Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una

organización previene, protege y maneja los riesgos de diferentes daños.

Objetivos de las políticas de seguridad:

Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos
que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.

Componentes de una política de seguridad:

• Una política de privacidad

• Una política de acceso
• Una política de autenticación
• Una política de contabilidad
• Una política de mantenimiento para la red

• Una política de divulgación de información.

Hemos seleccionado los siguientes articulos para usted:

Para los CEOs, la seguridad informática no es prioritaria

Sin reacciones
Cifras preocupantes
Fuente: infobaeprofesional.com

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Generalidades
Definición de Políticas de Seguridad Informática
Elementos de una Política de Seguridad Informática
Parámetros para Establecer Políticas de Seguridad
Razones que Impiden la Aplicación de las Políticas de Seguridad Informática
Fuente: monografias.com

Introduccion a los sniffer's y anti-sniffers

Fuente: todo-linux.com

Para los CEOs, la seguridad informática no es prioritaria

La percepción de los ejecutivos es que los virus representan el mayor riesgo, aunque la realidad indica
que el fraude es la práctica más peligrosa. Aparece el spam en escena

Aunque la industria tecnológica aumenta los esfuerzos para evangelizar en materia de seguridad
informática, los máximos responsables de las compañías no toman conciencia sobre el asunto. Y para
el 80% de los CEOs, el tema no es prioritario.

Los datos surgieron de la encuesta anual sobre seguridad informática que realiza Ernst & Young (E&Y)
en todo el mundo. La postal tomada de la situación en el planeta se replica en forma idéntica en la
Argentina.

“La principal conclusión es que no ha cambiado significativamente el cuidado por la seguridad

informática en las empresas cuando los riesgos han crecido considerablemente en los últimos años”,
dijo Fernando Conesa, socio de E&Y.

Sin reacciones
El ejecutivo explicó que la costumbre en las empresas es que siguen sin actuar después de que haya
habido un problema. “Las inversiones en seguridad informática aparecen después que hubo un
problema”, explicó.

Además de la aparición de nuevos virus, una inadecuada utilización de los sistemas y la pérdida de
confidencialidad, entre otros aspectos, este año apareció por primera vez en el sondeo de percepción
el spam. El envío masivo de e-mails no solicitados produce la denegación de servicio, situación que
puede poner en riesgo la evolución de un negocio.

Cifras preocupantes
En El 67% de las empresas consultadas considera muy importante a las políticas de seguridad
informática. Pero sólo el 15% reporta a los directorios de las empresas el estado de seguridad o
incidentes informáticos sucedidos cada mes. Un 16% lo hace cada cuatro meses, un 8% cada seis
meses, un 11% nunca y el 10% sólo una vez por año.

Al ser consultadas sobre los obstáculos que encuentran para implementar un plan efectivo en la
materia, destacan que hay falta de conciencia en los usuarios finales, limitaciones de presupuesto,
disponibilidad de personal especializado, dificultad para probar el valor de la seguridad informática (el
retorno de la inversión) y el ritmo acelerado de los cambios tecnológicos.
El nivel de concientización entre los empleados de una organización crece en la medida en que el CEO
lo establece como política prioritaria.

Políticas de Seguridad Informática

Generalidades

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y

nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de
redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder
explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la
aparición de nuevas amenazas para los sistemas de información.

Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y

directrices que orientan en el uso adecuado de estas destrezas tecnológicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y
operaciones de la empresa.

En este sentido, las políticas de seguridad informática surgen como una herramienta
organizacional para concientizar a los colaboradores de la organización sobre la
importancia y sensibilidad de la información y servicios críticos que permiten a la empresa
crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política
de seguridad requiere un alto compromiso con la organización, agudeza técnica para
establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en
función del dinámico ambiente que rodea las organizaciones modernas.

Definición de Políticas de Seguridad Informática

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que
las mismas establecen un canal formal de actuación del personal, en relación con los
recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción
técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los
empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello,
pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer
la información como uno de sus principales activos así como, un motor de intercambio y
desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben
concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informáticos.

