Documente Academic
Documente Profesional
Documente Cultură
organizaciones
[1.1] ¿Cómo estudiar este tema?
[1.2] Introducción
es un
confidencialidad
TEMA 1 – Esquema
proceso protege integridad
sobre un disponibilidad
Sistema de
información
1
de
que incluye que identifica Activos de
información valiosos
basado en
Sistema Sistema social analizar
técnico (personas) riesgos amenazas
de ocurrencia de
controles físicas
que implementa
Lógicas
(en el software)
Ideas clave
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
1.2. Introducción
Para comenzar el tema, debes leer el caso de estudio y consultar las fuentes
mencionadas en él para comprender la perspectiva de la seguridad de la información
desde el punto de vista de la empresa. Es particularmente interesante buscar
información de estimaciones de coste de incidentes o brechas de seguridad que han
sido notorias en los medios.
También como aspecto general de gran relevancia debes comprender la importancia del
«factor humano» y entender que las técnicas de «ingeniería social» hacen
inútiles a los medios técnicos más sofisticados. Es interesante buscar y leer casos de
brechas de seguridad en las que el «eslabón más débil» fue un empleado y no un
sistema pobremente configurado.
Seguridad de información implica determinar qué hay que proteger y por qué, de
qué se debe proteger y cómo protegerlo.
Ejemplo
En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus
problemas de seguridad, eso quiere decir que no comprendes los problemas y que no
comprendes la tecnología».
Podemos decir que la perspectiva organizativa y la legal indican qué hay que
proteger (lo establecido en la ley y los recursos importantes para la organización) y
por qué y de qué (porque se protegen derechos de las personas frente a violaciones
de la privacidad o porque comprometer ciertos recursos de información afecta al
negocio por acciones de robo de información o espionaje industrial).
La perspectiva técnica se encarga del cómo hay que proteger desde el punto de vista
técnico (por ejemplo, si hay que utilizar ciertas actualizaciones de un sistema operativo,
si hay que desplegar honeypots o instalar un IDS) dependiendo de la tipología
cambiante de las amenazas (por ejemplo, la difusión generalizada de los smartphones
requiere medidas adicionales para este tipo de plataformas).
Comentario
Aclaración
Entorno (environment)
Clientes
Gestión de los SI
Competidores
Personas Tareas
Marco regulatorio
Por tanto, la gestión de la seguridad de los Sistemas de Información cubren todos los
elementos que aparecen en la anterior figura. Para saber más sobre conceptos de sistemas
de información puede consultarse el libro de Laudon&Laudon:
Confidencialidad
Integridad Disponibilidad
Estos tres atributos pueden utilizarse como criterio para los controles de seguridad
dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no
deseable, son la revelación, la alteración y la destrucción.
La confidencialidad
Confidencialidad
Es la propiedad de prevenir la revelación y divulgación intencionada o no
intencionada de información a personas o sistemas no autorizados.
Ejemplo
Con el auge de las redes sociales online como Facebook también ha llegado el pishing
especializado en estas redes. El ejemplo que se muestra debajo es un mensaje de correo
electrónico que aparentemente es una invitación a hacer un contacto en Facebook. A
pesar de que hay signos para reconocer que es fraudulento (como el dominio aol.com del
remitente), muchos usuarios siguen cayendo en la trampa. En este caso, el fraude
permitiría acceder a la información privada de nuestra cuenta de Facebook.
La integridad
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas.
Algunos autores consideran que la integridad debe también cubrir las modificaciones no
autorizadas por el personal autorizado, es decir, el control interno de las autorizaciones.
El primero de los principios es muy simple. Solo se debe dar acceso a los usuarios a
aquellos recursos de información que les sean absolutamente imprescindibles para
realizar su trabajo. Yendo un paso más allá, este principio lleva a establecer controles
específicos para evitar que los usuarios puedan modificar información de maneras que
comprometan su integridad. Un ejemplo de este tipo de controles es un registro de
transacciones de las acciones del usuario, de modo que puedan inspeccionarse
posteriormente.
Ejemplo
El segundo de los principios implica que, para una determinada tarea, no haya nunca
un solo usuario responsable de realizarla. De esta manera, al menos habrá dos personas
implicadas y será más difícil que se utilice una manipulación de datos para beneficio
personal. El tercero de los principios va en la misma dirección y propone que las tareas
asignadas a los empleados cambien de responsable de vez en cuando. El problema con
la rotación es que, en empresas con pocos empleados en un determinado tipo de
puesto, puede ser difícil el intercambiar sus tareas.
