de los factores importantes para el
buen funcionamiento de las políticas y procedimientos aplicados en la institución. De
acuerdo a lo anterior se deben considerar las causas de violación de seguridad internas,
para que éstas sean los puntos a considerar el futuro programa de capacitación
(Corporation, 2003).
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
17
• Ignorancia. Los usuarios no están al tanto de las operaciones básicas de
seguridad que deben de seguir. Incluso, es un problema común que no sepan
cómo funcione la seguridad del mismo sistema de información. Es necesario
entonces, capacitar al usuario acerca de cómo funciona internamente el sistema
para que éste tenga una idea panorámica de todo el sistema de información.
• Descuido. Con el pasar del tiempo, los usuarios pueden entrar en la monotonía,
es decir pueden llegar a realizar actividades que no estén contempladas en las
políticas de seguridad, y muchas veces estas actividades pueden llegar a ser
perjudiciales para la institución, independientemente de la motivación del
usuario. Por lo tanto, se debe de contemplar la constante difusión de las
políticas y procedimientos.
• Indiferencia hacia las políticas de seguridad. Es frecuente que los usuarios
que tienen acceso a la información confidencial, actúen sabiendo que va en
contra de los reglamentos de la institución, por lo que se debe estar pendiente de
lo que hacen con relación a los reglamentos.
• Maldad. Esto sucede con usuarios que están o no en descontento con la
institución e intentan dañar o comprometer deliberadamente su propiedad
intelectual.
Las amenazas internas están íntimamente relacionadas con lo que es la ingeniería social.
Este es el aprovechamiento de la tendencia natural de las personas a confiar en los
demás y querer ayudar (Corporation, 2003). La ingeniería social es quizás la base de los
hackers, para obtener los datos o lo que le interese por medio de una conversación. Es la
forma de engañar a la víctima haciéndole creer que el hacker es una persona buena cuya
única finalidad es ayudar.
Los intentos de ingeniería social pueden suscitarse en cualquier momento, en un día
laboral normal. Las siguientes son amenazas que tienen que ver con la ingeniería social.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
18
• Archivos adjuntos a correos electrónicos. Los archivos adjuntos con una
procedencia desconocida se convierten en amenazas internas para la institución,
pasando a un estado de vulnerabilidad ante los virus de la actualidad. Por esta
razón se recomienda instruir a los usuarios acerca de las consecuencias
catastróficas que pueden llegar a ocasionar en la información confidencial. “Los
virus “Anna Kournikova” y “I Love You” son ejemplos claros de los ataques de
la ingeniería social porque los sugestivos asuntos despertaron la curiosidad de los
destinatarios, lo que ocasionó que muchas personas abrieran el correo infectado”
(Corporation, 2003).
• Compartir Archivos. La confianza que los usuarios tienen en los archivos
compartidos es uno de los hábitos que frecuentemente utilizan los atacantes. Hoy
en día existen los spywares7
• Mensajeria instantánea por Internet. Los usuarios que utilizan todas estas
herramientas deben de estar al tanto de todas las artimañas que se pueden utilizar
para descargar y ejecutar software malicioso que le permita hacer uso del sistema
como plataforma de ataque, para lanzar ataques de denegación de servicios
distribuido.
que se encuentran escondidos entre los archivos
compartidos de los usuarios, con la única finalidad que el usuario ejecute el
archivo y automáticamente instalar el spyware.
• Solicitar información. La situación en la cual las personas se ven en la
obligación de proporcionar información, es aprovechada por los practicantes de
la ingeniería social. Los usuarios con acceso a la información confidencial deben
de estar consiente de que puede ser víctima de un engaño. También debe de estar
al tanto del procedimiento a seguir para brindarla.
Los ataques internos pueden suscitarse por las siguientes razones:
• Los empleados con intenciones poco honorables
7 Spyware son programas escondidos entre los archivos compartidos que permite al autor del programa y a otros usuarios de red ver lo que hace el empleado, qué sitios de Internet visita e incluso utilizar los recursos computacionales del empleado sin que lo sepa
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
19
• Los empleados que se ven envueltos en actividades sin intención de hacerlo
• Empleados que no administran el ambiente de trabajo
1.4.1 Amenazas Externas
Los ataques externos pueden provenir de diferentes lugares del mundo. La competencia
directa de la institución puede ser una amenaza externa.
Si la forma de operar de la institución da lugar a controversias fuertes, puede ser causa
de ataque debido a que sus adversarios no están de acuerdo con los servicios que presta.
Organizaciones que son muy conocidas pueden ser víctimas de ataques, simplemente
por la fama y prestigio que poseen. Muchos atacantes buscan este tipo de instituciones
con la única finalidad de ganar prestigio como hacker.
La competencia, los enemigos, ladrones, espías y empleados que fueron despedidos son
amenazas externas y pueden llegar a realizar ataques de distintas formas que mas
adelantes se describen. Determinar qué tan hábiles son los intrusos, es una tarea que el
administrador de la red debe de llevar acabo porque estos pueden ser buenos en C, C++,
Perl, Visual Basic ,Java Scripts y otros.
El camino ahora es la disponibilidad de las herramientas de hacking que son fáciles de
utilizar. La tendencia de hoy en día, es que crece el número de intrusos novatos que
pueden llegar más lejos con las nuevas herramientas de hacking.
Hay tres categorías de amenazas las que se deben de cuidar constantemente:
• Reconocimiento
• Acceso no autorizado
• Denegación de Servicio
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
20
Con base a estas categorías se pueden clasificar todos los tipos de ataques.
1.4.2.1 Reconocimiento
Reconocimiento está definido como el descubrimiento no autorizado de los dispositivos,
así como el mapeo, y monitoreo de los sistemas, servicios o vulnerabilidades en la red.
Este puede ser activo o pasivo, por lo tanto, se debe de considerar el reconocimiento de
los dispositivos como una forma indirecta de ataque.
Es básicamente el aprendizaje de la información TCP/IP8
como los nombres de domino,
nombres de los dispositivos, dirección IP o bien el rango de direcciones IP que utiliza la
organización.
Típicamente este tipo de ataque utilizará herramientas sencillas de reconocimiento como
por ejemplo escáner de puertos y ping sweep, o bien comandos de red como ser: ping,
whois, finger, rusers, nslookup, rcpinfo, telnet, dig, nmap. Que son parte de TCP/IP.
En la figura 2.2 se muestran los puntos potenciales de ataques, estos son:
1. De Internet
2. Captura de paquetes en el host de salvaguada, en la DMZ (Sucia, porque esta
antes del firewall)
3. Un analizador de protocolos en la red interna.
4. Ataques provenientes del acceso dial-up
8 TCP/IP (Transmission Control Protocol/Internet Protocol) . TCP es el protocolo de control de transmisión que junto con el protocolo de Internet (IP) conforman el lenguaje o protocolo básico de comunicación de la Internet. Puede ser utilizado como protocolo de comunicación para interconectar redes privadas.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
21
Los ataques más populares son barrido de pings (Ping Sweeps) y el escáneo de puertos.
El primero consiste en el descubrimiento automático de los servidores y estaciones de
trabajo de toda la red o de una subred en especial. Se utiliza para desarrollar un mapa
conceptual de como se conforma toda la red. Básicamente lo que hace es el uso de los
requerimientos ECHO del protocolo ICMP para generar respuestas ECHO del mismo
protocolo. Algunas veces se combinan con otras opciones como ser el timestamp, la
máscara de la dirección IP o la información solicitada para obtener mucha mas
información que les permitirá conocer la red (LearnKey, 2001).
El escaneo de puertos consiste en el chequeo de un rango de puertos TCP o bien UDP
del servidor o estación de trabajo para determinar los servicios disponibles.
Normalmente los puertos que se prueban son los del 1-1023. Las atacantes utilizan la
fragmentación de paquetes donde establecen los bits de SYN y FIN para ocultar el
Figura 1.2. Representación de los tipos de intrusos y puntos vulnerables de una red.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
22
escaneo. Una vez que tiene identificados los puertos abiertos como por ejemplo el FTP o
Telnet, el atacante puede usarlos para obtener mas información detallada de la máquina
objetivo o atacada (LearnKey, 2001).
Las empresas que proporcionan acceso a Internet, deben tener disponible el servicio de
DNS, por lo que se debe de tener cuidado; que entre los registros no encuentren los de
HINFO porque éstos proporcionan información valiosa acerca de la localización del
servidor, así como información aun mas detallada. Algunas herramientas de software
que se utilizan para el escaneo de puertos son:
• SATAN
• PortScan.c
• Nmap
• Neptune
• Network Toolbox
Todas estas herramientas son fáciles de encontrar en el Internet y hay una gran variedad
que día a día se vuelven más populares y sencillos de implementar.
Otro tipo de ataque de reconocimiento es la intercepción de la información, es
básicamente la observación pasiva de los paquetes que viajan a través de la red
utilizando alguna utilería. Tal es el caso del espionaje de los paquetes utilizando el
conocido olfateador (sniffer) o analizador de protocolos, el cual captura los paquetes y
los vuelve a colocar en el medio físico sin que se de cuenta el receptor ó el emisor de los
paquetes. El objetivo es obtener la mayor cantidad de paquetes posible y regenerar el
escenario de transmisión para determinar que información se envía por el medio de
transmisión. SNMP es un protocolo que puede ser fácilmente interpretado por el
atacantes a través de la utilización de los sniffers o bien los analizadores de protocolos.
Muchos de los casos de espionaje de paquetes que se dan internamente, es necesaria la
protección física de los puntos de acceso a la red.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
23
Algunas herramientas que se pueden utilizar para la captura de paquetes son:
• Tcpdump
• Esniff.c (UNIX)
• Linsniffer.c (LINUX)
• Network Monitor (WINDOWS)
• HP Internet Advisor
• NetXray
Los atacantes hacen uso de las herramientas de reconocimiento para obtener la mayor
cantidad de información disponible de la red para que posteriormente se realice el ataque
real. Se puede entender entonces, que los intrusos para poder realizar un ataque
necesitan conocer información de dominios, direcciones IP, DNS, y un mapa conceptual
de la red. Por lo tanto, el objetivo principal del administrador de la red es la de evitar que
los intrusos puedan recolectar suficiente información de la red para realizar sus ataques.
Si esto se realiza con éxito se estarán evitando muchos ataques de mayor daño operativo
y financiero para la empresa (LearnKey, 2001).
1.4.2.2 Acceso no Autorizado
Para entender esta amenaza es necesario que se piense en la peor que puede suceder en
el acceso de la información. Lo peor que puede suceder es que un intruso tenga acceso
ilimitado a todos los recuerdos del sistema, es decir que el intruso tenga privilegios de
root9
o bien de administrador. En realidad es posible llevar acabo este tipo de acceso
por lo que es necesario tomar las medidas para evitarlo.
En la figura 1.3 se muestran los posibles intrusos que se pueden tener en una red Intranet
como es el caso de la Universidad de Colima. Por lo tanto, se tienen tres tipos de
9 Cuenta de usuario que se encuentra en los sistemas operativos basados en UNIX que tiene todos los privilegios de control del sistema.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
24
intrusos. El primero es intruso de Internet, el cual es capaz de capturar información entre
dos Delegaciones de la Universidad, además puede atacar al enrutador de perímetro así
como a los servidores que se encuentren en la DMZ10
El Internet, la Intranet y los acceso remotos son las tres zonas que se deben de proteger
para evitar el accesos no autorizados a red de la Universidad (LearnKey, 2001).
. En DIGESET (Dirección General
de Servicios Telemáticos) se puede encontrar el segundo tipo de atacante, el cual se
conecta a través de línea telefónica a Internet y los usuarios no autorizados son el tercer
tipo de intrusos, éstos se encuentran dentro de la Intranet de la Universidad y pueden
llegar a tener acceso no autorizado a servicios de uso restringido.
Una vez que uno de estos tres tipos de intrusos tengan acceso a un host de la red, éste
tratará de encontrar más vulnerabilidades que le permitan obtener más privilegios de
acceso. Quizás utilice ataques de reconocimiento para obtener más información acerca
de la red, descubrir las direcciones IP y utilizar sniffers para capturar nombres de
usuarios y contraseñas. En la mayoría de las ocasiones el intruso utiliza el escaneo de
10 De-Militarized Zone: Es una zona desmilitarizada que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externas e internas, de forma que se consigue reducir los efectos de un ataque exitoso al host que se encuentre en dicha subred.
Figura 1.3. Muestra los posibles intrusos que se pueden tener en una red Intranet
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
25
puertos en los servicios de Internet como ftp o web, para ver que puertos están abiertos y
así obtener privilegios de acceso(LearnKey, 2001).
Ingeniería social es uno de los procedimientos comúnmente utilizados por los intrusos,
para obtener acceso autorizado a la red, por lo que es necesario capacitar a los usuarios
de la red para que sepan en que momento se ven envueltos en una situación se ingeniería
social. War Dialer es una herramienta utilizada por los intrusos de líneas telefónicas para
tener acceso a servidores ISP. Básicamente esta herramienta lo que hace es el marcado
de una secuencia de números telefónicos hasta conseguir que le conteste un MODEM y
luego concentrarse en tratar de obtener información de usuarios y contraseñas. Los
usuarios que están en la red local, pueden tratar de obtener acceso tratando de descubrir
fallas de configuración en el firewall para tener acceso a ciertos servicios (LearnKey,
2001).
Habrán varios ataques de los cuales debemos de estar pendientes, el ataques de
reconocimiento de contraseñas es muy común para tratar de lograr el acceso. Los
llamados ataques de diccionario son conocidos como ataques de fuerza bruta porque se
utilizan programas que hacen combinaciones de contraseñas provenientes de un
diccionario que contiene las contraseñas que se utilizan mas a menudo para lograr
determinar la contraseña. Este proceso puede durar días o bien semanas. El sniffer es
otra herramienta que el intruso puede utilizar para capturar los paquetes provenientes de
un sesión de autenticación de un usuario. Además de estas herramientas, el intruso puede
hacer uso de utilerías para craquear las contraseñas de los sistemas operativos.
Para evitar estos ataques se recomienda lo siguiente:
• Aplicar una política compleja para la asignación de contraseñas.
• Evitar enviar las sesiones de autenticación en texto claro, fácil de capturar
por un sniffer. Utilizar para ello un mecanismo de encriptación.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
26
Una vez que el intruso tiene acceso a la red, su siguiente paso es la limpieza de las
huellas que este dejo en el proceso del acceso no autorizado y dejar un acceso
irreconocible por parte de los administradores. Generalmente el Intruso limpia todos los
logs que intervienen en el acceso no autorizado, mueve archivos de cuentas de usuarios
para el directorio /tmp para que eventualmente sean borrados, instalan sniffers para
obtener mas información de la red y finalmente instalan una puerta trasera. Esta puerta
trasera puede ser a través de la adición de una cuenta de usuario con su respectiva
contraseña o bien instalando un troyano como Back orífice.
Se recomienda estar al día con este tipo de incidentes a través del CERT.
Por otro lado se debe de estar al tanto de las aplicaciones inseguras que por consiguiente
producen tráfico inseguro. Tal es el caso de los comandos de BSD(Berkeley Software
Distribution) que son fáciles de determinar a través de los sniffers, el FTP (File Transfer
Protocol) anónimo, el servicio finger que proporciona mucha información para el
proceso de reconocimiento, el sistema de archivos NFS (Network File System) que
proporciona acceso remoto con un mecanismo de autenticación muy débil, TELNET
envía la contraseña en texto legible por el intruso y los procedimientos de envió de
correo como ser SMTP, POP ,MIME, etc.. Estos procedimientos pueden ser utilizados
para obtener privilegios de root. Además de considerar HTTP, se debe de considerar los
errores en el software que proporciona este servicio así como la mala configuración del
mismo. Se debe de estar pendiente de los javaScripts y los Applets Activex que actúan
como caballos de Troya.
La mayoría de los programas de comunicaciones están escritos en código C que utilizan
buffers11
11 Buffer: es un área de datos compartida por el dispositivo de hardware o procesos del programa que operan en diferentes velocidades o en diferentes prioridades. El buffer le permite al dispositivo o proceso operar de forma independiente.
. Estos son utilizados para guardar información variable y pueden ser victimas
de un ataque a través de una sobre carga como resultado de un acceso no autorizado a
dicho dispositivo que utiliza el programa de comunicación. Los programas gusanos de
Internet utilizan los buffer para su propagación, para evitarlos se requiere estar al tanto
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
27
de los nuevos parches y monitorear los sitios Web que ofrecen información de esta
índole (como CERT).
Algunas contramedidas que se pueden tomar en cuenta para evitar el acceso no
autorizado son las siguientes:
• Inicie en la red perimetral, utilice un enrutador de perímetro que solo permita el
acceso a Internet de las áreas que usted desee. Utilice las listas de acceso.
• Aplique una segunda línea de defensa como es el caso de un cortafuego para
proteger la red interna.
• En los dispositivos de red, debe de asegurarse de no instalar servicios
innecesarios. Si se utiliza acceso a Internet por líneas telefónicas, asegúrese de
utilizar un programa de acceso remoto difícil de acceder por los intrusos. Aplique
la ultima versión o parches de los sistemas.
• Instale un detector de intrusos con sus respectivos sensores.
1.4.2.3 Denegación de Servicios La denegación de servicios (DoS) es uno de los ataques más comunes de hoy en día.
DoS provoca al sistema destino y a la red, indisponibilidad o inhabilidad a través de la
saturación de recursos o causando errores catastróficos que tengan como consecuencia
detener los procesos o a todo el sistema (Boswordth & M.E., 2002), por lo que, los
usuarios legítimos no tendrán acceso a la red, sistema o servicio denegado, son fáciles de
aplicar, solo basta seguir los pasos al pie de la letra para poner este tipo de ataque en
funcionamiento. Una real defensa en contra de este tipo de ataque vendrá cuando exista
una cooperación global de todos los ISP y sistemas individuales conectados a Internet.
En mucho de los casos los ataques DoS pueden ser utilizados por los administradores de
red para probar las vulnerabilidades del sistema como preludio a ataques futuros, para
rastrear al atacante o para vengarse por algo que sucedió en el pasado. El verdadero
asunto con este tipo de ataques es que el protocolo IP es inherentemente vulnerable. Las
herramientas de ataques de Denegación de Servicio pueden ser instaladas en cualquier
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
28
sistema operativo (Linux es el mas común) pueden atacar a cualquier sistema que tenga
instalado el protocolo IP. Adicionalmente como la implementación de IP es similar en
las diferentes plataformas, un ataque DoS puede estar destinado para varios sistemas
operativos y trabajar en cada uno de ellos. Una vez que los ataques DoS son escritos
para una plataforma en especial son lanzados, evolucionan (a través de la examinación
de los hackers y crackers) y en un periodo corto de tiempo (aproximadamente dos
semanas) surgen nuevas mutaciones del ataque DoS que trabajar virtualmente en todas
las plataformas. Por el impacto de este tipo de ataques, no se pueden tomar como algo
sencillo, los ataques DoS han estado presente de una forma u otra desde los 80’s. En
1999, estos ataques evolucionaron a ataques Distribuidos de Denegación de Servicio
(DDoS), primordialmente por el excesivo uso de la red interna e Internet. DDoS
funciona mediante la implementación coordinada de los ataques DoS desde varias
fuentes en contra de uno o mas destinos.
El primer ataque de denegación de servicio que se tiene registrado fue quizás, accidental.
Este tuvo lugar en Diciembre de 1987, cuando uno de los empleados de IBM en Europa,
envió una tarjeta electrónica vía correo electrónico. Sin embargo, el correo contenía un
programa que desplegaba un árbol navideño en la pantalla del receptor. Además, leía los
contactos del receptor para listar los usuarios del libro de direcciones así como el correo
electrónico de individuos que el receptor había enviado o recibido recientemente. Este
programa a su vez enviaba el mismo mensaje a las direcciones de correo que encontró
en contactos. Como resultado surgió un sobre carga en toda la red mundial de la
corporación IBM, afectando a Europa y Estados Unidos. Además debido a la fuga de
mensajes se desato un descalabro en las redes de educación (BITNET/EARN) e
investigación de Norte América y Europa. El incidente fue referenciado como virus, un
gusano o una broma, pero en realidad fue un autentico ataque de denegación de servicio.
(Boswordth & M.E., 2002). El Gusano creado por Robert Morris, es otra demostración
real de un ataque de denegación de servicio. Un ataque de denegación de servicio en
contra de las computadoras o de la red puede ser devastador para una organización.
Equipo de comunicación críticos, sistemas e incluso toda la red pueden terminar
inaccesibles a causa de estos ataques.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
29
Los ataques de denegación de servicio son implementados deliberadamente por intrusos
o bien por procesos automáticos que le permite que el intruso inicie un ataque
remotamente. A estos programas se les conoce como demonios y a menudo son ubicadas
en otros sistemas a los cuales el hackers tiene acceso. Existen varios tipos de ataques y
son relativamente fáciles de implementar. Los siguientes párrafos explican brevemente
en que consisten.
Buscar que los recursos críticos para el funcionamiento del dispositivo de red sean
escasos, limitados e in renovables para obtener un mal rendimiento, es uno de los tipos
de ataques. Estos ataques se implementan a través de la red. Los recursos de este tipo
incluyen tiempo de CPU, espacio en disco, memoria, estructura de datos, ancho de
banda de la red, acceso a otras redes, computadoras y recursos ambientales como el aire
condicionado y la energía eléctrica.
Otro tipo de ataque puede ser destruir o alterar la información de configuración, debido a
la falta de una inapropiada configuración, las computadoras pueden no operar o hacerlo
parcialmente. Este tipo de ataque es muy severo.
Finalmente el último tipo de ataque es la destrucción u alteración física de los
componentes de la red, para la protección es necesaria una buena seguridad física que
salvaguarde las computadoras y otros componentes de red.
A continuación se mencionan algunos ataques de denegación de servicio que existe con
eventualidad; tomando en cuenta que existirán nuevos métodos.
Dispositivos Destructivos. Son programas cuya finalidad es la destrucción de la
información. Existen varias opciones dependiendo de que tan complejo es el dispositivo
de destrucción por lo que, estos pueden ser instrumentos de ataques de denegación de
servicio: Virus, bombas de correo electrónico y herramientas de denegación servicio que
pueden ser considerados dispositivos de destrucción. Los virus y las bombas de correo
electrónico se conocen como causa de ataques de denegación de servicio.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
30
Bombas de Correo Electrónico. Una bomba de correo electrónico consiste en un
extenso número de mensajes que son utilizados para sobre cargar el buzón de la víctima.
Estos pueden como consecuencia el bloqueo de la conexión en línea, lentitud en el envío
de los correos electrónicos e incluso sobre carga del servidor de correo hasta que el
sistema esté inaccesible.
Sobre Carga del Buffer. Este ataque puede ser capcioso y ser dañino. Es posible enviar
una cadena de caracteres a un programa destino que contiene código propio y que es lo
suficientemente largo para sobrecargar el espacio en memoria o la entrada al Buffer.
Muchas veces el código de sobrecarga es ubicado en la cola de procesamiento del
sistema operativo para posteriormente ser procesado. Una sobrecarga puede ocurrir
cuando las peticiones de procesamiento de entrada sobrecargan el espacio en el buffer y
desemboca en la pila, en donde se escriben las peticiones previas y direcciones de
retorno.
Agotamiento del Ancho de Banda. Este tipo de ataque involucra la generación de un
sin número de paquetes grandes enviados a la red destino. Estos ataques pueden ocurrir
localmente o remotamente. Si el atacante tiene acceso, se puede decir que el ancho de
banda disponible puede ser víctima del atacante porque puede sobrecargar la conexión
de red de la víctima. Por otro lado, se podría utilizar cierto tipo de paquetes para esta
finalidad, los más comunes son los mensajes del protocolo de control de Internet (ICMP,
Intenet Control Message Protocol), a través de mensajes de Echo (generados por Ping).
A través de la utilización de múltiples sitios de renta, el atacante puede sobrecargar la
conexión de red de la víctima y puede amplificar el ataque de denegación de servicio. El
ataque más conocido para dicha amplificación es el llamado ataque SMURF. Este ataque
está particularmente interesado en la utilización de la herramientas ( Ping ) que residen
en cualquier sistema IP y emplear estas herramientas en otras redes sin la necesidad de
tener control de ningún sistema.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
31
Sobrecargar SYN. Este ataque de denegación de servicio entra en la categoría de
agotamiento de recursos suficientes y explota el proceso de tres fases utilizado por las
estaciones TCP para la sincronización de la conexión lógica previa al intercambio de
datos. En un proceso normal de una conexión TCP de estación a estación, la estaciones
intercambian tres segmentos TCP previo al intercambio de los datos. La figura 1.4
muestra el proceso.
1. El cliente envia un segmento al servidor con su número de secuencia inicial (ISN,
Initial Sequence Number). La bandera SYN (sincronización) es establecida en
este segmento.
2. El servidor responde a través del envío de un segmento conteniendo su ISN y el
acuse de recibo del ISN correspondiente al cliente. Este segmento contendrá
ambas banderas SYN y ACK, hasta este punto el servidor asigna recursos para la
conexión que está a punto de establecer y espera el tercer segmento.
3. El cliente envía un segmento como un acuse de recibo dirigido al ISN del
servidor. Este y todos los segmentos siguientes sólo enviaran la bandera de ACK,
hasta que termine la sesión.
Figura 1.4. Proceso normal de Acuerdo en Tres Fases.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
32
Una sobre carga SYN toma ventaja del proceso de tres fases, anteriormente expuesto en
el sentido de que el servidor sólo tiene un número finito de conexiones TPC abiertas. El
ataque comienza su operación cuando inicializa conexiones a las cuales nunca enviará
un tercer segmento. En circunstancias normales, el cliente va responder en unos pocos
segundos. El servidor puede esperar aproximadamente 10 segundos antes del tiempo de
cancelación y liberar el recurso. El ataque puede enviar más de 1000 mensajes de
conexión por segundo y esto da como resultado miles de solicitudes de conexión que el
servidor no puede atender por lo que, al cabo de un tiempo reducido no abran recursos
disponibles para las solicitudes legítimas de conexión. En pocas palabras el servidor se
vuelve inaccesible.
Los ataques de denegación de servicio pueden tomar una gran variedad de formas y
atacar a una gran variedad de servicios causando el incremento de la complejidad y
dificultad para los sistemas de protección. Los ataques de denegación de servicio deben
de tomarse en serio por qué las amenazas potenciales están presentes y deben de
realizarse intentos para educar al personal operativo antes que dichos ataques ocurran, de
esta forma poder documentar los ataques DoS, y revisar la documentación y acciones a
tomar después de la ocurrencia del incidente.
1.5 Mecanismos de Seguridad Es importante aclarar que un cortafuego no es un dispositivo como normalmente se
conoce. El cortafuegos es un componente o una serie de componentes que restringen el
acceso entre la red protegida y el Internet, o bien entre otra serie de redes. Por ende, el
cortafuego se le considera un mecanismo de seguridad que debe de funcionar
conjuntamente con los demás componentes de seguridad para proporcionar una red
segura.
Los cortafuegos son mecanismo de seguridad en redes que han proporcionado la
protección necesaria sin precedentes para la conectividad empresarial e institucional a
redes externas que son visibles en la red pública (Internet). Estos dispositivos tienen
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
33
roles bien específicos, sin embargo, no proporcionan los tipo de protección que a
menudo se les atribuye. No obstante, puede sobresalir en ciertas actividades y sin duda
alguna son un componente necesario en cualquier infraestructura de seguridad.
Antes de comenzar a hablar de los cortafuegos es importante dar a conocer los cambios
que surgieron en relación a la forma de utilizar la computadora, los cuales son:
paradigmas de la computación, modelos para la interacción del negocio y el cambio
global introducido por la emergente Internet, estos han alterado dramáticamente las
responsabilidades y capacidades de los componentes de seguridad tradicionales.
Las conexiones entre sistemas han cambiado la forma de utilizar las computadoras,
algunos elementos de seguridad han cambiado para ajustarse a ésta nueva forma de
utilizar las computadoras. La evolución del procesamiento centralizado de la
información a un procesamiento distribuido a través de sistemas de redes, ha cambiado
la idea de la seguridad perimetral. Adicionalmente, como resultado de las nuevas
conexiones, los requerimientos para la aplicación de seguridad han incrementado para
incluir nuevas inquietudes acerca de redes y dispositivos de seguridad.
El procesamiento centralizado de la información ha establecido tecnologías y
componentes de seguridad. La transición al procesamiento cliente/servidor ha dejado el
procesamiento centralizado significativamente atrás y continúa con el cambio al
procesamiento de redes descentralizadas que requieren de nuevos esquemas de
seguridad.
El procesamiento de redes descentralizadas tiene mucho que ver con el Internet. El
surgimiento de Internet como una plataforma comercial importante, ha influido en la
tecnología empresarial y educativa, directa e indirectamente. Las conexiones de Internet,
HTTP, FTP y otros servicios de Web han conducido a las redes empresariales y
educativas hacia el estándar de TCP/IP. Además, a medida que los fabricantes de la
infraestructura estandarizan sus productos sobre el protocolo de Internet y sus
tecnologías, los componentes disponibles para el uso interno del negocio se basan en el
uso de TCP/IP.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
34
Las aplicaciones empresariales han migrado de la clásica aplicación de cliente en la PC a
aplicaciones que corren en servidores de nivel medio, para aplicaciones de múltiples
tareas con una ligera interfaz de cliente WEB enlazada a un servidor HTTP que está
respaldado por transacciones y bases de datos. El resultado de estos cambios es la
amplitud de ambientes de redes homogéneos que utilizan TCP/IP para proporcionar
conectividad.
Los diferentes problemas de seguridad perimetral han producido una sucesión de
mecanismos de seguridad en redes diseñadas para restringir rutas permitidas e
inspección de tráfico de red. Tal es el caso de las listas de control de acceso de los
enrutadores, estos son el corazón de las redes TCP/IP, enviando el tráfico de un
segmento a otro. Los fabricantes de enrutadores reconocen la necesidad de controles de
seguridad en las fronteras entre diferentes segmentos y redes, implementando controles
sencillos que pueden ser activados con bajo nivel de impacto en la usabilidad de la red,
utilizando declaraciones "permitir" y "denegar", las listas de control de acceso de los
enrutadores restringen el tráfico IP basado en la dirección fuente, dirección destino y
puertos, además, estos controles puede limitar el tráfico basado en otros parámetros
como por ejemplo, cuando un paquete debe ser contestado para establecer una conexión.
Los enrutadores llevan a cabo una inspección a cada paquete en un espacio vacío, sin la
existencia de tráfico previo.
Los cortafuegos instalados en servidores es otro mecanismo de seguridad en redes,
fueron creados para proveer capacidades adicionales que los enrutadores no están en la
disposición de ofrecer, esto incluye inspección de tráfico del protocolo, inspección del
tráfico contextual, autenticación global y alertas. Sirven como compuertas basadas en
software que reconstruye completamente los paquetes de la red para proteger el sistema
en las redes internas, además, estos cortafuegos están instalados en sistemas operativos
tales como Unix y Windows NT. Los cortafuegos perimetrales y personales son creados
para un propósito específico.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
35
1.5.1 Roles de los Mecanismos de Seguridad en Redes El reconocimiento del valor de los mecanismos de seguridad en redes cambian de
acuerdo a como está construida y manejada la infraestructura de red. Mientras los
administradores de la tecnología de información incrementan sus experiencias y
reconocen la necesidad de estos mecanismos, a menudo tienen expectativas poco
realistas acerca de la capacidad de estos mecanismos. Los mecanismos de seguridad en
redes está muy lejos de ser una respuesta fácil para los asuntos de seguridad de Internet.
Un entendimiento de las capacidades y rol del estos componentes permiten la más
efectiva implementación de sus beneficios sin las indicadas consecuencias de
insuficiente protección en otras áreas. A continuación se presenta una breve descripción
de cada rol de los mecanismos de seguridad en redes. 1.5.1.1. Seguridad Perimetral
Lo más importante de este rol, es que los dispositivos que lo componen se encuentren en
una línea entre lo externo y lo interno, de tal manera que las debilidades, falta de
configuraciones y otras vulnerabilidades en los diferentes componentes sean escondidas
atrás de la interfase que controla el dispositivo perimetral. Para la adecuada
implementación de este rol y para facilitar las rutas disponibles de control que se siguen,
los controles perimetrales deben de seguir el principio de menos privilegio, para ser una
definición útil del perímetro, este dispositivo debe implícitamente bloquear todo el
tráfico que no está explícitamente permitido. Un área que se debe de tomar en cuenta
dependiendo de la medida de protección perimetral ofrecida por el dispositivo, es la
extensión del perímetro a través del tráfico permitido. Hay que tener sumo cuidado para
asegurar que los sistemas dentro de la red interna sean capaces de actuar como parte
lógica de la red perimetral. Esencialmente, los cortafuegos permiten a los
administradores enfocar sus esfuerzos de seguridad en un grupo especial de sistemas.
1.5.1.2 Control de Rutas Permitidas.
Mientras dispositivos de seguridad como los cortafuegos crean un distinguido perímetro
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
36
físico entre diferentes redes, éstos también deben de crear un perímetro lógico que se
extiende a los sistemas dentro de las redes protegidas.
La rutas de protección permitidas por los cortafuegos permiten que el tráfico de afuera
sea disponibles sólo para fluir en formas que el administrador de la red desee.
La protección perimetral y el control de rutas permitidas son roles de los mecanismos de
seguridad en redes que se combinan para formar "la puerta de enlace de menor
privilegio" que comprenden el origen de la función del "cortafuegos". Los profesionales
de seguridad en redes han aprendido que el tráfico externo maligno fácilmente puede
extenderse a través de las rutas permitidas. Gran parte de la responsabilidad de seguridad
aún descansa sobre el dispositivo destino dentro del área protegida.
1.5.1.3 Detección de Intrusión Finalmente el rol primario de los mecanismos de seguridad en redes es la detección de
intrusión: sonando una alarma cuando algo nos invade dentro de la red perimetral.
Dependiendo como estos mecanismos son implementados, las alertas van a
proporcionar información sumamente valiosa acerca de los problemas reales o de un
torrente informativo donde se da a conocer los intentos de ataques que realmente reciben
los dispositivos. Cuando un mecanismo de seguridad está funcionando bien, la
información de detección de intrusión es realmente una información que proporciona los
niveles de amenaza útiles en el mantenimiento de información y en los niveles de
entorno de la red protegida. Algunos cortafuegos incorporan características que permiten
notificar patrones de comportamientos, así como los que se encuentran en los detectores
de intrusos, esto con la finalidad de identificar tráfico hostil que viaja a través de las
rutas permitidas. De manera similar existen escáneres de virus que utilizan estos
patrones de comportamiento para identificar algún ataque a un protocolo en específico.
Existen roles adicionales que los mecanismos de seguridad en redes deben de cumplir,
uno de ellos es la respuesta a intrusiones. Los fabricantes de cortafuegos han integrado
varios tipos y niveles de respuestas a intrusiones que producen una respuesta automática
a las alertas de los detectores de intrusos. Otro de los roles es la encriptación, los
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
37
cortafuegos deben utilizar redes privadas virtuales para aumentar la seguridad perimetral
de la red que incluye sistemas remotos. La inspección de contenido es otro de los roles
que deben de cumplir los mecanismos de seguridad en redes, estas incluyen filtrado de
contenido, escaneo de virus y filtrado de código activo.
Los cortafuegos implementan los roles anteriormente expuestos, con constante extensión
en varios requerimientos básicos de seguridad. Cada sucesión de generaciones de
cortafuegos ha introducido nuevas técnicas para servir a los roles básicos, estos avances
se ha enfocado básicamente en él área de control de rutas permitidas, agregando varios
niveles de inspección de tráfico en cada ruta permitida.
Todos estos mecanismos de seguridad que se mencionan no tienen razón de ser si no
existe un componente que asegure el funcionamiento homogéneo e integral de todos
ellos. Este componente es la política de seguridad.
La política de seguridad nos ayudará a determinar las respuestas de las siguientes
incógnitas:
• ¿Cómo definir cual tráfico que se permitirá en las rutas de acceso? • ¿Donde deberá estar instalado el cortafuego? • ¿Qué servicios y dispositivos deben de estar en las zonas determinadas por los
cortafuegos? • ¿Dónde se debe de instalar el Detector de Intrusos?
La siguiente sección describe lo que es una política de seguridad, sus implicaciones,
factores de éxito, así como los controles de administración de la seguridad. Además
describe los componentes que intervienen en la generación de una política de seguridad.
1.6 Políticas de Seguridad
El propósito de una política de seguridad es describir el uso aceptable de los equipos de
la organización. La política de seguridad debe de establecer objetivos claros para cada
uno de los equipos utilizados en la defensa de la red, incluyendo los parámetros de
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
38
seguridad. La política es un documento o una serie de documentos que describen los
controles de seguridad que se deben de implementar en la organización, finalmente una
política de seguridad no seria efectiva sino se implementa, es por esta razón, que los
usuarios de la red deben de firmar un documento claramente detallado que explique que
es lo que se les permite hacer en el sistema de información, por lo menos, una política de
seguridad debe de incluir un resumen y una declaración de propósitos.