Elementos de una Política de Seguridad Informática

Como una política de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes

elementos:

o Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la

cual aplica.
o Objetivos de la política y descripción clara de los elementos involucrados en
su definición.
o Responsabilidades por cada uno de los servicios y recursos informáticos
aplicado a todos los niveles de la organización.
o Requerimientos mínimos para configuración de la seguridad de los sistemas
que abarca el alcance de la política.
o Definición de violaciones y sanciones por no cumplir con las políticas.
o Responsabilidades de los usuarios con respecto a la información a la que
tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles

sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos.
Igualmente, deberán establecer las expectativas de la organización en relación con la
seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una
comprensión clara de las mismas, claro está sin sacrificar su precisión.

Por último, y no menos importante, el que las políticas de seguridad, deben seguir un
proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como
son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de
personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o
diversificación del área de negocios, etc.

Parámetros para Establecer Políticas de Seguridad

Es importante que al momento de formular las políticas de seguridad informática, se

consideren por lo menos los siguientes aspectos:

• Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar
las políticas a la realidad de la empresa.
 • Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.
• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.
• Identificar quién tiene la autoridad para tomar decisiones en cada departamento,
pues son ellos los interesados en salvaguardar los activos críticos su área.
• Monitorear periódicamente los procedimientos y operaciones de la empresa, de
forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
• Detallar explícita y concretamente el alcance de las políticas con el propósito de
evitar situaciones de tensión al momento de establecer los mecanismos de seguridad
que respondan a las políticas trazadas.

Razones que Impiden la Aplicación de las Políticas de Seguridad Informática

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir
directrices de seguridad y concretarlas en documentos que orienten las acciones de las
mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es
convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de
seguridad informática.

Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una

estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en
seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para
juguetes del Departamento de Sistemas".

Esta situación ha llevado a que muchas empresas con activos muy importantes, se
encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en
muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante
esta situación, los encargados de la seguridad deben confirmar que las personas entienden
los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las
decisiones tomadas en relación con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las
estrategias del negocio, a su misión y visión, con el propósito de que los que toman las
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la
compañía.

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía
para la seguridad de la organización, ellas deben responder a intereses y necesidades
organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus
actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad
informática factores que facilitan la formalización y materialización de los compromisos
adquiridos con la organización.

Introduccion a los sniffer's y anti-sniffers

Dsniff nos demuestra lo inseguras que son nuestras redes, sobretodo si nos empenamos en
enviar contrasenas en formato texto plano. Con este sniffer, nos daremos cuenta de los
realmente importante que puede llegar a ser la utilizacion de la encriptacion en nuestras
comunicaciones diarias...

Tal y como dice el autor del programa Dug Song, el desarrollo esta potentisima aplicacion
para auditar sus propias redes y para demostrar la necesidad de usar encriptacion de un
modo habitual. "Please do not abuse this software"

Gracias a dsniff, tenemos un motivo mas para usar diariamente herramientas como ssh (la
version 2, porque la 1 tiene algunos problemas de seguridad y es vulnerable) y gpg (Gnu
pgp)

Para haceros una idea de las posibilidades del dsniff, conectaros a Internet como lo haceis
habitualmente, en otra sesion como root teclear: (sigue)

# dsniff -i ppp0

Ahora bajaros el correo, entrad en algun servidor/servicio que os pida contrasena y vereis
como por arte de magia vais capturando los pares usuario:contrasena.

Entrad ahora usando ssh y vereis como en este caso nuestro sniffer no captura la
contrasena. ;-)

dsniff esta formado por una serie de programas que son:

* dsniff: simple password sniffer. (Yo realmente no lo consideria nada simple) * arpspoof:
redirect packets from a target host (or all hosts) on the LAN intended for another host on
the LAN by forging ARP replies.

* dnsspoof: forge replies to arbitrary DNS address / pointer queries on the LAN.

* filesnarf: saves selected files sniffed from NFS traffic in the current working directory.

* macof: flood the local network with random MAC addresses.

* mailsnarf: a fast and easy way to violate the Electronic Communications Privacy Act of
1986 (18 USC 2701-2711), be careful.