La disponibilidad
Un sistema está disponible cuando sus usuarios legítimos pueden utilizarlo para
realizar funciones legítimas. Es decir, para realizar el trabajo necesario para el negocio.
Disponibilidad
Es la característica, cualidad o condición de la información de encontrarse
a disposición de quienes deben acceder a ella como usuarios autorizados,
ya sean personas, procesos o aplicaciones.
Los ataques DoS se han hecho populares en la web a través de los medios de
comunicación. Un ataque DoS sobre un sistema es básicamente un ataque por el cual
los recursos de cómputo del sistema se redirigen por medios externos a tareas que
impiden su uso por los usuarios legítimos.
Ejemplo
Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas
posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de
catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
Un ejemplo son los sitios alternativos de proceso, que permiten continuar la operación
del negocio transfiriendo a otra infraestructura física alternativa. En el terreno técnico,
los avances en la computación tolerante a fallos son mecanismos que usualmente
combinan hardware y software para asegurar la disponibilidad.
La comprobación de la
Autenticación La evaluación de la evidencia
contraseña introducida con la
de la identidad de un usuario.
almacenada en el sistema.
La capacidad de un sistema de
Rendición de cuentas Los sistemas de auditoría y las
hacer el seguimiento de las
(accountability) bitácoras (logs) cumplen esta
acciones de un usuario
función.
determinado.
En general, la seguridad implica costes incluso más allá del coste de los sistemas,
software o tiempo de expertos en la configuración y diseño de los mismos. También
tiene un coste en la forma de la resistencia de los empleados o su frustración, que en
ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo
más ágilmente.
Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos
siguientes elementos:
La idea es que hay unos costes, tanto desde el punto de vista del ataque como del de la
defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de
defensa explícitas y a la identificación de vulnerabilidades.
En general, para que un atacante incurra en este «coste de ruptura» o CTB los
beneficios de su acción tienen que ser superiores. El problema en este lado es doble:
» Por un lado, los beneficios de los ataques son difíciles de estimar a priori pero en
general, si se pretende vender información confidencial, por ejemplo, para el fraude
de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en
relación al beneficio posible. Solo cuando los mecanismos de protección sean más
complejos de burlar un atacante no lo seguirá intentando.
» Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones
no económicas que les pueden llevar a incurrir en CTBs mayores que los beneficios
económicos esperados (que en ocasiones es ninguno, simplemente). La estimación
del CTB puede hacerse mediante la contratación de consultoría de «penetration
testing», donde se contratan servicios de profesionales que intentan realizar un
ataque en condiciones realistas.
Ejemplo
http://www.metasploit.com/modules/
Además de los anteriores, hay costes, postincidente, que incluyen el cálculo de las
pérdidas derivadas (véanse las referencias del Ponemon Institute en el caso de estudio
del tema), y también el coste de la reconstrucción de los sistemas. Esta reconstrucción,
dependiendo del efecto del incidente, puede ser tan simple como una reinstalación o
reparación de un software. Pero en ocasiones puede ser tan costosa como el requerir
servicios profesionales para recuperar datos dañados. En otras ocasiones, y de manera
discutible, la reparación se complementa con un «contraataque» o «persecución» de
los intrusos.
Políticas generales
de la organización
se detallan en
Políticas funcionales
se implantan mediante
Esta es una política general de alto nivel y de carácter estratégico de la que se derivan
las demás. Típicamente contiene lo siguiente:
Políticas funcionales
Estas políticas son también de alto nivel, por lo que indican qué debe hacerse pero no
detallan el cómo (esto vendrá detallado concretamente en los procedimientos).
Típicamente, estas políticas afectan a un área funcional o a un determinado tipo de
aplicación, como puede ser la «política de uso del correo electrónico».
Las directrices son similares a los estándares pero son solo recomendaciones, no son
de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden
utilizarse para determinar estándares.
También mencionamos las líneas base (baselines) que son descripciones sobre cómo
configurar determinados elementos de seguridad para que sean aplicados de manera
uniforme en toda la organización.
Niveles de clasificación
Tipo Definición
Tipo Definición
Control de seguridad
Tiene como objetivo reducir los efectos de una amenaza o vulnerabilidad
de la seguridad.
Los conceptos de riesgo son la vara de medir para determinar si un control está bien
implementado o no. Por ejemplo, consideremos el siguiente control mencionado en la
norma ISO 27001:
Todo el mundo tiene una noción intuitiva de qué es un riesgo. «Asumir un riesgo» es
equivalente a «hacer una elección», dado que siempre que actuamos, elegimos hacer
algo en lugar de dedicar nuestro tiempo y recursos a otras cosas.