Toda política de seguridad implementada debe de estar comprometida para proteger a
los empleados, socios de la empresa y a la empresa misma, de acciones ilegales y
perjudiciales llevadas acabo por intrusos internos o externos.
La intención de publicar una política de seguridad no debe de ser para imponer
restricciones que son contradictorias al establecimiento de una cultura de disponibilidad,
confiabilidad e integridad, una efectiva seguridad requiere del esfuerzo de un equipo que
participe y dé soporte a cada empleado que interactúe con la información que se
considere confidencial. Es responsabilidad de los usuarios comprender los
procedimientos y llevar acabo sus actividades de acuerdo con lo establecido. Los
reglamentos deben de definir de alguna manera la protección del empleado y de la
organización en caso de alguna mala acción que ponga entre dicho la integridad de la
seguridad. Una lista de actividades prohibidas, debe de ser presentada a los empleados
antes de que firmen la aceptación de la política, además debe de contener las
excepciones a ciertas prohibiciones de acuerdo a la naturaleza del cargo que asumirá el
empleado (Ej. Los administradores de la red en algunas ocasiones será necesario que
deshabiliten el acceso de alguna estación de trabajo debido a que esta distorsionando la
estabilidad de la red)
La política de seguridad debe de establecer todo un programa que plantee como los
usuarios internos y externos, deben de interactuar con las computadoras de la
organización, también debe de plantear como la organización puede implementar la
topología de red y determinar donde deben de estar ubicados sus bienes. La política
deberá de evaluar las posibles amenazas en contra de productividad y los bienes
tangibles e intangibles de la organización que necesitan diferentes niveles de protección.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
39
El grado de seguridad proporcionado está íntimamente relacionado con la apertura de
comunicaciones de las redes, a mayor apertura o alcance de la red, mayor es el grado de
seguridad que se requiere. Por ejemplo; las grandes empresas requieren de un nivel de
seguridad medio, este nivel debe de satisfacer los requisitos de herramientas de
monitoreo como un monitor de referencia que interviene en todos los accesos de
usuarios a los objetos, a fin de ser comprobada, y que sea lo bastante pequeña para ser
sujeta al análisis y pruebas (Departamento de Control de Calidad y Auditoria
Informática, 2000).
Definir el impacto de la política sobre los usuarios, reconocer los inconvenientes de la
seguridad, evitar una complejidad excesiva, hacer uso de las herramientas más comunes
de seguridad que han sido probadas y examinadas, decidir si va existir una persecución
en contra de los malhechores y en caso de que si exista una persecución entrenar al
personal para recolectar información necesaria, decidir el alcance, recordar
constantemente y diseminar periódicamente detalles de seguridad, son parte de las
actividades que debe de contemplar una política de seguridad.
La figura 1.1 (remitirse en la pagina No. 10), presenta una pirámide organizacional que
ilustra los elementos a contemplar en una política de seguridad. Las políticas ayudan a
definir lo que se considera de valor y especifican los pasos que se deben de tomar para
salvaguardar esos bienes.
Las políticas pueden ser formuladas en un numero variado de formas. Se puede escribir
una política muy simple y particular, una política general que comprendan varias
páginas, se pueden desarrollar una serie de políticas específicas como: política de correo
electrónico, de contraseñas, de contabilidad del sistema, de emisión de cuentas de
usuario, etc.
Las políticas juegan tres tipos de roles. El primero: aclarar que es lo que se requiere
proteger y porque?. Segundo, establece de manera clara la responsabilidad para lograr
esa protección. Tercera, provee la base sobre la que se interpreta y/o resuelve cualquier
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
40
conflicto posterior. Lo que una política NO debe hacer es listar amenazas específicas,
máquinas, individuos por nombre, las políticas deben de ser generales y cambiar
conforme se necesite a través del tiempo.
Para una política de seguridad es esencial que la organización notifique los
requerimientos de seguridad. Hay tres fuentes principales.
• La primera fuente es derivada de la valoración de riesgos de organización. A
través de la valoración de riesgos las amenazas a los activos son identificados, la
vulnerabilidad y la posibilidad de ocurrencia es evaluada y el impacto potencial
es estimado.
• La segunda fuente es la legal, requerimientos establecidos por la ley, reglamentos
y contratos que en la organización requieren para negociar con socios,
contratistas y proveedores de servicio.
• La tercera fuente son una series de principios, objetivos y requerimientos del
procesamiento de información que la organización debe de desarrollar para las
etapas de procesamiento que soportan sus operaciones.
La valoración de riesgos de seguridad. Este requiere de una valoración metódica para los
riesgos de seguridad, se necesita entonces hacer un balance de las fallas del negocio en
relación con los resultados de fallas de seguridad. Las técnicas de valoración de riesgos
pueden ser aplicadas a toda la organización, o bien sólo a una parte de ella, así como a
los sistemas de información individuales, un componente específico del sistema o un
servicio que sea práctico, realístico y de mucha ayuda.
La valoración de riesgos es una consideración sistemática de:
• La probabilidad de un daño del negocio que resulte de una falla de seguridad,
debe ser cargada en las consecuencias potenciales de pérdida de confiabilidad,
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
41
integridad o disponibilidad de la información y de otros bienes.
• La probabilidad real de dichas fallas que ocurren en la existencia de las amenazas
y vulnerabilidades, y los controles que actualmente se están implementando.
Los resultados de esta valoración pueden ser apoyo para la guía y determinación de la
apropiada administración de acciones y prioridades para el manejo de los riesgos de
seguridad informática, y para la implementación de controles selectivos que
proporcionen protección en contra de estos riesgos. El proceso de valoración de riesgos
y selección de controles probablemente necesite ser desarrollado un sinnúmero de veces
para cubrir diferentes partes de la organización o partes individuales de un sistema
informático.
Es importante determinar revisiones periódicas de los riesgos de seguridad y de los
controles implementados para:
A. Contabilizar los costos para los requerimientos y prioridades de la organización.
B. Considerar nuevas amenazas y vulnerabilidades.
C. Confirmar que los controles se mantengan efectivos y apropiados.
Las revisiones deben ser desarrolladas en los diferentes niveles de profundidad
dependiendo de los resultados de las previas valoraciones y de los cambios de los
niveles de riesgos que la administración está preparada a aceptar. La valoración de
riesgos es a menudo llevada a cabo primero en el nivel más alto, como una prioridad de
recursos en áreas de alto riesgo, y luego a un nivel más detallado, para atender riesgos
específicos.
1.6.1 Selección de Controles
Una vez que se edifican los requerimientos de seguridad, los controles necesarios deben
de ser seleccionados e implementados para asegurar un nivel reducido de aceptación de
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
42
riesgos. Este control puede ser seleccionado desde el estándar ISO/17799 haciendo la
aclaración de que no todos los controles son aplicables a todas las organizaciones, ya
que esto depende del ambiente de trabajo que prevalezca en la organización. Tal es el
caso de la aplicación del control de segregación de responsabilidades, esto no se podría
aplicar en una organización pequeña. Otro de los casos sería el control de monitoreo que
hace una revisión de lo que está haciendo el empleado, este control se podría ver
opacado por las leyes que protejan al empleado, estas leyes son el derecho a la
privacidad del empleado y de su área trabajo.
Los controles deben ser seleccionados basándose en el costo de implementación en
relación con el riesgo que se está reduciendo y con la pérdida potencial si la ruptura de la
seguridad ocurre.
1.6.2 Puntos de Inicio para la Política de Seguridad Informática.
Un cierto número de controles pueden ser considerados como guía principal para
proporcionar un buen punto de inicio para la implementación de la seguridad
informática. Esto puede estar basado en los requerimientos esenciales de legislación o
simplemente son considerados como mejores prácticas para la seguridad informática.
Los controles considerados esenciales para la organización desde el punto de vista
legislativo son:
A. Protección de datos y privacidad del información personal
B. Salvaguardar los registros organizacionales.
C. Derechos de propia intelectual.
Desde el punto de vista de mejores prácticas más comunes para la seguridad informática
los controles que se consideran son:
A. Documentos de políticas de seguridad informática.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
43
B. Establecimiento de responsabilidades para seguridad informática
C. Educación y entrenamiento de la seguridad informática.
D. Reporte de incidentes de seguridad
E. Una continua administración del negocio
Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los
ambientes, debe de observarse que todos los controles en este documento son
importantes, la relevancia de cualquier control debe ser determinado en la presencia de
un riesgo específico que la organización enfrenta.
1.6.3 Factores Críticos de Éxito
La experiencia del comité técnico de ISO/IEC ha demostrado que los siguientes factores
son a menudo críticos para el éxito de la implementación de la seguridad informática
dentro la organización:
A. Una política de seguridad, objetivos y actividades que reflejen los objetivos de la
organización.
B. Todo la guía de implementación de seguridad que sea consistente con la cultura
organizacional de la empresa.
C. Deberá existir apoyo y un compromiso por parte de la administración.
D. Una buena determinación de requerimientos de seguridad, valoración de riesgos y
administración de los mismos.
E. Una efectiva concientización de la seguridad para todos los administradores y
empleados
F. Distribución de la guía de la política de seguridad informática y de los estándares
para todos los empleados y contratistas.
G. Proporcionar una apropiada educación y un adecuado entrenamiento.
H. Un comprensivo y balanceado sistema de medición que será utilizado para evaluar
el rendimiento de la administración de seguridad informática y la adquisición de
sugerencias para el buen funcionamiento.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
44
1.6.4 Documento de la Política de Seguridad Informática
Este documento de ser aprobado por la administración, debe ser publicado y comunicado
de la mejor manera posible a los empleados y establecer un compromiso por parte de la
administración y proporcionar las aproximaciones de la organización para el manejo de
seguridad informática. Como mínimo deben de seguirse algunas vías:
A. Una definición de la seguridad informática, sus objetivos globales y su alcance, así
como su importancia en la habilitación de mecanismos para compartir
información.
B. Una declaración por parte de la administración, para apoyar los objetivos y
principios de la seguridad informática.
C. Una pequeña explicación de las políticas de seguridad, los principios, los
estándares y acatamiento de los requerimientos para una importancia en particular
de la organización como por ejemplo:
1. Conformidad con los requerimientos legislativos y contractuales.
2. Requerimientos de educación de seguridad.
3. Prevención y detección de virus y otros programas maliciosos.
4. Continuidad por parte de la administración.
5. Consecuencias en las violaciones de las políticas de seguridad.
D. Una definición de las responsabilidades generales y específicas para
administración de la seguridad informática, incluyendo reportes de incidentes de
seguridad.
E. Referencias a documentación que respalde la política, por ejemplo más detalles de
la política de seguridad y procedimientos para un sistema específico de
información o bien, reglas que el usuario debe de seguir.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
45
1.6.5 Revisiones y Evaluaciones
La política debe tener un propietario, el cuál debe de ser responsable del mantenimiento
y revisión de acuerdo con el proceso de evaluación definido. El proceso debe asegurar
que tal revisión debe ser ejecutada en respuesta de cualquier cambio efectuado en las
bases de la valoración de riesgos original. Además debe existir un programa de
actividades que se ejecute periódicamente para la revisión de lo siguiente:
A. La efectividad de la política demostrada por su naturaleza, numeración e impacto
de los incidentes de seguridad registrados.
B. Costo de los controles en relación con la eficiencia del negocio.
C. Efectos de costos en las tecnologías.
1.6.6 Coordinación de la Seguridad Informática
Para las partes relevantes de la organización ha de ser necesaria una coordinación de la
implementación de los controles de seguridad informática. Es por ello, que los
coordinadores de la seguridad informática deben de hacer lo siguiente:
A. Acordar ciertos roles y responsabilidad específicas de la seguridad informática a
través de la organización.
B. Establecer la metodología y procesos específicos para la seguridad informática.
C. Acordar y apoyar iniciativa de seguridad informática en toda la organización.
D. Asegurar que dicha seguridad sea parte del proceso de planificación informática.
E. Apoyar la adecuada coordinación en la implementación de algún control
específico de seguridad informática para un nuevo sistema o servicio.
F. Revisar incidentes de seguridad informática.
G. Promover el visible soporte de la seguridad informática para el negocio a través
de toda la organización.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
46
La política de seguridad informática debe de ser la guía general para la asignación de
roles y responsabilidades de seguridad en la organización. Debe ser el suplemento,
dando una guía detallada para un sitio específico, sistema o servicio. Se asignan
localmente las responsabilidades para individuos físicos, activos informáticos y
procesos de seguridad, así aún que el negocio este en cambio continúo, estas
responsabilidades deben ser claramente definidas.
En muchas organizaciones el equipo encargado de la seguridad informática estará
enfocado en las responsabilidades globales para desarrollar la implementación de
seguridad e identificación de controles.
Sin embargo, la responsabilidad de determinar la implementación de controles estará en
manos de la administración individual. Una práctica común es asignar un propietario
para cada activo informático, el cuál debe ser responsable de la seguridad que requiere el
activo o bien.
El responsable del activo informático está en la libertad de delegar las responsabilidades
de seguridad a individuos o a proveedores de servicios, sin embargo, el propietario del
activo es el primer responsable del mismo, por lo tanto debe de procurar que la
delegación de responsabilidad sea correctamente asignada y ejecutada.
Es esencial que las áreas que estén bajo la responsabilidad del administrador estén
claramente definidas; en particular las siguientes deben ser establecidas:
A. Todos los activos y proceso de seguridad asociados a un sistema individual
deben ser identificados y claramente definidos.
B. El administrador responsable por cada reactivo o proceso de seguridad debe estar
de acuerdo y debe documentar los detalles de dicha responsabilidad.
C. Los niveles de autoridad deben ser claramente definidos y documentados
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
47
1.6.7 Controles de Autorización para la Asignación de Recursos de Seguridad
Informática.
Una administración de procesos de autorización para la información debe ser
establecida. Los siguientes controles deben ser considerados:
A. Los nuevos controles deben ser apropiadamente aprobados por la administración,
con la finalidad de autorizar su uso y propósito. Además los administradores
responsables deben de aprobar estos recursos asignados para el mantenimiento del
sistema de seguridad informática y así asegurar que se obtenga el cumplimiento las
políticas de seguridad correspondientes.
B. Donde sea necesario, hardware o Software, debe de ser verificado para asegurar que
sean compatibles con los otros componentes del sistema.
C. El uso de controles personales en la información para el funcionamiento del negocio
y cualquier otro control necesario deben ser autorizado.
D. El uso de controles personales en la información en el lugar de trabajo puede ser
causa de nuevas vulnerabilidades, por lo tanto deben ser evaluados y autorizados.
Estos controles son esencialmente importantes para el ambiente de redes informáticas.
1.6.8 Consejo de un especialista en seguridad informática El consejo de un especialista en seguridad es necesario en muchas organizaciones.
Idealmente, un experto dentro de la misma organización debe proporcionar los consejos
de seguridad informática. No todas las organizaciones desean contratar dicho
especialista de seguridad, dado el caso, se recomiendan que un individuo sea
identificado como el coordinador de las experiencias y conocimientos de seguridad
informática para asegurar consistencia al momento de proveer ayuda en las decisiones
de seguridad.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
48
Consejeros de seguridad informática o equivalentes puntos de contacto deben ser
tomados en cuenta para obtener consejos que conciernen a la seguridad informática, ya
sea un consejo interno o externo. Estos deben ser objeto de consulta en el proceso de la
detección de un incidente de seguridad para que puedan proporcionar una dirección
especializada o recursos de investigación, considerando la calidad de sus valoraciones de
amenazas de seguridad y consejos acerca de los controles, para determinar la efectividad
de la seguridad informática de la organización. Para maximizar la efectividad y el
impacto se le permitirá acceso directo a la administración de toda la organización,
además muchos de los investigadores de seguridad internos normalmente llevarán a cabo
la administración de controles, los consejeros de seguridad informática deben ser
llamados para aconsejar, permitir o conducir la investigación.
1.6.9 Coordinación entre organizaciones
Se debe de mantener contacto con autoridades legislativas, cuerpos regulatorios,
proveedores de servicios informáticos y operadores de telecomunicaciones, para
asegurar la toma de una decisión apropiada y rápida, y obtener consejos, en la ocurrencia
de un incidente de seguridad, igualmente se deben de considerar los foros de grupos de
seguridad e industria.
1.6.10 Verificación independiente de la Política de seguridad informática
El documento de políticas de la seguridad informática establece responsabilidades para
dicho sistema. La implementación de este debe ser verificada para asegurar que las
prácticas de la organización reflejan la política.
1.6.11 Errores en la Planificación de la Seguridad Informática
1. Suponerse que sólo una línea de defensa es la adecuada. Esto es como decir "la
faja y los sostenes son redundantes", es una mala tendencia. Ésta tendencia
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
49
supone que sólo habrá un punto de falla en toda la arquitectura de seguridad, de
esa manera, sí un solo componente es el encargado de proporcionar seguridad a
toda la infraestructura de red, si este falla; el intruso gana. ¿Como esto puede ser
una seguridad efectiva?
2. Insuficiente entendimiento de la tecnología y sus matices, incluyendo los
acercamientos que el intruso puede tomar para realizar su ataque. Por ejemplo
muchos ingenieros de seguridad no entienden el rango de aplicaciones que
envían la contraseña "en texto claro".
3. Pensar en que habilitar es el opuesto de deshabilitar. Se recomienda deshabilitar
todas aquéllas capacidades que definitivamente no se utilizarán.
4. Olvidar que la seguridad es parte del ciclo de vida. Esto quiere decir que la
seguridad es un proceso evolutivo. Significa entonces que este proceso de
seguridad no debe ser finalizado y ser guardado en una repisa, y atender otros
problemas. La seguridad es una parte dinámica de la organización y el plan de
seguridad debe crecer y adaptarse a los cambios de seguridad que la organización
requiere.
5. Pasar por alto los aspectos de seguridad física-edificios, habitaciones, centros de
datos, acceso físico a las computadoras, etc.
6. Confiar excesivamente en mecanismos de confianza débiles. Un ejemplo típico
de este de error es el confiar solamente en el filtrado basándose en la dirección IP
origen.
7. Fallar en el entendimiento de la exposición a ataques que ponen en peligro de
integridad de la información e infraestructura de la organización.
8. La falla del entendimiento y en el encaminamiento de la relación entre red,
aplicación, y sistema operativo de seguridad, es necesario entender la tecnología
que estamos procediendo, no sólo las herramientas de seguridad.
9. Sistemas que presentan demasiadas "falsas alarmas". Esto hace que el equipo de
respuestas a incidentes y no atiendan la amenaza reales.
10. Inadecuado direccionamiento de riesgos en las brechas de seguridad por parte de
los que están dentro de la organización.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
50
Pueda que no exista un documento de política de seguridad que cubra todas las
eventualidades. El campo de seguridad informática cambia constantemente, y de la
misma manera cambia las políticas. La seguridad informática es un proceso que requiere
de una administración de calidad, para el éxito, la política debe ser integrada a la cultura
corporativa. En pocas palabras, la política de seguridad es un proceso cíclico que
requiere de la definición, implementación y verificación constante.
Este trabajo de tesis busca implementar una política seguridad para la universidad de
Colima. Para ello se tomará en cuenta todo lo que se incluyó en este capítulo. A
continuación, en los próximos capitulo se desarrolla la metodología utilizada para la
implementación del esquema de seguridad en la universidad de Colima, este se resume
en la propuesta de un plan táctico que incluye entre otras contribuciones, el
establecimiento de las políticas de seguridad informática para la institución dedicada a
proporcionar el servicio de comunicaciones para toda la universidad. Esta institución es
la Dirección General de Servicios Telemáticos.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
51
Tabla de Contenido
2.1. Marco Metodológico ............................................................................................. 52 2.1.1. Levantamiento Información .................................................................................. 53 2.1.2. Análisis de Vulnerabilidades ................................................................................. 53 2.1.3. Análisis de Riesgos ............................................................................................... 54 2.1.4. Plan táctico de seguridad ....................................................................................... 55 2.2 Introducción al desarrollo de la metodología ........................................................ 57 2.3 Contextualización .................................................................................................. 58 2.3.1. Redes y Comunicaciones ...................................................................................... 61 2.3.2. Servicio Electrónicos de Intranet .......................................................................... 65 2.3.3. Seguridad Perimetral ............................................................................................. 68
2.3.3.1 Zona de Internet ................................................................................................ 69 2.3.3.2 Zona de Red Interna .......................................................................................... 70 2.3.3.3 Zona Militarizada .............................................................................................. 70 2.3.3.4 Zona Desmilitarizada ........................................................................................ 71 2.3.3.5 Estructura General de cada Campus .................................................................. 72
2.4 Infraestructura Tecnológica evaluada ................................................................... 77 2.5 Descripción de las pruebas .................................................................................... 79 2.5.1 Pruebas Internas .................................................................................................... 79 2.5.2 Pruebas Externas ................................................................................................... 80 2.6 Ejecución del Análisis de Vulnerabilidades .......................................................... 80 2.6.1 Ejecución de las pruebas ....................................................................................... 81 2.5.3 Dispositivos de Comunicación .............................................................................. 83 2.5.4 Firewall .................................................................................................................. 83 2.6.2 Herramientas Utilizadas ........................................................................................ 84 2.7 Análisis de Pruebas ............................................................................................... 85 2.7.1 Generación de reportes .......................................................................................... 86 2.7.2 Interpretación de los resultados ............................................................................. 87 2.8 Hallazgos Internos ................................................................................................. 88 2.9 Hallazgos Externos ................................................................................................ 90
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
52
2.1. Marco Metodológico
El marco metodológico que guía la investigación del esquema actual de seguridad informática
de DIGESET está compuesto principalmente por cuatro fases:
• Levantamiento de Información
• Análisis de Vulnerabilidades
• Análisis de Riesgos
• Plan Táctico de Seguridad
La figura 2.1 ilustra el marco metodológico que toma como base el estándar ISO/17799 para
definir los controles a establecer en la organización con el objetivo de elevar los niveles de
confiabilidad, integridad y disponibilidad de la información y recursos informáticos. Esta
metodología se obtuvo de la empresa de seguridad SCITUM y a continuación se describen
cuatro fases que están compuestas por seis actividades principales que se muestran en la figura
2.1.
Figura 2.1. Metodología de la investigación.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
53
2.1.1. Levantamiento Información
Para tener todos los elementos que ayudan al entendimiento del negocio, es necesario que se
dé una etapa de contextualización. El objetivo de esta actividad fue recabar toda la
información necesaria para obtener un conocimiento profundo y detallado de la operación de
DIGESET, su organización, procesos, infraestructura y su nivel de seguridad actual, con la
finalidad de llevar a cabo una identificación amplia y objetiva de los riesgos y amenazas
potenciales. Consiste básicamente en entrevistas, visitas e inspecciones físicas a las
instalaciones de DIGESET, así como la recopilación de información proporcionada por sus
miembros. Con base en el marco metodológico esta etapa corresponde a la contextualización.
2.1.2. Análisis de Vulnerabilidades
Las vulnerabilidades desde el punto de vista de seguridad son características inherentes a un
equipo o sistema que si son explotadas, pueden debilitarlo e incluso inhabilitarlo.
Prácticamente todo sistema de cómputo es vulnerable de ataque.
El objetivo de este análisis fue detectar las vulnerabilidades existentes que representan riesgos
potenciales para los servicios de DIGESET que hemos determinados como críticos. Para este
análisis se llevó acabo lo siguiente:
• Monitoreo de la red: detectar tráfico extraño y verificar si la información sensible o
confiable (por ejemplo contraseñas) es transmitida por la red en forma legible (texto
claro).
• Pruebas de penetración: llevar a cabo una gran cantidad de ataques de manera
planeada y estructurada para verificar cuál es de ellos tuvieron éxito.
• Detección de intrusos: detectar acceso no autorizado a equipos y aplicaciones.
Las vulnerabilidades en las dimensiones de gente y procesos (administrativas, falta de
procedimientos, falta de capacitación, habilidades y concienciación, malos hábitos, etc.) se
detectaron durante las entrevistas con los empleados y revisión de documentación. Por su parte
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
54
las vulnerabilidades físicas se detectaron en las visitas e inspecciones a las instalaciones, así
como a través de las entrevistas y revisión del flujo de los procesos.
2.1.3. Análisis de Riesgos
El análisis de riesgos es la actividad que sirve para indicar, medir, controlar y minimizar los
riesgos de seguridad a los que están expuestos los activos informáticos de la empresa, además
se identifican los principales activos bajo riesgo, las amenazas y vulnerabilidades, y se
determinan los controles o salvaguardas adecuados con la mejor relación costo beneficio. Con
base en el marco metodológico esta etapa corresponde al a las actividades de análisis de
riesgos, determinación del nivel de madurez y las mejoras a corto plazo.
Valoración de Riesgos
En esta actividad se involucro al personad de DIGESET para estimar de manera conjunta, los
factores de riesgo (probabilidades) para todas las vulnerabilidades y amenazas encontradas,
considerando el grado de exposición y el valor económico de la destrucción o pérdida de los
activos en cuestión, así mismo, para cada una de las vulnerabilidades y amenazas detectadas se
identificaron las posibles medidas de seguridad o salvaguardas para controlar o disminuir el
riesgo, se calculó y estimó el costo de implementar o incorporar cada salvaguarda.
Todas aquellas salvaguardas o medidas de seguridad cuyo costo sea menor al del activo a que
protegen serán factibles de implementarse. Es muy importante mencionar que el éxito de esta
actividad depende en gran medida del nivel de involucramiento de los miembros de
DIGESET, pues ellos son quienes asumen los riesgos, los minimizan, los transfieren o los
aceptan.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
55
Diagnóstico de Niveles de Seguridad
Tomando como base las mejores prácticas y particularmente el estándar ISO/17799, durante
esta actividad se está en posibilidades de establecer un diagnóstico de qué tan lejos o qué tan
apegada está la organización en el cumplimiento de los controles establecidos por estos
marcos de referencia.
2.1.4. Plan táctico de seguridad
Una vez identificadas las salvaguardas factibles de implementar, y definidas las prioridades y
los niveles aceptables de riesgo por parte de DIGESET, finalmente se establecieron las
actividades encaminadas a implementar e incorporar las salvaguardas, sentar las bases para el
desarrollo de las políticas de seguridad y la arquitectura tecnológica, y definir las necesidades
de capacitación. Este plan está enmarcado en el corto y mediano plazo con base en las
prioridades y urgencias detectadas.
Políticas de Seguridad
En este punto se desarrollaron las políticas de seguridad que servirán de guía para los
empleados de DIGESET a todos los niveles. Así mismo las políticas son la base para definir y
desarrollar los procedimientos de seguridad, partiendo de la premisa de que toda clasificación
de la información es arbitraria. El desarrollo de políticas de seguridad informática fue
agrupado en rubros importantes para DIGESET, delimitándolas de acuerdo a sus necesidades.
Los principales grupos de políticas son:
• Acceso Físico.
• Robo de Equipo.
• Protección Física.
• Respaldos.
• Intranet de la Universidad de Colima.
• Dependencias de la Universidad de Colima
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
56
• Uso aceptable de los usuarios
• Servidores de la Universidad de Colima
• Área de Seguridad en Cómputo
• Administradores de Tecnologías de Información
• Uso de los Servidores por los usuarios
• Antivirus de la Intranet
Programa de Concienciación
Las personas que interactúan de alguna manera con la información y los sistemas de cómputo
(usuarios, desarrolladores, administradores, etc.) representan el mayor riesgo de seguridad, y
al mismo tiempo, son el punto de protección o control más importante. El programa de
concienciación está dirigido a todos los niveles de la organización, y su objetivo principal es
incrementar la cultura de seguridad de todo el personal. Es importante que el programa resalte
la importancia de las políticas y su apego a las mismas.
Con base en los niveles de concienciación y necesidades detectadas en la fase de análisis, se
definió el contenido y alcance del programa de concienciación, enfatizando aquellos puntos
que se consideraron convenientes y prioritarios.
Arquitectura Tecnológica
El objetivo de este punto fue diseñar una arquitectura tecnológica robusta que le permitió a
DIGESET contar con una base sólida de tecnologías y mecanismos de seguridad,
fundamentada en los principios y filosofía general de las políticas y orientada a cubrir los
requerimientos que en la misma se establecen. La arquitectura se construyó en base en
diversas recomendaciones asociadas a la consideración de tecnologías que podrían
establecerse como estándar dentro de la organización, tomando en cuenta aspectos como
costos, beneficios, cambios culturales y curvas de aprendizaje en cuanto a instalación,
configuración y uso.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
57
Las principales tecnologías a considerar son: Cortafuegos, Redes Privadas Virtuales (VPNs),
Detectores de intrusos, Criptografía y Antivirus.
A continuación se presenta el desarrollo de las fases levantamiento de información y análisis
de vulnerabilidades.
2.2 Introducción al desarrollo de la metodología En este capitulo se desarrollaron las siguientes fases: Levantamiento de información y análisis
de vulnerabilidades. Como anteriormente se expuso, el levantamiento de información es una
etapa de contextualización. La segunda etapa de esta investigación es el análisis de
vulnerabilidades, su finalidad fue detectar las amenazas existentes que representan riesgos
potenciales para los servicios de DIGESET que se han planteado como críticos. Las
vulnerabilidades desde el punto de vista de seguridad son características inherentes a un
equipo o sistema que si son explotadas, pueden debilitarlo e incluso inhabilitarlo,
prácticamente todo sistema de cómputo es vulnerable de ataque.
La etapa de contextualización es importante para el desarrollo de las fases de análisis de
vulnerabilidades y riesgos. En el caso del análisis de vulnerabilidades, la contextualización
proporcionó la información correspondiente a los equipos que conforman la infraestructura
Intranet de DIGESET. En el análisis de riesgo la contextualización proporcionó los hallazgos
en función de tres categorías: gente, procesos e infraestructura. Los hallazgos de gente y
procesos fueron obtenidos a través del levantamiento de la información, los de infraestructura
se obtuvieron en base a los resultados del análisis de vulnerabilidades.
Las actividades que se llevaron acabo en el análisis de vulnerabilidades son las siguientes:
• La contextualización y se obtuvo por medio de entrevistas a personas de diferentes
cargos y responsabilidades, su finalidad fue obtener el contexto en el que será evaluada
la infraestructura del nodo principal.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
58
• Se seleccionaron las herramientas adecuadas para las pruebas. Con base en el servicio
que proporciona cada servidor se determinaron las herramientas especializadas, así
como los puntos de revisión.
• En coordinación con el personal operativo se seleccionaron los equipos a evaluar por
medio de la aplicación de las pruebas.
• Se obtuvieron los resultados de las vulnerabilidades, a través de la ejecución de las
pruebas. Finalmente, se interpretaron los resultados proporcionados por las
herramientas, se ponderaron las vulnerabilidades para posteriormente recomendar las
medidas de control necesarias y se documentaron los resultados.
Al final de este capitulo se obtuvo un documentos de hallazgos. Este documento esta
distribuido en las tres categorías ya mencionadas. Los pasos anteriormente expuestos se
utilizaron para la determinación de los hallazgos de la infraestructura. Los hallazgos
correspondientes a las categorías de gente y procesos (administrativas, falta de
procedimientos, falta de capacitación, habilidades y concienciación, malos hábitos, etc.) se
detectaron durante las entrevistas con los empleados y revisión de documentación, por otro
lado, las vulnerabilidades físicas se establecieron en las visitas e inspecciones a las
instalaciones, así como a través de las entrevistas y el análisis al flujo de los procesos.
En la próxima sección se describe cada uno de los servicios que se consideraron relevantes de
acuerdo al criterio del Director General de Servicios Telemáticos.
2.3 Contextualización Esta sección tiene como objetivo documentar la información que se obtuvo de forma verbal,
escrita y electrónica, de los servicios que se consideraron relevantes para fines de la
investigación. A través de los cuales se buscaba:
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
59
• Recopilar información relevante de los servicios principales que permiten determinar
un panorama suficientemente amplío de la operación de la Dirección General Servicios
Telemáticos, este panorama proporcionó el correcto entendimiento de la situación
actual de DIGESET con respecto a la seguridad informática.
• Soportar las actividades posteriores de la investigación.
Para entender la operación de DIGESET en cuanto gente, procesos e infraestructura
tecnológica, se llevaron acabo entrevistas a los responsables de las áreas involucradas en la
investigación:
1. Redes y comunicaciones: Son todos aquellos equipos de comunicación que pertenecen
al backbone de la Universidad de Colima, esta compuesta por el servicio de acceso
remoto y telefonía digital. Los dispositivos como ruteadores, que forman parte de la
infraestructura a evaluar, se identifican en esta sección.
2. Servicios electrónicos: Compuesto por el desarrollo web, Correo Electrónico y
servicio de DNS. Estos servicios se consideran los mas importantes para una
institución de educación superior.
3. Seguridad perimetral: Es parte del esquema de seguridad, su propósito es el de
agregar zonas entre la red protegida y la red de Internet para establecer niveles de
seguridad según la accesibilidad que se requiere. La accesibilidad se refiere a los
requerimientos de acceso del usuario en relación con los requerimientos de
confiabilidad e integridad.
Es importante aclarar que DIGESET forma parte integral de la Universidad de Colima, esta
dependencia es la encargada de administrar las redes de comunicación de toda la Universidad,
en pocas palabras todo tráfico proveniente de Internet o Intranet de cualquier facultad de la
Universidad de Colima tiene que pasar por el nodo principal de DIGESET, lo mismo pasa
cuando las diferentes delegaciones de la Universidad se comunican.
DIGESET con el objetivo de ofrecer servicios telemáticos, para apoyar las actividades
sustantivas de la Universidad de Colima, a través de la investigación y la modernización de la
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
60
infraestructura integrando las dependencias de la Universidad así como otras instituciones, ha
realizado arduos esfuerzos para la implementación de una Intranet que pueda cumplir a
cabalidad con las necesidades tecnológicas de la Universidad de Colima (Telemáticos, 2002).
Actualmente DIGESET cuenta con un backbone de Gigabitethernet en estrella que ofrece
1000 Mbps, permitiendo integrar las diferentes tecnologías de vanguardia como son Internet 2
y medios de transmisión de alta velocidad como es el cableado estructurado con fibra óptica.
La Dirección general de servicios telemáticos básicamente ofrece los servicios de acceso
remoto, telefonía, servicio de aplicaciones vía Web, correo electrónico, acceso a Internet,
instalación de software, redes LAN, etc. La figura 2.2, ilustra los servicios proporcionados por
DIGESET.
A continuación se procede a la descripción de cada una de las áreas de investigación que
posteriormente serán involucradas en el diseño de las políticas de seguridad de DIGESET.
Figura 2.2. Algunos servicios que proporciona DIGESET.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
61
2.3.1. Redes y Comunicaciones
El acceso remoto se proporciona a través del equipo de comunicaciones llamado Total
Control de 3COM. Este servicio es proporcionado a usuarios individuales para el acceso a
Internet y a los diferentes bachilleratos que formaron parte de la Universidad de Colima.
El acceso remoto está distribuido en tres localidades: Tecoman, Manzanillo y Colima, donde
Colima cuenta con 120 líneas y Tecoman con 30 líneas siendo estas las más grandes. Colima,
a través de DIGESET es el centro de conexión y ofrece los servicios básicos de Internet y
acceso remoto a las bases de datos de la dependencias, en el acceso remoto se utilizan todos
los servicios, por lo tanto no existen restricciones debido a que el usuario paga por el mismo.
El control de acceso que se tienen en las conexiones remotas es a través de un RADIUS donde
solamente se requiere de una cuenta de usuario y una contraseña para obtener el acceso a
través de una conexión PPP.
El equipo Total Control de 3COM, cuenta con una interfaz principal que va conectada
directamente a la zona de Internet sin pasar por el cortafuego. La parte comercial de la
académica están separadas a través de la segmentación lógica de las redes, tal es el caso de
colima donde la parte comercial tiene una red 148. 223. 96.0 con sólo 128 dirección IP y en la
parte académica con una red clase B 148.213.0.0 con una mascara de 24 bits. En los campus
restantes la parte comercial no está separada de la académica ya que hacen uso de las subredes
de la misma red clase B con mascara de 24 bits (148. 213. 0. 0/24). El software propietario de
3COM que se utiliza para la administración de acceso remoto es el Total Security Accounting.
Los métodos de autentificación que utiliza el equipo son el CHAP (Challenge-Handshake
Authentication Protocol), EAP (Extensible Authentication Protocol), MS-CHAP (Microsoft
Challenge Handshake Authentication Protocol), y PAP (Password Authentication Protocol).
El equipo está configurado para que soporte estos cuatro métodos de autentificación; el primer
paso es verificar si el cliente soporta la autentificación CHAP, en caso de que la soporte
intenta establecer la conexión a través del método EAP, si el método EAP no es soportado por
el cliente entonces el equipo intenta con método MS-CHAP, en última instancia, si ninguno de
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
62
los anteriores es soportado por el cliente, entonces utiliza el método de autentificación PAP.