* msgsnarf: record selected messages from sniffed AOL Instant Messenger, ICQ 2000, IRC,
and Yahoo! Messenger chat sessions.

* sshmitm: SSH monkey-in-the-middle.

* tcpkill: kills specified in-progress TCP connections.

* tcpnice: slow down specified TCP connections via "active" traffic shaping. (Se puede usar
para evitar virus/gusanos tipo NIMDA). Os recomiendo que os paseis por:

http://bulmalug.net/body.phtml?nIdNoticia=865 * urlsnarf: output all requested URLs

sniffed from HTTP traffic in CLF (Common Log Format, used by almost all web servers),
suitable for offline post-processing

* webmitm: HTTP / HTTPS monkey-in-the-middle.

* webspy: sends URLs sniffed from a client to your local Netscape browser for display, a fun
party trick

Pagina web del dsniff:

http://www.monkey.org/~dugsong/dsniff/ Ademas de la version actual la 2.3, podemos

encontrar una beta de la nueva version que esta en desarrollo con nuevas caracteristicas.

http://www.monkey.org/~dugsong/dsniff/beta/dsniff-2.4b1.tar.gz

Mas informacion:

ftp://www6.software.ibm.com/software/developer/library/s-sniff.pdf
ftp://www6.software.ibm.com/software/developer/library/s-sniff2.pdf

Simplemente I M P R E S I O N A N T E .

En el proximo articulo os mostrare como detectar sniffer's en nuestra red local.

- http://bulmalug.net/body.phtml?nIdNoticia=928

Deteccion de sniffers usando Linux

==================================

Un sniffer es un programa que captura todo el trafico que pasa por la red,de forma que
ejecutado en una red local, permiten obtener pares (usuario:contrasena) rapidamente.

Suele funcionar de forma pasiva, siendo muy dificiles de detectar, aunque existen algunas
tecnicas que nos permitiran averiguar si tenemos espias en nuestra red ...

Existen multitud de sniffer's en Linux, cada cual con sus peculiaridades y caracteristicas,
pero uno de los mas potentes y que mas me gusta, es dsniff, os recomiendo la lectura del
articulo:Maxima seguridad con dsniff. El sniffer total.

_________________________________________________________________

Advertencia: Detectar un sniffer es sumamente dificil, por no decir, que si esta

correctamente configurado y oculto usando otras tecnicas, es practicamente imposible
detectarlos. Aqui intentare dar algunas ideas y consejos para que conozcais de que va el
tema.

_________________________________________________________________

Se dan 2 situaciones distintas:

* Consulta directa de las interfaces de red.

* NO es posible la consulta directa de las interfaces de red.
Consulta directa de las interfaces de red.

En el primer caso lo que tendremos que hacer es mirar el estado de las diferentes interfaces
de redes que tengamos en dicho equipo. La forma mas habitual e utilizar el comando
ifconfig (paquete net-tools), aunque podemos usar otros como ifstatus o cpm (check for
network interfaces in promiscuous mode).

Aqui os muestro como el resultado del comando ifconfig antes y despues de ejecutar el
sniffer en una maquina FreeBSD:

$ ifconfig fxp0: flags=8843 mtu 1500

Estando el sniffer en ejecucion, podemos ver en la primera linea la palabra "PROMISC", que
nos revela el estado de la tarjeta de red:

$ ifconfig fxp0: flags=8943 mtu 1500

Normalmente cuando la interface pasa a modo promiscuo, queda reflejado en el fichero de

logs, tal y como podemos ver aqui.

# cat /var/log/messages .

Nov 20 08:51:20 maquineta /kernel: fxp0: promiscuous mode enabled .

Aunque es la forma mas sencilla y directa de detectar un sniffer, tampoco es infalible,

puesto que aun estando en marcha el sniffer puede que no aparezca la interfaz como
promiscuos sobretodo si han crackeado la maquina y le han metido un LKM del estilo del
RhideS v1.0 (rhides.c en 7a69#12): "Is usualy to install a sniffer when you hack some
system, but if you do it,the net device is established to promisc mode and if the admin is
inteligent must to discover the sniffer.Using RhideS you can to hide some promisc mode
interface easily. Inserting the module you can specify magic words."