No obstante, para poder medir con una cierta fiabilidad el impacto y la posibilidad
de que un evento no deseado suceda, primero hay que analizar los elementos que
componen el riesgo y sus relaciones. Una vez un riesgo ha sido analizado, y
evaluado, hay básicamente dos opciones. O bien aceptarlo tal cual, o tratar de tomar
alguna medida para mitigarlo en su impacto o en su probabilidad de ocurrencia.
Hay una tercera vía para la gestión del riesgo que realmente no actúa sobre el riesgo en
sí. Esta es la opción de externalizar el riesgo, es decir, de recurrir a algún tipo de
seguro para que, en caso de ocurrencia del evento no deseado, haya una compensación
económica.
Un ejemplo es el búnker de la empresa Bahnhof, que cuenta con Wikileaks como uno
de sus clientes más famosos. Aunque el construir un centro de datos en un búnker
parece a muchos analistas más una operación de marketing que una necesidad física,
sus características son interesantes para ilustrar el diseño conjunto físico-lógico de
sistemas seguros.
Entre los aspectos que sus creadores tuvieron en cuenta fueron la estabilidad geológica
y el aislamiento frente a ataques físicos externos. No obstante, dado que uno de los
mayores riesgos físicos es el acceso no autorizado, en ese aspecto la ubicación del
centro no aporta ningún beneficio adicional.
Instalaciones del proveedor de servicios sueco Bahnhof situado en un antiguo búnker de la Segunda Guerra
Mundial en las montañas cerca de Estocolmo.
Donn B. Parker, en su libro «La lucha contra los delitos informáticos» (Wiley, 1998),
ha recopilado una lista muy completa que él llama las siete principales fuentes de
pérdidas físicas. El siguiente es un resumen con ejemplos:
Los controles de seguridad física son tan diversos como las amenazas. Las áreas
fundamentales que deben considerarse pueden resumirse en las que se presentan a
continuación.
Controles administrativos
Son los controles físicos esenciales para mantener la operación de los sistemas y
del personal que los opera. Las siguientes son las áreas principales:
» Suministro eléctrico.
» Detección y supresión de incendios.
» Calefacción, ventilación y aire acondicionado.
» Control del inventario de equipos. Esencialmente, el control del robo y el daño a los
equipos.
» Dispositivos de control de acceso a las instalaciones.
» Control de las condiciones de las instalaciones.
» Detección de intrusos y alarmas.
» Requisitos de los medios de almacenamiento.
Ingeniería social
La práctica y los métodos de obtener información confidencial a través de la
manipulación de usuarios legítimos.
Lo + recomendado
Lección magistral
No dejes de leer…
Schneier, B. (2000). Secrets and Lies. Indiana: John Wiley & Sons.
En el libro, Mitnick ilustra con ejemplos cómo los sistemas de seguridad más
sofisticados pueden tornarse inefectivos si alguien es capaz de engañar a un empleado
negligente con simples herramientas como la simpatía o la persuasión.
El artículo de Anderson del 2001 mostró cómo el análisis económico explica muchos
fenómenos que los investigadores de seguridad habían encontrado hasta entonces sin
poder explicar por qué sucedían. Por ejemplo, ¿por qué el software como Windows
contiene errores de seguridad que afectan a tanta gente? Aunque es un artículo un
tanto antiguo, puede considerarse como el primero que abordó de manera sistemática
el análisis económico de la seguridad de la información.
No dejes de ver…
Año: 2012.
Duración: 46:52.
Sinopsis: Este vídeo del Discovery Channel hace un relato histórico de los primeros
hackers informáticos, desde sus precursores, los phreakers del sistema telefónico. El
vídeo es interesante porque menciona los orígenes de la «ingeniería social» con el
sistema de operadores telefónicos.
NOTA: La traducción tiene algunos términos que pueden inducir a confusión. Por
ejemplo hacker se traduce en el vídeo por «pirata informático», lo cual no encaja bien
con el uso de este último término en español.
+ Información
A fondo
En este artículo, los autores Ross Anderson y Tyler Moore hacen una revisión del área
de «Information Security Economics», destacando el balance entre los aspectos
técnicos y los que no lo son, como los incentivos o las externalidades, que provienen de
la ciencia económica e incluso de la sociología o la psicología. También se revisa el rol
de los gobiernos en la seguridad de la información. El artículo solamente menciona los
principales elementos y proporciona ejemplos y referencias para profundizar.