No existe ninguna política que obligue a los clientes a configurar el método de autentificación.
Para la administración remota del equipo se utiliza una sesión Telnet y el control de acceso se
lleva acabo a través de una lista de direcciones IP, el equipo mantiene una lista de direcciones
IP que el administrador da de alta para establecer una conexión de Telnet, cualquier dirección
fuente que no se encuentre en la lista de acceso vía Telnet, no podrá conectarse al Total
Control.
El 3COM Total Control cuenta con un plan de mantenimiento que consiste en la limpieza del
hardware una vez al año. El contrato de mantenimiento también incluye la sustitución de las
tarjetas en caso de alguna falla y garantiza que antes de 24 horas las tarjetas deben ser
reemplazadas.
El respaldo de los cuentas de usuarios se realiza diariamente, en caso de falla solo se perdería
un día de trabajo porque este respaldo de realiza al final del día.
El software de administración de acceso remoto mantiene un registro de las sesiones que han
sido atendidas por el Total Control de 3COM, se lleva un registro de la hora de inicio de
conexión, tiempo de conexión, hora de finalización, número paquetes transmitidos y de que
teléfono se conectó. Generalmente se encuentran problemas que se atribuyen al hardware.
La telefonía es otra de las áreas fuertes de la dirección general de servicios telemáticos,
DIGESET se encarga de proporcionar la telefonía digital a las diferentes delegaciones que
componen la universidad de Colima, cada delegación hace uso de las cuentas de usuarios con
su correspondiente código de acceso, cada usuario que utiliza la red telefónica, tiene su propio
código de acceso de tal manera que el consumo es contabilizado por cuenta de usuario
independientemente del lugar donde realice la llamada, esto es valido siempre que el usuario
este dentro de la red telefónica de la Universidad de Colima.
La red telefónica tiene una cobertura estatal con mas de 200 troncales y 700 extensiones y
consta de 9 conmutadores que se ubican en los distintos campus de las delegaciones. Los tipos
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
63
de conmutadores que se están usando son de Alcatel y los modelos básicos instalados
actualmente son:
• VoiceHub
• WM1
• M2
• M3
Los 9 conmutadores están conectados a través de una red con distintos enlaces. En el campus
de Colima se encuentra el conmutador principal modelo M3 (ubicado en DIGESET) y de el
dependen otros conmutadores que se encuentren dentro del mismo campus, estos
conmutadores son los que se encuentran en la biblioteca de sociales, biblioteca de ciencias y
en la biblioteca de medicina. En la biblioteca de sociales y en la biblioteca de medicina, se
encuentra un conmutador WM1. En la biblioteca de ciencias se encuentra un conmutador M2.
En el campus Villa de Álvarez se encuentra un conmutador modelo WM1 y en el campus
Coquimatlan es un M2. En Manzanillo y Tecoman se cuenta con un conmutador M2 y además
en Tecoman se encuentra un conmutador modelo WM1. En la faculta de derecho se tiene un
VoiceHub. La tabla 2.1 simplifica lo anteriormente expuesto.
Localidad Tipo de ConmutadorBiblioteca de Ciencias M2 Biblioteca de Ciencias Sociales WM1Biblioteca de Medicina WM1Coquimatlan M2 DIGESET M3Facultad de Derecho VoiceHubManzanillo M2 Tecoman WM1Villa de Alvarez WM1
Para la comunicación con los otros campus de la Universidad, el conmutador M2 de Tecoman
se comunica con el conmutador M3 de Colima a través de un enlace de datos inalámbrico de
Tabla 2.1. Ubicación y modelo de los conmutadores.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
64
45Mbp. Manzanillo utiliza el mismo procedimiento pero con la diferencia que actualmente
cuenta con un enlace de 512 kbps contratado a TELMEX.
En la facultad de derecho se tiene un enlace inalámbrico de 34 Mbps, a través de la tarjeta
RT2 del conmutador principal (modelo M3) se establece la conexión con la facultad de
Derecho, en esta facultad se tiene un conmutador VoiceHub. La figura 2.3 muestra un
diagrama general de la red telefónica.
Los conmutadores de red telefónica digital, son dispositivos de red que proporcionan el
servicio de telefonía IP y que cuenta con una plataforma UNIX, por lo tanto, son objeto de
estudio ya que son vulnerables a ataques que pueden dañar parcial o totalmente la red
telefónica. La tabla 2.3 describe las características de los conmutadores que son necesarias
para el análisis de vulnerabilidades.
Figura 2.3. Diagrama general de la red telefónica.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
65
2.3.2. Servicio Electrónicos de Intranet
Los servicios o aplicaciones de Internet es otro los fuertes de la Dirección General de
Servicios Telemáticos, aquí se desarrollan el sitio Web institucional y los sitios web para las
dependencias de la Universidad, cada una de las facultades de la Universidad tiene la
oportunidad de tener su propia página Web. DIGESET se encarga de dar apoyo a los
encargados de la página Web de cada facultad a través de la recién establecida subdirección de
Despacho de Edición Digital; anteriormente se llamaba departamento de Web, pero debido a
un proyecto más fuerte que se le planteo al Rector de la Universidad de Colima, el
departamento de Web paso a ser una subdirección más de Servicios Telemáticos con el
nombre de Despacho de Edición Digital. La figura 2.4 presenta el organigrama actual de
DIGESET, esta nueva subdirección cuenta con diez personas y esta compuesta por las áreas de
Diseño, Redacción, Programación y Traducción
Para el mantenimiento del servidor, modificación de las páginas Web y para el respaldo a
través de FTP solo tienen acceso las personas del área de diseño y programación. El área de
Figura 2.4. Nuevo organigrama de DIGESET. Se agrega la nueva subdirección.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
66
traducción tiene acceso al servidor a través de un sistema especial, Las demás áreas tienen
restricción de acceso al mismo.
Debido al constante cambio por los múltiples eventos que las dependencias o facultades llevan
acabo, las paginas Web existentes necesitan ser modificadas y actualizadas por lo que el
responsable de cada facultad o dependencia solicita una cuenta de FTP,
El respaldo de la información se realiza cada mes o cada 15 días por el responsable de cada
página. Por otro lado las personas del departamento de soporte y mantenimiento se encargan
de realizar los respaldos correspondientes. Las políticas de respaldo no están por escrito.
Cuando se da de alta a la cuenta de FTP, al que va hacer el responsable de la cuenta se le pide
la dirección IP de la maquina de donde va a realizar las actualizaciones de la página, se maneja
una bitácora de los cambios de los que se realizan a las páginas, para fines de seguridad
también se pide que a través de un oficio formal se establezca quien es el responsable del
mantenimiento de las páginas Web, ya el director de la dependencia es el único responsable de
todo lo que se publique, es decir, que el responsable de poner en línea el contenido de la
página debe de estar autorizado por el director de la dependencia.
Algunas consideraciones sobre el despacho de edición digital son: cuentan con políticas que
regulan el funcionamiento del servicio, no manejan información confidencial, tienen
respaldos como medida de contingencia al momento de una falla con el servidor y los
servidores que se utilizan son: Intranet, Serveredes, Volcan y Web.
Los operadores de este servicio están restringidos con respecto a la administración del host
donde se encuentra la información, debido a que el personal del área de soporte y
mantenimiento se encarga del control de los servidores, sin embargo los respaldos se realizan
cada 15 días o una vez al mes.
No existe una clasificación de la información, pero con la ley de transparencia, se creo un
comité de transparencia con la finalidad de clasificar la información en: pública, reservada y
confidencial. La información pública como su nombre lo indica, no requiere de una solicitud
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
67
previa para visualizar la información, en cambio, la clase de información reservada deberá ser
solicitada antes de ser visualizada y la información confidencial no deberá ser publicada ni
solicitada a través de Internet, solo será para uso administrativo e institucional.
El servicio de correo electrónico institucional es proporcionado por DIGESET, la
administración de las cuentas de correo electrónico es función del departamento de computo y
sistemas, las cuentas se dan de alta en los servidores triton, venus, tecomán y zlo, los
servidores Mail y Mail2 son el gateway que identifica la ubicación de la cuenta en cualquiera
de los servidores anteriores. En la actualidad se tienen aproximadamente 15 mil cuentas de
usuarios.
La creación de una cuenta de correo es vía Web y el proceso actual para la solicitud de una
cuenta de correo es el siguiente:
1. Ingresar al URL (Uniform Resource Locator, previamente llamado Universal
Resource Locator) http://digeset.ucol.mx/correo
2. Se debe de leer los requerimientos del nombre de usuario y contraseña.
3. Se selecciona a que grupo de cliente interno pertenece. Los grupos son:
Estudiantes, trabajadores y correo de dependencias.
4. Se proporciona la información necesaria para la validación y creación de la cuenta,
en este caso se solicita el número de cuenta, la facultad a la que pertenece (en el
caso de un estudiante) y la contraseña.
Se administran las cuentas de correo electrónico a los estudiantes, personal en general y
dependencias de la universidad de Colima. En la actualidad no existen políticas para la
administración de seguridad de dicho sistema, los estudiantes y maestros hacen solicitud de su
cuenta de correo vía Web y no existe ningún tipo de protocolo de autenticación y encriptación
que asegure la comunicación en el proceso anteriormente descrito, esto podría tener como
consecuencia la obtención de las cuentas.
El servicio de servidor de nombres, es otro los servicios importantes proporcionado por la
Dirección de Servicios Telemáticos. Todo nuevo sitio web que es dado de alta, debe de ser
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
68
registrado en el servidor de nombres (DNS). Sin la existencia de un DNS en las instalaciones
de DIGESET, no fuese posible referenciar un nombre fácil de recordar para el acceso
controlado a los sitios Web de Internet y los sitios que son creados por la subdirección de
Despacho de Edición Digital. Este servicio es proporcionado por los servidores Volcan, como
servidor DNS primario y Orion como servidor DNS secundario. Por razones de seguridad los
servidores no utilizan registros HINFO, las bitácoras se verifican dos veces a la semana y la
información de configuración es almacenada en otro servidor con la finalidad de respaldarla.
La administración del servicio es responsabilidad de dos personas pertenecientes al
departamento de cómputo y sistemas. No existen políticas escritas para la administración de
este servicio.
2.3.3. Seguridad Perimetral
La seguridad perimetral esta conformada por la combinación de los mecanismos de seguridad
vistos en el capitulo 2. Las zonas que componen la seguridad perimetral son: zona militarizada
(MZ), zona desmilitarizada (DMZ), zona de Internet y zona de la red interna. La Universidad
de Colima cuenta con está seguridad perimetral. La figura 2.5 muestra cada una de las zonas.
A continuación se describe como esta diseñada actualmente la seguridad perimetral que
protege a la Universidad de Colima.
El corazón de la seguridad perimetral radica en la instalación de un cortafuego. Este cuenta
con cuatro puertos FastEthernet en los cuales están conectados las diferentes zonas de defensa.
Estas zonas de defensa se describen con mas detalle en las siguientes secciones de este
capitulo. DIGESET posee con un cortafuego modelo NOKIA IP530 que cuenta con el
software checkpoint versión NG AI (NextGeneration with Application Intelligence), este
sistema esta basado en el sistema operativo Unix.
La figura 2.5 ilustra el diseño actual de la seguridad perimetral que se encuentra en las
instalaciones de la Dirección General de Servicios Telemáticos. Como se puede observar el
cortafuego Nokia se encuentra entre la red interna y la red externa. Además se observan las
zonas que define el cortafuego. Los cuales se describen a continuación:
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
69
2.3.3.1 Zona de Internet En la zona Internet se encuentra el enrutador de WAN (WanRouter) para Internet 1 e
Internet 2 y el área comercial donde se brinda el servicio de conexión remota a través de el
equipo 3COM TOTAL CONTROL, además se encuentra el servicio que proporciona enlaces
inalámbricos a los usuarios externos de la universidad, este equipo es el Brezeecom, Telmex
es el proveedor de los enlaces de Internet 1 e Internet 2; teniendo en Internet 1 un enlace E31 y
en Internet 2 un enlace E12
1 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene una tasa de transferencia de 34.368 millones de bits por segundo. Puede soportar 16 canales E1.
, por otro lado, todo tráfico dirigido hacia Internet 1 e Internet 2
pasa a través del packetshaper 6500/ISP cuya función es la de proporcionar calidad de servicio
al tráfico (QoS) que entra y sale de la red.
2 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene una tasa de transferencia de 2.048 millones de bits por segundo y puede soportar hasta 32 canales de 64kbps cada uno.
Figura 2.5. Diagrama de Seguridad Perimetral de la Universidad de Colima
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
70
2.3.3.2 Zona de Red Interna
La zona de la red interna es lo que se conoce como la nube de la universidad de Colima, en
ellas se encuentran conectados los diferentes campus que conforman dicha red. Estos campus
son los siguientes:
1. Tecoman
2. Villa de Álvarez
3. Coquimatlán
4. Ciencias sociales.
5. Biblioteca de ciencias
6. Dirección de servicios telemáticos.
7. Trabajo social
8. Medicina
9. Manzanillo El Naranjo
A excepción de Tecoman y Manzanillo el Naranjo, todos estos campus cuentan con un
enlace de GigabitEthernet. Tecoman cuentan con un enlace inalámbrico de 45Mps y uno de
respaldo de 512 kbps y manzanillo con un enlace de 512 kbps el cual presenta problemas
fuertes de utilización del canal.
Cabe mencionar que la infraestructura del enlace inalámbrico esta instalada en las
instalaciones del gobierno de colima, por lo tanto, la Dirección de Servicios Telemáticos no
tiene control total del mantenimiento de la misma, los equipos que forman parte de esta
infraestructura presentan inconsistencias de energía eléctrica que dan como resultado
problemas constantes en el enlace, para este problema se esta pensando en la instalación de un
nodo especial que conecta a Tecoman y Manzanillo vía inalámbrica en instalaciones propias.
2.3.3.3 Zona Militarizada
En esta zona se deben de colocar solamente los servidores pertenecientes a la red interna de
la universidad de Colima, entre estos servidores podemos mencionar el servidor de control
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
71
escolar, recursos humanos y control financiero, además en esta zona se debe de colocar
cualquier aplicación que sea de uso exclusivo para los usuarios de la red interna de la
universidad, en pocas palabras esta zona es para las aplicaciones que solamente serán
utilizadas en la Intranet, actualmente en esta zona solo se encuentra el servidor de
administración de la intranet, utilizado por el departamento de redes y comunicaciones.
2.3.3.4 Zona Desmilitarizada
El termino de DMZ tiene su origen cuando durante la guerra provocada por la separación de
Corea del Norte y Corea del Sur cuando un zona de tierra en el paralelo 38 se encontraba fuera
de los limites de la zona militarizada, está es una área insegura entre las zonas seguras. Así
como en la guerra de Corea la DMZ se encontraba enfrente de la zona protegida, cuando se
aplica en las redes, está zona se encuentra fuera del firewall pero que tiene cierto grado de
seguridad. Dentro de esta zona se encuentran los servidores que proporcionar servicio a
Internet, es decir como el servidor de correo, servidor de nombres, y servidor de Web.
El detector de intrusos es otro los componentes que juega un papel importante en el
backbone de la universidad ya que se dedica a monitorear todo lo que entra y sale del
enrutador de Internet 1 e Internet 2, a través de una comparación interna de las firmas3
más
recientes con el tráfico concurrente, este equipo es un Dragon versión 5.0 de Enterasys, este
debe trabajar junto con el cortafuego o el enrutador para tomar decisiones al momento de
encontrar un comportamiento poco usual en la red. Para lograr dicho comportamiento se debe
de instalar la versión 6.0 del Dragon debido a que contiene facilidades para integrarse con el
checkpoint.
No todo el tráfico que viaja por la intranet de la universidad requiere de las mismas
condiciones, para entender esto se debe de hacer una relación entre las aplicaciones críticas y
la sensibilidad al retardo. Para los usuarios de la intranet de la Universidad de Colima las
aplicaciones criticas son el DNS, el correo electrónico, servicio de web y transporte de
archivos (FTP) sin embargo la sensibilidad al retardo de estas aplicaciones es baja. En caso 3 Son patrones utilizados por el detector de intrusos para determinar el comportamiento de un ataque dentro de la red, similar a un escáner de virus.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
72
contrario, DIGESET esta por implementar aplicaciones de voz sobre IP que si tienen alto
grado de sensibilidad al retardo, por lo tanto, para administrar estas aplicaciones DIGESET
cuenta con el packetter QoS que se encarga de la administración de calidad de servicios para
tener control del ancho de banda disponible en la red. El modelo del packetter es el
Packetshaper 6500/ISP, tiene capacidad para administrar enlaces de distintas capacidades,
entre sus funciones principales se puede mencionar las siguientes:
• Identificación y clasificación del trafico de la red
• Garantiza el ancho de banda para flujos individuales
• Garantiza ancho de banda para un tipo de trafico
• Cuenta con una utilería que permite monitorear el tiempo de respuesta que se le
proporcionan a las aplicaciones.
Actualmente no se están explotado todas la características del packetshaper debido a que el
ancho de banda disponible actualmente no presenta problemas de sobre carga o saturación.
Básicamente el packetshaper esta siendo utilizado para controlar aquellas aplicaciones de
punto a punto (Kazza, Emule,Ares, etc.) que consumen mucho ancho de banda. Este
dispositivo se encuentra en el campus de colima (vea la figura 2.5).
2.3.3.5 Estructura General de cada Campus
Cada campus cuentan con un enrutador de backbone local que le proporciona interconexión
a las diferentes dependencias que la componen, además existe una delegación en la que
proporcionar servicio a cada una de sus dependencias, en esta delegación se ubica un servidor
al cual se conectan todas las dependencias, la delegación cuenta con una red local de 10 a 15
máquinas, cada dependencia también cuenta con su segmento red.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
73
Una dependencia es toda facultad, escuela, dirección, subdirección, departamento y centro de
investigaciones de la Universidad de Colima. La figura 2.6 muestra el diagrama de red que se
encuentra en la mayoría de los campus que componen a la Universidad de Colima. El campus
Colima es diferentes de los demás campus y esto es porque se en ella se encuentra el backbone
principal de la Universidad de Colima, por lo que es importante determinar cuales son los
equipos que interactúan en este campus. En teoría hasta la fecha DIGESET (se encuentra en
el campus Colima) es el responsable de distribuir la información a aproximadamente 4000
estaciones de trabajo y por lo tanto es el responsable de mantener la confiabilidad, integridad y
disponibilidad de la red. Dicho en otras palabras, es responsable de mantener la seguridad de
la información que viaja por la red y de los servidores que brindan los servicios críticos de la
Universidad de Colima.
Esta seguridad debe de ser llevada acabo por el personal, junto con el equipo con que cuenta.
Actualmente Digeset tiene un SmartSwitch 8000 que ha su vez se conecta a un SmartSwitch
Router 8600 que se encarga de la distribución y concentración de los paquetes entrantes y
salientes de toda la Universidad de Colima. En este enrutador se encuentra configurado el
enlace de Internet a una velocidad 34 Mbps y el enlace de Internet 2 a una velocidad de 2
Figura 2.6. Diagrama de cada uno de los campus de la Universidad.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
74
Mbps. El SmartSwitch Router 8600 a su vez distribuye la información a los ocho nodos
restantes; la siguiente tabla presenta que tipo de cableado y a que velocidad se comunican con
DIGESET.
Nodo Cableado Velocidad Enlace DedicadoBIBLIOTECA DE CIENCIAS Fibra Optica 1000 Mbps NoBIBLIOTECA DE MEDICINA Fibra Optica 1000 Mbps NoBIBLIOTECA DE CIENCIAS SOCIALES Fibra Optica 1000 Mbps NoCOQUIMATLAN Fibra Optica 100 Mbps NoVILLA DE ALVAREZ Fibra Optica 100 Mbps NoTECOMAN Inalámbrico 34 Mbps SiMANZANILLO Cobre 512 kbps Si
BIBLIOTECA DE CIENCIAS Este nodo actualmente tiene un SmartSwitch 6000 de 48 puertos. Contiene dos interfaces Fast
Ethernet (FE-100TX)que se conecta al equipo que exista antes de que se realizara la
actualización de los equipos de comunicación. Uno de los puertos se conecta a dos
SmartSwitch 2110 que se conectan en cascada. La otra interfaz se conecta a una serie de
SmartSwitch 2110 los cuales son cuatro y también se encuentran conectados en cascada.
Además este nodo conecta a todos los centros de investigación del campus colima.
BIBLIOTECA SOCIALES Al igual que todos los nodos, este nodo es de suma importancia debido a que proporciona
conexión a otros departamentos y facultades de la Universidad de Colima. Estos son:
• Ciencias políticas
• Bachillerato uno, dos y tres.
• Posgrado
• Dirección de Bachillerato uno, dos y tres.
• Facultad de Contabilidad
Tabla 2.2. Enlaces de DIGESET
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
75
Se tiene un SmartSwitch 6000 con 5 slots. Las tarjetas que contiene son las siguientes.
• Una 6H262-18 con 16 puertos (RJ-45) 10/100 Fast Ethernet.
• Una 6H202-24 con 24 puertos (RJ-45) 10/100 Fast Ethernet.
• Dos convertidores de medios de RJ-71 a MMF con conectores ST.
BIBLIOTECA DE MEDICINA La biblioteca de medicina es otro de los nodos que proporciona acceso otros departamentos y
facultades. Estas son:
• Sala multiusos de la facultad de medicina
• Programa Universidad de Colima
• Aula virtual de ciencias de la salud
• Facultad de Letras y Comunicaciones
• Facultad de Medicina
• Laboratorio de Radio
• Facultad de enfermería
Se tiene un SmartSwitch 6000 con 5 slots. Las tarjetas que contiene son las siguientes.
• Una 6H262-18 con 16 puertos (RJ-45) 10/100 Fast Ethernet.
• Una 6H202-24 con 24 puertos (RJ-45) 10/100 Fast Ethernet.
• Dos convertidores de medios de RJ-71 a MMF con conectores ST.
VILLA DE ALVAREZ Villa de Alvarez cuenta con un enlace Gigabit hacia DIGESET. Tiene un SmartSwitch Router
con 16 puertos de 10/100 Fast Ethernet con dos slots de expansión. También cuenta con un
SmartSwitch 1500 para la conexión del conmutador, un puerto Fast Ethernet de UTP para la
conexión a la red y un puerto de F.O. Monomodo de ATM con tecnología OC-3 para el enlace
con el MDF. Este nodo conecta todas las dependencias de este campus.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
76
COQUIMATLAN Coquimatlan, tiene un enlace Gigabit hacia DIGESET. Cuenta con un SmartSwitch Router
con 16 puertos de 10/100 Fast Ethernet con dos slots de expansión. También cuenta con un
SmartSwitch 1500 para la conexión del conmutador, un puerto Fast Ethernet de UTP para la
conexión a la red y un puerto de F.O. Monomodo de ATM con tecnología OC-3 para el enlace
con el MDF.
TECOMAN Cuenta con un SmartSwitch Router con 16 puertos de 10/100 Fast Ethernet con dos slots de
expansión. En uno de los slots de expansión se colocara una tarjeta con dos puertos seriales
para la conexión con el MDF. Tiene un ELS100-24TXM con 24 pueros para dar servicio a los
usuarios del Site. También tiene dos convertidores de medios de RJ-71 a MMF con conectores
ST. Este nodo se conecta hacia colima por dos enlaces como ya se menciono, uno es a través
de un enlace inalámbrico de 34 Mbps y el otro a través de un enlace dedicado de 512 kbps.
MANZANILLO Cuenta con un SmartSwitch Router con 16 puertos de 10/100 Fast Ethernet con dos slots de
expansión. En uno de los slots de expansión se colocara una tarjeta con dos puertos seriales
para la conexión con el MDF. Tiene un ELS100-24TXM con 24 pueros para dar servicio a los
usuarios del Site. También tiene dos convertidores de medios de RJ-71 a MMF con conectores
ST. La figura 2.7 presenta una descripción de la estructura de red del campus Colima.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
77
2.4 Infraestructura Tecnológica evaluada Una vez que se obtuvo la recopilación de la información relevante de los servicios principales
que permiten determinar un panorama lo suficientemente amplío de la operación de la
Dirección General Servicios Telemáticos, se procede a la selección de los servidores y
dispositivos de comunicación a evaluar, está selección se basa en la determinación de los
servidores que proporcionan los servicios relevantes para la Universidad de Colima, así
mismo, se toman en cuenta los dispositivos de comunicación y de seguridad perimetral que
hacen posible el transporte seguro del tráfico, esta infraestructura a evaluar fue aprobada por el
director general de DIGESET. La tabla 2.3 muestra los equipos que fueron evaluados.
Figura 2.7. Diagrama del campus Colima.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
78
Tipo de Dispositivo
Nombre del Dispositivo Servicios Activos
Sistema Operativo Dirección IP
Responsable del
Dispositivo Servidor Antivirus Http Windows
2K 148.213.1.22 Encargado de
Los servidores Windows 2k
Servidor Intranet Ftp, Http, sql, mysql, smtp, https.
Windows 2K
148.213.1.29 Encargado de Los servidores Windows 2k
Servidor Serveredes http, ftp, smtp, mysql Windows 2K
148.213.1.21 Encargado de Los servidores Windows 2k
Servidor bdigital http, ftp,https, mysql Windows 2K
148.213.1.20 Encargado de Los servidores Windows 2k
Servidor venus smtp, ftp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp
Solaris 8 148.213.1.4 Encargado de Los servidores Unix
Comutador M3(Colima) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
BSD UNIX 4.3
148.213.1.110 Encargado de La red Telefónica
Conmutador M1(Villa) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
BSD UNIX 4.3
148.213.80.4 Encargado de La red Telefónica
Conmutador M2(Tecoman) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
BSD UNIX 4.3
148.213.60.6 Encargado de La red Telefónica
Conmutador M2(Manzanillo) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
BSD UNIX 4.3
148.213.50.6 Encargado de La red Telefónica
Conmutador M2 Coquimatlan Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
BSD UNIX 4.3
148.213.90.4 Encargado de La red Telefónica
Servidor triton smtp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp, ssh
Solaris 8 148.213.1.6 Encargado de Los servidores Unix
Servidor tecoman smtp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp, ssh
Solaris 8 148.213.60.10 Encargado de Los servidores Unix
Servidor zlo smtp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp, ssh
Solaris 8 148.213.50.100 Encargado de Los servidores Unix
Servidor Volcan dns, ssh, sftp NetBSD/sparc64
148.213.1.2 Encargado de Los servidores Unix
Servidor Orion dns, ssh, sftp NetBSD/sparc64
148.213.1.9 Encargado de Los servidores Unix
Servidor Listas smtp, ssh, sftp Solaris 8 148.213.1.8 Encargado de Los servidores Unix
Servidor dns smtp,smtp_auth, http, https, pop3, pop3s, imap, imaps, sftp,ftp
Solaris 7 148.223.96.2 Encargado de Los servidores Unix
Servidor mail smtp, dns cache, ssh, sftp FreeBSD/i386
148.213.1.12 Encargado de Los servidores Unix
Servidor mail2 smtp, dns cache, ssh, sftp FreeBSD/i386
148.213.1.3 Encargado de Los servidores Unix
Acceso Remoto
http, telnet,snmp, pop3, bootps, bootpc, tftp, ntp, Ripv1, Ripv2, nfsd, epmap
Propietario 148.223.96.8 Encargado del acceso remoto
Router Hercules snmp,smtp, ripv1, ripv2, pop3
Propietario 148.213.201.1 Responsable de los routers
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
79
Router Einstein smtp, pop3, BGP, netbios-NS, netbios-DGM, snmp, bootps.
Propietario 148.213.3.1 Responsable de los routers
IDS Dragon snmp,smtp, ripv1, ripv2, pop3, ssh, syslog, ms-sql-s,ssdp
Unix 148.213.1.200 Responsable del IDS
Web Web Ssh, ftp, Http, pop3, SunRPC, smtp, Exec, login,Shell, epmap, NTP, syslog, RPC, Name, Netbios-NS
Solaris 148.213.1.5 Responsable de los servidores UNIX
Firewall Checkpoint Ssh,http,snmp Unix 148.213.1.1 Responsable de los servidores Unix
2.5 Descripción de las pruebas En esta sección se describe el procedimiento a seguir para la ejecución de las pruebas, además,
se da a conocer las causas por las cuales se realiza cada una de las etapas que se describen a
continuación.
2.5.1 Pruebas Internas
Las pruebas se realizaran desde la red interna de la DIGESET en horarios no críticos para la
operación de los servicios y con el consentimiento de los responsables, estas pruebas serán
aplicadas a los dispositivos con dirección IP no homologada.
A continuación se enumeran las actividades realizadas:
1. Escaneo de puertos, para todos los equipos. Esto se realizó con la finalidad de
determinar los servicios que esta proporcionando el dispositivo de red, además se
comprueba la información que se obtuvo en la etapa de contextualizacion.
2. Pruebas específicas para cada servidor dependiendo de su función (equipos de
comunicación, servidores UNIX, servidores en plataforma Windows, etc).
Tabla 2.3. Equipos cruciales para DIGESET que son involucrados en el análisis de vulnerabilidades.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
80
2.5.2 Pruebas Externas
En el caso de las pruebas externas, fueron implementadas por una empresa de seguridad
informática PROTEGO, en la ciudad de Copenhague, Dinamarca, por ende, los resultados son
agregados a este documento y no se describe su implementación o ejecución, las pruebas
fueron realizadas con previa aceptación del Director General de Servicios Telemáticos.
PROTEGO posee una línea de productos de detección de vulnerabilidades para los sistemas
telemáticos, esta empresa cuenta con un grupo de expertos que con su experiencia y
conocimientos en redes computacionales, seguridad y métodos de pruebas, generan un reporte
completo de las vulnerabilidades de las aplicaciones de Web (PROTEGO, 2004).
Las vulnerabilidades reportadas por PROTEGO, son potenciales, sin embargo estas
vulnerabilidades deben de ser comparadas con la política de seguridad de la Universidad de
Colima para establecer una prioridad en las acciones correctivas.
Estas pruebas se implementaron al servidor que contiene el portal de la Universidad de
Colima, por lo que, cuenta con una dirección IP pública. Cabe aclarar que en el caso de este
servidor que cuentan con una dirección publica y una dirección interna, se le aplicaron ambas
pruebas (internas y externas).
2.6 Ejecución del Análisis de Vulnerabilidades
Cada herramienta fue personalizada de acuerdo a los servidores, equipo de comunicación y
cortafuegos. La personalización de las pruebas estuvo basada en el levantamiento de la
información técnica de cada dispositivo de red, por otro lado, se identificó la ubicación física y
lógica de los dispositivos, para comprobar las configuraciones de filtrado de paquetes, así
como las políticas del cortafuego. A continuación se muestran las herramientas utilizadas y
las tablas con los grupos de pruebas correspondientes por cada tipo de dispositivos.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
81
2.6.1 Ejecución de las pruebas
En esta etapa se llevaron acabo las pruebas, se realizó una identificación y validación de
direcciones IP; en esta fase se verificó que la dirección lógica asociada a cada dispositivo
correspondiera con la información proporcionada, Se validó que los dispositivos a examinar se
encontraran en la zona perimetral correspondiente a la información obtenida en la etapa de
contextualizacion, por otro lado se determinó que el dispositivo dedicado a la ejecución de las
pruebas se ubicase estratégicamente para que de esta manera pudiese tener acceso a todas las
zonas perimetrales, seguidamente, se identificaron los puertos habilitados UDP/TCP y el
respectivo servicio proporcionado a través de estos puertos. Esto se obtuvo utilizando la
herramienta de escaneo de puertos LANGuard.
Las pruebas realizadas tienen la finalidad de verificar las vulnerabilidades en los servicios de
la Intranet, para esto, se personaliza cada prueba por el tipo de dispositivo de red, la
herramienta Nessus permitió dicha personalización de cada una de las pruebas que se llevaron
acabo. Las siguientes tablas muestran las pruebas que se implementaron en cada uno de los
dispositivos según la plataforma de sistema operativo o según su función en la intranet de la
Universidad de Colima. La tabla 2.4 da a conocer las pruebas que se le deben de aplicar a los
servidores Windows 2000. Cada una de estas pruebas son seleccionadas y posteriormente
configuradas en Nessus. Esta configuración va a depender de los servicios que proporcione el
servidor, sin dejar por alto las pruebas propuestas en la tabla de pruebas que le corresponden.
A los servidores Intranet, Serveredes, Antivirus y Bdigital se les aplico las pruebas base de la
tabla 2.4.
Sistema Operativo Aplicación de parches Debilidad de contraseña Red Barrido de puertos Negación de servicios Puertas traseras CGIs Demonios DCOM DNS
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
82
correo electrónico FTP Recolección de información Aspectos críticos de NT Grupos NT Red NT Contraseñas NT Parches NT Políticas NT Registro NT Servicios NT Usuarios NT RPC Shares SNMP
A los servidores y dispositivos de comunicación con plataforma UNIX se les aplica las
pruebas de la tabla 2.5. Gran parte de los servidores de la infraestructura de DIGESET son
servidores UNIX, estos son: Venus, Triton, Tecoman, Volcan, Orion, Listas, Dns, Mail,
Mail2, Web y Zlo. En vista que estos servidores de plataforma Unix, son varios, se decidió
dividirlos en grupos, con la finalidad de no cargar la computadora que realizaba las pruebas y
al ancho de banda de la red. Los conmutadores de la red telefónica y el cortafuego de la
seguridad perimetral, tienen sistema operativo basado en la plataforma Unix .
Sistema Operativo Permisos en archivos Relaciones de confianza Archivos de calendarizacion de tareas Archivos de configuración RC Configuración de NFS Aplicación de parches Debilidad de contraseña Red Barrido de puertos Negación de servicios Puertas traseras CGIs Demonios DCOM DNS correo electrónico
Tabla 2.4. Grupo de pruebas aplicadas a servidores Windows 2000.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
83
FTP Recolección de información NFS NIS RPC Zares SNMP
2.5.3 Dispositivos de Comunicación Se consideran dispositivos de comunicación a los equipos que proporcionan interconexión
entre los nodos de la Universidad de Colima. Los ruteadores y conmutadores de la red
telefónica que funcionan en el nodo principal, pertenecen a esta categoría, la tabla 2.6 describe
las pruebas que se llevaron acabo para estos dispositivos.
Sistema Operativo Aplicación de parches Red Barrido de puertos Negación de servicios Fuerza bruta Recopilación de información SNMP Vulnerabilidades CISCO Vulnerabilidades router/switches
2.5.4 Firewall El cortafuego o firewall, es el dispositivo principal de la seguridad perimetral, este contiene las
reglas que determinan que tráfico es permitido o denegado. El cortafuego soluciona todos
aquellos problemas que el filtrado de paquetes a través de ruteadores no puede resolver, estos
no son perfectos en permitir o denegar el tráfico, se requiere entonces, conocer el cortafuego,
así como su sistema operativo. Por consiguiente se debe de analizar periódicamente para
mantener la integridad la red. La tabla 2.7, muestra las pruebas que deben de tomarse en
cuenta al momento de realizar un análisis de vulnerabilidades a un cortafuego.
Tabla 2.5. Grupo de pruebas aplicadas a servidores Unix y Linux.
Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
84
Sistema Operativo Aplicación de parches Debilidad de contraseña Red Barrido de puertos Negación de servicios Fuerza bruta Recopilación de información SNMP Vulnerabilidades CISCO Vulnerabilidades firewalls
2.6.2 Herramientas Utilizadas
Las herramientas que se utilizan en el análisis son software de diferentes fuentes, tal es el caso
de NESSUS, que es una poderosa herramienta de software libre que permite llevar acabo un
diagnostico para los servicios de Internet y determinar la robustez, solidez e invulnerabilidad
del sistema mediante el escaneo remoto de vulnerabilidades, basándose para ello en una base
de datos que contiene todas las vulnerabilidades conocidos hasta el momento de la ultima
actualización que se lleva acabo vía Internet.
Otra de las herramientas utilizadas es el WEB CHECK de PROTEGO, esta aplicación es un
conjunto de herramientas de análisis que se implementan de manera conjunta para crear un
reporte de vulnerabilidades lo mas completo posible, los hallazgos de estas pruebas se
describen en la figura 2.12. La tabla 2.8 presenta una descripción general de algunas de las
herramientas utilizadas para el análisis de vulnerabilidades.
Tabla 2.7. Grupo de pruebas aplicadas al cortafuego
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
85
Nombre Descripción Objetivo de UsoInternet Scanner Herramienta de valoracion de seguridad que verifica la vulnerabilidad de
los ataques de todas las entidades accesibles de la red. También examina todos los servicios TCP/IP de la red e incluye revisiones de vulnerabilidades especifica para sistemas operativos, servidores web y firewalls.
Ejecuta las pruebas de negación de servicio. Realiza el análisis inicial de vulnerabilidades en routers, switches y firewalls.