Otras posibles medidas para detectar el sniffer son:

* Controlar y detectar los logs que genera el sniffer.

* Controlar las conexiones al exterior, por ejemplo, el envio sospechoso de e-mail a cuentas
extranas.

* Utilizar la herramienta lsof (LiSt Open Files), de forma que tengamos monitorizados los
programas que acceden al dispositivo de red.

NO es posible la consulta directa de las interfaces de red.

En caso de que no podamos acceder y consultar el estado de las interfaces de red, puesto
que el sniffer no esta en nuestra maquina sino que se encuentra en alguna otra maquina de
la red. Lo que tendremos que hacer, es utilizar algun defecto en la implementacion concreta
del protocolo TCP/IP por algun programa/comando (tal y como hace el programa neped
respecto a el arp) o ingeniarnoslas para averiguar de alguna forma si tenemos algun sniffer
corriendo en la red:
"Una de las posibles tecnicas, consiste en enviar paquetes a una maquina inexistente y cuya
direccion no esta dada de alta en el servidor de nombres. Sabremos que tenemos un sniffer
en nuestra red si posteriormente detectamos cualquier intento de acceso a la maquina
ficticia".

Antisniff, del que tenemos incluso el codigo fuentes en la version Unix, es una de las
mejores herramientas de deteccion de sniffer de forma remota, aunque quizas este un
poquitin obsoleto, sobretodo porque no contempla la nueva generacion de sniffers.

AntiSniff is a new class of proactive security monitoring tool.It has the ability to scan a
network and detect whether or not any computers are in promiscuous mode This is often a
sign that a computer has been compromised. With AntiSniff, administrators and security
teams can finally get a handle on who is watching network traffic at their site. Antisniff was
designed to detect compromized machines with IP stacks that a remote attacker could
utilize to sniff network traffic. It was not designed to detect hardware based network
probes or special purpose network analyzers which an attacker would need physical access
to install.

Sentinel es otra interesante herramienta, cuyo objetivo principal es la deteccion remota de

sniffers. Utiliza las librerias libcap y libnet y tenemos el codigo fuente disponible. The
sentinel project is an implementation of effective remote promiscuous detection
techniques.For portability purposes, the sentinel application uses the libpcap and libnet
libraries.

Por ultimo comentar la existencia de una curiosa herramienta: AntiAntiSniffer Sniffer, cuyo
objetivo es detectar la ejecucion en la red del Antisniff, evitando ser detectado por el
mismo.

Conclusion: Recordar (una vez mas) la necesidad de usar encriptacion a diario en TODAS
nuestras comunicaciones: S/key, gpg, SSH, SSL, Firewall, VPNs, etc...

Enlaces:
* dsniff:
http://www.monkey.org/~dugsong/dsniff/
* sniffit:
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
* net-tools:http://www.tazenda.demon.co.uk/phil/net-tools/
*
neped.c:http://www.securityfocus.com/data/tools/neped.c
* Ifstatus:
http://www.ja.net/CERT/Software/ifstatus/ifstatus2.2.tar.gz
* cpm, ifsolstat:
http://www.ja.net/CERT/Software/sniffdetect/
* 7a69ezine: http://www.7a69ezine.org/
* lsof:
http://freshmeat.net/redir/lsof/6029/url_changelog/
* Antisniff: http://www.l0pht.com/antisniff/
http://www.securityfocus.com/data/tools/anti_sniff_researchv1-1-2.tar.gz
* Sentinel:
http://www.packetfactory.net/Projects/sentinel/
* libnet:
http://www.packetfactory.net/Projects/libnet
* libpcap: http://www.tcpdump.org
* Anti Antisniff:
http://www.securityfocus.com/data/tools/aass.c
* sniffing-faq:
http://www.robertgraham.com/pubs/sniffing-faq.html
* Sniffing (network wiretap, sniffer) FAQ:
http://cs.baylor.edu/~donahoo/tools/sniffer/sniffingFAQ.htm