Enlaces relacionados
http://www.schneier.com/
Bibliografía
Krutz, R. L. And Dean Vines, R. (2004). The CISSP Prep Guide: Mastering the CISSP
and ISSEP Exams (2nd edition). Wiley.
Test
1. Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad
de la información.
A. Los procedimientos detallan los pasos que deben seguirse para implementar
las políticas.
B. Las directrices establecen normas de obligado cumplimiento sobre la
configuración de distintos elementos del sistema.
C. Una línea base puede servir para complementar un estándar con información
adicional.
D. Las políticas detallan los elementos software que la organización debería
utilizar para cubrir objetivos de control de seguridad de la información.
2. ¿Cuál de las siguientes afirmaciones describen mejor la diferencia entre los roles del
responsable y el propietario de la información?
A. El responsable implementa el esquema de clasificación por órdenes del
propietario.
B. El propietario implementa el esquema de clasificación por órdenes del
responsable.
C. El responsable define la clasificación y los usuarios la implementan valorando
el tipo de información que manejan.
D. El responsable es el rol que decide sobre el esquema de clasificación de
acuerdo a las directrices de los procedimientos establecidos por la dirección.
4. Indica cuáles de las siguientes son posibles vías para gestionar un riesgo de
seguridad de la información:
[2.2] Introducción
TEMA 2 – Esquema
La seguridad de la información
es una implica
2
definida en certificable
definido en definido en
por
certificaciones
guías modelos estándares
ejemplo
ejemplo ejemplo ejemplo
CISSP
ITIL O-ISM3 ISO 27001
Ideas clave
Para estudiar este tema lee el caso de estudio, disponible en el aula virtual, además
de las Ideas clave que encontrarás a continuación.
2.2. Introducción
Una profesión puede caracterizarse por el desarrollo de los siguientes cinco criterios:
4 Un código de ética.
Comentario
Los eventos relacionados con el hacking son diferentes de las conferencias académicas.
Ejemplos de estos eventos son:
El CISSP
La certificación CAP
27006
a Numeración reservada a diferentes temas de la seguridad de la información
17010
Establecer el
SGSI
Partes Partes
interesadas interesadas
Mantener y Implantar y
mejorar el ejecutar el
SGSI SGSI
Requisitos y Seguridad de la
e xpectativas de información
la se guridad de gestionada
la información
Seguimiento
y revisión
del SGSI
Requisitos generales
Ejemplo
En una organización pequeña, puede que el alcance del SGSI sea toda la organización.
No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir
por ejemplo mediante un diagrama de red.
Requisitos de documentación
Jerarquía de la documentación
Política, alcance ,
e valuación d e
rie sgos,
d eclaración de
aplicabilidad Manual d e segurid ad
Proce sos
Quién, qué, cuándo, dónde
Proce dimientos
Compromiso de la dirección
Responsabilidades
La Norma ISO requiere que la alta dirección asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organización,
valorando el tamaño, complejidad y cultura de la organización.
Servicio de TI
Servicio a uno o más clientes, por un proveedor de servicios de TI. Un
servicio de TI se basa en el uso de tecnologías de la información y apoya al
cliente en sus procesos de negocio. Un servicio de TI se compone de una
combinación de personas, procesos y tecnología, y deben definirse en un
acuerdo de nivel de servicio.
Comentario
De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como
«protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con
profusión en contratos de outsourcing.
Ejemplo
D = (T - Td) / T, donde
• Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida será igual al
que trascurre desde la apertura de la incidencia hasta el cierre de dicha incidencia.
Penalizaciones:
D < 90 % Nivel D
El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del
problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio
se ha restaurado completamente.
La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés
(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen
filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá,
Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el
proveedor acreditado en los siguientes años. Él definirá el estándar de los
exámenes, la provisión de los exámenes y entrenadores capacitados, materiales de
capacitación y proveedores de capacitación de ITIL® v3.
común, dado que se habrán descubierto formas mejores de hacer lo mismo, o bien el
entorno habrá cambiado.
ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.
Gestión de servicios TI
• Service Desk
• Gestión de incidentes • Gestión de los niveles de servicio.
• Gestión de problemas • Gestión financiera.
• Gestión de configuración • Gestión de la disponibilidad.
• Gestión del cambio • Gestión de la capacidad
• Gestión de entregas
Las prácticas que ITIL recoge tienen unas características comunes cuando se
observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas
características pueden resumirse en los siguientes puntos:
» Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito
en esta práctica es «proporcionar previsiones de demanda de TI precisas».
Subproceso Objetivo
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso.
KPI Descripción
El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una
evolución de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.