Nessus Software de diagnostico para los servicios de Intetnet, para determinar la robustes, solidez e invulnerabilidad del sistema mediante el escaneo remoto de vulnerabilidades, basándose para ello en una base de datos conteniendo todos los ataques conocidos hasta el momento de la ultima actualización que se lleva acabo vía conexión a internet.
Identificar vulnerabilidades en servicios de Internet
Web Check Conjunto de herramientas de análisis que se implementan de maneraconjunta para crear un reporte de vulnerabilidades lo mas completoposible.
Identificar vulnerabilidades en servicios de Web
2.7 Análisis de Pruebas
El análisis de las pruebas básicamente consistió en dos partes:
• Determinación de los hallazgos de la infraestructura actual.
• Determinación de hallazgos generales.
Los hallazgos de la infraestructura actual son la determinación de las vulnerabilidades que se
encontraron en los servidores y equipos de comunicación que son considerados como el pilar
del funcionamiento de DIGESET, esto con la finalidad de que posteriormente sean parte de los
hallazgos generales.
Los hallazgos generales están compuestos por tres planos que deben trabajarse en conjunto
para lograr incrementar los niveles de seguridad de DIGESET, el primer plano es la gente y la
organización necesaria para lograr los niveles de seguridad informática requeridos por
DIGESET, el segundo plano son los procesos de seguridad informática sobre los cuales debe
operarse la infraestructura tecnológica de DIGESET y el tercer y último plano esta compuesto
por los dispositivos tecnológicos que soportan la seguridad de los sistemas de información de
DIGESET.
Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
86
2.7.1 Generación de reportes
Los resultados de las pruebas proporcionadas por Nessus fueron trasladados a un documento
electrónico y la información fue ordenada por dispositivo, finalmente se obtuvieron los
hallazgos de la infraestructura actual, estos hallazgos fueron reportados a los operadores de
cada dispositivo examinado y posteriormente se llevo acabo una reunión para la discusión de
las implicaciones de los cambios sugeridos en el reporte. En estos hallazgos se establecen los
niveles de riesgo. Existen tres niveles de riesgos y un nivel clasificado como informativo. La
tabla 2.9 describe cada nivel.
Nivel DescripciónAlto Cada exposición grave, al ser explotada afecta de forma directa su
seguridad, compromete la confiabilidad, integridad y disponibilidad del información crítica. Habilita al atacante con privilegios y control/manipulación sobre el sistema
Medio Es posible acceder y modificar de forma indirecta datos y archivo de configuración del dispositivo. Explotando una o varias vulnerabilidades de este nivel se puede obtener resultados comparables como los mencionados en las vulnerabilidades de alto nivel
Bajo Se puede obtener información muy específica de los dispositivos como: nombre de usuarios y archivos, configuraciones, servicios. La información que proporcione puede servir como entrada, para explotar vulnerabilidades de nivel medio o alto
Informativo Son datos proporcionados por las aplicaciones y los sistemas operativos (versiones, dirección IP entre otros) su divulgación no compromete a la seguridad de los dispositivos
En la tabla de hallazgos generales existen dos tipos de impactos: el impacto individual y el
impacto contextual. El impacto individual se refiere a nivel de severidad de la vulnerabilidad
encontrada en el equipo, viéndolo como un ente individual, sin tomar en cuenta el entorno en
que se encuentra. En contraparte, el impacto contextual no sólo toma en cuenta la
vulnerabilidad encontrada, sino que para asociar el nivel de impacto se toma en cuenta la
ubicación del equipo en la red, la protección que recibe de otros equipos y la criticidad del
dispositivo. La valoración de estos impactos se abarca en el capitulo 3.
Tabla 2.9. Clasificación de vulnerabilidades.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
87
2.7.2 Interpretación de los resultados
La finalidad de esta fase es identificar que toda vulnerabilidad tenga su significado en contexto
a la situación actual que presenta la infraestructura tecnológica de la DIGESET, priorizar los
problemas de seguridad de acuerdo al impacto que pudiera tener y definir la dirección de las
acciones a realizar para solucionar los huecos de seguridad.
La interpretación consiste en comprender como la vulnerabilidad afecta la seguridad del
dispositivo, es decir, el alcance e impacto si la vulnerabilidad es explotada y la solución más
adecuada para el manejo de las vulnerabilidades así como su disminución y eliminación. En el
capitulo 3 se aborda este tema.
Las vulnerabilidades que se encontraron en la aplicación de la herramienta Nessus, se puede
obtener el significado contextual de la situación actual que presenta la infraestructura de la
Universidad de Colima. Por ende se puede interpretar que es lo que un intruso puede llevar
acabo en la infraestructura actual:
• Se puede llevar acabo la etapa de reconocimiento (Sección 1.4.2.1). Fácilmente se
pueden obtener de los servidores la versión del sistema operativo, nombre del login de
usuarios, login de correo electrónico, versiones de las aplicaciones, nombres de
comunidades del protocolo SNMP y otros.
• Es posible llevar acabo la denegación de servicio, a través del derramamiento del
buffer.
• La información que viaja tanto en la intranet como en el Internet de la Universidad de
Colima, es transmitida si métodos de encriptación. Por lo tanto es posible que el
atacante pueda utilizar un sniffer para capturar información de interés particular.
• Se pueden establecer conexiones no autorizadas en los servidores con plataforma
Windows y Unix, en muchos de los casos esta intrusión puede ser posible por las
aplicaciones que los servidores poseen llegando al punto de poder ejecutar código no
autorizado.
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
88
• Existen cuentas de usuarios en los servidores Windows 2000 que están configuradas
con la opción, “contraseña nunca caduca”. Si el intruso logra tener acceso al servidor
con esa cuenta, tendrá tiempo ilimitado para hacer de las suyas.
• Es posible obtener los archivos de log del servidor Web, estos archivos pueden
contener información confidencial de suma importancia para el rastreo de las
transacciones.
• El contenido de los scripts o de las versiones previas se pasan de regreso al navegador
de peticiones en "texto claro", permitiendo que leer el código fuente o un contenido
especifico de un archivo.
A continuación se presentan los hallazgos de la infraestructura actual tanto internos como
externos.
2.8 Hallazgos Internos Los hallazgos son todas las vulnerabilidades encontradas en los equipos. Esta clasificado en:
Dispositivos de comunicación, firewalls, servidores Windows y servidores UNIX. Los
resultados de esta sección son solamente los producidos por las pruebas internas realizadas por
el grupo de DIGESET. A continuación se presenta la figura 2.8 que establece los resultados
del análisis de vulnerabilidades, que se llevo acabo a los servidores Windows 2000. En la
tabla 2.3 se pueden observar los servidores Windows 2000 de interés para el análisis.
Figura 2.8. Porcentaje de Vulnerabilidades encontradas en los servidores Windows 2000
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
89
Para más detalles de los hallazgos por servidor se puede abocar al anexo 1, “Reportes de
Vulnerabilidades”.
La figura 2.9 presenta los resultados de las pruebas realizadas a los servidores con plataforma
UNIX. Solo se muestran los porcentajes de las vulnerabilidades que se encontraron, si desea
verificar los detalles de las vulnerabilidad, puede ver el anexo 1. Como resumen se tienen los
siguientes resultados:
Nivel de Riesgo Cantidad Del Riesgo Alto (51%) 25
Medio (35%) 17 Bajo (14%) 7
Vulnerabilidades en los Servidores UNIX
Alto (51%)Medio (35%)Bajo (14%)
A continuación se presenta la figura 2.10 que ilustra el estado de los equipos de comunicación
(rutadores, RADIUS, IDS y Conmutadores) con respecto a las vulnerabilidades encontradas en
la herramienta Nessus. Para ver detalles consulte el anexo 1. Como se puede observar, los
equipos de comunicación no presentan problemas de vulnerabilidades de alto riesgo. En
resumen se tienen los siguientes resultados:
Nivel de Riesgo Cantidad Del Riesgo Alto (14%) 1 Medio (14%) 1 Bajo (72%) 5
Figura 2.9. Vulnerabilidades encontradas en los servidores con plataforma Unix
Contextualización y Análisis de Vulnerabilidades
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
90
Vulnerabilidades de los Dispositivos de Comunicación
Alto (14%)Medio (14%)Bajo (72%)
El firewall Nokia Check-Point IP-530 y los conmutadores no presentan vulnerabilidades, es
imprescindible revisar periódicamente los dispositivos para que siga en estas condiciones.
2.9 Hallazgos Externos Los hallazgos externos son todas las vulnerabilidades encontradas en el sitio Web de la
Universidad de Colima. La herramienta que se utilizo fue el WEBCHK, de la empresa de
PROTEGO. La figura 2.11 representa gráficamente dichos hallazgos.
Vulnerabilidades Encontradas por PROTEGO
Alto (11%)Medio (45%)Bajo (44%)
Figura 2.10. Vulnerabilidades encontradas en los dispositivos de comunicación.
Figura 2.11. Vulnerabilidades encontrados por PROTEGO al servidor Web de la UDC.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
93
En el capítulo anterior se desarrollo la contextualización y el análisis de vulnerabilidades (vea
figura 2.1) del marco metodológico, por lo que, se obtuvo como resultado los hallazgos en las
categorías de gente, procesos e infraestructura. Estos hallazgos fueron el punto de inicio del
análisis de riesgos y se analizaron en función de su ocurrencia e impacto, por lo tanto, este
capitulo presenta una breve explicación que lo que es la administración de riesgos con la
finalidad de entender el desarrollo del análisis de riesgos. Posteriormente se procedió al
desarrollo práctico del análisis de riesgos que consistió en la priorización de los riesgos, la
priorización de los controles de mitigación y finalmente la priorización de las actividades a
realizar para mitigar los riesgos. Las etapas de análisis de brechas y mejoras a corto plazo del
marco metodológico, se desarrollan en este capitulo.
3.1 Administración de Riesgos
La administración de riesgos es una forma de estar al tanto de lo que ocurre o de lo que puede
ocurrir con los sistemas información. Un riesgo es la posibilidad de sufrir una pérdida o daño,
la definición muestra que hay dos partes del riesgo: la posibilidad de ocurrencia de un evento
de riesgo y el daño o pérdida que resulta de la ocurrencia del evento de riesgo.
Un programa de administración de riesgos tiene especial énfasis en dos aspectos: valoración
de riesgos y mitigación de riesgos. La administración de riesgos puede llevarse a cabo en
cuatro etapas; la primera etapa de la administración de riesgos de un sistema TI es la
valoración del mismo, la segunda etapa es la utilización de la valoración de riesgos para
identificar las medidas de mitigación más óptimas, la tercera etapa, es la administración de
seguridad que proporciona las acciones necesarias para la efectiva corrección de los riesgos y
la cuarta etapa es la auditoria de seguridad, la cual es utilizada para detectar condiciones que
requieren una revaloración de riesgos. Está última etapa también es utilizada para la
implementación de nuevas medidas de mitigación o modificaciones al programa de
administración de seguridad. Para fines de este capitulo, las actividades de valoración de
riesgos y las medidas de mitigación son los temas principales, por lo que se toma especial
atención en el desarrollo de estas actividades. La administración de la seguridad y la auditoria
de seguridad se desarrollan en el capitulo 5. Si el programa de administración de riesgos de
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
94
una organización es deficiente, la organización puede sufrir excesivas pérdidas o daños y al
mismo tiempo puede llegar a perder recursos en medidas de mitigación deficientes, en casos
extremos, la pérdida provocada por un riesgo puede ser lo suficientemente grande para destruir
la organización. La figura 3.1 muestra las cuatro actividades para la administración de riesgos.
3.1.1. Valoración de riesgos
Como se puede observar en la figura 3.1 el flujo de trabajo va de izquierda a derecha por lo
que el primer paso es la valoración de los riesgos cuyo objetivo es generar información acerca
de las exposiciones de riesgos necesarias para establecer y mejorar las decisiones de
mitigación de riesgos. Con la valoración de riesgos se tiene la oportunidad de comparar los
riesgos y determinar el costo de la implementación de controles de mitigación de riesgos
Porque no existe ninguna organización con recursos ilimitados, es necesario determinar que
medidas se deben implementar, sería conveniente que existiera una serie de estándares de
seguridad que se apliquen homogéneamente a los sistemas de TI pero no es posible este caso
por dos razones básicas:
1. Cada sistema de tecnología de información cuenta con su propio ambiente de riesgos y
2. Cada sistema de tecnologías de información tiene una sobrecarga de trabajo única.
Por estas dos razones, cada sistema TI va a tener requerimientos de seguridad únicos, las
Figura 3.1. Cuatro actividades de la administración de riesgos.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
95
mismas corresponden a los dos elementos de la definición de riesgo: el ambiente de riesgos
determina la posibilidad de experimentar un daño o pérdida y la sobrecarga del sistema junto
con los activos relacionados al sistema TI, determinan la magnitud de la pérdida o daño.
El riesgo es importante para el diseño y administración de los sistemas de información porque
estos son parte esencial de la operación de una organización, en vista de la creciente
dependencia de los sistemas de información tecnológica, tanto la magnitud del daño o pérdida
potencial como la posibilidad de un evento de riesgo se mantienen en un crecimiento
exponencial.
En el modelo de riesgos, todos los eventos de riesgo se les asume que pueden tener una tasa de
ocurrencia baja o alta, al mismo tiempo el impacto de un evento de riesgo se les asume una
tasa de consecuencias baja o alta.
Existe un modelo de riesgos que se clasifica en cuatro clases de riesgos: baja-baja (1), alta-
baja (2), baja-alta (3) y alta-alta (4). Para fines de la investigación esta la clase 4 es de mucha
utilidad en la priorización de los riesgos, ya que esta clase tiende a presentar mayor relevancia
para dicha actividad. Vea la figura 3.2.
Figura 3.2. Especto de riesgos
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
96
Seymour Bostworth y M.E. Kabay, sugieren que sólo deben de existir dos clases de riesgos
con relevancia: la clase alta-baja (2) y la clase baja-alta (3), es importante reconocer que en el
mundo real los riesgos no caen exactamente en estas dos clases, lo que se tiene realmente es
un espectro de riesgos que va de la clase alta-baja a la clase baja-alta (Boswordth & M.E.,
2002). Si se desea clasificar los posibles riesgos a los cuales se puede ver envuelta la
organización, quizás esta afirmación puede ser de ayuda, pero cuando se desea darle una
prioridad a los riesgos, el modelo de riegos, no debe ser utilizado para determinar si el riesgo
puede ser real o no, simplemente se clasifican para asignarles una ponderación de importancia.
Perdidas Potenciales Conocer las perdidas potenciales a las cuales se puede ver expuesta la organización, es de
suma importancia para la concienciación de la importancia de una administración de riesgos.
Existen tres clases de pérdidas básicas de los sistemas de tecnologías de información
1. Pérdidas de daño de propiedad. Una pérdida de propiedad ocurre cuando uno de
los bienes de la organización es impactado por un evento de amenaza, el bien puede
ser una propiedad física que ha sido dañada, por ejemplo por incendio o inundación,
por otro lado, el bien puede ser intangible como la inapropiada divulgación o
destrucción de la información confidencial que causa pérdidas a la organización.
2. Pérdidas por obligación. La operación de los sistemas de información pueden
poner a la organización en obligaciones debido a daños agravios. Por ejemplo, la
inapropiada configuración de las reglas de filtrado en el cortafuego o firewall, puede
causar problemas en el funcionamiento correcto de las aplicaciones y servicios que
se encuentran en las zonas perimetrales. La inapropiada divulgación de la
información personal de los empleados puede terminar en una demanda en contra de
la organización.
3. Pérdidas por interrupción de servicio. Estas pérdidas ocurren cuando los servicios
de los sistemas de información son interrumpidos o no han iniciado en un período de
tiempo determinado, por lo general entre mas largo es el tiempo fuera de servicio,
mas alto es el costo de la pérdida, esto significa que las pérdidas por interrupción de
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
97
servicio deben ser representadas en forma de tabla de valores apropiados para los
rangos de duración de la interrupción.
Las pérdidas por interrupción de servicio se aplican a todos los servicios proporcionados por
los sistemas de información a los usuarios finales. El primer paso es la identificación de las
pérdidas de información a causa de interrupción de servicio, esto a través de la construcción de
una lista de servicios sobre los cuales recae una pérdida potencial. La exploración de una gran
gama de funciones sugiere que existan tres diferentes causas de pérdidas por interrupción de
servicios. Repasando las causas con las personas mas familiarizadas con cada servicio,
usualmente usurarios finales, se determina cuales son los que aplican. Las causas son las
siguientes:
• Reducción de productividad. ¿Las personas estarían desocupadas si se presentase
una interrupción de servicio? En caso afirmativo. ¿Cuántos y que tanto? ¿Cuál es el
pago total en condiciones normales, incluyendo beneficios?
• Retardo en la colecta de fondos. ¿Las aplicaciones activan colección de fondos
para la organización a través de un sistema de facturación? Si es afirmativo,
determine un promedio de la cantidad colectada diariamente, la cual se verá
afectada por la interrupción del servicio.
• Reducción de ingresos. ¿La interrupción de servicio impacta sobre las ganancias de
ventas u otra forma de ingreso? Si es afirmativo se requiere estimar la cantidad de
ingresos perdidos.
3.1.2. Mitigación de Riesgos Los efectos de la exposición del sistema de tecnología de información a los riegos pueden ser
desde triviales hasta catastróficos y no siempre se sabe cual efecto es el más peligroso. La
Mitigación de riesgos es la consideración y aplicación de prácticas de reducción de riesgos en
eventos que generan valoraciones cuantitativas.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
98
Se sugiere obtener un promedio de todas aquellas amenazas que tienen una magnitud de
pérdida similar para la organización y que pertenecen a las clases alta-baja y baja-alta. Este
concepto se cuantifica a través de una noción de Perdida Anual Estimada (PAE).
El PAE es simplemente el producto de las tasas de ocurrencia, expresadas en ocurrencia por
año y las perdidas resultantes de una sola ocurrencia expresada en términos monetarios.
Ejemplo: pesos.
El PAE es un concepto útil para la comparación de riegos, pero que esta elaborado
intuitivamente, por lo que eso hace que no se convierta en una base enteramente satisfactoria
para la toma de decisiones de mitigación de riesgos, hay dos razones que contribuyen a esta
afirmación; la primera razón es la dificultad de crear una estimación creíble de las
consecuencias de un evento con baja probabilidad de ocurrencia, donde la tasa de ocurrencia
puede ser falsa, también se debe considerar que los riesgos provenientes de acciones humanas
(fraude, robo y sabotaje) son particularmente difíciles de cuantificar y la segunda razón es que
la consecuencia y la probabilidad de ocurrencia de un evento de riesgo van cambiando con el
paso del tiempo, además los administradores de riesgos tienen que reaprender la lección acerca
de las acciones a tomar para mitigar los riesgos.
Por otro lado el administrador de riesgos debe de tratar de imaginar cada posible riesgo que la
organización puede enfrentar, incluso aquellos que no han experimentado y desarrollar
estimaciones del impacto de cada riesgo, seguidamente el administrador de riesgos debe de
esforzarse para identificar la respuesta mas optima para cada riesgo a través de la
identificación de las medidas de seguridad que tienen un retorno de inversión positivo. En
pocas palabras, el objetivo del administrador de riesgo es encontrar el paquete de medidas de
mitigación que representen el mejor retorno de inversión.
Para ayudar a los administradores a entender el especto de riesgos a los cuales la organización
se ve expuesta, se puede definir una tasa de ocurrencia de una amenaza con significado
mínimo que se considere una perdida tolerable, la idea está, en la eliminación de todas
aquellas amenazas que están por debajo de la tasa de ocurrencia mínima o bien atender las que
estén por arriba de la tasa. Si se estima que la perdida a causa de la ocurrencia de una amenaza
excede la perdida que se considera tolerable y la tasa de ocurrencia excede la tasa mínima,
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
99
entonces se deben llevar acabo los pasos necesarios para reducir la perdida, quizás
transfiriendo el riesgo a una política de aseguramiento o reduciendo la tasa de ocurrencia
estimada a un valor mas bajo que la tasa de ocurrencia mínima.
Cuatro razones por las cuales se debe de adoptar las medidas de mitigación
1. Las medidas de mitigación son requeridas por la ley o regulaciones.
2. El costo de la medida de mitigación es trivial, pero el beneficio se materializa.
3. Las medidas de mitigación encaminan los riesgos de la clase baja-alta que tiene una
ocurrencia de pérdida intolerable.
4. El costo de la medida de mitigación de riesgos es menor que el costo producido para
contrarrestar las perdidas futuras, dicho en otras palabras, la medida de mitigación
posee un retorno de inversión positivo, por ende, es muy común utilizarlas para
justificar la protección en contra de riegos de la clase alta-baja.
Usualmente las medidas de mitigación no se aplican a aquellos eventos de riesgos que posee
muy baja probabilidad de ocurrencia. Existen tres opciones para atender los riegos que tiene
una tasa de ocurrencia baja, pero un alto costo en perdidas: la primera es la transferencia del
riesgo a través de la adquisición de un seguro que vaya en contra del riego, la segunda opción
es desembolsar dinero para adoptar las medidas necesarias que reduzcan la probabilidad de
exposición del riesgo y finalmente se puede reducir la vulnerabilidad del sistema TI para dicho
riesgo.
Ahora que se ha descrito en forma general en que consisten las dos primeras fases de la
administración de riesgos, es decir, la valoración de los riesgos y la mitigación de riesgos, se
puede proceder al desarrollo practico del análisis de riesgos que le corresponde a DIGESET.
3.2 Desarrollo del Análisis de Riesgos
El objetivo de este análisis es presentar los riesgos identificados en:
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
100
• Estructura Organizacional. Riesgos asociados con la organización de las funciones y
responsabilidades para la operación de la infraestructura tecnológica (TI), evaluando
aspectos de separación de tareas y rendimiento de cuentas (accountability).
• Outsourcing. Riesgos asociados al mantenimiento de niveles satisfactorios de
seguridad cuando la responsabilidad del procesamiento de información ha sido
delegada al outsourcing.
• Políticas de seguridad. Riesgos asociados con los lineamientos y normas para dar
soporte a la seguridad informática.
• Procesos de TI. Riesgos asociados con la operación de la infraestructura tecnológica,
evaluando los procesos de: Control de cambios, Administración de configuraciones,
Administración de respaldos, Control de accesos y Generación y explotaci6n de
bitácoras
• Infraestructura Tecnológica. Riesgos asociados con las vulnerabilidades detectadas en
sistemas operativos, bases de datos y dispositivos de comunicación (switches y routers).
Un hallazgo es establecer una situación que puede significar un riesgo para la integridad de la
Intranet de la Universidad de Colima, estos riesgos pueden tener como resultado una perdida
tangible o intangible. A cada hallazgo se le asigna un probabilidad de ocurrencia y de
impacto, los que tengan valor de 0 en la probabilidad de ocurrencia o en el impacto no se
tomará en cuenta para la priorarización de controles debido a que los riesgos no impactaría
significativamente en la organización en caso de presentarse, la asignación de la probabilidad
de ocurrencia y de impacto esta dada a criterio del experto en el área de impacto de DIGESET.
El director de la Dirección General de Servicios Telemáticos es la única persona que conoce
en su totalidad el funcionamiento de DIGESET y la problemática que la institución puede
tener al presentarse un riesgo o daño, por lo tanto, esta en la capacidad de asignar, según su
criterio, las ponderaciones correspondientes al impacto y probabilidad de ocurrencia. La tabla
3.1 contiene la información correspondiente a los hallazgos y riesgos que se encontraron en
DIGESET; esta tabla contiene la siguiente información:
• ID: es el identificador único del hallazgo.
• Hallazgo: se refiere al área de oportunidad detecta.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
101
• Riesgo: es el peligro que DIGESET o la infraestructura de la Intranet corre debido al
hallazgo detectado.
• Probabilidad de ocurrencia: se refiere la posibilidad de que se presente el hallazgo
correspondiente. Los posibles valores de esta columna son:
0: no aplican
1: bajo
2: bajo-medio
3: medio
4: medio-alto
5: alto
• Impacto: es la severidad que tendría el riesgo en caso de materializarse dentro de la
organización. Los posibles valores de la columna "impacto" también es del 0 al 5 y
básicamente tiene la misma interpretación.
• Factor de riesgo: es la suma de los valores entre las columnas "probabilidad de
ocurrencia" e "impacto". Además se utiliza para la priorización de las actividades
necesarias para la mitigación de riesgos.
• Control: se refiere la medida que se debe implantar para la mitigación del riesgo
A continuación se muestran los hallazgos y riesgos observados durante la recuperación de
información y en la realización de las entrevistas a los responsables de los servicios que
intervinieron en el análisis de vulnerabilidades. Los hallazgos y riesgos se encuentran
divididos en tres rubros:
• Gente: la gente y la organización necesaria para lograr alcanzar los niveles de
seguridad informática requeridos por DIGESET.
• Procesos: procesos de seguridad informática sobre los cuales debe operar se la
infraestructura tecnológica de DIGESET.
• Infraestructura: las herramientas heroicas que soportan la seguridad e integridad de
los sistemas de información de DIGESET.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
102
ID HALLAZGO RIESGO PROBABILIDAD DE
OCURRENCIA
IMPACTO FACTOR DE
RIESGO
CONTROL
GENTE 1 No existe un área de
seguridad informática formalmente definida
Se requiere que la organización formalice la seguridad informática. Se debe de establecer responsabilidades de seguridad informática a una persona en especifico y los procesos de control deben de aplicarse consistentemente a través de toda la institución.
3 5 8 Crear un área de seguridad informática con la mayor jerarquía posible y crear un comité ejecutivo de seguridad auspiciado por la alta dirección de DIGESET.
2 La seguridad informática es una responsabilidad formal de una sola persona.
La Seguridad informática debe de ser aplicada de manera horizontal en la organización, por ende se requiere que todos los departamentos sean involucrados en la tareas de seguridad. No sirve de nada asegurar solo algunos departamentos de DIGESET, si esos mismos departamentos se ven vulnerables a causa de los otros departamentos que no estan protegidos.
5 4 9 Realizar un plan estratégico de seguridad informática que involucre todas las áreas de DIGESET que permita atacar todas las funciones de seguridad. Es importante priorizar las actividades para realizar los controles
3 El personal que elabora en el área de seguridad no cuenta con alguna certificación de especialización en seguridad.
No sustentar las capacidades y conocimientos de las personas a través de un reconocimiento expedido por alguna organización reconocida a nivel nacional o internacional.
4 2 6 Certificar al personal en alguna especialidad, por ejemplo: Conocimientos en seguridad: CCIE (Cisco Certified Internetwork Expert) Security y SSCP (System Security Certified Practitioner)
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
103
4 No existe una política que indique las medidas de protección que DIGESET debe tomar en cuenta para contrarrestar los riesgos asociados con la adquisición de software pirata y archivos que se descargan de Internet, o de cualquier otro medio.
Copiar software ilegalmente, ya sea intencionalmente o no, es una propuesta arriesgada que puede causarle grandes problemas legales a la Universidad de Colima.
5 4 9 Definir una serie de políticas que se encarguen de la administración de software.
5 No existen políticas con enfoque de seguridad informática que rijan al comportamiento del personal de DIGESET.
No se cuenta con un marco legal y normativo para sancionar a los responsables de algún incidente.
4 4 8 Elaborar un juego de procedimientos y reglas que fortalezca el plan de seguridad informática, obligaciones, responsabilidades y permisos de los empleados y sistemas; también se deben de homologar las políticas existentes.
6 Los riesgos de seguridad en las iniciativas de DIGESET no se analizan en un foro multidisciplinario para determinar los requerimientos (de seguridad) en una solución integral.
Hay riesgo de no tomar en cuenta puntos importantes en la resolución de un problema de seguridad.
4 4 8 Conformar un grupo multidiciplinario para la solución de problemas de seguridad.
PROCESOS
12 No existen políticas que se encarguen de regular el buen uso de la infraestructura de la Intranet universitaria.
No se contará con un marco técnico y normativo para controlar el funcionamiento de la Intranet de la Universidad de Colima.
5 3 8 Elaborar una serie de políticas que contengan las obligaciones y responsabilidades necesarias para obtener un eficiente uso de la Intranet universitaria.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
104
13 No existe un plan de divulgación de políticas, las cuales se encargan de la producción, mantenimiento, gestión y uso de servicios y bienes informáticos.
Posible abuso o mal uso de la infraestructura; lo anterior no se puede determinar con exactitud debido a que no existen los controles suficientes para auditar las acciones de los usuarios.
5 4 9 Crear un plan de difusión de las políticas existentes y que los usuarios firmen de entendido las políticas.
14 No existe una bitácora de las entradas y salidas a las instalaciones de DIGESET
Se debe de mantener una bitácora de entrada y salida de los visitantes que ingresan a las instalaciones, de lo contrario no será posible evitar el espionaje y/o robo de información y equipos a través de una intrusión física.
5 1 6 Generar bitácoras de entradas y salidas a las instalaciones de DIGESET.
15 En el cortafuegos no existe una política de negación de acceso a aquellos dispositivos que producen un trafico excesivo o anormal en la red.
El cortafuego puede verse afectado al aceptar miles de peticiones de conexión por segundo, y de esta manera permitir una denegación de servicio.
4 5 9 Definir una política que cancele el acceso a los servicios proporcionados por el cortafuego, cuando un dispositivo de red produzca trafico no normal.
16 No existen procedimientos de control de cambios en las áreas de telefonía, comunicaciones y seguridad perimetral
Al no existir la administración de cambios, pueden presentarse pérdidas intangibles en la recuperación de las fallas a causa de la falta de configuraciones oportunas.
4 4 8 Establecer los controles necesarios para la administración de cambios.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
105
17 El Firewall no presenta una configuración personalizada de las políticas de filtrado que vayan de acuerdo a los requerimientos de acceso, necesarios para DIGESET.
Al tener políticas de filtrado any to any, permite pasar cualquier tipo de tráfico a la red interna. Las zonas no están claramente definidas, por lo que no se puede determinar la defensa de los servidores críticos.
3 4 7 Establecer un análisis e implementación de un filtrado personalizado que incluya solamente los aplicaciones que DIGESET requiere.
INFRAESTRUCTURA
22 Se puede llevar acabo la etapa de reconocimiento (Sección 2.4.2.1). Fácilmente se pueden obtener de los servidores la versión del sistema operativo, los nombres de cuentas de usuarios, los "login" de correo electrónico, versiones de las aplicaciones, nombres de comunidades del protocolo SNMP y otros.
Los atacantes hacen uso de las herramientas de reconocimiento para obtener la mayor cantidad de información disponible de la red para que posteriormente se realice el ataque real.
3 3 6 Configurar los dispositivos que fueron examinados de tal forma que proporcionen el mínimo de información posible acerca de los servicios que proporcionan.
23 Es posible llevar acabo la denegación de servicio, a través del derramamiento del buffer.
Se puede imposibilitar a un host e incluso a toda la red, ya que es posible llevar acabo la saturación de recursos o provocación de errores catastróficos que tengan como consecuencia detener el procesamiento normal del dispositivo afectado.
2 3 5 Actualizar los dispositivos afectados por las vulnerabilidades de DoS. Se debe de establecer un control que garantice la verificación de nuevas vulnerabilidades de Denegación de Servicio.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
106
24 La información de los sistemas de control escolar y financiero que viaja en la intranet de la Universidad de Colima, es transmitida sin métodos de encriptación.
Por lo tanto es posible que el atacante pueda utilizar un sniffer para capturar información de interés particular. El contenido de los scripts se pasan de regreso al generador de peticiones (Browser) en "texto claro", permitiendo que leer el código fuente o un contenido especifico de un archivo.
5 4 9 Se deben de establecer controles que garanticen la comunicación encriptada entre los dispositivos de la intranet. La Instalación de un agente VPN en los servidores de la cada dependencia podría ser una buena solución.
25 Se pueden establecer conexiones no autorizadas en los servidores con plataforma Windows y Unix.
En muchos de los casos esta intrusión puede ser posible por las aplicaciones que los servidores poseen llegando al punto de poder ejecutar código malicioso provocando que las aplicaciones se dañen.
2 3 5 Se debe de mantener el sistema operativo, con las ultimas actualizaciones y parches.
26 No se cuenta con una base de conocimientos sobre incidentes de seguridad.
Las causas de los incidentes no se detectarían y se repetirían los incidentes. Rastros de algún incidente se perderán y no se podrá saber la causa.
5 2 7 Crear una base de conocimientos y registrar todos los eventos de seguridad, así como las soluciones. Además se debe de difundir esta base de conocimientos.
27 Existen cuentas de usuarios en los servidores Windows 2000 que están configuradas con la opción, “contraseña nunca caduca”.
Si el intruso logra tener acceso al servidor con esa cuenta, tendrá tiempo ilimitado para hacer uso de los recursos del mismo.
2 3 5 Se deben de establecer los controles adecuados para la administración de cuentas de usuarios en los servidores con plataforma Windows y UNIX, así como los demás dispositivos que requieran de una contraseña para su administración.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
107
28 Es posible obtener los archivos de bitácoras del servidor Web. Estos archivos pueden contener información confidencial de suma importancia para el rastreo de las transacciones
Los atacantes pueden hacer uso de los bitácoras para determinar información acerca del uso de los servicios que proporciona el dispositivo. Por otro lado, el tener acceso a los bitácoras del sistema, significa que estos pueden ser alterados para borrar los rastros dejados por el atacante.
4 3 7 Establecer los controles adecuados para la protección de los bitácoras.
29 No se les obliga a los usuarios de acceso remoto a utilizar un método de autenticación en especial.
El equipo está configurado para quien soporte estos cuatro métodos de autentificación. El primer paso es verificar si el cliente soporta la autentificación CHAP, en caso de que no soporte intenta establecer la conexión a través del método EAP. Si el método EAP no es soportado por el cliente entonces el equipo intenta con MS-CHAP. En última instancia si ninguno de los anteriores es soportado por el cliente entonces utiliza el método de autentificación PAP, siendo ultimo el menos seguro.
4 4 8 Generar y aplicar una política que garantice los requerimientos mínimos de seguridad Informática.
30 No se cuenta con un detector de intrusos para todos los campus de conforman la intranet.
La inspección de las actividades de red que se llevan acabo en las dependencias de los diferentes campus, no están siendo monitoreadas, por lo que en el caso de una intrusión o ataque no se puede llevar un rastreo de que sucedió o esta por suceder en la red.
4 3 7 Se debe de establecer un IDS en cada campus universitario. Además los servidores deberán tener disponible el sensor del IDS.
Tabla 3.1. Información de los hallazgos encontrados en DIGESET.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
108
3.2.1 Priorización de Riesgos Una vez que se tienen los hallazgos es necesario establecer una prioridad para mitigar el riesgo
que implica. La figura 3.3 muestra gráficamente la priorización de riesgos basadas en los ejes
de probabilidad de ocurrencia e impacto. Los números en la gráfica corresponden al
identificador (ID) del hallazgo descrito en la tabla 3.1. Se puede observar que la clase alta-alta,
es la que presenta mayor número de hallazgos, esta clase tiene relevancia para fines del
estudio debido a que refleja claramente que hallazgos se les debe tomar atención primero.
3.2.2 Priorización de Controles A continuación se muestra la priorización de controles, en donde ase tomo en cuenta el costo
de los dichos controles y el tiempo en que se podrían establecer. Con base en esta valoración
se obtuvo la figura 3.4. Esta establece la relación tiempo-costo correspondiente a cada medida
de seguridad que se toma en cuenta. Los números de la grafica corresponden al identificador
único (ID) del hallazgo. Los cuadrantes de la grafica se interpretan de la siguiente forma:
Figura 3.3. Representación grafica de los hallazgos según su impacto y probabilidad de ocurrencia.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
109
Cuadrante 1: Poco tiempo y costo monetario bajo
Cuadrante 2: Mediano tiempo y costo monetario bajo
Cuadrante 3: Poco tiempo y costo monetario alto
Cuadrante 4: Mediano tiempo y costo monetario alto
Se considera como poco tiempo a un periodo de 3 meses y mediado tiempo a uno de 6 meses.
Para el costo monetario, se aplica la siguiente formula:
.coscos
seguridaddemedidalaimplentarparaincurreoperadorquetiempodeltoEsTehardwareelconverquetienenqueactivosdetosaquellosaecorrespondCC
DondeTeCCCosto
==
+=
Se hizo una estimación a criterio de la alta gerencia y del grupo encargado de la seguridad de
la infraestructura de red de DIGESET para la asignación del costo y tiempo de cada una de los
controles, por lo tanto, a las variables CC y Te se les asigna una ponderación alta o baja.
Los controles que se encuentran en los cuadrantes 1 y 2 son los que se podrían implementar a
corto y mediano plazo, debido a que no tienen un costo monetario alto y se pueden establecer
Figura 3.4. Representación grafica de la relación tiempo y costo de cada medida de seguridad.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
110
en corto tiempo o en mediano tiempo, en cambio, para el caso de los controles de los
cuadrantes 3 y 4 se deben de establecer controles de mediano y largo plazo ya que el costo
monetario es alto.