El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitación de las compañías que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:
«Un enfoque para la mejora de procesos que proporciona a una organización los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede
utilizarse para guiar la mejora de procesos en un proyecto, en un departamento, o
en una organización completa. CMMI ayuda a integrar funciones de la
organización tradicionalmente separadas, a establecer prioridades y objetivos en
la mejora de procesos, proporciona guías para los procesos de calidad y sirve
como punto de referencia para la evaluación de los procesos actuales».
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas,
como un marco para la organización y priorización de actividades, o como una forma de
alinear los objetivos de la organización con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras
herramientas ya que, si los procesos no están correctamente definidos, son maduros y
ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su
mejor nivel aún disponiendo de las mejores herramientas.
El modelo O-ISM3
Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238
» Gestión de riesgos.
» Controles de seguridad.
» Gestión de la seguridad, mediante un sistema de políticas y herramientas que la
implementan.
Management Benefits
Audit. Monito Plannin Assessme Optimizati
Practices Test Realizati
Certify r g nt on
Enabled on
Documentation * * * * * * *
Activity * * * * * *
Scope * * * * * *
Unavailabilit
* * * * * *
y1
Effectiveness * * * * * *
Load * * * * *
Metric Type
Quality * *
Efficiency *
Lo + recomendado
Lección magistral
Modelos de madurez
En esta lección magistral el profesor Ricardo Cañizares hará un repaso por los modelos
de madurez existentes en la seguridad de la información.
No dejes de leer…
La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.
Hacking ético
No dejes de ver…
Año: 2011.
Duración: 05:18.
Sinopsis: Esta serie de vídeos introduce los conceptos de ISO 27001 contados por
expertos en el área. Es una serie de vídeos cortos introductorios especialmente
recomendados mientras se está estudiando la norma.
+ Información
A fondo
Enlaces relacionados
http://www.27000.org/index.htm
https://www.isc2.org/
Bibliografía
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.
Actividades
Test
4. Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de
seguridad de la información.
A. La certificación CAP tiene un contenido técnico equivalente a la certificación
CISSP.
B. Las certificaciones son títulos como las titulaciones, que se obtienen y no
necesitan renovarse.
5. Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar 27001.
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de
Gestión de la Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los
Sistemas de Gestión de la Seguridad de la Información.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la dirección, requisito imprescindible para el establecimiento
de un Sistema de Gestión de la Seguridad de la Información.
D. Ninguna de las anteriores.
[3.2] Introducción
3
TEMA
La seguridad de la información
requiere
Esquema
TEMA 3 – Esquema
Control de accesos
logging
implica
requiere
contabilidad
autenticación autorización
(accountability)
1
basado en
utiliza
métodos Tecnologías
conocimiento característica
«triple A»
posesión
ejemplo
utiliza DAC MAC RBAC
Técnicas de RADIUS
Single-Sign-On (SSO)
ejemplo
Kerberos
Ideas clave
Para estudiar este tema lee el caso de estudio, que encontrarás en el aula virtual,
además de las Ideas clave que se muestran a continuación.
3.2. Introducción
Este tema trata de la protección de los sistemas mediante técnicas para que los
usuarios puedan decir quiénes son y probarlo de algún modo —autenticación— y,
posteriormente, puedan utilizar el sistema de manera limitada de acuerdo al
establecimiento de qué puede hacer con qué recursos (autorización).
En este tema, primero debes comprender los conceptos fundamentales (la «triple A»), y
después pasar a profundizar en las diferentes técnicas, métodos y tecnologías para cada
uno de ellos. El énfasis debe estar en saber comparar las diferentes soluciones
para ser capaz de seleccionar o analizar su aplicabilidad en contextos determinados.
Control de accesos
La función del control de accesos se puede resumir en la «triple A», que proviene de los
siguientes términos en inglés:
Para hacerlo, primero hay que definir los elementos de cada proceso o función de
trabajo. Una vez hecho, los elementos definidos se dividen entre los diferentes
empleados. Esto evita que un individuo tenga control de un proceso y, por tanto,
la capacidad de manipular el proceso para obtener beneficios personales. Visto desde
otra perspectiva, implica que para cometer un fraude, al menos hace falta el acuerdo de
dos personas.
La identificación de un usuario es el proceso por el cual este dice ser una persona
concreta, es decir, reclama una identidad. La autenticación es el proceso de
proporcionar alguna prueba o pruebas de que esa afirmación es verdadera. La
autenticación se basa en algo que solo el usuario legítimo:
Posee (tipo 2) Por ejemplo, se supone que solo la persona posee su tarjeta inteligente.
En muchas ocasiones, la autenticación no se basa solo en uno de los tipos sino en una
combinación. Este es el caso de las tarjetas inteligentes, que se utilizan en
combinación habitualmente con medidas del tipo 1.
Técnicas biométricas
La biometría se refiere a la
identificación automática de una
persona en base a sus características
fisiológicas o de comportamiento. Es
una técnica alternativa o complementaria
para los casos en que se requiere la
presencia física de la persona para la
Característica Descripción
El inicio de sesión único (Single Sign On, SSO) es un control de acceso coordinado
para varios sistemas software independientes. Con SSO, un usuario inicia sesión una
vez y le sirve para todos los sistemas sin que se le pida que se autentifique de nuevo en
cada uno de ellos.
Reflexión
A primera vista, parecen evidentes los beneficios del uso de una solución SSO; no
obstante, también se puede criticar o analizar en cuanto a puntos débiles. ¿Podrías
argumentar por qué el SSO puede tener efectos negativos en ciertas situaciones?
Kerberos
Las ideas principales del diseño de Kerberos se pueden resumir en las siguientes:
La contraseña del usuario nunca debe ser almacenada en la máquina cliente: debe
2
ser inmediatamente descartada después de su uso.
La contraseña del usuario nunca debe ser almacenada en una forma no cifrada
3
incluso en la base de datos del servidor de autenticación.
Al usuario se le pide que introduzca una contraseña solo una vez por sesión de
trabajo. Por lo tanto, los usuarios pueden acceder de forma transparente a todos los
servicios que están autorizados para no tener que volver a introducir la contraseña
durante esta sesión.
» El cliente indica al Authentication Server que desea utilizar el servicio (en este caso,
el servidor de aplicaciones). El AS comprueba si tiene al cliente en su lista de
registrados. En caso de que sea así, envía al cliente dos mensajes:
o El Ticker Granting Ticket (TGT) cifrado con la clave del TGS. El cliente no
podrá descrifrarlo, dado que no posee esa clave.
http://www.kerberos.org/software/tutorial.html
SESAME
» Heterogeneidad.
» Más funciones de control de acceso.
» Escalabilidad de los sistemas de clave pública.
» Capacidad de una mejor gestión, auditoría y delegación.
Comparación
¿Qué impacto tiene en la gestión el utilizar un sistema de SSO que se basa en clave pública
al caso de uno que utiliza clave privada solamente?
http://technet.microsoft.com/en-us/library/hh831747
Método de autorización
Es un mecanismo diseñado para la autorización del acceso a recursos
siguiendo determinadas reglas. Estos mecanismos se han desarrollado en diferentes
entornos, empezando por los propios sistemas operativos y las bases de datos.
La siguiente tabla resume los métodos principales de autorización que se describen más
adelante.
Método
Controlado por Basado en Uso
discrecional
Discrecional
El usuario ACL En los sistemas operativos
(DAC)
Obligatorio
El sistema Etiquetas En las bases de datos
(MAC)
DAC
sentido de que un sujeto con un permiso de acceso es capaz de transmitir ese permiso
(quizás indirectamente).
MAC
En el caso de un esquema MAC, esto no tiene por qué ser así, dado que permite
definir una política central de seguridad que se comprueba cuando una
determinada aplicación quiere acceder a un determinado objeto. La siguiente figura
ilustra esta diferencia.
RBAC
Las aplicaciones (subject) o usuarios se asignan a roles determinados, y son estos roles
los que tienen asociados ciertos permisos sobre ciertas operaciones.
Por ejemplo, una lista de control de acceso puede utilizarse para conceder o denegar el
acceso de escritura a un archivo de sistema en particular, pero no puede decir cómo ese
archivo se podía cambiar. En un sistema RBAC, se pueden definir operaciones tales
como «actualizar la cuenta de puntos de fidelización de un usuario» que son específicas
del dominio concreto.
No obstante, los logs son una colección de documentos que no producen ninguna
información valiosa per se, sino solamente cuando se someten a procesos de
monitorización, es decir, la revisión periódica de los mismos con el objeto de detectar
intrusiones o usos no legítimos.
La siguiente tabla resume tres de los protocolos AAA más populares y sus
características comparadas.
Basado en
Protocolo Basado en UDP Basado en TCP
TCP
AAA se
Evolución de RADIUS con implementan
Características AAA consolidado mejoras en la fiabilidad y como
escalabilidad funciones
separadas
Protege
Protección Sólo credenciales de usuario Se basa en IPSec o TLS todos los
datos AAA
RADIUS
Desde el lado de las máquinas clientes, RADIUS funciona con una variedad de
protocolos de autenticación, incluyendo PPP (Point-to-Point Protocol), PAP
(Password Authentication Protocol) o el login de los sistemas Unix.