3.2.3 Priorización de Actividades
Para la priorización de las actividades, se hace uso del factor de riesgos, el cual es la suma de
la probabilidad de riesgo e impacto y nos ayuda a determinar las actividades que merecen
atención inmediata.
;DondeIPF or +=
=rF Factor de riesgo
=oP Probabilidad de ocurrencia
=I Impacto
A continuación se presenta un grafico que combina las dos graficas anteriores; a través de la
cual se podrían identificar las acciones que DIGESET deberá de realizar de forma inmediata.
Los hallazgos que se encuentran en la zona sombreada son las actividades de mitigación de
riesgo que se deben de realizar primero.
Figura 3.5. Representación grafica de la priorización de actividades
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
111
En la grafica anterior se puede observar un área sombreada; esta contiene los controles que se
deben de establecer de forma inmediata por parte de DIGESET debido a su factor de riesgo. El
orden con el que los controles se deben implementar, con base en el costo monetario y en el
tiempo de implementación, es:
1. Generar las plazas necesarias para que la seguridad sea una tarea formal.
2. Generar bitácoras de entradas y salidas a las instalaciones de DIGESET.
3. Definir una serie de políticas que se encarguen de la administración de software.
4. Definir una política que cancele el acceso a los servicios promocionados por el
cortafuego, cuando un dispositivo de red produzca tráfico no normal.
5. Crear un área de seguridad informática con la mayor jerarquía posible y crear un
comité ejecutivo de seguridad auspiciado por la alta dirección de DIGESET.
6. Elaborar un juego de procedimientos y reglas que fortalezca el plan de seguridad
informática, obligaciones, responsabilidades y permisos de los empleados y sistemas;
también se deben de homologar las políticas existentes.
7. Elaborar una serie de políticas que contengan las obligaciones y responsabilidades de
los usuarios y/o administrativos para obtener un eficiente uso de la Intranet
universitaria.
8. Generar y aplicar una política que garantice los requerimientos mínimos de seguridad
Informática.
9. Crear un plan de difusión de las políticas existentes y que los usuarios firmen de
entendido las políticas.
10. Establecer los controles necesarios para la administración de cambios.
11. Establecer los controles adecuados para la protección de las bitácoras.
12. Crear una base de conocimientos y registrar todos los eventos de seguridad, así como
las soluciones. Además se debe de difundir esta base de conocimientos.
13. Establecer un análisis e implementación de un filtrado personalizado que incluya
solamente las aplicaciones que Universidad de Colima requiere.
14. Se debe de establecer un IDS en cada campus universitario. Además los servidores
deberán tener disponible el sensor del IDS.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
112
15. Configurar los dispositivos que fueron examinados (vea al anexo 1) de tal forma que
proporcionen el mínimo de información posible acerca de los servicios que
proporcionan.
16. Certificar al personal en alguna especialidad, por ejemplo: Conocimientos en
seguridad: CCIE (Cisco Certified Internetwork Expert) Security y SSCP (System
Security Certified Practitioner)
17. Se debe de mantener el sistema operativo de los sistemas institucionales, con las
últimas actualizaciones y parches.
18. Se deben de establecer los controles adecuados para la administración de cuentas de
usuarios en los servidores con plataforma Windows y UNIX, así como los demás
dispositivos que requieran de una contraseña para su administración.
19. Actualizar los dispositivos afectados por las vulnerabilidades de DoS. Se debe de
establecer un control que garantice la verificación de nuevas vulnerabilidades de
Denegación de Servicio.
20. Se deben de establecer controles que garanticen la comunicación encriptada entre los
dispositivos de la intranet. La Instalación de un agente VPN en los servidores de la
cada dependencia podría ser una buena solución.
Se debe recordar que debido a que la seguridad informática es un área que cambia junto con la
visión, misión y objetivos de DIGESET, los controles a largo plazo podrían cambiar.
3.3 Controles de DIGESET respecto a las mejores prácticas
En esta sección se encuentra la situación actual de seguridad informática de la Dirección
General de Servicios Telemáticos haciendo referencia a las mejores prácticas de seguridad
informática y los controles actualmente implementados por DIGESET.
Los resultados que se muestran corresponden a la infraestructura, gente y procesos que se
encuentran alrededor de las áreas de telefonía digital, servicio de correo electrónico, servicio
de desarrollo web, servicio DNS, acceso remoto y seguridad perimetral.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
113
Se hizo una selección de los controles enfocados a las actividades de la operación diaria de
DIGESET para presentarlos en las siguientes tablas con un grado de madurez y su máxima
puntuación alcanzada.
3.3.1 Nivel de madurez de los controles de Seguridad Informática con base en el estándar ISO17799
Se debe de hacer una selección de los controles enfocados a las actividades de la operación
diaria de DIGESET para representarlos en las siguientes hojas de trabajo. Los controles deben
de estar clasificados en las siguientes categorías:
1. Política de seguridad. Es para proveer administración, dirección y soporte para la
seguridad de la información.
2. Control y clasificación de activos. Es para mantener una apropiada protección de
los activos de la organización. Para cada activo, debe de existir un propietario. La
responsabilidad sobre los activos ayuda a que se mantenga una adecuada seguridad.
El propietario de cada activo debe ser identificado para posteriormente establecer
la responsabilidad de mantener los controles apropiados para la protección. La
responsabilidad de implementar controles debe ser delegada, pero el propietario
asignado al activo siempre será el que asuma las consecuencias en caso de daño o
pérdida del activo. Para que los activos reciban el nivel de protección, se debe de
clasificar la información, ya que algunos activos informáticos requieren un nivel de
protección mas elevado que otros, se debe de utilizar un esquema de clasificación
de la información que defina los niveles de protección y determine medidas de
seguridad que se deben de llevar acabo para cada nivel de protección.
3. Seguridad Física y del entorno. Es para prevenir acceso no autorizado, daños e
interferencia a las reglas del negocio y la información. Las instalaciones en las que
se lleva acabo el procesamiento de la información deben de acomodarse en áreas
seguras, protegidas por una seguridad perimetral con las barreras y controles de
entradas apropiadas. Las áreas deben de ser físicamente protegidas del acceso no
autorizado, daño e interferencia de las reglas del negocio. La definición de la
protección debe ser proporcional a los riesgos identificados, por lo tanto, se
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
114
requiere de una política de filtrado para reducir el acceso no autorizado, daño e
interferencia de las reglas del negocio. El equipo debe de ser protegido contra
amenazas de seguridad y riesgos ambientales. La protección de los equipos es
necesaria para reducir el riesgo, daño y acceso no autorizado a la información. La
infraestructura de cableado y el sistema de tierras físicas son ejemplos de
protección de los equipos.
4. Administración de las operaciones y comunicaciones. Para asegurar la correcta y
segura operación de la infraestructura de información e instalaciones. Se deben de
establecer responsabilidades y procedimientos para la administración y operación
de todo el procesamiento de la información. Esto incluye el desarrollo de
instrucciones de operación y procedimientos de respuesta a incidentes de
seguridad. Se debe de llevar acabo una segregación de responsabilidades para
reducir el riesgo de negligencia o uso indebido del sistema.
5. Control de acceso a datos. Para controlar el acceso a la información, el acceso a
los procesos de la organización, en especial a la información; debe ser con base a
las actividades principales de la institución y los requerimientos de seguridad, por
lo tanto, se debe de tomar en cuenta una política de distribución y autorización de
la información y establecer procedimientos formales para el control de la
asignación de derechos de acceso a los sistemas de información. La administración
de acceso de usuarios es parte del control de acceso, esto es, el establecimiento de
procedimientos que cubren todas las etapas del ciclo de vida de una cuenta de
usuario; desde el registro inicial de una cuenta de usuario hasta el momento en el
cual ya no se requiere su utilización, eliminándola por completo. Debe de prestarse
especial atención (cuando se requiera) al control de asignación de privilegios de
derechos de acceso que permiten a los usuarios sustituir o anular los controles del
sistema. El control de acceso a los servicios de la red interna y externa debe de ser
controlado, esto se lleva acabo para asegurar que los derechos de acceso de los
usuarios no comprometan el funcionamiento de los servicios de red.
Estas categorías son los dominios de que se evaluaron en la determinación del nivel de
madurez de DIGESET. A cada dominio se le asigna un nivel de madurez que tienen como
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
115
base los criterios que utiliza el estándar ISO/17799 para evaluar los controles de seguridad. 0
es la calificación más baja y 5 la calificación más alta. En la tabla 3.2 presenta la descripción
de cada nivel de madurez representado el significado de la escala.
Nivel de Madurez Definicion
0 No aplica1 No se detectan controles de seguridad (o los pocos existentes no son relevantes)
2Hay evidencia de uso de controles de seguridad con base en pruebas y entrevistas. Sin embargo su aplicacion es irregular, es decir, no se aplican con criterios bien definidos y formalizados. No estan documentados.
3Existe evidencia bien sustentada de la aplicacion de controles de seguridad. Estos controles se aplican de manera regular, sin embargo el nivel de formalizacion de estos, aun no se encuentra plenamente establecido.
4
Se cuenta con evidencia bien sustentada de la aplicacion de controles de seguridad. Estos controles se aplican de manera regular y estan debidamente formulados atraves de planes, politicas y manuales de operacion bien definidos. Sin embargo estos controles no se encuentran plenamente difundidos en las areas de negocio y ademas no hay mecanismos formales para la medicion periodica de los niveles de seguridad con los que esta operando la organizacion.
5
Se cuenta con evidencia bien sustentada de la aplicacion de controles de seguridad. Estos controles se aplican de manera regular y estan debidamente formulados atraves de planes, politicas y manuales de operacion bien definidos. Las areas de negocio estan involucradas en la difusion y aplicacion de los controles de seguridad, ademas de existir un compromiso de la alta direccion en el cumplimiento de normas y estandares de seguridad.
Además de la tabla de resultados, el nivel de madurez se determino con base en los resultados
de las siguientes actividades:
• Pruebas realizadas a la infraestructura tecnológica
• Tabla de análisis de riesgos
• Entrevistas realizadas al personal de DIGESET en las siguientes áreas:
o Servicios Electrónicos de Intranet
o Servicios de Redes y comunicaciones
o Seguridad Perimetral
Tabla 3.2. Niveles de madurez con base al estándar ISO/17799
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
116
3.3.2 Resultados Consolidados
En esta sección se presentan los resultados consolidados del nivel de madurez por cada
dominio evaluado. Para obtener el nivel de madurez de cada dominio se recurrió a la lectura
del estándar ISO/17799 con la finalidad de obtener los controles verificados para cada uno de
los dominios.
La tabla 3.3 proporciona los resultados y está compuesta por las siguientes columnas:
• Dominio ISO17799: Nombre del dominio establecido en el estándar ISO17799.
• Objetivo: descripción de la meta que se debe de alcanzar a través de los controles del
dominio correspondiente.
• Controles de DIGESET: numero de controles implementados en DIGESET
• Controles verificados: Numero de controles verificados establecidos por el estándar
ISO17799.
• Porcentaje de cumplimiento: porcentaje que cubren los controles implementados por
DIGESET respecto al total de controles recomendados.
• Nivel de madurez: calificación que obtuvo DIGESET en el dominio correspondiente
con base en los controles revisados, entrevistas y documentación entregada.
A continuación se muestra la tabla 3.3 en la cual se puede observar que se requiere de realizar
varios ajustes para alcanzar niveles mayores.
Dominio
ISO/17799 Objetivo Controles
de DIGESET
Controles verificados
% de cumplimiento
Nivel de Madurez
Política de Seguridad
Se refiere a la existencia de una política corporativa que guié a DIGESET en cuanto a la seguridad informática.
3 20 15% 1
Control y clasificación de Activos
Detalla los controles para mantener orden y protección a los activos de DIGESET
1 8 12.5% 1
Seguridad Física
Controles para prevenir acceso no autorizado, daño y/o interferencia con los objetivos del negocio e información.
14 25 56% 3
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
117
Administración de operaciones y comunicación
Asegurar la correcta y segura operación sobre la información, a través de la infraestructura tecnológica.
9 30 30% 2
Control de Accesos
Se refiere al control de acceso a la información 6 20 30% 2
Finalmente se llegan a algunas conclusiones de acuerdo a los resultados mostrados en la tabla
3.3 por cada dominio evaluado:
1. Política de seguridad. DIGESET no cuenta con la clara política de seguridad
corporativa, desarrollada y apoyada desde la dirección, con el apego de todas las
áreas que integran la Infraestructura Tecnológica. El documento que contiene los
objetivos, visión y misión respecto a la seguridad informática tampoco existe.
2. Control y clasificación de activos. Con base en información proporcionada por la
subdirección de Redes y comunicaciones, la dirección general de servicios
telemáticos cuenta con algunos controles tecnológicos para sustentar el control de
activos dentro de la Intranet, sin embargo aunque existen los controles
tecnológicos, el proceso que sustenta este control de activos no es el más confiable,
ya que en ocasiones, los responsables de mantener la integridad de alta, baja o
modificación de un activo son los encargados de cada dependencia y no la
Dirección General de Servicios Telemáticos, por ende se deben de establecer los
procesos adecuados que permitan coordinar los controles de mantenimiento para
los activos de cada dependencia, en pocas palabras se debe de buscar que
DIGESET solo sea un moderador de las dependencias, delegar las
responsabilidades de control, determinando que es lo que esta explícitamente
permitido.
3. Seguridad Física y del entorno. Se deben definir áreas públicas y privadas donde
se guarde información sensible del negocio. El centro de cómputo de DIGESET es
un área restringida, sin embargo no cuenta con los controles necesarios para su
Tabla 3.3. Resultados de los niveles de madurez de DIGESET.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
118
protección (bitácora de entrada y salida de visitantes, política específicas para el
acceso al centro de cómputo, revisión periódica de las entradas y salidas de
empleados, etc.).
4. Administración de las operaciones y comunicaciones. El personal relacionado con
la operación que cubre este dominio conoce sus responsabilidades y operan día con
día con orden explícito a las necesidades de su área, sin embargo, los procesos y
procedimientos no se encuentran documentados, por lo que el personal desarrolla
sus actividades sin una guía específica, por otro lado, el personal no lleva un
registro de los incidentes que causaron perdida o daño a la información de
DIGESET.
5. Control de acceso a datos. A través de los controles de acceso se debe verificar el
acceso a la información con base en las políticas de autorización. DIGESET cuenta
con algunos controles de acceso a la información, sin embargo no cuenta con todos
los que se requiere, tampoco cuenta con las políticas que definan quiénes deben
tener acceso a que información.
3.4. Mejoras a Corto Plazo
Esta etapa consiste en la reconfiguración de la infraestructura, es decir, que se debe
reconfigurar los servidores, dispositivos de red y mecanismo de seguridad. Para este fin la
dirección general de servicios telemáticos se encuentra actualmente en el proceso de
reconfiguración del cortafuegos y el servidor WEB. Para el caso del servidor WEB se tienen
las siguientes consideraciones:
Diagnostico: Versión de Apache 1.3.27 aparentemente vulnerable, mas no necesariamente,
información de seguridad para versión estándar, mas la versión instalada es con parche de
SSL.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
119
Proceso de actualización:
Elección de versión de servidor: En base al funcionamiento mostrado por la versión de Apache
con el parche de extensión de SSL (Apache-SSL).
Versión actual disponible de Apache: 1.3.31
Versión de parche SSL: 1. para apache 1.3.29
Dependencia de Apache: OpenSSL, versión actual, 0.9.7d
mm 1.3.1
Sitio de apache-ssl.org muestra los problemas de seguridad de la versión sin novedad.
Además de esta actualización, se requiere actualización de extensión, como Php.
La versión actual de Php es 4.3.6 y sus dependencias son: OpenSSL, Mysql (Tambien
actualizado), Tiff, libpng, libjpeg, freetype-2, libad y imap-c
Para versiones de instalación en servidores con servidor de correo, php deberá tener integrado
las funciones de Imap-cyrus.
Cada uno de estas funcionalidades extra a php se ha revisado en cuanto a seguridad,
encontrando en la versión de libpng parches adicionales para evitar una vulnerabilidad.
Una vez realizada la búsqueda de las versiones y posibles problemas de seguridad, es
necesario compilar cada uno de los softwares e integrarlos. Al momento de realizar estas
operaciones, además debe de verificarse las opciones que puedan aumentar el eficiente uso de
las capacidades del servidor. Ejemplo de esto es modificar la cantidad por default máxima de
clientes que el servidor de Apache puede despachar simultáneamente.
Una vez llevada a cabo la instalación inicial con un tiempo de 5-6 horas, se lleva a cabo la
prueba en un servidor fuera de producción.
Análisis de Riesgos
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
120
Se puede llevar acabo de nuevo la comprobación de vulnerabilidad para confirmar el hecho de
que no se han instalado versiones vulnerables. Para esta situación se debe previamente
descargar la actualización de búsqueda de vulnerabilidades del día.
Para el caso de la reconfiguracion del cortafuegos, lo que se esta haciendo es el
establecimiento de reglas personalizadas para cada servidor de critico. Por ejemplo, hace un
mes se puso en funcionamiento la regla del servidor triton.ucol.mx que solo acepta las
aplicaciones de http, https, pop3, echo-request, pop3s y imaps proveniente de las redes del
campus colima y las redes comerciales. La regla esta funcionando correctamente. Lo que se
busca es tener este tipo de reglas para cada servidor, controlando la fuente y destino del
trafico.
Como se puede observar las reconfiguraciones de los servidores y de los dispositivos de red,
no es tarea fácil, la complejidad de los servicios críticos hace que los cambios de
configuración deban ser aplicados gradualmente y en condiciones bajo control.
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
Tabla de Contenido
4.1. Objetivo del Plan Táctico de Seguridad Informática para DIGESET 123 4.2. Descripción General del Plan Táctico de Seguridad Informática ....... 124
4.2.1. Preparación .......................................................................................................... 126 4.2.2. Operación ............................................................................................................ 127 4.2.3. Optimización ....................................................................................................... 128
4.3. Estructura operativa del plan táctico ..................................................... 128 4.4. Desarrollo de la línea táctica de funciones de seguridad ...................... 129
4.4.1. Antecedentes ....................................................................................................... 130 4.4.2. Objetivos de la línea táctica funciones de segurida ............................................. 130 4.4.3. Departamento de seguridad Informática ............................................................. 130 4.4.4. Beneficios ............................................................................................................ 132 4.4.5. Alcance ................................................................................................................ 132 4.4.6. Actividades .......................................................................................................... 132 4.4.7. Resultados esperados de la línea táctica funciones de seguridad ........................ 133
4.5. Desarrollo de la línea táctica Políticas de Seguridad ............................ 135 4.5.1. Antecedentes ....................................................................................................... 136 4.5.2. Objetivo del desarrollo de las políticas de seguridad .......................................... 136 4.5.3. Beneficios ............................................................................................................ 136 4.5.4. Alcance ................................................................................................................ 136 4.5.5. Actividades .......................................................................................................... 137 4.5.6. Políticas propuestas ............................................................................................. 137
4.6. Desarrollo de la línea táctica programa de concienciación .................. 151 4.6.1. Antecedentes ....................................................................................................... 151 4.6.2. Objetivo del desarrollo de la línea táctica ........................................................... 152 4.6.3. Beneficios ............................................................................................................ 152 4.6.4. Alcance ................................................................................................................ 152 4.6.5. Actividades .......................................................................................................... 152 4.6.6. Resultados esperados de la línea táctica de concienciación ................................ 153
4.7. Desarrollo de la línea táctica arquitectura tecnológica ........................ 154 4.7.1. Antecedentes ....................................................................................................... 155 4.7.2. Objetivo ............................................................................................................... 155 4.7.3. Alcances .............................................................................................................. 155 4.7.4. Elementos administrados ..................................................................................... 155 4.7.5. Actividades propuestas ........................................................................................ 158 4.7.6. Resultados esperados de la línea táctica de arquitectura tecnológica ................. 161
4.8. Factores críticos de éxito .......................................................................... 161
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
123
La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos y
recursos humanos capacitados y especializados. Esta meta es difícil de alcanzar, pues existe un
constante cambio ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques
y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación de la
seguridad en una tarea sumamente compleja y demandante, este capitulo es el desarrollo de la
sexta y ultima etapa del marco metodología (plan táctico) visto en el capitulo 3. En el capitulo
anterior se hablo de la administración de riesgos, y se desarrollo un análisis de riesgos que será la
base para el desarrollo del plan táctico. Los actividades relacionadas a la administración de la
seguridad y la auditoria de seguridad se ven reflejadas en el plan táctico que tiene como finalidad
documentar las actividades que deberá llevar a cabo el personal de DIGESET, para facilitar la
operación de la seguridad, por lo tanto, se debe de definir y desarrollar los lineamientos de
los proyectos que se deberán llevar a cabo en los próximos meses para incrementar los niveles
de seguridad actuales. Para esto, se propone un modelo de operación que DIGESET debe de
seguir para lograr los objetivos del plan táctico. Este capitulo debe ser conocido por todos los
miembros que participan directamente en la planeación, implementación y operación de la
función de seguridad informática de DIGESET. Para el total entendimiento de este reporte, se
sugiere que el lector revise previamente los documentos de análisis de riesgos y análisis de
vulnerabilidades.
4.1. Objetivo del Plan Táctico de Seguridad Informática para DIGESET
• Presentar el plan táctico de seguridad informática que deberá ser evaluado
e implementado por el personal de sistemas y comunicaciones.
• Definir las líneas tácticas más importantes para implementarlas dentro de DIGESET.
• Tener los elementos para planear y consolidar el marco normativo de seguridad
informática de DIGESET.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
124
4.2. Descripción General del Plan Táctico de Seguridad Informática El plan táctico propuesto por esta investigación esta compuesto por cuatro líneas tácticas que
serán la base para la implementación del esquema de seguridad informática. A continuación se
presenta una descripción general de cada línea táctica.
1. Funciones de seguridad: Tal como se comento en uno de los hallazgos del análisis
de riesgos, DIGESET deberá asignar a uno o más responsables de dar seguimiento a
esta y todas las líneas tácticas de seguridad. En realidad todas las líneas tácticas
dependen de la definición, desarrollo e implementación de una función de seguridad, ya
sea para crear una responsabilidad nueva dentro de DIGESET o para separar las tareas
existentes y con esto extender el alcance de la seguridad en toda el área de estudio. La
función de seguridad ira creciendo conforme sean cubiertos mas requerimientos de este
plan táctico y los que de el se deriven.
2. Arquitectura tecnológica: Busca atender los hallazgos relacionados con la
infraestructura tecnológica. Se deben determinar detalles de la seguridad perimetral, así
como las actividades que se deben de llevar acabo para el mantenimiento de la
integridad, confiabilidad y disponibilidad de los servicios brindados por DIGESET.
3. Políticas: Las políticas de seguridad tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información y de las personas que interactúan haciendo uso de los servicios asociados a
ellos y que se aplican a todos los usuarios de cómputo de la Institución.
4. Programa de concienciación: La finalidad de esta línea táctica es concienciar a los
empleados, equipo directivo y estudiantes acerca de la importancia de la seguridad
informática. El programa de concienciación debe de apoyar principalmente la
implementación de las líneas tácticas de funciones de seguridad y políticas.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
125
La figura 4.1 presenta el diagrama conceptual del plan táctico. El tópico principal (plan
táctico) es implementado vía cuatro líneas tácticas, las cuales atienden los hallazgos
encontrados en el desarrollo de la investigación. Cada línea táctica esta compuesta por
antecedentes, objetivos, beneficios, alcances y actividades a realizar. En los antecedentes se
establecen todos aquellos hallazgos que dieron origen al desarrollo de la línea táctica. Los
objetivos son las metas que deberán cumplirse al finalizar la ejecución de la línea táctica. Los
beneficios son los elementos relevantes que podrá obtener DIGESET al finalizar cada proyecto
a partir de haber cumplido con los objetivos, el alcance describe la extensión y campo de acción
de cada línea táctica. Finalmente, las actividades describen lo principal que deberá llevar a
cabo el personal de seguridad para ejecutar la línea táctica.
Para la implementación correcta del plan táctico de seguridad es necesario tener un modelo de
operación que incluya todas aquellas actividades necesarias para la correcta administración de
la seguridad informática. El modo de operación de la dirección general de servicios
telemáticos para el departamento de seguridad debe constar de tres etapas principales:
Figura 4.1. Diagrama conceptual del plan táctico de seguridad
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
126
preparación, operación y optimización. Estas etapas van desde la inicialización del proceso
hasta la mejora continua de los mismos.
En toda institución de educación superior la etapa principal es, como resultado natural, la
operación; sin embargo el etapa de preparación y de optimización, dan los elementos
necesarios para que la operación puede ser ejecutada correctamente. La figura 4.2 muestra la
relación que existe entre las etapas, así como las funciones de operación necesarias para el
correcto funcionamiento de los servicios proporcionados por DIGESET. A continuación se
describe cada una etapa.
4.2.1. Preparación En esta etapa se consideran las actividades necesarias para que todas las aplicaciones y
servidores que ofrecen los servicios descritos en la etapa de contextualización, entren en el
esquema de operación. Esto se debe a que existen ciertos requisitos de configuración,
adecuación de procesos, etc., que son necesarios tenerlos para poder iniciar con la operación.
Algunos aspectos que se pueden considerar en esta etapa son los siguientes:
Figura 4.2 Relación de las etapas del modelo de operación
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
127
• Instalación de hardware y de software de seguridad como pueden ser firewall, detectar
intrusos, software de control de acceso a Web, etc.
• Configuración de cualquier otro elemento que intervenga en la operación, por ejemplo:
dar de alta los equipos de la infraestructura de la intranet en las herramientas de
monitoreo y explotación de bitácora, aplicar las reglas o política de seguridad en los
dispositivos para estandarizar, etc.
• Establecimiento de niveles de calidad de servicio.
• Adecuación del equipo de operadores para asignar los roles de responsabilidades que le
corresponden a cada área, entre otras.
4.2.2. Operación Esta etapa considera todas aquellas actividades necesarias para garantizar el cumplimiento de
los niveles de servicios comprometidos por DIGESET. Está conformado por cinco funciones:
• Administración de configuraciones. Responsable de mantener la base de datos de
configuraciones de todos los elementos involucrados en la operación de la
infraestructura Intranet de la Universidad de Colima, así como de proveer información
a las demás funciones sobre dichos elementos para su correcta ejecución.
• Administración de cambios. Responsable de canalizar todos los requerimientos de
cambios en la infraestructura Intranet, así como de evaluarlos, analizar su impacto,
aprobarlos y darles seguimiento hasta su correcta implementación.
• Administración de vulnerabilidades. Responsable de obtener de los diversos sitios
especializados en Internet todas aquellas vulnerabilidades que puedan impactar a los
elementos administrados, probar las soluciones de dichas vulnerabilidades en un
ambiente controlado y emitir las solicitudes de cambios necesarios para poner en
operación las soluciones encontradas.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
128
• Administración de la operación. Responsable de todas las actividades diarias de
monitoreo y administración de la infraestructura, así como de la identificación y
notificación de incidentes y de la generación de reportes estadísticos de la operación.
Dentro de esta función se considera elementos como: administración de elementos de
red, administración de respaldos y almacenamiento, explotación de bitácoras, y
seguridad en la operación.
• Manejo de incidentes. Responsable de la respuesta a incidentes, considerando la
ejecución por parte de los involucrados, de todas las actividades necesarias para la
recuperación del servicio y la investigación de lo sucedido. Dentro de esta función se
consideran elementos como son.: identificación y notificación de incidentes,
contención para reducir el efecto adverso de los incidentes, recuperación de la
operación normal de los servicios, eliminación de la vulnerabilidades explotada para
causar el incidente, a través de la investigación de las pistas dejadas por el atacante;
seguimiento a todo el ciclo de vida del incidente para garantizar su resolución. Además
se debe de considerar el aprendizaje, por lo que se debe de llevar acabo reuniones para
revisar el desempeño del equipo de respuesta a incidentes y los procesos y
procedimientos utilizados para buscar optimizarlos puntos.
4.2.3. Optimización En esta etapa se consideran las actividades necesarias para identificar aquellas etapas de
procesos, procedimientos, políticas o elementos tecnológicos cuyo desempeño no sea
adecuado, para corregir las desviaciones y así obtener los mejores resultados posibles.
4.3. Estructura operativa del plan táctico La figura 4.3 muestra la relación que existe entre el plan táctico y el modelo de operación
propuesto. Tres (funciones de seguridad, políticas y programa de concienciación) de las cuatro
líneas tácticas propuestas en la investigación son utilizadas para lograr la preparación que
requiere la universidad de Colima en la administración de la seguridad informática. Por otro
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
129
lado, la línea táctica arquitectura tecnológica, representa la etapa de operación del modelo,
donde se lleva a cabo todas las actividades expuestas en la sección anterior. Finalmente se
tiene la auditoria de niveles de seguridad, que aunque no es contemplada en la investigación,
la dirección general de servicios telemáticos tiene la obligación de establecer controles que
permitan la optimización de la administración de seguridad informática. La investigación está
orientada en la etapa preparación y operación de la seguridad informática, por lo tanto, a
continuación se presenta el desarrollo de cada una de las líneas tácticas propuestas en el plan
táctico de seguridad informática.
4.4. Desarrollo de la línea táctica de funciones de seguridad Esta línea táctica busca la asignación de responsabilidades para dar seguimiento a la
administración de la seguridad informática.
Figura 4.3 Relación del plan táctico con el modelo de operación
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
130
4.4.1. Antecedentes
Se considera el desarrollo de esta línea táctica debido a que:
• No se tiene una entidad responsable de la seguridad informática dentro de DIGESET.
• Los riesgos de seguridad en las iniciativas de DIGESET no se analizan en un foro
multidisciplinario para determinar los requerimientos (de seguridad) en una solución
integral.
• DIGESET no cuenta con un esquema de separación de tareas que defina las funciones y
responsabilidades en términos de seguridad en los perfiles de puesto.
• La seguridad informática es una responsabilidad formal de una sola persona.
4.4.2. Objetivos de la línea táctica funciones de seguridad
El propósito de llevar a cabo esta línea táctica es:
• Establecer una serie de lineamientos para el personal responsable del área de seguridad
informática
4.4.3. Departamento de seguridad Informática Para garantizar el cumplimiento eficiente de los niveles de servicio requeridos por DIGESET,
esta investigación propone la adecuación de un departamento de seguridad informática. Dos
operadores, un especialista y un coordinador de operaciones, son los perfiles que se proponen
para esta estructura operativa. La figura 4.4 muestra el organigrama de DIGESET con el
nuevo departamento de seguridad informática.
Los operadores deben cubrir la operación según lo haya establecido la alta gerencia. Deben
de estar organizados en turnos de tal forma que siempre existe personal con las capacidades
suficiente para monitorear y administrar la seguridad informática. Ellos contaran con los
conocimientos y certificaciones sobre la herramientas que manejan (checkpoint CCSA y
CCSE) además de contar con proceso y procedimientos detallados para la operación.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
131
El especialista apoya los operadores eran labores de análisis e interpretación del información
generada por las herramientas, así como en la investigación y respuestas a incidentes. Ellos
deben contar con certificaciones en productos pero también cuentan con certificaciones como
profesionales en seguridad (CISSP) y como auditor en sistemas de información.
El coordinador de operaciones realiza una labor que permite dar el seguimiento adecuado a
todos los pendientes y compromisos de la administración de seguridad informática, así como
garantizar el cumplimiento de los niveles de servicio. Este coordinador debe contar con la
certificación de profesional en seguridad.
Figura 4.4. Organigrama de DIGESET con el Depto de seguridad propuesto.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
132
Administradores de Tecnologías de Información (ATI). Es el responsable de la
administración de los equipos de cómputo, sistemas de información y redes de telemática de
una dependencia de la Universidad de Colima
4.4.4. Beneficios
Al ejecutar esta línea táctica, DIGESET estará en la posibilidad de:
• Involucrar a todas las áreas para poder mantener un mejor nivel de protección en la
infraestructura.
• Facilitar el rendimiento de las áreas de servicios en caso de un incidente de seguridad.
Reducir la no repudiación a partir del rastreo de actividades a funciones.
• Facilitar la definición y mantenimiento de procesos administrativos y operativos.
• Reducir los riesgos derivados del conflicto de interés, actos coludidos, etc.
• Se formaliza la seguridad informática, estableciendo las responsabilidades de a un grupo
de personas en específico y los procesos de control se aplican consistentemente a través
de toda la institución.
4.4.5. Alcance
El alcance de esta línea táctica contempla:
1. Consolidar el Comité de Seguridad Informática.
2. Consolidar el departamento de Seguridad Informática, a través de una coordinación de
operación.
3. Establecer un marco de separación de tareas de seguridad informática dentro de
DIGESET.
4.4.6. Actividades
El desarrollo de esta línea táctica contempla las siguientes actividades:
• Asignar a una persona responsable (tiempo completo) de dar seguimiento y
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
133
continuidad a las iniciativas de seguridad que se desprendan de esta investigación.
• Realizar un plan de trabajo enfocado a cubrir los requerimientos y preparativos
para arrancar la función del ISI (Ingeniero de Seguridad Informática).
• Nombrar y arrancar las operaciones del ISI.
• Establecer un plan de trabajo maestro para ir incorporando las funciones de
seguridad sugeridas de acuerdo con el plan de ejecución de cada una de las líneas
tácticas.
• Consolidar el “Departamento de Seguridad Informática” a partir de implementar
las funciones de seguridad.
• Consolidar y arrancar las funciones del “Comité de Seguridad Informática”.
• Convocar y difundir las funciones del Comité de Seguridad Informática de acuerdo
con los entregables mencionados mas adelante.
• Establecer las metas en el corto, mediano y largo plazo y los mecanismos de
evaluación para validar el avance del plan.
• Incrementar el número de personas y funciones de manera gradual de acuerdo con
el avance del plan.
• Establecer y difundir los procedimientos y reglamentos para la adecuada
separación de tareas en el resto de DIGESET.
En este proceso deberá participar el departamento de Recursos Humanos para la
generación y asignación formal de las responsabilidades de seguridad y la
documentación de la descripción de puestos. Además intervendrá en otros procesos para
seleccionar, convocar, contratar y capacitar al Comité y a los integrantes de la nueva
gerencia. A continuación se presentan los resultados esperados, una vez que la DIGESET
implemente esta línea táctica.
4.4.7. Resultados esperados de la línea táctica funciones de seguridad
Al ejecutar esta línea táctica DIGESET deberá obtener:
Un Comité de Seguridad Informática que deberá definir y obtener lo siguiente:
• El nivel de autoridad del Comité de Seguridad.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
134
• Las responsabilidades del Comité de Seguridad.
• El tipo de asuntos o iniciativas que analizara el Comité.
• Los mecanismos de solicitud, análisis y aprobación de iniciativas.
• La frecuencia de sus reuniones.
• Los perfiles que deberán ser representados en el Comité.
• Las responsabilidades que tendrán que asumir los integrantes del Comité.
• Los mecanismos de evaluación del Comité.
• Los mecanismos para dar seguimiento a las actividades del Comité.
• Las bases para Identificar, convocar y seleccionar a los integrantes.
• El método para lograr el compromiso de los integrantes.
• Las políticas, procedimientos y lineamientos para el Comité.
• En cuanto a la Gerencia de Seguridad Informática, se deberá definir y obtener:
• Las limitaciones de autoridad.
• Los impactos del cambio en la cultura de la organización.
• Los estatutos de calidad.
• Las urgencias de DIGESET para preparar al equipo para resolver esas necesidades en
primera instancia.
• Los flujos de trabajo (relacionar las responsabilidades actuales de DIGESET y las de
los outsourcers).
• Los equipos subordinados a la Gerencia de Seguridad Informática.
• Las líneas de interacción con los outsourcers y con otras áreas internas.
• Los detalles sobre las funciones descritas en el perfil del ISI.
• Las políticas, procedimientos y estándares de la Gerencia.
• El plan de selección y reclutamiento (apoyarse de los procedimientos de Recursos
Humanos)
• Identificar candidatos internos.
• Identificar candidatos externos
• Las necesidades de capacitación
• Identificar las tecnologías en las que se necesita capacitación.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
135
• Desarrollar el plan de capacitación para cada puesto de la Gerencia.
• Programar la capacitación.
• Los mecanismos para medir su desempeño.
La definición de funciones y responsabilidades de seguridad deberá incluir y obtener:
• La descripción de puestos existentes.
• La descripción y flujos de las prácticas administrativas y operativas existentes.
• Las mejores practicas de cada práctica administrativa y operativa.
• Las responsabilidades de seguridad de acuerdo con la descripción del puesto por
• escrito.
• Estas responsabilidades traducidas en políticas, procedimientos y estándares de
segundad para ayudar en su cumplimiento.
• Plan de implementación de controles para hacer cumplir estas responsabilidades y
establecer esquemas de monitoreo para medir el cumplimiento.
• El plan de difusión para estas responsabilidades.