El servidor RADIUS, en primer lugar, comprueba que la dirección del NAS es una de las
que tiene registradas como autorizadas, y la ignora en caso de que no lo esté, creando
un registro de auditoría para el acceso. El NAS y el Servidor RADIUS utilizan un
secreto compartido y utilizan RSA para la encriptación de la información de login.
Cuando se concede acceso a la red al usuario, el NAS notifica al servidor RADIUS para
indicar el inicio de acceso del usuario de la red. Los registros de «Inicio»
típicamente contienen la identificación del usuario, dirección de red, punto de acceso y
un identificador de sesión único.
Por último, cuando el acceso a la red del usuario se cierra, el NAS emite un registro
contable parada final al servidor RADIUS, que proporciona información sobre el
uso final en términos de tiempo, los paquetes transferidos, los datos transferidos, razón
de la desconexión y otra información relacionada con el acceso a la red del usuario.
Diameter
El protocolo Diameter es una versión mejorada (pero no compatible hacia atrás) del
protocolo RADIUS. Incluye numerosas mejoras en todos los aspectos, como el
manejo de errores y fiabilidad en la entrega de mensajes.
Las diversas aplicaciones que requieren funciones de AAA pueden definir sus propias
extensiones sobre la base de protocolo Diameter, y pueden beneficiarse de las
capacidades generales proporcionadas por la base de protocolo.
Lo + recomendado
Lección magistral
No dejes de leer…
Esta guía de INTECO hace un resumen del estado de las tecnologías biométricas y
proporciona recomendaciones prácticas de uso.
No dejes de ver…
Año: 2012
Duración: 7:07.
Sinopsis: En este vídeo corto se explica de manera simple el funcionamiento de
Kerberos en general. Es muy recomendable para entender dónde residen los secretos
compartidos.
Año: 2012.
Duración: 32:34.
Sinopsis: En este vídeo de la Conferencia Biometrics 2012 se hace una comparación de
diferentes técnicas biométricas para la seguridad. Posteriormente, se entra en las
características de técnicas de reconocimiento facial y cómo mejorar su fiabilidad.
+ Información
A fondo
Este informe de un estudio entre profesionales muestra datos sobre el grado en que la
autorización mediante RBAC es útil en la práctica. Es un complemento interesante a la
teoría desde el punto de vista de la gestión.
Esta entrada de blog explica de manera práctica cómo funciona el sistema DAC de
SELinux, incluyendo el modo estricto y el no estricto, siendo este último más adecuado
si solo se quiere utilizar para servicios determinados como los servidores web.
Test
[4.2] Introducción
4
TEMA
Programas, procesos y políticas de seguridad de la información
Esquema
TEMA 4 – Esquema
La seguridad de la información
se gestiona mediante
Programas
1
implica
se detallan en
Ideas clave
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
4.2. Introducción
La gestión de riesgos es una actividad central que se debe contextualizar en las opciones
de mitigación del riesgo, con diferentes modelos económicos. Aquí se trata de
comprender y saber utilizar la terminología, dado que el Máster tiene una asignatura
donde se trata el Análisis de Riesgos más en detalles. Es necesario entender bien la
diferencia entre asumir, mitigar y externalizar el riesgo y sus consecuencias
económicas, poniendo en relación este tema con los modelos económicos vistos en la
primera unidad. Por otro lado, es importante comprender que los controles, como los
que se describen en las normas ISO, son el resultado de la gestión del riesgo.
Procedimientos Establecen las guías paso a paso que se deben realizar diariamente
Una cuarta opción sería, lógicamente, la de evitar el riesgo dejando de utilizar ciertos
recursos o cesando en las actividades asociadas al riesgo; pero, lógicamente, esto tiene
el coste de oportunidad de no obtener beneficios de la actividad. La primera opción
obviamente solo es viable si la organización es capaz de absorber el coste de la
materialización del riesgo. En el caso de seguir la segunda opción, típicamente la
organización debe realizar un análisis coste-beneficio con el que, particularmente,
calcular el riesgo residual.
Gestión de riesgo
Es el conjunto de procesos para identificar, analizar y evaluar los riesgos y
para tomar las decisiones sobre su asunción, mitigación o transferencia.