• El plan de capacitación de acuerdo con las responsabilidades definidas
4.5. Desarrollo de la línea táctica Políticas de Seguridad El propósito de una política de seguridad es describir el uso aceptable de los equipos de la
organización, debe de establecer objetivos claros para cada uno de los equipos utilizados en la
defensa de la red, incluyendo los parámetros de seguridad. La política es un documento o una
serie de documentos que describen los controles de seguridad que se deben de implementar en
la organización, finalmente una política de seguridad no seria efectiva sino se implementa, es
por esta razón, los usuarios de la red deben de conocer un documento claramente detallado que
explique que es lo que se les permite hacer en el sistema de información.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
136
4.5.1. Antecedentes Se considera el desarrollo de esta línea táctica debido a:
• No existe una política que indique las medidas de protección que DIGESET debe
tomar en cuenta para contrarrestar los riesgos asociados con la adquisición de software
pirata y archivos que se descargan de Internet, o de cualquier otro medio.
• No existen políticas con enfoque de seguridad informática que rijan al comportamiento
del personal.
• No existen políticas que se encarguen de regular el buen uso de la infraestructura de
DIGESET.
• No existe un plan de divulgación de políticas, las cuales se encargan de la producción,
mantenimiento, gestión y uso de servicios y bienes informáticos.
4.5.2. Objetivo del desarrollo de las políticas de seguridad Generar las políticas de seguridad para las áreas del nodo principal de la Intranet.
4.5.3. Beneficios
• Reforzar la seguridad de los equipos de misión crítica entre los que se encuentran los
servidores de los sistemas institucionales y los servidores de los servicios principales
como el correo electrónico y el portal Web. • Contribuyen a la definición de lineamientos tácticos que se deben de llevar acabo para
que el personal de DIGESET de solución a la problemática de seguridad.
4.5.4. Alcance
1. Consolidar una base para el establecimiento de controles de operación y monitorio de la
Infraestructura Intranet de la Universidad e Colima.
2. Establecer un marco de separación de tareas de seguridad informática dentro de
DIGESET.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
137
3. Proveer administración, dirección y soporte para la seguridad de la información.
4.5.5. Actividades
El desarrollo de esta línea táctica contempla las siguientes actividades:
• Reuniones extraordinarias del comité de seguridad para la revisión y modificación de
las políticas propuestas.
• Oficializar las políticas.
• Desarrollar mecanismos de difusión de las políticas de seguridad, a la comunidad de la
Universidad de Colima.
• Consolidación del plan de capacitación de los encargados de administrar la Red de
Cómputo y Comunicaciones de cada una de las dependencias, utilizando las nuevas
tecnologías de comunicación como videoconferencia.
• Establecer las metas en el corto, mediano y largo plazo y los mecanismos de
evaluación para validar el avance de la implementación de las políticas de
seguridad.
• Establecer los procedimientos y reglamentos para la adecuada implementación de
las políticas de seguridad informática.
• Difusión de los avances en la implementación de esquemas de seguridad al interior de
la Universidad.
• Mantener actualizada la relación de contactos con los responsables de las IES.
• Difusión de las políticas de seguridad en cómputo e información sobre mejores
prácticas en materia de cómputo a los usuarios de los servicios de información a través
del portal web de la Universidad de Colima.
4.5.6. Políticas propuestas Las siguientes políticas están basadas en el trabajo de la ANUIES (Asociación Nacional de
Universidades e Instituciones de Educación Superior) que tiene como objetivo establecer un
marco de trabajo que facilite a las instituciones de educación superior la formación de recurso
humano capacitado para atender las necesidades seguridad en cómputo. No esta de mas
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
138
mencionar que la Universidad de Colima es una institución educación superior y pertenece al
proyecto de seguridad en cómputo dirigido por ANUIES.
El objetivo es desarrollar un esquema seguridad en cómputo que incluya los niveles de
seguridad adecuados en las tecnologías de información y datos facilitando el desarrollo de las
actividades académicas, administrativas y de gestión. El consejo desarrolló una serie de
políticas que para fines de la investigación, fueron formuladas para cumplir con las
necesidades de seguridad informática de la Universidad de Colima. A continuación se describe
en seis capítulos las políticas básicas de seguridad informática
POLÍTICAS INSTITUCIONALES DE SEGURIDAD INFORMATICA
CAPÍTULO 1
DISPOSICIONES GENERALES
Artículo 1. Definiciones
ABD Administrador de las bases de datos del Sistema Institucional de Información de la IES.
DSI Departamento de Seguridad Informática de la Universidad de Colima. Se encarga de definir esquemas y políticas de seguridad en materia de cómputo para la Institución.
ATI Administrador de Tecnologías de Información. Responsable de la administración de los equipos de cómputo, sistemas de información y redes de telemática de una dependencia de la Universidad de Colima
Base de datos Colección de archivos interrelacionados. Centro de cómputo Salas de cómputo y/o salas de procesamiento de
información que cuenten con equipamiento de cómputo.
Centro de telecomunicaciones Espacio designado en la dependencia a los equipos de telecomunicaciones y servidores.
Contraseña Conjunto de caracteres que permite el acceso de un usuario a un recurso informático.
Dependencia Es toda Facultad, Escuela, Dirección, Subdirección, Departamento y Centro de Investigaciones de la Universidad de Colima.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
139
DIGESET Dirección General de Servicios Telemáticos. Es la dependencia que se encarga del funcionamiento y operación de las Tecnologías de Información y comunicaciones de la Universidad de Colima.
IES Institución de Educación Superior Recurso informático Cualquier componente físico o lógico de un
sistema de información. Intranet En la red interna de la Universidad de Colima
que hace uso de la tecnología de Internet. En ella se encuentran los equipos de cómputo, sistemas de información y redes de telemática que requieren de cierto nivel de seguridad.
SII Sistema Institucional de Información
Solución Antivirus Recurso informático empleado en la IES para solucionar problemas con virus.
Usuario Cualquier persona que haga uso de los servicios proporcionados por la Universidad de Colima, responsables de los equipos de cómputo, sistemas de información y redes de telemática.
Virus informático Pieza de código ejecutable con habilidad de reproducirse, regularmente escondido en documentos electrónicos, que causan problemas al ocupar espacio de almacenamiento, así como destrucción de datos y reducción del desempeño de un equipo de cómputo.
Artículo 2: Ámbito de aplicación y fines
2.1. Las políticas de seguridad en cómputo tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información (equipos de cómputo, sistemas de información, redes de telemática) y
personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a
todos los usuarios de cómputo de la Universidad de Colima.
2.2. La Dirección General de Servicios Telemáticos es la responsable de dar a conocer y
hacer cumplir estas políticas de seguridad internamente.
2.3. DIGESET pueden agregar guías particulares complementarias de acuerdo a su naturaleza
y funciones.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
140
Artículo 3. Frecuencia de evaluación de las políticas.
3.1. Se evaluarán las políticas del presente documento, con una frecuencia anual por el
comité de seguridad informática.
3.2. Las políticas de DIGESET serán evaluadas por el departamento de seguridad informática
con una frecuencia semestral.
CAPÍTULO 2
POLÍTICAS SEGURIDAD FÍSICA
Artículo 4. Acceso Físico
4.1. Todos los sistemas de comunicaciones estarán debidamente protegidos con
infraestructura apropiada de manera que el usuario no tenga acceso físico directo.
Entendiendo por sistema de comunicaciones: el equipo Activo y los sistemas de
cableado
4.2. Las visitas internas o externas podrán acceder a los centros de cómputo siempre y
cuando se encuentren acompañadas cuando menos por un responsable de la institución
visitante, habiendo previamente solicitado el permiso de acceso a los ATI existiendo una
razón suficiente que amerite el acceso a las mismas. Así mismo el ATI deberá asignar a
una persona que guiará dicha visita.
4.3. Se deberán establecer horarios de acceso a instalaciones físicas, especificando los
procedimientos y en qué casos se deberá hacer excepciones.
4.4. Se debe definir qué personal está autorizado para mover, cambiar o extraer equipo de las
dependencias de la Universidad de Colima a través de identificaciones y formatos de
entrada y salida; y se debe informar de estas disposiciones a personal de seguridad.
Artículo 5. Robo de Equipo
5.1. DIGESET deberá definir procedimientos para inventario físico, firmas de resguardo para
préstamos y usos dedicados de equipos de tecnología de información.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
141
5.2. El resguardo de los equipos de cómputo deberá quedar bajo el área de informática
contando con un control de los equipos sin asignación personalizada que permita
conocer siempre la ubicación física de los equipos.
5.3. El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica
deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de
accesos físicos a las instalaciones.
Artículo 6. Protección Física
6.1. Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio
transparente, para favorecer el control del uso de los recursos de cómputo.
6.2. El centro de telecomunicaciones de la Universidad de Colima debe:
• Recibir limpieza al menos una vez por semana, que permita al centro de
telecomunicaciones mantenerse libre de polvo.
• Ser un área restringida.
• Estar libre de contactos e instalaciones eléctricas en mal estado
• Contar por lo menos con un extinguidor de incendio adecuado y cercano al
centro de telecomunicaciones.
• El centro de telecomunicaciones deberá seguir los estándares vigentes para una
protección adecuada de los equipos de telecomunicaciones y servidores.
6.3. Los sistemas de tierra física del centro de telecomunicaciones deberán recibir
mantenimiento anual con el fin de determinar la efectividad del sistema.
6.4. Cada vez que se requiera conectar equipo de cómputo, se deberá comprobar la carga de
las tomas de corriente.
6.5. Programa de mantenimiento para sistemas de protección e instalaciones eléctricas donde
haya conectado algún equipo de cómputo y/o comunicaciones.
6.6. Se debe contar con una póliza de seguro contra desastres naturales que incluya
primeramente el equipo de mayor impacto hasta el de menor en la operación de la IES.
Obtener una póliza de servicio de mantenimiento y/o reemplazo de equipo.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
142
Artículo 7. Respaldos
7.1. Las Bases de Datos de los servicios críticos proporcionados por DIGESET serán
respaldados diariamente en forma automática y manual, según los procedimientos
generados para tal efecto.
7.2. Los respaldos de los servicios críticos deberán ser almacenados en un lugar seguro y
distante del sitio de trabajo.
CAPÍTULO 3 POLÍTICAS DE SEGURIDAD LÓGICA
DE LA INTRANET DE LA UNIVERSIDAD DE COLIMA
Artículo 8. Intranet de la Universidad de Colima
8.1. La Intranet de la Universidad de Colima tienen como propósito principal servir en la
transformación e intercambio de información entre organizaciones académicas y de
investigación, entre éstas y otros servicios locales, nacionales e internacionales, a través
de conexiones con otras redes.
8.2. Si una aplicación en la Intranet es consistente con los propósitos descrito en el inciso 8.1,
entonces las actividades necesarias para esa aplicación serán consistentes con los
propósitos de toda IES.
8.3. La Intranet de la Universidad de Colima no es responsable por el contenido de datos ni
por el tráfico que en ella circule, la responsabilidad recae directamente sobre el usuario
que los genere o solicite.
8.4. Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos que
pertenecen a la infraestructura de Intranet de DIGESET sin el consentimiento explícito
del responsable del equipo.
8.5. No se permite interferir o interrumpir las actividades de los demás usuarios por cualquier
medio o evento salvo que las circunstancias así lo ameriten, como casos de contingencia,
los cuales deberán ser reportados en su momento a sus autoridades correspondientes.
8.6. No se permite el uso de los servicios de la red cuando no cumplan con los
requerimientos básicos preestablecidos.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
143
8.7. Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la
Universidad de Colima y se usarán exclusivamente para actividades relacionadas con la
institución.
8.8. Todas las cuentas de acceso a los sistemas y recursos de cómputo de la Intranet de la
Universidad de Colima son personales e intransferibles, se permite su uso única y
exclusivamente durante la vigencia de derechos del usuario.
8.9. El uso de analizadores de red es permitido única y exclusivamente por el personal del
Departamento de comunicaciones y del departamento de seguridad informática y por los
ATI que ellos autoricen para monitorear la funcionalidad de la Intranet, contribuyendo a
la consolidación del sistema de seguridad en la Universidad de Colima bajo las políticas
y normatividades de toda IES.
8.10. No se permitirá el uso de analizadores para monitorear o censar redes ajenas a las de la
Universidad de Colima y no se deberán realizar análisis de la Intranet desde equipos
externos.
8.11. Cuando se detecte un uso no aceptable, se cancelará la cuenta o se desconectará temporal
o permanentemente al usuario o red involucrados dependiendo de la normatividad de la
Universidad de Colima. La reconexión se hará en cuanto se considere que el uso no
aceptable se ha suspendido.
Artículo 9. Dependencias de la Universidad de Colima
9.1. Las Dependencias deben llevar un control total escrito y/o sistematizado de sus recursos
de cómputo.
9.2. Las Dependencias son las responsables de calendarizar y organizar al personal encargado
del mantenimiento preventivo y correctivo de los equipos de cómputo.
9.3. Las Dependencias deberán reportar al ATI y/o Dirección General de Servicios
Telemáticos cuando un usuario deje de laborar o de tener una relación con la institución.
9.4. Si una dependencia viola las políticas vigentes de uso aceptable de la Intranet de la
Universidad de Colima, la Dirección General de Servicios Telemáticos aislará la red de
esa dependencia.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
144
9.5. Para reforzar la seguridad de la información de la cuenta bajo su criterio deberá hacer
respaldos de su información dependiendo de la importancia y frecuencia del cambio de
la misma.
9.6. Todo usuario debe respetar la intimidad, confidencialidad de derechos individuales de
los demás.
9.7. Los administradores no podrán remover del sistema ninguna información de cuentas
individuales, a menos que la información sea de carácter ilegal, o ponga en peligro el
buen funcionamiento de los sistemas, o se sospeche de algún intruso utilizando una
cuenta ajena.
Artículo 10. Políticas de uso aceptable de los usuarios
10.1. Los recursos de cómputo empleados por el usuario:
• Deberán ser afines al trabajo desarrollado.
• No deberán ser proporcionados a personas ajenas.
• No deberán ser utilizados para fines personales.
10.2. Todo usuario debe respetar la intimidad, confidencialidad y derechos individuales de los
demás usuarios.
10.3. El correo electrónico no se usará para envío masivo, materiales de uso no académico o
innecesarios (entiéndase por correo masivo todo aquel que sea ajeno a la institución,
tales como cadenas, publicidad y propaganda comercial, política o social, etcétera).
10.4. Para reforzar la seguridad de la información de su cuenta, el usuario conforme su
criterio- deberá hacer respaldos de su información, dependiendo de la importancia y
frecuencia de modificación de la misma.
10.5. Queda estrictamente prohibido inspeccionar, copiar y almacenar programas de cómputo,
software y demás fuentes que violen la ley de derechos de autor.
10.6. Los usuarios deberán cuidar, respetar y hacer un uso adecuado de los recursos de
cómputo y de la Intranet de la Universidad de Colima, de acuerdo con las políticas que
en este documento se mencionan.
10.7. Los usuarios deberán solicitar apoyo al ATI de su dependencia ante cualquier duda en el
manejo de los recursos de cómputo de la institución.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
145
Artículo 11. Servidores de la Universidad de Colima
11.1. La Dirección General de Servicios Telemáticos tiene la responsabilidad de verificar la
instalación, configuración e implementación de seguridad, en los servidores conectados a
la Intranet de la universidad.
11.2. La instalación y/o configuración de todo servidor conectado a la Intranet deberá ser
notificada DIGESET.
11.3. Durante la configuración del servidor los responsables de su adquisición deben de
establecer controles del uso de los recursos del sistema y de la red, principalmente la
restricción de directorios, permisos y programas a ser ejecutados por los usuarios.
11.4. Los servidores que proporcionen servicios a través de la Intranet e Internet deberán:
• Funcionar 24 horas del día los 365 días del año.
• Recibir mantenimiento preventivo semanal.
• Recibir mantenimiento mensual que incluya depuración de bitácoras.
• Recibir mantenimiento semestral que incluya la revisión de su configuración.
• Ser monitoreados por el ATI de la Dependencia y por DIGESET
11.5. La información de los servidores deberá ser respaldada de acuerdo con los siguientes
criterios:
• Diariamente, los correos e información crítica.
• Semanalmente, los documentos web.
• Mensualmente, configuración del servidor y bitácoras.
11.6. Los servicios institucionales hacia Internet sólo podrán proveerse a través de los
servidores autorizados por DIGESET.
11.7. DIGESET es el encargado de asignar las cuentas a los usuarios para el uso de correo
electrónico en los servidores que administra.
11.8. Para efecto de asignarle su cuenta de correo al usuario, éste deberá llenar el formato de
solicitud que se encuentra en el portal Web de la Universidad y proporcionar una cuenta
que deberá estar conformada por un nombre de usuario y su contraseña asignada. El
nombre de usuario deberá contar como máximo de 8 caracteres y no deberá contener
alias.
11.9. La cuenta será activada en 48 horas después del momento en que el usuario realizo la
solicitud vía Web. con una identificación personal como lo es el numero de cuenta, en el
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
146
caso de los estudiantes y numero de trabajador en el caso de los trabajadores, siendo
DIGESET el responsable de verificar la asignación de la contraseña.
11.10. Los servidores deberán ubicarse en un área física que cumpla las recomendaciones
para un centro de comunicaciones:
• Acceso restringido.
• Temperatura adecuada.
• Protección contra descargas eléctricas.
• Mobiliario adecuado que garantice la seguridad de los equipos.
11.11. En caso de olvido de la contraseña por parte del usuario, DIGESET podrá apoyarse
con el ATI de la dependencia para el cambio de contraseña.
CAPÍTULO 4 POLÍTICAS DE SEGURIDAD LÓGICA
PARA ADMINISTRACIÓN DE LOS RECURSOS DE CÓMPUTO
Artículo 12. Área de Seguridad en Cómputo
12.1. El DSI es el encargado de suministrar medidas de seguridad adecuadas contra la
intrusión o daños a la información almacenada en los sistemas así como la instalación
de cualquier herramienta, dispositivo o software que refuerce la seguridad Informática.
Sin embargo, debido a la amplitud y constante innovación de los mecanismos de
ataque no es posible garantizar una seguridad completa.
12.2. El DSI debe mantener informados a los usuarios y poner a disposición de los mismos
el software que refuerce la seguridad de los sistemas de cómputo de la Universidad de
Colima.
12.3. El DSI y el departamento de comunicaciones son lo únicos autorizados para
monitorear constantemente el tráfico de paquetes sobre la red, con el fin de detectar y
solucionar anomalías, registrar usos indebidos o cualquier falla que provoque
problemas en los servicios de la Intranet de la Universidad.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
147
Artículo 13. Administradores de Tecnologías de Información
13.1. El ATI debe cancelar o suspender las cuentas de los usuarios previa notificación,
cuando se le solicite mediante un documento explícito por las autoridades de una
Dependencia en los siguientes casos:
• Si la cuenta no se está utilizando con fines institucionales.
• Si pone en peligro el buen funcionamiento de los sistemas.
• Si se sospecha de algún intruso utilizando una cuenta ajena.
13.2. El ATI deberá ingresar de forma remota a computadoras única y exclusivamente para
la solución de problemas y bajo solicitud explícita del propietario de la computadora.
13.3. El ATI deberá utilizar los analizadores previa autorización del DSI y bajo la
supervisión de éste, informando de los propósitos y los resultados obtenidos.
13.4. El ATI deberá realizar respaldos periódicos de la información de los recursos de
cómputo que tenga a su cargo, siempre y cuando se cuente con dispositivos de
respaldo.
13.5. El ATI debe actualizar la información de los recursos de cómputo de la Dependencia a
su cargo, cada vez que adquiera e instale equipo o software.
13.6. El ATI debe registrar cada máquina en el padrón único de control de equipo de
cómputo y red de la Dependencia a su cargo.
13.7. El ATI debe auditar periódicamente los sistemas y los servicios de red, para verificar la
existencia de archivos no autorizados, configuraciones no válidas o permisos extra que
pongan en riesgo la seguridad de la información.
13.8. EL ATI debe realizar la instalación o adaptación de sus sistemas de cómputo de
acuerdo con las solicitudes del DSI en materia de seguridad.
13.9. Es responsabilidad del ATI revisar diariamente las bitácoras de los sistemas a su cargo.
13.10. EL ATI reportará al DSI los incidentes de seguridad, de acuerdo con el formato de
control de incidentes de la DIGESET, junto con cualquier experiencia o información
que ayude a fortalecer la seguridad de los sistemas de cómputo.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
148
CAPÍTULO 5 POLÍTICAS DE SEGURIDAD LÓGICA
PARA EL USO DE SERVIDORES DE RED
Artículo 14. Servidores en las dependencias universitarias
14.1. Cada dependencia definirá los servicios de red a ofrecer en los servidores e informará
al Departamento de Seguridad Informática para su autorización.
14.2. Las dependencias pueden utilizar la infraestructura de la Intranet para proveer servicios
a los usuarios de la misma dependencia y/o pertenecientes a la Universidad de Colima.
14.3. El ATI es el responsable de la administración de contraseñas y deberá guardar su
confidencialidad, siguiendo el procedimiento para manejo de contraseñas de la
Universidad de Colima.
14.4. La Dependencia deberá notificar al ATI cuando un usuario deje de laborar o de tener
relación con la Universidad.
14.5. La Dependencia deberá notificar a DIGESET cuando el ATI deje de tener alguna
relación oficial con la Dependencia o con la Universidad.
14.6. El ATI deberá realizar las siguientes actividades en los servidores de su dependencia:
• Respaldo de información conforme a los procedimientos indicados por el
centro de operaciones.
• Revisión de bitácoras y reporte cualquier eventualidad al Departamento de
Seguridad Informática de la Universidad de Colima.
• Implementar de forma inmediata las recomendaciones de seguridad
proporcionados por el DSI y reportar DIGESET posibles faltas a las políticas
de seguridad en cómputo.
• Monitoreo de los servicios de red proporcionados por los servidores a su cargo.
• Calendarizar y organizar y supervisar al personal encargado del mantenimiento
preventivo y correctivo de los servidores.
14.7. El ATI es el único autorizado para asignar las cuentas a los usuarios de su dependencia
con previa anuencia de las autoridades de la dependencia.
14.8. El DIGESET aislará cualquier servidor de red, notificando a los ATI, usuarios y
autoridades de la Dependencia, en las condiciones siguientes:
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
149
• Si los servicios proporcionados por el servidor implican un tráfico adicional en
la Intranet.
• Si se detecta la utilización de vulnerabilidades que puedan comprometer la
seguridad en la Intranet.
• Si se detecta la utilización de programas que alteren la seguridad y/o
consistencia de los servidores.
• Si se detectan accesos no autorizados que comprometan la integridad de la
información.
• Si se viola las políticas de uso de los servidores.
Artículo 15. Uso de los Servidores por los usuarios
15.1. El usuario deberá establecer su contraseña de acuerdo al procedimiento establecido por
el ATI.
15.2. El usuario deberá renovar su contraseña y colaborar en lo que sea necesario, a solicitud
del ATI, con el fin de contribuir a la seguridad de los servidores en los siguientes
casos:
• Cuando ésta sea una contraseña débil o de fácil acceso.
• Cuando crea que ha sido violada la contraseña de alguna manera.
15.3. El usuario deberá notificar al ATI en los siguientes casos:
• Si observa cualquier comportamiento anormal (mensajes extraños, lentitud en
el servicio o alguna situación inusual) en el servidor.
• Si tiene problemas en el acceso a los servicios proporcionados por el servidor.
15.4. Si un usuario viola las políticas de uso de los servidores, el ATI podrá cancelar
totalmente su cuenta de acceso a los servidores, notificando a las autoridades
correspondientes.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
150
CAPÍTULO 6 POLÍTICAS DE SEGURIDAD LÓGICA
PARA EL USO DEL ANTIVIRUS INSTITUCIONAL
Artículo 16. Antivirus de la Intranet
16.1. Deberán ser utilizadas en la implementación y administración de la Solución Antivirus.
16.2. Todos los equipos de cómputo de la Universidad de Colima deberán tener instalada la
Solución Antivirus que proponga la DIGESET.
16.3. Semanalmente se hará el rastreo en los equipos de cómputo de la Universidad de
Colima y se realizarán las siguientes acciones:
• Actualización automática de las firmas antivirus proporcionadas por el
fabricante de la Solución Antivirus en los equipos conectados a la Intranet.
• Actualización manual de las firmas antivirus por el ATI en los equipos no
conectados a la Intranet.
Artículo 17 Políticas antivirus de las dependencias universitarias
17.1. El ATI será el responsable de:
• Implementar la Solución Antivirus en las computadoras a su cargo.
• Solucionar contingencias presentadas ante el surgimiento de virus que la
solución no haya detectado automáticamente.
• Configurar el analizador de red de su dependencia para la detección de virus.
• Notificar a la CAV en caso de contingencia con virus.
17.2. DIGESET aislará la red de una dependencia notificando a las autoridades competentes,
en caso que la dependencia viola las políticas antivirus o cuando la contingencia con
virus no es controlada, con el fin de evitar la propagación del virus a otras redes de la
Intranet.
17.3. Cada vez que los usuarios requieran hacer uso de discos flexibles, éstos serán
rastreados por la Solución Antivirus en la computadora del usuario o en un equipo
designado para tal efecto en las áreas de cómputo de las dependencias.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
151
17.4. En caso de contingencia con virus el ATI deberá seguir el procedimiento establecido
por la IES.
Artículo 18. Uso del Antivirus por los usuarios
18.1. El usuario no deberá desinstalar la solución antivirus de su computadora pues ocasiona
un riesgo de seguridad ante el peligro de virus.
18.2. Si el usuario hace uso de medios de almacenamiento personales, éstos serán rastreados
por la Solución Antivirus en la computadora del usuario o por el equipo designado para
tal efecto.
18.3. El usuario que cuente con una computadora con recursos limitados, contará con la
versión ligera de la Solución Antivirus Institucional.
18.4. El usuario deberá comunicarse con el ATI de su dependencia en caso de problemas de
virus para buscar la solución.
18.5. El usuario será notificado por el ATI en los siguientes casos:
• Cuando sea desconectado de la red con el fin evitar la propagación del virus a
otros usuarios de la dependencia.
• Cuando sus archivos resulten con daños irreparables por causa de virus.
• Si viola las políticas antivirus.
4.6. Desarrollo de la línea táctica programa de concienciación Las personas que interactúan de alguna manera con la información y los sistemas de cómputo
(usuarios, desarrolladores, administradores, etc.) representan el mayor riesgo de seguridad, y
al mismo tiempo, son el punto de protección o control más importante. El programa de
concienciación está dirigido a todos los niveles de la organización, y su objetivo principal es
incrementar la cultura de seguridad de todo el personal. Es importante que el programa resalte
la importancia de las políticas y de su apego a las mismas.
4.6.1. Antecedentes Se considera el desarrollo de esta línea táctica debido a:
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
152
• El personal que elabora en el área de seguridad no cuenta con alguna certificación de
especialización en seguridad.
• El personal administrativo y docencia requiere de una capacitación que de inicio al
proceso de soluciones de seguridad concretas.
• Los estudiantes y demás usuarios deben tomar las precauciones básicas para evitar
ataques de virus.
4.6.2. Objetivo del desarrollo de la línea táctica Capacitar a la docencia y estudiantado de la universidad de colima para satisfacer las
necesidades de la seguridad informática.
4.6.3. Beneficios
• Contar con personal capacitado en el uso y aplicación de las Tecnologías de
Información en la Universidad de Colima.
• Contar con personal capacitado y actualizado en el uso y aplicación de técnicas y
herramientas de seguridad en cómputo.
4.6.4. Alcance
• Determinar los niveles de conocimiento en materia de Tecnologías de Información del
personal de las áreas de cómputo y red de la Universidad de Colima.
• Determinar los niveles de conocimiento en materia de Seguridad informática del
personal de las áreas de cómputo y red de la Universidad.
• Proporcionar cursos al personal de cómputo y comunicaciones de la Universidad de
Colima, de acuerdo a las tecnologías que se vayan incorporando en las mismas.
4.6.5. Actividades
• Difusión de los eventos de capacitación a nivel institucional, regional y nacional.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
153
• Utilizar a las Instituciones de Educación Superior (IES) que cuenten con programas de
cómputo o informática para el desarrollo de los cursos.
• Incorporar a Estudiantes para apoyar las labores de seguridad y asesorar el desarrollo
de trabajos de titulación relacionados con seguridad en cómputo.
• Generar propuestas y llevar a cabo las acciones necesarias para lograr la cooperación
entre las dependencias de la Universidad de Colima, permitiendo estandarizar el
desarrollo seguro de las áreas de cómputo y red, así como mejorar los niveles de
seguridad actuales.
4.6.6. Resultados esperados de la línea táctica de concienciación Los resultados esperados de esta línea táctica van a depender del comité de seguridad, ya que
es el encargado de definir un plan de capacitación de acuerdo con las responsabilidades
definidas. Algunas temas de tecnologías de seguridad a considerar son las siguientes: INTRODUCCION
Antecedentes de Seguridad en Redes Definición de la Seguridad en Redes
Seguridad Física Seguridad Lógica
Repaso de TCP/IP Estándares de Seguridad Organismos dedicados a la Seguridad en Redes
DELITO INFORMATIVO (HACKING)
Antecedentes de Delitos Informáticos Vulnerabilidades de los Sistemas Operativos Tipos de Ataques Amenazas de ataques
CRIPTOLOGÍA
Introducción Criptosistemas Clasificación de los Criptosistemas Criptosistemas de clave Secreta Criptosistemas de clave Publica Criptoanálisis Criptografía Clásica
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
154
Criptosistema de Vigenere Criptosistema RSA Tendencias de la Criptografía
FILTRADO DE LOS ENRUTADORES Y CORTAFUEGOS
Introducción al Filtrado de los Enrutadores Filtrado de Paquetes Filtrado de Paquetes de las PCs Teoría y Arquitecturas de los Cortafuegos Implementación de los Cortafuegos Introducción a los IDS Implementación de IDS Productos existentes de Filtrado de Información
DISEÑO DE POLÍTICAS DE SEGURIDAD
Planeación de la Red de Seguridad Análisis de Riesgos Definición de Responsabilidades Definición de Procedimientos Planes de Contingencia Mecanismos de Monitoreo
HERRAMIENTAS DE SEGURIDAD
Analizadores de Trafico Detectores de Vulnerabilidades Descifrado de Contraseñas Comandos de Administración de Redes de S.O.
4.7. Desarrollo de la línea táctica arquitectura tecnológica Con esta línea táctica lo que se busca de la integridad, confiabilidad y disponibilidad de los
servicios brindados por la dirección general de servicios telemáticos. Para ello se proporciona
una lista de los elementos ha administrar por parte del departamento de seguridad informática
así como una lista de tecnologías a considerar para la operación de la seguridad. Además se
proporciona una descripción de las actividades propuestas que van en busca de la correcta
operación de la seguridad.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
155
4.7.1. Antecedentes
• Es posible llevar acabo la denegación de servicio, a través del derramamiento del
buffer.
• No se cuenta con una base de conocimientos sobre incidentes de seguridad.
• Es posible obtener los archivos de bitácoras del servidor Web. Estos archivos pueden
contener información confidencial de suma importancia para el rastreo de las
transacciones
4.7.2. Objetivo
El objetivo específico de la línea táctica arquitectura tecnológica es la de brindar una serie de
lineamientos que ayudaran a la correcta administración y operación de la infraestructura de
Intranet de la universidad de Colima. Al mismo tiempo, se pretende implementar la
administración de seguridad informática.
4.7.3. Alcances
Con base a los objetivos específicos para esta investigación, así como en los requerimientos
expuestos por los responsables de la infraestructura tecnológica de la Universidad de Colima,
el esquema de seguridad planteado por esta investigación propone los siguientes elementos a
tomar en cuenta para la administración de seguridad informática, así como una propuesta de
actividades a realizar.
4.7.4. Elementos administrados
En esta propuesta, se definen los elementos ha considerar para ser incluidos en el proceso de
transición a la administración de la seguridad informática. Los elementos se dividen
básicamente en los de protección perimetral y los servidores y/o dispositivos de
comunicaciones, estos son los siguientes:
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
156
• Protección perimetral
Los dispositivos de seguridad perimetral son los encargados de mantener la seguridad del flujo
del trafico que viaja en la intranet de la Universidad de Colima. Los dispositivos con los que
cuenta la universidad son los siguientes:
Un cortofuegos checkpoint de alta disponibilidad
Un detector de intrusos de red (Dragon de EnteraSys)
Un administrador de ancho de banda (Packetshaper 6500/ISP).
• Servidores y dispositivos de comunicación
La tabla 4.1 presenta todos los servidores y dispositivos que deben ser objeto de
administración de seguridad informática, es decir, a cada uno de los dispositivos se le
aplicaran las actividades que posteriormente se describen en este documento. Los servicios
activos por cada servidor y/o dispositivo de comunicación deben ser utilizados para la
definición las reglas de acceso o restricción de flujos de información en el cortafuego de la
institución.
Nombre del Dispositivo Servicios Activos
Antivirus Http Intranet Ftp, Http, sql, mysql, smtp, https.
Serveredes http, ftp, smtp, mysql
Bdigital http, ftp,https, mysql
Venus smtp, ftp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp
M3(Colima) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
M1(Villa) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
M2(Tecoman) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
M2(Manzanillo) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
157
M2 Coquimatlan Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin. Triton smtp, http, https, pop3, pop3s, imap, imaps,
Mysql, sftp, ssh Tecoman smtp, http, https, pop3, pop3s, imap, imaps,
Mysql, sftp, ssh Zlo smtp, http, https, pop3, pop3s, imap, imaps,
Mysql, sftp, ssh Volcan dns, ssh, sftp Orion dns, ssh, sftp Listas smtp, ssh, sftp Dns smtp,smtp_auth, http, https, pop3, pop3s, imap,
imaps, sftp,ftp Mail smtp, dns cache, ssh, sftp mail2 smtp, dns cache, ssh, sftp Acceso remoto http, telnet,snmp, pop3, bootps, bootpc, tftp, ntp,
Ripv1, Ripv2, nfsd, epmap Hercules snmp,smtp, ripv1, ripv2, pop3
Einstein smtp, pop3, BGP, netbios-NS, netbios-DGM, snmp, bootps.
Dragon snmp,smtp, ripv1, ripv2, pop3, ssh, syslog, ms-sql-s,ssdp
Web Ssh, ftp, Http, pop3, SunRPC, smtp, Exec, login,Shell, epmap, NTP, syslog, RPC, Name, Netbios-NS
Las principales tecnologías a considerar para el establecimiento de una arquitectura
tecnológica segura son:
• VPNs
• Single sign in
• Criptografía
• Infraestructura de llave publica (PKI)
• Tarjetas inteligentes y basadas en tokens
• Antivirus
• Seguridad para el desarrollo de aplicaciones Web
• APIs de seguridad.
Tabla 4.1. Dispositivos críticos para ser parte de la administración de seguridad informática.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
158
• Herramienta de control de acceso.
• Herramientas de auditoria
4.7.5. Actividades propuestas La figura 4.5 presenta un resumen de las actividades que se proponen en esta investigación
para la administración de la seguridad informática, a continuación se describe brevemente en
qué consiste cada una de ellas.
Actividades para el inicio de operaciones
Estas actividades se realizan antes de arrancar propiamente con la servicios de monitoreo de la
seguridad. Para en el caso de DIGESET se incluirán las siguientes actividades:
Afinación de reglas y/o filtros: este servicio incluyera revisión de las reglas que hoy se tienen
en el cortofuego y los cambios y adiciones que requieran para el funcionamiento adecuado de
la seguridad. Nota: para realizar lo anterior, se debe realizar un inventario de aplicaciones y
servicios, asociado a cada uno de sus necesidades de tráfico (tipo de protocolo, puertos,
dirección IP, etc.). En el caso de los detectores de intrusos se tendrán establecer uno en cada
Figura 4.5. Actividades propuestas para la administración de la seguridad informática.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
159
campus, ya que actualmente no se cuenta con ellos. Además se incluye la afinación inicial o
filtros para minimizar los falsos positivos (falsas alarmas) cuando se arranquen los servicios
de monitoreo permanente.
Aseguramiento de la plataforma: Para los distintos elementos involucrados, estas tareas
comprenden el configurar en forma segura los sistemas operativos y servicios asociados:
modificar parámetros por omisión, eliminar servicios que no se usen, aplicar últimos parches
(previo análisis de impacto), reconsiderar parámetros y variables de ambiente, etc.
Actividades permanentes
Las actividades permanentes son aquellas que se realiza de forma continua, durante todo el
ciclo de vida de la seguridad informática, a diferencia las actividades de inicio de operaciones
que generalmente se realizan antes de iniciar las actividades permanentes.
• Administración de cambios: aquí se agrupan actividades de reconfiguración de
equipos y software y/o de adición a reglas o filtros, de esta forma, por ejemplo, cuando
el personal responsable del sistema de control financiero vaya a montar una aplicación
nueva que utiliza otros puertos, por ende, requerirá de agregar o modificar reglas en el
cortafuego y usar el procedimiento de control de cambios definido por el comité de
seguridad.
• Administración general: estas tareas se refiere a quién será el responsable administrar
los dispositivos o equipos en cuestión. Para este proyecto, el departamento de
seguridad será responsable de la administración general de los dispositivos
correspondiente a la seguridad perimetral. Además estará la responsabilidad de definir
los procedimientos para el buen funcionamiento los servidores.
• Monitoreo de eventos de seguridad: en forma permanente los operadores del
departamento de seguridad informática están vigilando que el comportamiento de los
elementos bajo monitoreo, estén operando en forma normal. Para ello existen dos
fuentes principales de información: los eventos generados en las consolas de seguridad
y los eventos registrados en algunas de las bitácoras. Los procedimientos operativos
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
160
del departamento de seguridad informática establecen los criterios que aplica el
personal del departamento para hacer éste monitoreo en forma continua y para
establecer si un incidente de seguridad ha ocurrido.
• Manejo de incidentes. Cuando los operadores del departamento de seguridad
informática determinan que ha ocurrido un incidente de seguridad, realizan acciones
necesarias para su contención y la recuperación de servicio. En forma paralela, la
investigación pasa a los especialistas de segundo nivel, que revisa el incidente, y
determinan acciones para prevenir que vuelva a ocurrir (por ejemplo, bloquear ciertas
direcciones IP). Los analistas generan además, los reportes periódicos hacia la
gerencia, informándole del cumplimiento los niveles de servicio, así como los
principales eventos sucedidos en el período y la acciones tomadas para mejorarlos.
• Administración de vulnerabilidades: en forma continua, el personal encargado de la
seguridad informática está monitoreando los principales sitios de Internet que notificar
sobre las nuevas vulnerabilidades. Cuando se detecta una nueva vulnerabilidad, se
realiza un análisis para conocer si afectará el ambiente de operación normal y si es
viable realiza los cambios a las configuraciones (incluyendo parches) o definir
soluciones alternas, y avisar al personal involucrado.
• Pruebas de penetración: El equipo de penetración, permanentemente estará
intentando vulnerar la infraestructura de Intranet administrada por el departamento de
seguridad informática. Cualquier hueco detectado será reportado al grupo de
vulnerabilidades y al coordinador de operaciones.
• Monitoreo del disponibilidad: Aprovechando toda la infraestructura tecnológica y el
personal del departamento de seguridad informática, el monitoreo de disponibilidad se
enfoca a estar vigilando que los elementos bajo el esquema de seguridad estén activos
(funcionando) durante los periodos críticos. De acuerdo a los alcances que se
establezcan existen dos opciones: opción uno, DIGESET no será responsable del
restablecimiento de servicio, sino que se limitará a avisar a la dependencia responsable,
para atender al usuario final que se ve en problemas, y a monitoreo del cumplimiento
los niveles de servicio, opción dos, si será responsable del restablecimiento de servicio
de las dependencias, cumpliendo con los niveles de servicios establecidos para tal
efecto.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
161
• Monitoreo de la utilización de recursos: Esta actividad es complementaria del
departamento de seguridad, permite conocer la utilización de recursos de los elementos
bajo el esquema de seguridad. De esta forma, se está monitoreando variables como
nivel de utilización (canal, cpu, discos, memoria), que determinan el rendimiento del
elemento. Si los valores monitoreados rebasan alguno de los umbrales definidos,
entonces se envía un incidente hacia los administradores del sistema en cuestión.
4.7.6. Resultados esperados de la línea táctica de arquitectura tecnológica
A continuación se describe los resultados que se esperan entregar como parte de servicio
correspondiente a monitoreo y operación de la seguridad:
• Reporte de fallas (eventos de soporte técnico, en caso de existir)
• Reporte mensual de actividades sospechosas e incidente de seguridad (en caso de
existir)
• Reporte mensual con los requerimientos atendidos en el periodo y tiempos de respuesta
• Reporte mensual de disponibilidad
• Reporte mensual de la principal actividad en el corto fuegos
• Reporte de la principal actividad buen de los usuarios internos
• Reporte mensual de cumplimiento de niveles de servicio.
4.8. Factores críticos de éxito Para la implementación exitosa del plan táctico se recomienda lo siguiente:
1. Que exista una persona dedicada al 100% para coordinar los esfuerzos en materia de
seguridad en DIGESET.
2. Cada línea táctica debe ser desarrollada bajo las mejores prácticas para la administración de
proyectos, de forma que se asegure un buen desarrollo y sobre todo el cumplimiento de
las metas en el tiempo estimado.
Plan Táctico de Seguridad Informática
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
162
3. El programa de concienciación debe de apoyar la aplicación de las líneas tácticas que se
establecen en el plan táctico, por lo tanto, cada proyecto de seguridad debe de estar
acompañado por un plan de actividades que integre la capacitación del recurso
humano y la implementación de la solución de seguridad.
4. Las líneas tácticas de manejo de respuesta a incidentes de seguridad, optimización de
seguridad en el perímetro, monitoreo de la seguridad en DIGESET, y programa de
auditoria de niveles de seguridad deben estar diseñadas para aplicarse sobre los elementos
de la infraestructura tecnológica considerados como críticos (para ver el detalle de la
selección, consultar el capitulo 2), de acuerdo con la tabla 2.3.
5. Para asegurar los resultados de las líneas tácticas en relación con la planeación de la
Universidad de Colima, se deben revisar los objetivos institucionales establecidos y las
necesidades de tecnología de información derivadas del proceso de planeación estratégica de
la Universidad de Colima.
6. Establecer un marco de referencia básico para la clasificación general de la información,
así como la asignación de responsables de controlar el acceso a la información
considerada como crítica por DIGESET.
7. Para asegurar los resultados de las líneas tácticas del bloque de operación, deben revisarse
los siguientes aspectos:
• Monitoreo de nuevas tecnologías
• Planes de adquisición de sistemas de información
• Segregación de funciones
• Roles y responsabilidades
• Descripción de puestos
• Niveles de asignación de personal
• Código de ética / conducta
• Políticas de seguridad
• Políticas de control interno
Conclusiones y Recomendaciones
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
164
Conclusiones En la Universidad de Colima no existe un documento oficial de políticas de seguridad
informática que controle todas las eventualidades de la infraestructura de la Intranet. El campo
de seguridad informática cambia constantemente, y de la misma manera cambia las políticas,
por lo tanto, la seguridad informática es un proceso que requiere de una administración
constante, para alcanzar el éxito en la integración de la seguridad a la cultura organizacional
de DIGESET. En otras palabras, la seguridad informática es un proceso cíclico que requiere de
la definición, implementación y verificación constante.
El establecimiento de un esquema de seguridad, no es tarea de una sola persona, todos los
integrantes de la institución deben ser involucrados y las políticas de seguridad deben
implementarse gradualmente, e ir acompañadas de un programa de concienciación.
DIGESET es la dependencia encargada de la distribución y administración de la red externa e
interna de la Universidad de Colima, por lo tanto, debe incorporar la toma de decisiones
basada en el análisis de riesgos para responder a tres preguntas básicas sobre la seguridad,
estas son: ¿Qué quieren proteger?, ¿Contra quién (o qué) quieren protegerse? y ¿Como lo
quieren proteger? Para ello se implementó la metodología de la empresa SCITUM que
permitió obtener resultados importantes para el esquema de seguridad actual de la Universidad
de Colima
El primer resultado que se obtuvo de la implementación de esta metodología fue el análisis de
vulnerabilidades que involucró los dispositivos (Servidores, ruteadores, firewall e IDS)
críticos de la Intranet para llegar a obtener hallazgos a nivel de infraestructura, tal es el caso se
los servidores Windows 2000 que cuentan con vulnerabilidades en la administración de las
cuentas de usuarios; ya que las cuentas “guest” y “TsInternerUser” nunca han sido utilizadas y
por ende nunca han sido desactivadas, además existen cuentas de usuarios que contienen
contraseñas que nunca caducan, también estos servidores hacen uso de la aplicación FTP, por
lo que se requiere que el personal responsable lleve acabo las actualizaciones necesarias para
el buen funcionamiento de la aplicación Serv-U. Por otro lado, los servidores Unix evaluados
cuentan con diversos tipos de vulnerabilidades de riesgo alto y medio, a través de las cuales un
Conclusiones y Recomendaciones
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
165
intruso podría ejecutar comandos remotamente o ganar acceso a los equipos con privilegios de
administrador, en este conjunto de servidores es importante llevar acabo la actualización de
versiones de algunas aplicaciones como OpenSSL, Apache y SSH entre otros, así como la
planificación para la aplicación de los cambios necesarios; con estos hallazgos actualmente los
administradores de los servidores se encuentran implementando las mejoras a corto plazo de
los equipos para apoyar la etapa de preparación, que conllevará a la implementación del
modelo de operación propuesto en el capitulo 4.
Se pudo establecer a partir de todos los hallazgos que se encontraron en la etapa de análisis de
vulnerabilidades, que los dispositivos de comunicación (conmutadores, ruteadores y acceso
remoto), cuentan con relativamente pocas vulnerabilidades, en el caso de los ruteadores solo
se debe de considerar la utilización de algún tipo de encriptación para la configuración remota.
La infraestructura utilizada para los servicios de acceso remoto vía MODEM a la intranet
universitaria no establece algún método de autenticación en especial, por lo tanto es deseable
especificar un método seguro.
Por otro lado, se encontró que:
• La seguridad perimetral cuenta con una configuración básica.
• Aun no se aplican las políticas específicas para cada servicio de la red.
• Los servidores aún no están en la zona que les corresponde en el firewall.
• No existe un protector de intrusos para cada delegación de la Universidad, que le
permita determinar a los administradores de la intranet que es lo que se esta
transmitiendo en dicho campus.
Se debe considerar que con la investigación se logró recopilar la información necesaria para la
configuración adecuada de la seguridad perimetral.
La metodología no solo permitió encontrar hallazgos a nivel de infraestructura, sino que
también a obtener hallazgos en función de procesos y gente, estas dos categorías se
obtuvieron a través de entrevistas, visitas a las instalaciones de DIGESET e información
proporcionada por el personal. Además los estudios de madurez nos permitió obtener una
Conclusiones y Recomendaciones
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
166
medición del nivel de seguridad de la Intranet en algunos dominios con respecto al estándar
ISO/17799 (ver tabla 3.3).
Con los hallazgos encontrados se llevó a cabo el análisis de riesgos que nos ayudo a
determinar los controles necesarios para mitigar los riesgos y establecer una prioridad de las
actividades a realizar de acuerdo a su tiempo de implantación y costo. Estas actividades se
encuentran descritas en el capitulo 4.
Finalmente se formuló un plan táctico que consistió en el establecimiento de lineamientos, que
incluyen todas las líneas tácticas vistas en el capitulo 4, por ejemplo la definición de funciones
de seguridad y la consideración de un programa de concienciación y establecimiento de las
políticas de seguridad de la Intranet universitaria, que debe de seguir el personal de DIGESET
para adoptar el modelo de operación que se plantea. El proceso de mejoramiento de la
seguridad es gradual y por fases, por lo tanto, las líneas tácticas permiten definir una ruta
crítica de ejecución que elevará el nivel de seguridad, dependerá entonces, del comité de
seguridad de DIGESET el llevar acabo la implementación del plan táctico. Al final del
capitulo 4 se presentan los factores críticos de éxito que son resultado de un análisis minucioso
de la investigación con los cuales la Dirección puede iniciar la implementación, esto les
permitirá reducir tiempos y por ende obtener resultados a corto plazo.
Recomendaciones Las delegaciones necesitan mayor protección perimetral en su red interna, por lo que se
recomienda que se trabaje en una propuesta de fortalecimiento de la seguridad informática, la
cual debe de consistir en asegurar las conexiones de los clientes de los sistemas institucionales
con los servidores internos (Sistema Integral de Información Administrativa, SIIA), así como
la implementación de una sola solución de antivirus que sea administrada por los ATI de cada
centro de computo, pero con la responsabilidad de DIGESET en la selección de la tecnología a
implementar.
Conclusiones y Recomendaciones
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
167
Por otro lado, es importante, la oficialización y difusión de las políticas de seguridad para el
fortalecimiento de la seguridad informática en relación con la cultura organizacional de la
Universidad de Colima, se recomienda entonces, conformar un Comité de Seguridad,
mediante un grupo de personas que sean miembros de todas las áreas de trabajo de DIGESET,
con la finalidad de que la implementación de la seguridad sea horizontal. La obligación de este
comité es la de oficializar las políticas y establecer los controles necesarios para el
mantenimiento y auditorias del ciclo de vida de la seguridad informática.
Es importante establecer procedimientos y reglamentos para el correcto funcionamiento y
monitoreo de los servicios críticos de la Universidad de Colima con la finalidad de clarificar a
los responsables de esas actividades los procesos específicos y detallados que deben de llevar
acabo.
Es transcendental enfatizar que se debe trabajar en el análisis de la seguridad física para
revisar aspectos de servicios eléctricos hacia los equipos de la intranet, planta de emergencia
eléctrica, sistemas de aparta rayos y tierras físicas, así como equipos de protección contra
incendios e inundaciones; con la finalidad de cerrar las dos grandes brechas de la seguridad
informática (Seguridad física y seguridad lógica).
Como trabajo futuro se puede proponer la digitalización de políticas de seguridad, el cual
consiste en la implementación de un lenguaje multi-niveles de política (requerimientos de alto
nivel o controles detallados) que se utilice para describir la política de seguridad deseada
mientras se utiliza un lenguaje de sistema para describir los sistemas destino (topología de
interconexión, funcionalidad y capacidades de seguridad, etc.). Un examinador deberá evaluar
si la política deseada puede ser implementada en el sistema destino y medirá el nivel de
seguridad alcanzado. Las configuraciones para los elementos de seguridad luego serán
generadas automáticamente y aplicadas a través de la red, un monitor utilizará la política de
seguridad para una detección de intrusos proactivo (un intruso es cualquier cosa que no
cumpla con la política de seguridad) adicional a la detección de intrusos reactiva que
comúnmente se maneja. Ya existe un proyecto cuyo nombre es POSITIF que esta trabajando
en esta posibilidad.
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
169
1. Bibliografía
1.1. Artigas, J. (2003). Diplomado Teracast en Seguridad en Redes. Colima: Teracast.
1.2. Boswordth, S., & M.E., K. (2002). Computer Security Handbook ( Fouth ed. Vol.
Fouth). Canada: John Wiley & Sons, Inc.
1.3. Brenton, C. (1999). Mastering Network Security ( Primera edicion ed.). San
Francisco: Bybex, Network Press.
1.4. Callio, T. (2003). BS7799/ISO 17799 (first), [PowerPoint Presentation]. Callio,
Technologies. Available: www.callio.com [2004, 24/02/2004].
1.5. Corporation, S. (2003). Tras el Firewall Amenazas Internas. Symantec
Corporation. Available:
http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_
2122.html [2003, 14 de Noviembre 2003].
1.6. Departamento de Control de Calidad y Auditoria Informática. (2000). Vista
General del Libro Naranja (pp. 60).
1.7. ISO/IEC. (2000, 2001-12-01). International Standard ISO/IEC 17799 (First),
[PDF]. ISO & IEC [2003, 02-11-2003].
1.8. Latham, C. D. (1985). Department of Defense Trusted Computer System
Evaluation Criteria.Unpublished manuscript, Washington D.C.
1.9. LearnKey. (2001). Managing Cisco's Network Security: LearnKey.
1.10. Ponce Lopez, J. L., & Guel Lopez, J. C. (2003). Red Nacional de Seguridad en
Computo UNAM-ANUIES (primera). Available: http://www.unam-cert.unam.mx/
[2003, 14/11/2003].
1.11. University, C. M. (2003). CERT/CC Overview.Unpublished manuscript, Pittsburgh,
USA.
1.12. Villalón Huerta, A. (2000). Seguridad en Unix y Redes. Madrid.
1.13. PROTEGO. (2004). Reporte de Vulnerabilidades (No. 1): PROTEGO.
1.14. University, C. M. (2004, Marzo 10). CERT. Retrieved 03/04/2004, 2004, from www.cert.org
1.15. Shipley, G. (2003). Core Security. Vormetric, 14
Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
170
2. Referencias en Internet
2.1. GRUPO DE SEGURIDAD DE REDCUDI
http://seguridad.internet2.ulsa.mx/
2.2. SYSADMIN, AUDIT, NETWORK, SECURITY (SANS)
http://www.sans.org/
2.3. COMPUTER EMERGENCY RESPONSE TEAM
http://www.cert.org/
2.4. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO - COMPUTER EMERGENCY RESPONSE TEAM
http://www.unam-cert.unam.mx
2.5. PROYECTO NESSUS
http://www.nessus.org/
2.6. PROTEGO
http://www.protego.dk/index.html
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
172
Apache Es un servidor de web gratuito que se distribuye a través una licencia
"open Source". La versión 2.0 funciona en la mayoría de los
servidores con plataforma Unix (como por ejemplo Linux, Solaris y
AIX) y en Windows 2000
Activex Un objeto ActiveX se define como el que se adhiere al Modelo de
Objetos Componentes (Component Object Model COM) definido por
Microsoft. Un objeto ActiveX, esta esperando, sin hacer nada, hasta
que es llamado. ActiveX, se puede ver como la evolución de OLE
donde OLE + Internet = ActiveX.
DMZ Demilitarized zone, también llamada red protegida. En esta zona están
alojados los servicios (Dial In, Dial out, Callback, FTP, navegación
WEB, WEB Proxy, correo electrónico) a los cuales los clientes tanto
dentro del centro operativo como en las dependencias tienen acceso.
ACK El campo Número de acuse de recibo contiene información válida, es
decir, el segmento actual lleva un ACK.
Análisis de
Riesgo
Término que hace referencia al proceso necesario para responder a tres
cuestiones básicas sobre nuestra seguridad que queremos proteger,
contra quién o qué lo queremos proteger y como lo queremos proteger.
Applets una pequeña aplicación accesible en un servidor Internet, que se
transporta por la red, se instala automáticamente y se ejecuta in situ
como parte de un documento Web
BS7799 BS7799 es el estándar lo más extensamente posible reconocido de la
seguridad del mundo. Aunque fue publicado originalmente a mediados
de lo años noventa, fue con la revisión de mayo 1999 que realmente
lo puso en el mundo de hoy. En última instancia, se desarrolló el
estándar ISO17799 en diciembre de 2000. BS 7799 (ISO17799) es
comprensivo en su cobertura de los asuntos de seguridad, conteniendo
un número significativo de los requisitos de control. La conformidad
con el estándar esta lejos de ser una tarea trivial, por lo tanto, es algo
complejo y uniforme para la mayoría de la seguridad consciente de
organizaciones.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
173
Buffers Es el área de almacenamiento temporal, usualmente la RAM. El
propósito es trabajar como un área de retensión que le permita al CPU
manipular la información antes que sea enviada a algún dispositivo.
CERT Es el equipo de respuestas a incidentes de seguridad en cómputo, lo
conforma un grupo formado en su mayoría por voluntarios calificados
de la comunidad informática, con el objetivo de proporcionar a
soluciones rápidas a los problemas de seguridad que se presenten en
los host de Internet. Este organismo se encarga de divulgar las noticias
de seguridad de redes mas recientes, así como las vulnerabilidades
más importantes de las aplicaciones, sistemas operativos y productos.
CERT/CC Centro de Coordinación del CERT
CGI CGI es una norma para establecer comunicación entre un servidor
Web y un programa, de tal modo que este último pueda interactuar con
Internet. También se usa la palabra CGI para referirse al programa
mismo, aunque lo correcto debería ser script.
CHAP Challenge Handshake Authentication Protocol. Es un método de
autenticación que no permite al que realiza la llamada intentar la
autenticación sin un desafió (challenge) previo. El valor del challenge
es único e impredecible, por lo que se proporciona protección frente a
ataques, además realiza una verificación periódica para mejorar la
seguridad (en el PAP solo se verifica una vez).
DARPA Defense Advanced Research projects Agency
DCOM Distributed Component Object Model, es una serie de conceptos e
interfaces de programación creadas por Microsoft con los cuales el
programa cliente solicita servicios al servidor a través de la red.
Denegación de
Servicio
En general, estos ataques se basan en utilizar la mayor cantidad
posible de recursos del sistema objetivo, de manera que nadie más
pueda usarlos, perjudicando así seriamente la actuación del sistema,
especialmente si debe dar servicio a mucho usuarios.
DGSCA Dirección General de Servicios de Computo Académico
DIGESET Dirección General de Servicios Telemáticos
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
174
DNS Es un servicio de Internet que traduce los nombres de dominios a
direcciones IP, debido a que los nombres son más fáciles de recordar.
El sistema DNS conforma una red, si un servidor DNS no logra
traducir un nombre de dominio, esté pregunta a otro servidor
consecutivamente hasta obtener la dirección IP correcta.
DSC Departamento de Seguridad en Computo
E1 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene
una tasa de transferencia de 2.048 millones de bits por segundo y
puede soportar hasta 32 canales de 64kbps cada uno.
E3 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene
una tasa de transferencia de 34.368 millones de bits por segundo.
Puede soportar 16 canales E1.
EAP Extensible Authentication Protocol, es un estándar del IETF a través
del RFC-2284. Fue inicialmente para PPP (Enlaces dial-up), pero
puede operar sobre cualquier protocolo de capa de enlace (802.3,
802.11, etc.). Es extensible porque no especifica el método de
autenticación.
ECHO Este es el tipo de mensaje que envía la maquina cuando se emplea el
comando ping. La solicitud de Eco pide a la maquina destino que
responda con una Respuesta de Eco con un numero de secuencia
apropiado.
FastEthernet Es un estándar de transmisión para redes de área local que proporciona
una velocidad de 100 mega bits por segundo. Referirse como 100Base
T.
Firewall Un firewall o cortafuegos es un equipamiento, combinación de
hardware y software que muchas empresas u organizaciones instalan
entre sus redes internas y el Internet. Un cortafuegos permite que sólo
un tipo específico de mensajes pueda entrar y/o salir de la red interna.
Esto protege a la red interna de los piratas o hackers que intentan
entrar en redes internas a través del Internet.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
175
FTP Siglas de File Transfer Protocol. Método muy común para transferir
uno o más ficheros de un ordenador a otro. FTP es un medio
específico de conexión de un sitio Internet para cargar y descargar
ficheros. FTP fue desarrollado durante los comienzos de Internet para
copiar ficheros de un ordenador a otro. Con la llegada del World Wide
Web, y de los navegadores , ya no se necesitan conocer sus complejos
comandos; se puede utilizar FTP escribiendo el URL en la barra de
localización que se encuentra en la parte superior de la pantalla del
navegador
GigabitEthernet Es un estándar de transmisión para redes de área local y área amplia
que proporciona una velocidad de 1000 mega bits por segundo.
Referirse como 1000Base T.
Gusano o Worm Es un virus que se reproduce por si solo, que no altera los archivos
pero que reside activo en memoria y se duplica así mismo. Los
gusanos utilizan partes el sistema operativo que son automáticas y que
usualmente son invisibles para el usuario.
HINFO Registro que proporciona información del host, no es funcional.
Utilizado para declarar el tipo de computadora y sistema operativo.
HTTP Hypertext Transfer Protocol. Es el protocolo utilizado para navegar en
la Web. Utiliza TCP el puerto 80.
HTTPS Hypertext Transfer Protocol (HTTP), en combinación con el protocolo
SSL o TLS se refiere al protocolo HTTPS. Este protocolo viene con la
mayoría de los navegadores de Web para proporcionar una conexión
segura entre el cliente y el servidor Web. Utiliza TCP a través del
puerto 443.
ICMP El Protocolo de control de mensajes Internet (ICMP, Internet Control
Message Protocol) es un estándar TCP/IP necesario que está definido
en RFC 792, "Internet Control Message Protocol (ICMP)" (Protocolo
de control de mensajes Internet (ICMP)). Con ICMP, los hosts y
ruteadores que utilizan la comunicación IP pueden informar de errores
e intercambiar información de control y estado limitada.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
176
IDS Es un modelo de seguridad aplicable tanto a ordenadores como a
redes. Un sistema IDS recolecta y analiza información procedente de
distintas áreas de un ordenador o red de ordenadores con el objetivo de
identificar posibles fallos de seguridad. Este análisis en busca de
intrusiones incluye tanto los posibles ataques externos (desde fuera de
nuestra organización) como los internos (debidos a un uso abusivo o
fraudulento de los recursos).
IMAP IMAP es el acrónimo de Internet Message Access Protocol. Este tipo
de correo fue desarrollado en 1986 en la Universidad de Stanford pero
no fue muy aceptado, se comenzó a utilizar hasta la década siguiente,
aún actualmente no es muy conocido. Este protocolo representa un
mecanismo de comunicación para que los clientes de mail interactúen
con servidores, y manipulen buzones (mailboxes). A pesar de que el
protocolo de acceso a correo es el Post Office Protocol (POP), el cual
también cubre las necesidades de acceso a correo remoto. IMAP
ofrece un súper conjunto de las características de POP, ya que permite
una interacción mucho mas compleja y provee un modelo de acceso
mas eficiente que el modelo POP. IMAP te permite la utilización
completa de el ancho de banda que tienes disponible y diferente a los
primeros servidores POP (esto a cambiado en la ultimas versiones),
IMAP esta centrado en la noción que el servidor es tu repositorio
primario de correos. Los mensajes son siempre retenidos en el servidor
Ingeneria Social Es la manipulación de las personas para convencerlas de que ejecuten
acciones o actos que normalmente no realizan para que revele todo lo
necesario para superar las barreras de seguridad
ISP Proveedor de servicio de Internet
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
177
JavaScripts JavaScript es un lenguaje de scripts desarrollado por Netscape para
incrementar las funcionalidades del lenguaje HTML. Es un lenguaje
orientado a eventos. Cuando un usuario pincha sobre un enlace o
mueve el puntero sobre una imagen se produce un evento. Mediante
JavaScript se pueden desarrollar scripts que ejecuten acciones en
respuesta a estos eventos. Además, es un lenguaje orientado a objetos.
El modelo de objetos de JavaScript está reducido y simplificado, pero
incluye los elementos necesarios para que los scripts puedan acceder a
la información de una página y puedan actuar sobre la interfaz del
navegador.
MIME Siglas de Multipurpose Internet Mail Extension. Sistema que permite
integrar dentro de un mensaje de correo electrónico ficheros binarios
(imágenes, sonido, programas ejecutables, etc.).
MITRE Corporación Mitre es una organización sin fines de lucro,
caracterizada para trabajar a beneficio del interés público. Como
recurso nacional, Mitre aplica sus experiencias en sistemas de
ingeniería, tecnologías información, conceptos operacionales, y en las
corporaciones modernas para dirigir el patrocinio de sus necesidades
críticas. Mitre esta compuesta por tres centros financieros federales de
investigación y desarrollo: uno para departamento de defensa
(conocido como Comando DOD, control, comunicaciones de
inteligencia), otro para la administración federal de aviación (centro
avanzado de desarrollo de sistemas de aviación) y el tercero para el
ingreso de nuevos servicios internos (centro modernización
empresarial). Mitre también cuenta con su propio programas de
investigación y desarrollo que permite explorar las nuevas tecnologías
para resolver los problemas de sus patrocinadores en términos
cercanos o en términos futuros.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
178
MS-CHAP es un protocolo de autenticación mutua, lo que significa que ambos, el
cliente y el servidor, deben demostrar sus identidades. Si la conexión
está configurada para utilizar MS-CHAP v2 como único método de
autenticación y el servidor con el que conecta no proporciona pruebas
de su identidad, se cerrará la conexión. Anteriormente, los servidores
podían omitir la autenticación y, simplemente, aceptar la llamada. Este
cambio asegura que puede configurar una conexión para que conecte
con el servidor esperado.
NASA Administración Nacional de Aeronáutica y del espacio
NBS Nacional Bureau of Standards
Openssl El proyecto OpenSSL es un esfuerzo colectivo para desarrollar una
serie de herramientas para la implementación del SSL v2/v3 (Secure
Socket Layer ) y del TLS (Transport Layer Security) que sea robusto,
versátil y Open Source . El proyecto esta siendo manejado por
voluntarios que utilizan Internet como medio de comunicación.
PAP El Protocolo de autenticación de contraseña (PAP, Password
Authentication Protocol) utiliza contraseñas en texto simple y es el
protocolo de autenticación menos sofisticado. Se negocia,
normalmente, si el cliente y el servidor de acceso remoto no pueden
negociar una forma de validación más segura
PIFI Este proyecto, cuenta con sistema de redes y telecomunicaciones y con
sistema de videoconferencia universitaria, ambos busca modernizar y
ampliar infraestructura tecnológica de la Intranet universitaria, que
permita mejorar los servicios que ofrece. Además de dotar de nuevos
ambientes de aprendizaje para diversificar posibilidades de acceso y
difusión de conocimientos.
POP Siglas de Point of Presence. Un POP es el punto de acceso a Internet
de un usuario
POP3 (Post Office Protocol 3) es la versión del protocolo de recepción de
correo electrónico mas reciente. Es un protocolo Cliente/Servidor en el
cual se reciben los correos electrónicos y espera por el cliente a través
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
179
del servidor de Internet.
PPP Siglas de Point-to-Point Protocol. Es un protocolo de comunicaciones
utilizado para transmitir datos de la red a través de las líneas
telefónicas. Este tipo de conexión permite comunicar directamente con
otros ordenadores de la red por medio de conexiones TCP/IP.
PROMEP Este proyecto consiste en proporcionar conexión de Internet para
profesores. Apoya así en todos profesores de tiempo completo que
cumpla con el perfil deseado, con el fin de que tengan acceso redes
informáticas de Internet. Actualmente, DIGESET tiene cubierto 90%
de la menta este proyecto por lo que se ha dedicado a realizar nuevas
obras de conectividad.
PRONAD Consiste en dotar de infraestructura tecnológica para que la institución
modernice procesos administrativos y los certifique.
RADIUS Es un protocolo de autenticación para conexiones remotas (dial-up).
Un Servidor RADIUS compara el login y contraseña del usuario y la
compara con la base de datos de seguridad. Si el servidor RADIUS
falla, entonces no se podrá tener acceso a la red.
Riesgo es la posibilidad de sufrir una pérdida o daño, la definición muestra
que hay dos partes del riesgo: la posibilidad de ocurrencia de un
evento de riesgo y el daño o pérdida que resulta de la ocurrencia del
evento de riesgo.
RLOGIN Es otro protocolo similar a Telnet, con la diferencia fundamental que
rlogin utiliza servicios UDP y telnet usa servicios TCP en la capa de
transporte. Este protocolo establece una sesión desde el terminal local
hasta la máquina remota. Las lista de estas máquinas se encuentra en
el servidor de nombres DNS o en la base local de datos.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
180
RPC Es una tecnología de programación para el transporte de mensajes que
le permite a las aplicaciones ejecutar procedimientos e interactuar con
los servicios que proporciona la computadora remota a través de la
red. Fue desarrollado por Sun Microsystems y mejorado por la
fundación Open software. El RPC es el método preferido por el
procesamiento cliente/servidor en las plataformas Windows y su
funcionamiento es compatible con otros sistemas operativos como
IBM AIX, HP-UX y Sun Solaris
SANS SysAdmin, Audit, Network, Security; es una organización que se
dedica a la investigación, certificación y capacitación de profesionales
que sean capaces de diseñar soluciones de seguridad. Esta institución
fue creada en 1989 en respuesta a los incidentes de delito informático
que se suscitaron a causa del crecimiento exponencial de Internet.
Scripts Un script es un tipo de programa que consiste de una serie de
instrucciones que serán utilizadas por otra aplicación
Signatura Dentro del contexto de un detector de intrusos, una firma (signature)
es conocida como el patrón de ataque de un hacker.
SMTP SMTP ( Simple Mail Transfer Protocol - Protocolo de Transferencia
de Correo Simple ) es un protocolo TCP/IP utilizado en el envío y la
recepción de e-mail. Sin embargo dado que este es limitado en su
capacidad para encolar los mensajes que va recibiendo, a menudo se
utiliza uno de dos protocolos, POP3 ( Post Office Protocol 3 ) o IMAP
(Internet Message Access Protocol ), que permiten que el usuario
almacene sus mensajes en el buzón del servidor y pueda descargarlos
periódicamente desde el servidor. En otras palabras, los usuarios
utilizan frecuentemente programas que usan SMPT para enviar e-mail
y POP o IMAP para recibir.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
181
Sniffer Es un producto que integra componentes de hardware y/o software y
que, como su nombre lo indica, husmea en la red a la cual está
conectado para analizar el tráfico existente en la misma ayudando a
detectar problemas y/o cuellos de botella en cualquiera de sus
segmentos, de forma tal que el administrador de la red pueda solventar
los inconvenientes y mantenga los datos fluyendo eficientemente.
SNMP Simple Network Management Protocol. Es protocolo de
administración de redes para la configuración y obtención de
estadísticas operativas de los dispositivos.
Spyware son programas escondidos entre los archivos compartidos que permite
al autor del programa y a otros usuarios de red ver lo que hace el
usuario, qué sitios de Internet visita e incluso utilizar los recursos
computacionales del usuario sin que lo sepa
SSH Secure Shell. Es un protocolo seguro de transporte comúnmente
utilizado por los administradores que se preocupan por la seguridad.
Existen excelentes herramientas disponibles para los administradores
de sistemas, incluyendo las versiones SSH de FTP y telnet.
SYN Synchronous Idle, significa una inactividad sincronía, para la
sincronización.
TCP/IP TCP/IP son las siglas de Transmission Control Protocol/Internet
Protocol, el lenguaje que rige todas las comunicaciones entre todos los
ordenadores en Internet. TCP/IP es un conjunto de instrucciones que
dictan cómo se han de enviar paquetes de información por distintas
redes. También tiene una función de verificación de errores para
asegurarse que los paquetes llegan a su destino final en el orden
apropiado. IP, Internet Protocol, es la especificación que determina
hacia dónde son encaminados los paquetes, en función de su dirección
de destino. TCP, o Transmission Control Protocol, se asegura de que
los paquetes lleguen correctamente a su destino. Si TCP determina que
un paquete no ha sido recibido, intentará volver a enviarlo hasta que
sea recibido correctamente.
Glosario: Términos y Siglas
Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México
182
TELNET Es un emulador de terminal basado en TCP/IP, comúnmente utilizado
por los administradores de redes para el mantenimiento remoto de los
dispositivos de red. Para mejorar la seguridad, Telnet debe ser
combinado con SSH.
TI Tegnologias de Información.
Timestamp Es el tiempo concurrente de un evento que fue registrado por una
computadora. A través de mecanismos como el NTP (Network Time
Protocol), la computadora mantiene actualizado el tiempo
concurrente.
Troncales Al Módulo Troncal pertenecen todos los equipos e infraestructura
necesarios para la conexión entre las diferentes centrales telefónicas de
conmutación, cuando hay más de una central en la red, y para la
interconexión de la red con las demás redes telefónicas adyacentes y/o
complementarias, mediante fibra óptica con tecnología SDH.
UDP El Protocolo de datagrama de usuario (UDP, User Datagram Protocol)
es un estándar TCP/IP que está definido en RFC 768, "User Datagram
Protocol (UDP)" (Protocolo de datagrama de usuario (UDP)). Algunos
programas utilizan UDP en lugar de TCP para el transporte de datos
rápido, compacto y no confiable entre hosts TCP/IP. UDP proporciona
un servicio de datagramas sin conexión que ofrece entrega de mejor
esfuerzo, lo que significa que UDP no garantiza la entrega ni
comprueba la secuencia de los datagramas. Un host de origen que
necesita comunicación confiable debe utilizar TCP o un programa que
proporcione sus propios servicios de secuencia y confirmación.
UNAM-CERT Universidad Nacional Autónoma de México - Computer Emergency
Response Team
URL Siglas de Uniform Resource Locator. Es la dirección de un sitio o de
una fuente, normalmente un directorio o un fichero, en el World Wide
Web y la convención que utilizan los navegadores para encontrar
ficheros y otros servicios distantes
184
Reporte de Vulnerabilidades de los Servidores UNIX En la semana 26 al 28 de abril se llevaron acabo los análisis de vulnerabilidades de los
servidores con plataforma Unix. Las pruebas que se llevaran acabo fueron las siguientes:
Sistema Operativo Permisos en archivos Relaciones de confianza Archivos de calendarizacion de tareas Archivos de configuración RC Configuración de NFS Aplicación de parches Debilidad de contraseña Red Barrido e puertos Negación de servicios Puertas traseras Fuerza bruta CGIs Demonios DCOM DNS correo electrónico FTP Recolección de información NFS NIS RPC Shares SNMP
Las pruebas se realizaron desde la red interna de la Dirección General de servicios
Telemáticos en horarios no críticos para la operación de los servicios y con el consentimiento
de los responsables. Estas pruebas se realizaron a los dispositivos con dirección IP no
homologada.
Tabla 1. Grupo de pruebas aplicadas a servidores con plataforma Unix.
185
A continuación se enumeran las actividades realizadas:
1. Escaneo de puertos, para todos los equipos. Esto se realizo con la finalidad de
determinar los servicios que esta proporcionando el dispositivo de red. Además se
comprueba la información que se obtuvo en la etapa de contextualización.
2. Se llevaron acabo las pruebas que se presentan en la tabla 1 para los servidores UNIX.
La herramienta que se utilizo fue Nesuss, la cual es un software de diagnostico para los
servicios de Internet, para determinar la robustez, solidez e invulnerabilidad del
sistema mediante el escaneo remoto de vulnerabilidades, basándose para ello en una
base de datos conteniendo todos los ataques conocidos hasta el momento de la ultima
actualización que se lleva acabo vía conexión a Internet.
3. Se procedió a la tabulación de los hallazgos proporcionados por el analizador de
vulnerabilidades (Nessus).
Resumen de los Hallazgos Con el fin de dar a conocer un resumen de los resultados se presenta una grafica de pastel que
refleja los resultados de las pruebas. Antes de presentar la grafica es prudente hacer una breve
descripción de la severidad de los hallazgos. La tabla 2 presenta una descripción del impacto
que se le puede asignar a un hallazgo.
Nivel DescripciónAlto Cada exposición grave, al ser explotada afecta de forma directa su
seguridad, compromete la confiabilidad, integridad y disponibilidad del información crítica. Habilitar al atacante con privilegios y control/manipulación sobre el sistema
Medio Es posible acceder y modificar de forma indirecta datos y archivo de configuración del dispositivo. Explotando una o varias vulnerabilidades de este nivel se puede obtener resultados comparables como los mencionados en las vulnerabilidades de alto nivel
Bajo Se puede obtener información muy específica de los dispositivos como: nombre de usuarios y archivos, configuraciones, servicios. La información que proporcione puede servir como entrada, para explotar vulnerabilidades de nivel medio o alto
Informativo Son datos proporcionados por las aplicaciones y los sistemas operativos (versiones, dirección IP entre otros) su divulgación no compromete a la seguridad de los dispositivos
Tabla 2. Clasificación de vulnerabilidades.
186
Por la cantidad de servidores (7) de plataforma Unix, se decidió llevar acabo el análisis en dos
grupos.
Grupo 1
Este grupo esta compuesto por los servidores Triton, Volcan y Orion,
De las vulnerabilidades encontradas en los servidores con plataforma Unix del grupo 1, se
registro un 45% de vulnerabilidades que se encuentran en el nivel alto, 11% en el nivel
medio y 43% en el nivel bajo. De las vulnerabilidades que se encuentran en el nivel alto, la
aplicación HTTPS presenta mayor numero de incidencia de vulnerabilidad. De los servidores
que fueron parte del análisis de vulnerabilidad, el servidor Triton es el presenta el mayor
porcentaje (76%) de las vulnerabilidades totales de alto riesgo.
La figura 1 muestra un resume de los hallazgos encontrados. La figura 2 presenta los
resultados de que aplicaciones son las causantes de las vulnerabilidades con alto nivel de
riesgo.
Figura 1. Grafica que ilustra el porcentaje de los niveles de riesgos encontrados.
187
La figura 3 muestra el servidor que tiene el porcentaje mas alto riesgos en el grupo 1. El
servidor Triton registró un total de 15 vulnerabilidades de alto riesgo.
Figura 2. Servicios más peligros en la red.
Figura 3. Servidor que presenta el mayor porcentaje de vulnerabilidades de alto riesgo en el grupo 1.
188
Grupo 2
Los dispositivos correspondientes a este grupo son los servidores Listas, Mail, Mail2 y el IDS
Dragon .
De las vulnerabilidades encontradas en los dispositivos con plataforma Unix del grupo 2, se
registro un 40% de vulnerabilidades que se encuentran en el nivel alto, 16% en el nivel
medio y 44% en el nivel bajo. De las vulnerabilidades que se encuentran en el nivel alto, la
aplicación http presenta mayor numero de incidencia de vulnerabilidad. De los servidores que
fueron parte del análisis de vulnerabilidad, el servidor Listas es el presenta el mayor
porcentaje (57%) de las vulnerabilidades totales de alto riesgo.
La figura 4 muestra un resume de los hallazgos encontrados. La figura 5 presenta los
resultados de que aplicaciones son las causantes de las vulnerabilidades con alto nivel de
riesgo.
Figura 4. Grafica que ilustra el porcentaje de los niveles de riesgos encontrados.
189
Figura 5. Servicios más peligros en la red.
Figura 6. Servidor que presenta el mayor porcentaje de vulnerabilidades de alto riesgo en el grupo 2.
190
Host Servicio Vulnerabilidad Consecuencia Impacto Individual
Impacto General Control/Medida
Volcan
ssh (22/tcp) El servidor esta corriendo una versión OpenSSH mas viaja que la 3.7.1
Una versión OpenSSH menor a la 3.7.1 tiene problemas con el manejo de las funciones de administracion de buffer, permitiendole al atacante ejecutar codigo en el servidor.
Alto Alto Actualizar la versión de OpenSSH a la 3.7.1 o mas nueva.
ssh (22/tcp) El servidor esta corriendo OpenSSH-portable versión 3.6.1 .
La versión permite al atacante sobre pasar los controles de acceso que el administrador alla configurado.
Bajo Bajo Actualizar la versión de OpenSSH-portable a la 3.6.2 o mas nueva.
ssh (22/tcp) El demonio SSH soporta conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.
El protocolo no es completamente criptografico, no se debe de utilizar.
Bajo Bajo Si utiliza OpenSSH configure la opción "Protocolo" a "2". Si utiliza SSH.com's, configure la opción "Ssh1Compatibility" a "no".
DNS (53/tcp) El servidor DNS permite búsquedas recursivas por dispositivos que corren el demonio de Nessus. "Si el DNS es interno, Olvide esta vulnerabilidad"
Si se desea investigar el servidor de nombres, esta vulnerabilidad le permite a cualquier usuario resolver nombres de terceros (como www.popa.hn). Esto habilita al atacante a realizar ataques sumamente peligrosos en contra del DNS. Si la búsqueda recursiva la lleva acabo a través de UDP, pueden atacar a otros sistemas.
Alto Alto Restrigir las búsquedas recursivas a las redes que hacen uso del servidor DNS. Si utilizas Bind 8, configura la opción "allow-recursion" en la seccion de opciónes del archivo named.conf. Si utiliza Bind 9 defina una agrupación de direcciones internas con el comando "acl", luego dentro de la opción Block, se pude definir explícitamente "allow-recursion {hosts_definidos_acl}".
191
General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el proximo valor del campo ip_field del paquete enviado por el servidor.
Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.
Bajo Bajo Contactar a tu proveedor para que proporcione un parche.
Triton smtp (25/tcp) El servidor esta corriendo
una versión de Postfix que es o mas vieja que la 1.1.12.
Existen dos vulnerabilidades de esta versión que permite la elaboración de ataques DDoS.
Alto Alto Actualizar la versión de Postfix a la 2.0.
smtp (25/tcp) El servidor de smtp esta funcionando como repetido.
Le permite a los spammers utilizar el servidor de correo para enviar correo a todo el mundo, causando perdida de ancho de banda.
Bajo/Medio Medio Configurar el servidor smtp para que ya no funcione como servidor repetidor de correos.
ssh (22/tcp) El servidor esta corriendo una versión OpenSSH mas viaja que la 3.7.1
Una versión OpenSSH menor a la 3.7.1 tiene problemas con el manejo de las funciones de administración de buffer, permitiéndole al atacante ejecutar código en el servidor.
Alto Alto Actualizar la versión de OpenSSH a la 3.7.1 o mas nueva.
ssh (22/tcp) El demonio SSH soporta conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.
El protocolo no es completamente criptográfico, no se debe de utilizar.
Bajo Bajo Si utiliza OpenSSH configure la opción "Protocolo" a "2". Si utiliza SSH.com's, configure la opción "Ssh1Compatibility" a "no".
http (80/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.28
Hay varias fallas de esta versión, entre ellas podemos mencionar que el servidor puede ser deshabilitado remotamente por el atacante.
Alto Alto Actualizar la versión de Apache a la 1.3.28 o a una versión mas alta.
192
http (80/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.
Esto trae como consecuencia que los atacantes puedan falsificar el certificado de alguno de los clientes.
Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva.
http (80/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.29
Permite la ejecución de código a través de mod_alias y mod_rewrite.
Alto Alto Actualizar la versión de Apache a la 1.3.29 o a una versión mas alta.
http (puerto 80) El Servidor soporta los métodos de depuración de conexiones TRACE y TRACK.
Los servidores que soportan estos métodos son sujetos de ataques Cross-site-scripting, llamados XST para "Cross-Site-Tracing", cuando usan conjunciones con varias debilidades en los navegadores. El atacante puede utilizar esta falla para engañar a los usuarios legítimos para que le proporcionen información personal.
Medio Medio Deshabilitar los métodos de depuracion. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]
pop3 (110/tcp) y imap (143/tcp)
El servidor POP3 proporciona información acerca del software que esta corriendo a través de un banner de login.
Esto tiene como consecuencia que el atacante puede obtener la información necesaria para aplicar una estrategia de ataque en especial.
Bajo Bajo Cambiar el banner de login a algo mas genérico.
https (443/tcp) El servidor esta corriendo una versión de OpenSSL mas vieja que 0.9.6k o 0.9.7.c
La versión contiene bugs que permiten al atacante tener acceso al shell del servidor.
Alto Alto Actualización del OpenSSL a la versión 0.9.6k o 0.9.7.c o mas nueva.
https (443/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.28
Hay varias fallas de esta versión, entre ellas podemos mencionar que el servidor puede ser deshabilitado remotamente por el atacante.
Alto Alto Actualizar la versión de Apache a la 1.3.28 o a una versión mas alta.
193
https (443/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.
Esto trae como consecuencia que los atacantes puedan falsificar el certificado de alguno de los clientes.
Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva.
https (443/tcp) El servidor esta utilizando TURBA, un componente del sistema webmail Horbe.
Fallas en el archivo "start.php", le permiten al atacante obtener la ruta física del web root.
Medio Medio Configurar apropiadamente las opciones "display_errors" y "log_errors" en el archivo php.ini. Para evitar que se muestren los procedimientos al momento de la ocurrencia de un error.
https (443/tcp) El servidor esta utilizando TURBA, un componente del sistema webmail Horbe. Existe un script IMP de prueba que es accesible desde afuera.
Este script puede causar una fuga de información interna del servidor que puede ser de suma importancia para el atacante.
Medio Medio Los scrips "test.php" y "imp/test.php" deben ser borrados o bien hacerlos inaccesibles por el servidor Web.
sometimes-rpc8 (32772/udp)
El servidor esta corriendo el servicio RPC rstatd.
Este servicio permite tener información acerca del uso del CPU, red y tiempo del sistema.
Bajo Bajo No se recomienda tener este servicio corriendo en el servidor.
Orion ssh (22/tcp) El servidor esta corriendo
una versión OpenSSH mas viaja que la 3.7.1
Una versión OpenSSH menor a la 3.7.1 tiene problemas con el manejo de las funciones de administración de buffer, permitiéndole al atacante ejecutar código en el servidor.
Alto Alto Actualizar la versión de OpenSSH a la 3.7.1 o mas nueva.
ssh (22/tcp) El servidor esta corriendo OpenSSH-portable versión 3.6.1 .
La versión permite al atacante sobre pasar los controles de acceso que el administrador alla configurado.
Bajo Bajo Actualizar la versión de OpenSSH-portable a la 3.6.2 o mas nueva.
ssh (22/tcp) El demonio SSH soporta conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.
El protocolo no es completamente criptográfico, no se debe de utilizar.
Bajo Bajo Si utiliza OpenSSH configure la opción "Protocolo" a "2". Si utiliza SSH.com's, configure la opción "Ssh1Compatibility" a "no".
194
DNS (53/tcp) El servidor DNS permite búsquedas recursivas por dispositivos que corren el demonio de Nessus. "Si el DNS es interno, Olvide esta vulnerabilidad"
Si se desea investigar el servidor de nombres, esta vulnerabilidad le permite a cualquier usuario resolver nombres de terceros (como www.popa.hn). Esto habilita al atacante a realizar ataques sumamente peligrosos en contra del DNS. Si la búsqueda recursiva la lleva acabo a través de UDP, pueden atacar a otros sistemas.
Alto Alto Restringir las búsquedas recursivas a las redes que hacen uso del servidor DNS. Si utilizas Bind 8, configura la opción "allow-recursion" en la sección de opciones del archivo named.conf. Si utiliza Bind 9 defina una agrupación de direcciones internas con el comando "acl", luego dentro de la opción Block, se pude definir explícitamente "allow-recursion {hosts_definidos_acl}".
General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el próximo valor del campo ip_field del paquete enviado por el servidor.
Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.
Bajo Bajo Contactar a tu proveedor para que proporcione un parche.
Mail2 ssh (22/tcp) El servidor esta corriendo
una versión OpenSSH mas viaja que la 3.7.1
Una versión OpenSSH menor a la 3.7.1 tiene problemas con el manejo de las funciones de administración de buffer, permitiéndole al atacante ejecutar código en el servidor.
Alto Alto Actualizar la versión de OpenSSH a la 3.7.1 o mas nueva.
ssh (22/tcp) El servidor esta corriendo OpenSSH-portable versión 3.6.1 .
La versión permite al atacante sobre pasar los controles de acceso que el administrador alla configurado.
Bajo Bajo Actualizar la versión de OpenSSH-portable a la 3.6.2 o más nueva.
ssh (22/tcp) El demonio SSH soporta conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.
El protocolo no es completamente criptográfico, no se debe de utilizar.
Bajo Bajo Si utiliza OpenSSH configure la opción "Protocolo" a "2". Si utiliza SSH.com's, configure la opción "Ssh1Compatibility" a "no".
195
ftp (21/tcp) El servidor FTP es vulnerable a una falla de programación relacionada con una conversión de enteros cuando se envía un comando de RESET.
El atacante puede utilizar esta vulnerabilidad para dañar el demonio de FTP y posiblemente ejecutar código maligno en el servidor.
Alto Alto Busca la actualización correspondiente.
ftp (21/tcp) El servidor FTP permite conexiones anonimas .
El servidor es accesible por cualquier usuario de la red. Los siguientes directorios se encuentran en contenido del FTP: bin, etc, incoming y pub.
Bajo Bajo Si no desea compartir información con nadie desconocido, debe de desactivar las cuentas anonymas.
General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el próximo valor del campo ip_field del paquete enviado por el servidor.
Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.
Bajo Bajo Contactar a tu proveedor para que proporcione un parche.
Listas ssh (22/tcp) Se esta corriendo en el
servidor el servicio OpenSSH 3.7p1 or 3.7.1p1.
Esta versión tiene una vulnerabilidad cuya falla se encuentra en la forma en que se tramita la autenticación PAM , teniendo como consecuencia el acceso al shell del servidor.
Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva OpenSSH 3.7p2 o deshabilitar PAM soportado en el archivo sshd_config.
http (80/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.28
Hay varias fallas de esta versión, entre ellas podemos mencionar que el servidor puede ser deshabilitado remotamente por el atacante.
Alto Alto Actualizar la versión de Apache a la 1.3.28 o a una versión mas alta.
http (80/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.
Esto trae como consecuencia que los atacantes puedan falsificar el certificado de alguno de los clientes.
Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva.
196
http (puerto 80) y https (443/tcp)
El Servidor soporta los métodos de depuración de conexiones TRACE y TRACK.
Los servidores que soportan estos métodos son sujetos de ataques Cross-site-scripting, llamados XST para "Cross-Site-Tracing", cuando usan conjunciones con varias debilidades en los navegadores. El atacante puede utilizar esta falla para engañar a los usuarios legítimos para que le proporcionen información personal.
Medio Medio Deshabilitar los métodos de depuración. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]
https (443/tcp) El servidor esta corriendo una versión de OpenSSL mas vieja que 0.9.6k o 0.9.7.c
La versión contiene bugs que permiten al atacante tener acceso al shell del servidor.
Alto Alto Actualización del OpenSSL a la versión 0.9.6k o 0.9.7.c o mas nueva.
http (80/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.28
Hay varias fallas de esta versión, entre ellas podemos mencionar que el servidor puede ser deshabilitado remotamente por el atacante.
Alto Alto Actualizar la versión de Apache a la 1.3.29 o a una versión mas alta.
https (443/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.
Esto trae como consecuencia que los atacantes puedan falsificar el certificado de alguno de los clientes.
Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva.
x11 (6000/tcp) Puerto de X11 sin filtración de conexiones.
Es posible que el atacante envié datos basura que puede disminuir el funcionamiento del servidor o bien puede llegar a dejar de funcionar.
Bajo Bajo Filtrar las conexiones en los puertos 6000-6009.
197
XDMCP(177/udp) Esta corriendo el protocolo XDMCP. Proporciona el despliegue de las conexiones de las terminales X.
Este servicio es totalmente inseguro. Esto es porque la contraseña y el trafico generado se transporta sin encriptación. El atacante pude capturar la contraseña del usuario que usa el servicio XDMCP
Medio Medio Deshabilite este servicio.
sometimes-rpc8 (32772/udp)
El servidor esta corriendo el servicio RPC rstatd.
Este servicio permite tener información acerca del uso del CPU, red y tiempo del sistema.
Bajo Bajo No se recomienda tener este servicio corriendo en el servidor.
ntp (123-udp) El servidor esta corriendo el servicio NTP.
El servicio es vulnerable a la sobrecarga de buffer.
Alto Alto Si es vulnerable, actualizar el servicio.
Mail ssh (22/tcp) El demonio SSH soporta
conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.
El protocolo no es completamente criptográfico, no se debe de utilizar.
Bajo Bajo Si utiliza OpenSSH configure la opción "Protocolo" a "2". Si utiliza SSH.com's, configure la opción "Ssh1Compatibility" a "no".
ntp (123-udp) El servidor esta corriendo el servicio NTP.
El servicio es vulnerable a la sobrecarga de buffer.
Alto Alto Si es vulnerable, actualizar el servicio.
198
Reporte de Vulnerabilidades de los Servidores Windows 2000 En la semana 26 al 28 de abril se llevaron acabo los análisis de vulnerabilidades de los
servidores Windows 2000. Las pruebas que se llevaran acabo fueron las siguientes:
Sistema Operativo Aplicación de parches Debilidad de contraseña Red Barrido e puertos Negación de servicios Puertas traseras Fuerza bruta CGIs Demonios DCOM DNS correo electrónico FTP Recolección de información Aspectos críticos de NT Grupos NT Red NT Contraseñas NT Parches NT Políticas NT Registro NT Servicios NT Usuarios NT RPC Shares SNMP
Las pruebas se realizaron desde la red interna de la Dirección General de servicios
Telemáticos en horarios no críticos para la operación de los servicios y con el consentimiento
de los responsables. Estas pruebas se realizaron a los dispositivos con dirección IP no
homologada.
Tabla 1. Grupo de pruebas aplicadas a servidores Windows 2000.
199
A continuación se enumeran las actividades realizadas:
4. Escaneo de puertos, para todos los equipos. Esto se realizo con la finalidad de
determinar los servicios que esta proporcionando el dispositivo de red. Además se
comprueba la información que se obtuvo en la etapa de contextualizacion.
5. Se llevaron acabo las pruebas que se presentan en la tabla 1 para los servidores
Windows 2000. La herramienta que se utilizo fue Nesuss, la cual es un software de
diagnostico para los servicios de Internet, para determinar la robustez, solidez e
invulnerabilidad del sistema mediante el escaneo remoto de vulnerabilidades,
basándose para ello en una base de datos conteniendo todos los ataques conocidos
hasta el momento de la ultima actualización que se lleva acabo vía conexión a Internet.
6. Se procedió a la tabulación de los hallazgos proporcionados por el analizador de
vulnerabilidades (Nessus).
Resumen de los Hallazgos Con el fin de dar a conocer un resumen de los resultados se presenta una grafica de pastel que
refleja los resultados de las pruebas. Antes de presentar la grafica es prudente hacer una breve
descripción de la severidad de los hallazgos.
De las vulnerabilidades encontradas en los servidores de Windows 2000, se registro un 18%
de vulnerabilidades que se encuentran en el nivel alto, 35% en el nivel medio y 47% en el
nivel bajo. De las vulnerabilidades que se encuentran en el nivel alto, la aplicación FTP
presenta mayor numero de incidencia de vulnerabilidad. De los servidores que fueron parte del
análisis de vulnerabilidad, el servidor Serveredes es el presenta el mayor porcentaje (29%)
de vulnerabilidades de alto riesgo.
200
La figura 1 muestra un resume de los hallazgos encontrados. La figura 2 presenta los
resultados de que aplicaciones son las causantes de las vulnerabilidades con alto nivel de
riesgo.
Figura 1. Riesgos de Seguridad de Windows 2000 Server.
Figura 2. Servidor que presenta el mayor porcentaje de vulnerabilidades de alto riesgo.
201
A continuación se presenta la información tabulada de las vulnerabilidades encontradas en los
servidores con plataforma Windows 2000.
Figura 3. Servicios más peligros en la red.
202
Host Servicio Vulnerabilidad Consecuencia Impacto Individual
Impacto General Control/Medida
Antivirus
http (puerto 80) El servidor web remoto tiene activada la pagina de bienvenida.
Es probable que este servidor no utilice el servicio.
Bajo Bajo En caso de no utilizar el servicio, deshabilite el servicio
http (puerto 80) El servidor tiene habilitado el servicio WebDAV
El servidor en respuesta de una solicitud maliciosa puede llegar a deshabilitarlo por causa del consumo de CPU.
Medio Medio Deshabilitar el servicio o bien disminuir el impacto. Puede encontrar información en http://support.microsoft.com/default.aspx?kbid=241520.
http (puerto 80) El servidor IIS cuenta con el mapeo de un filtro IDA ISAPI.Existen varias vulnerabilidades debido a este filtro.
Puede llegar a proporcionar al atacante una intrusión al servidor web con un nivel de acceso de sistema.
Medio Medio Para Deshabilitar el filtro con la extensión .IDA: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .ida de la lista. También puede descargar e instalar la herramienta URLSCAN que bloquea todas las solicitudes ida.
203
http (puerto 80) IIS 5 tiene soporte para el protocolo de impresión vía Internet (IPP). IPP se implementa como una extensión ISAPI.
Puede causar una sobre carga del buffer.
Bajo Bajo Deshabilitar el protocolo. Para Deshabilitar el filtro con la extensión .printer: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .printer de la lista.
http (puerto 80) El Servidor soporta los métodos de depuración de conexiones TRACE y TRACK.
Los servidores que soportan estos métodos son sujetos de ataques Cross-site-scripting, llamados XST para "Cross-Site-Tracing", cuando usan conjunciones con varias debilidades en los navegadores. El atacante puede utilizar esta falla para engañar a los usuarios legítimos para que le proporcionen información personal.
Medio Medio Deshabilitar los métodos de depuración. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] Si utiliza IIS utilice la herramienta URLSCAN para denegar solicitudes HTTP Trace o permitir solo los métodos que necesita el servidor.
http (puerto 80) Se puede saber el tipo y versión del servidor de Web.
Puede ayudar al intruso a recopilar información que posteriormente puede utilizar para llevar acabo un ataque.
Informativo Medio Utilizar el URLSCAN para cambiar esta opción.
204
loc-srv (135tcp) Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.
El atacante puede obtener mas información del servidor.
Bajo Bajo Filtrar el trafico entrante en el puerto 135. Asi como los puertos 1027, 1029 y 1031, que corresponden a otros servicios.
netbios-ns(137udp)
Se obtienen todos los nombres netbios del servidor.
El atacante puede obtener mas información del servidor.
Medio Medio Filtrar el trafico entrante en el puerto 137.
Microsoft-ds(445tcp)
El identificador de seguridad (SID) del servidor de obtiene remotamente.
El atacante puede utilizar el SID para obtener la lista de usuarios del servidor.
Medio Medio Filtrar el trafico entrante en los puertos 137-139 y 445.
Microsoft-ds(445tcp)
Las cuentas de usuarios Guest y TsInternetUser, nunca han sido utilizadas.
Las cuentas de usuarios que no son utilizadas son de mucha utilidad para los atacantes.
Medio Medio Borrar estas cuentas de usuario.
Microsoft-ds(445tcp)
Existen cuentas de usuarios que contienen contraseñas que nunca expiran.
El atacante puede obtener la contraseña de alguna de estas cuentas de usuarios y no existirá un tiempo limitado para acceder al servidor.
Medio Medio Deshabilitar la opción la contraseña nunca expira en las cuentas de usuarios. Asignar las políticas que recomienda Microsoft para la administración de cuentas de usuarios.
Microsoft-ds(445tcp)
El servidor permite el listado de los nombres de host con los cuales ha tenido comunicación.
Permite que el atacante tenga los nombres de los hosts que pueden ser atacados.
Bajo Bajo Filtrar el trafico entrante en el puerto 445.
Microsoft-ds(445tcp)
Fue posible realizar un login en el servidor con una sesión nula.
Es posible dar acceso al servidor con privilegios de invitado.
Medio Medio Visite el site de Microsoft y busque los siguientes artículos: MS KB Articulo Q143474 (NT 4.0) and Q246261 (Windows 2000).
205
ms-sql-sr (1433tcp)
El servicio de SQL esta corriendo en el servidor.
Usuarios no autorizados pueden establecer una conexión con el servicio.
Informativo Informativo Bloque es el servicio para los usuarios externos.
Serveredes FTP (21/tcp) Existe una falla en la forma
que se atienen las solicitudes de MTDTM que le permite al intruso ejecutar código arbitrario en el servidor.
Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.
Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.
FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de SITE CHMOD que le permite al intruso ejecutar código arbitrario en el servidor.
Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.
Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.
smtp (25/tcp) Tiene la librería ASN.1 la cual es vulnerable, el atacante solo necesita enviar un paquete con un código especial ASN.1 que cumpla con las longitudes apropiadas.
Es una falla que puede permitir a un atacante ejecutar código arbitrario en el servidor.
Alto Alto Se debe de aplicar el parche apropiado. Descargarlo en la siguiente dirección url: http://www.microsoft.com/TechNet/security/bulletin/ms04-007.mspx
http (puerto 80) Tiene la librería ASN.1 la cual es vulnerable, el atacante solo necesita enviar un paquete con un código especial ASN.1 que cumpla con las longitudes apropiadas.
Es una falla que puede permitir a un atacante ejecutar código arbitrario en el servidor.
Alto Alto Se debe de aplicar el parche apropiado. Descargarlo en la siguiente dirección url: http://www.microsoft.com/TechNet/security/bulletin/ms04-007.mspx
http (puerto 80) Se determina la versión del servidor web
El intruso puede tener mas información para llevar acabo el ataque.
Bajo Bajo Utilizar el URLSCAN para cambiar esta opción.
206
loc-srv (135tcp) Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.
El atacante puede obtener mas información del servidor.
Bajo Bajo Filtrar el trafico entrante en el puerto 135.
netbios-ns(137udp)
Se obtienen todos los nombres netbios del servidor.
El atacante puede obtener mas información del servidor.
Medio Medio Filtrar el trafico entrante en el puerto 137.
microsoft-ds(445/tcp)
Tiene la librería ASN.1 la cual es vulnerable, el atacante solo necesita enviar un paquete con un código especial ASN.1 que cumpla con las longitudes apropiadas.
Es una falla que puede permitir a un atacante ejecutar código arbitrario en el servidor.
Alto Alto Se debe de aplicar el parche apropiado. Descargarlo en la siguiente dirección url: http://www.microsoft.com/TechNet/security/bulletin/ms04-007.mspx
Microsoft-ds(445tcp)
El identificador de seguridad (SID) del servidor de obtiene remotamente.
El atacante puede utilizar el SID para obtener la lista de usuarios del servidor.
Medio Medio Filtrar el trafico entrante en los puertos 137-139 y 445.
Microsoft-ds(445tcp)
Las cuentas de usuarios Guest y TsInternetUser, nunca han sido utilizadas.
Las cuentas de usuarios que no son utilizadas son de mucha utilidad para los atacantes.
Medio Medio Borrar estas cuentas de usuario.
Microsoft-ds(445tcp)
Existen cuentas de usuarios que contienen contraseñas que nunca expiran.
El atacante puede obtener la contraseña de alguna de estas cuentas de usuarios y no existirá un tiempo limitado para acceder al servidor.
Medio Medio Deshabilitar la opción la contraseña nunca expira en las cuentas de usuarios. Asignar las políticas que recomienda Microsoft para la administración de cuentas de usuarios.
207
Microsoft-ds(445tcp)
Fue posible realizar un login en el servidor con una sesión nula.
Es posible dar acceso al servidor con privilegios de invitado.
Medio Medio Visite el site de Microsoft y busque los siguientes artículos: MS KB Articulo Q143474 (NT 4.0) and Q246261 (Windows 2000).
mysql (3306/tcp) Esta corriendo la versión mas vieja que la 4.0.15 de SQL.
Cualquier intruso que tenga credencial para entrar al servidor puede entrar a la base de datos a través de la ejecución de código que cambiara la contraseña por una mas larga que contenga código shell.
Medio Medio Actualizar a la versión 4.0.15 de MySQL o a una mas nueva.
General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el próximo valor del campo ip_field del paquete enviado por el servidor.
Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.
Bajo Bajo Contactar a tu proveedor para que proporcione un parche.
Servidor Intranet
FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de MTDTM que le permite al intruso ejecutar código arbitrario en el servidor.
Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.
Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.
FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de SITE CHMOD que le permite al intruso ejecutar código arbitrario en el servidor.
Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.
Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.
208
Microsoft-ds(445tcp)
El identificador de seguridad (SID) del servidor de obtiene remotamente.
El atacante puede utilizar el SID para obtener la lista de usuarios del servidor.
Medio Medio Filtrar el trafico entrante en los puertos 137-139 y 445.
Microsoft-ds(445tcp)
Las cuentas de usuarios Guest y TsInternetUser, nunca han sido utilizadas.
Las cuentas de usuarios que no son utilizadas son de mucha utilidad para los atacantes.
Medio Medio Borrar estas cuentas de usuario.
Microsoft-ds(445tcp)
Existen cuentas de usuarios que contienen contraseñas que nunca expiran.
El atacante puede obtener la contraseña de alguna de estas cuentas de usuarios y no existirá un tiempo limitado para acceder al servidor.
Medio Medio Deshabilitar la opción la contraseña nunca expira en las cuentas de usuarios. Asignar las políticas que recomienda Microsoft para la administración de cuentas de usuarios.
netbios-ns(137udp)
Se obtienen todos los nombres netbios del servidor.
El atacante puede obtener mas información del servidor.
Medio Medio Filtrar el trafico entrante en el puerto 137.
Microsoft-ds(445tcp)
El servidor permite el listado de los nombres de host con los cuales ha tenido comunicación.
Permite que el atacante tenga los nombres de los hosts que pueden ser atacados.
Bajo Bajo Filtrar el trafico entrante en el puerto 445.
Microsoft-ds(445tcp)
Fue posible realizar un login en el servidor con una sesión nula.
Es posible dar acceso al servidor con privilegios de invitado.
Medio Medio Visite el site de Microsoft y busque los siguientes artículos: MS KB Articulo Q143474 (NT 4.0) and Q246261 (Windows 2000).
ms-sql-sr (1433tcp)
El servicio de SQL esta corriendo en el servidor.
Usuarios no autorizados pueden establecer una conexión con el servicio.
Informativo Informativo Bloque es el servicio para los usuarios externos.
209
loc-srv (135tcp) Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.
El atacante puede obtener mas información del servidor.
Bajo Bajo Filtrar el trafico entrante en el puerto 135. Asi como los puertos 1027, 1029 y 1031, que corresponden a otros servicios.
mysql (3306/tcp) Esta corriendo la versión mas vieja que la 4.0.15 de SQL.
Cualquier intruso que tenga credencial para entrar al servidor puede entrar a la base de datos a través de la ejecución de código que cambiara la contraseña por una mas larga que contenga código shell.
Medio Medio Actualizar a la versión 4.0.15 de MySQL o a una mas nueva.
General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el próximo valor del campo ip_field del paquete enviado por el servidor.
Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.
Bajo Bajo Contactar a tu proveedor para que proporcione un parche.
Bdigital
FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de MTDTM que le permite al intruso ejecutar código arbitrario en el servidor.
Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.
Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.
FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de SITE CHMOD que le permite al intruso ejecutar código arbitrario en el servidor.
Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.
Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.
210
http (puerto 80) El servidor web remoto tiene activada la pagina de bienvenida.
Es probable que este servidor no utilice el servicio.
Bajo Bajo En caso de no utilizar el servicio, deshabilite el servicio
http (puerto 80) El servidor tiene habilitado el servicio WebDAV
El servidor en respuesta de una solicitud maliciosa puede llegar a deshabilitarlo por causa del consumo de CPU.
Medio Medio Deshabilitar el servicio o bien disminuir el impacto. Puede encontrar información en http://support.microsoft.com/default.aspx?kbid=241520.
http (puerto 80) El servidor IIS cuenta con el mapeo de un filtro IDA ISAPI.Existen varias vulnerabilidades debido a este filtro .
Puede llegar a proporcionar al atacante una intrusión al servidor web con un nivel de acceso de sistema.
Medio Medio Para Deshabilitar el filtro con la extensión .IDA: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .ida de la lista. También puede descargar e instalar la herramienta URLSCAN que bloquea todas las solicitudes ida.
211
http (puerto 80) IIS 5 tiene soporte para el protocolo de impresión vía Internet (IPP). IPP se implementa como una extensión ISAPI.
Puede causar una sobre carga del buffer.
Bajo Bajo Deshabilitar el protocolo. Para Deshabilitar el filtro con la extensión .printer: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .printer de la lista.
http (puerto 80) El Servidor soporta los métodos de depuración de conexiones TRACE y TRACK.
Los servidores que soportan estos métodos son sujetos de ataques Cross-site-scripting, llamados XST para "Cross-Site-Tracing", cuando usan conjunciones con varias debilidades en los navegadores. El atacante puede utilizar esta falla para engañar a los usuarios legítimos para que le proporcionen información personal.
Medio Medio Deshabilitar los métodos de depuracion. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] Si utiliza IIS utilice la herramienta URLSCAN para denegar solicitudes HTTP Trace o permitir solo los métodos que necesita el servidor.
loc-srv (135tcp) Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.
El atacante puede obtener mas información del servidor.
Bajo Bajo Filtrar el tráfico entrante en el puerto 135. Así como los puertos 1027, 1029 y 1031, que corresponden a otros servicios.
netbios-ns(137udp)
Se obtienen todos los nombres netbios del
El atacante puede obtener mas información del
Medio Medio Filtrar el tráfico entrante en el puerto 137.
212
servidor. servidor.
Microsoft-ds(445tcp)
El identificador de seguridad (SID) del servidor de obtiene remotamente.
El atacante puede utilizar el SID para obtener la lista de usuarios del servidor.
Medio Medio Filtrar el trafico entrante en los puertos 137-139 y 445.
Microsoft-ds(445tcp)
Las cuentas de usuarios Guest y TsInternetUser, nunca han sido utilizadas.
Las cuentas de usuarios que no son utilizadas son de mucha utilidad para los atacantes.
Medio Medio Borrar estas cuentas de usuario.
Microsoft-ds(445tcp)
Existen cuentas de usuarios que contienen contraseñas que nunca expiran.
El atacante puede obtener la contraseña de alguna de estas cuentas de usuarios y no existirá un tiempo limitado para acceder al servidor.
Medio Medio Deshabilitar la opción la contraseña nunca expira en las cuentas de usuarios. Asignar las políticas que recomienda Microsoft para la administración de cuentas de usuarios.
Microsoft-ds(445tcp)
El servidor permite el listado de los nombres de host con los cuales ha tenido comunicación.
Permite que el atacante tenga los nombres de los hosts que pueden ser atacados.
Bajo Bajo Filtrar el tráfico entrante en el puerto 445.
Microsoft-ds(445tcp)
Fue posible realizar un login en el servidor con una sesión nula.
Es posible dar acceso al servidor con privilegios de invitado.
Medio Medio Visite el site de Microsoft y busque los siguientes artículos: MS KB Articulo Q143474 (NT 4.0) and Q246261 (Windows 2000).
blackjack (1025/tcp)
Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.
El atacante puede obtener mas información del servidor.
Bajo Bajo Filtrar el tráfico entrante en el puerto 135. Así como los puertos 1025, 1026 y 1028, que corresponden a otros servicios.
213
mysql (3306/tcp) Esta corriendo la versión mas vieja que la 4.0.15 de SQL.
Cualquier intruso que tenga credencial para entrar al servidor puede entrar a la base de datos a través de la ejecución de código que cambiara la contraseña por una mas larga que contenga código shell.
Medio Medio Actualizar a la versión 4.0.15 de MySQL o a una mas nueva.
General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el próximo valor del campo ip_field del paquete enviado por el servidor.
Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.
Bajo Bajo Contactar a tu proveedor para que proporcione un parche.