Las preguntas sobre el análisis y gestión del riesgo pueden resumirse en las siguientes:
Una vez los riesgos han sido analizados y evaluados, la gestión debe responder a las
siguientes preguntas fundamentales:
Existen diferentes modelos y estándares sobre los procesos en la gestión de riesgos. Por
ejemplo, el estándar NIST SP-830 agrupa los procesos en tres fases:
» Evaluación del riesgo (risk assessment). A su vez, se considera dentro de esta fase
otras, incluyendo:
o Análisis de riesgos: cuantitativa (estimando el valor monetario de la ocurrencia
de las amenazas) o cualitativa (basada en escenarios).
» Implementación de controles.
» Evaluación continuada de los controles.
Concepto Formulación
Expectativa de pérdida
Valor del recurso multiplicado por FE.
(single loss expectancy, SLE)
La valoración, una vez establecida, permite el análisis coste-beneficio, dado que las
medidas de mitigación (o el coste de externalización) estimado puede compararse con
estas valoraciones, sobre la base de estimaciones anualizadas.
Las políticas tienen muchas utilidades. Por ejemplo, pueden ser literalmente un
salvavidas durante un desastre, o podrían ser un requisito de una función reguladora.
La política también puede proporcionar protección contra la responsabilidad debida a
un trabajador o definir acciones para el control de los secretos comerciales.
El término «política» es uno de esos términos que pueden significar varias cosas en
seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores
que se refieren al control de acceso y la información de enrutamiento. Los estándares,
procedimientos y directrices también se conocen como políticas en el sentido más
amplio de la seguridad.
Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un
empleado por una acción relacionada con la seguridad, y no había política escrita, es
complicado justificar esa amonestación.
En la política anterior podemos apreciar una estructura general que suele darse de
manera explícita o implícita:
1. Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere
controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la
búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican
como importantes en las aplicaciones web por su propia naturaleza.
Además de lo anterior, la política incluye una sección de definiciones para hacer precisa
la política en sí, así como referencias. Finalmente, dado que las políticas provienen de
la implementación de la gestión que es un ciclo de mejora continua, deben tener algún
mecanismo de seguimiento de versiones o revisiones.
Estos son los elementos fundamentales que se encuentran de un modo u otro en las
políticas. Además de lo anterior, podemos apreciar, en este caso, cómo se reutilizan
estándares, concretamente, definiciones de OWASP.
En este caso, esta política llega a detallar herramientas de evaluación concretas. Este es
un caso especial, dado que en muchas organizaciones esto se especifica en los
procedimientos o estándares, dejando la política en sí en un nivel más general. No
obstante, es importante resaltar que esta política deberá tener después guías de
implementación más detalladas en un procedimiento o varios.
Lo + recomendado
Lección magistral
No dejes de leer…
No dejes de ver…
Año:
Duración:
Sinopsis: En esta serie de vídeos del evento OWASP App Research de 2010 se aborda la
cuantificación del riesgo en aplicaciones web de acuerdo al tipo de vulnerabilidades y la
probabilidad de ocurrencia.
+ Información
Recursos externos
TORproject
Enlaces relacionados
http://www.itservices.manchester.ac.uk/
Bibliografía
Actividades
Para poder afrontar los ejercicios planteados en este laboratorio es necesario haber
visualizado la presentación que hará el profesor respecto a este laboratorio, donde
explicará de una forma detallada el acceso a herramientas gratuitas que el alumno
deberá usar para realizar el trabajo correctamente. Es el caso del software TORproject,
que facilita el acceso a la red TOR.
Esta sesión de laboratorio consta de dos partes que están bien diferenciadas y que se
explican con detalle a continuación:
¿Somos conscientes de toda la información que hay en Internet sobre nosotros como
paso previo a la realización de un delito? OSINT (Open Source Intelligence o
Inteligencia en fuentes abiertas) hace referencia a la recopilación de todo el
conocimiento existente en la red a partir de fuentes de acceso público, incluyendo en
este proceso la búsqueda, selección y adquisición de la información. Tras un
adecuado procedimiento y el posterior análisis de esta información, nos permite
obtener conocimiento útil y aplicable en distintos ámbitos.
» Atacando: TOR (The Onion Router) es una red superpuesta sobre Internet, que
permite el intercambio de información entre un origen y un destino sin revelar la
identidad de los usuarios; es decir, su IP. Mantiene la integridad y el secreto de la
información que viaja por ella gracias a la criptografía asimétrica y el concepto de
clave pública y privada. La garantía de navegar de una forma anónima y acceder a la
Deep Web (Red Profunda) es total, accediendo a servicios que muchas veces están al
otro lado de la legalidad.
Aquello que nació como una herramienta, para que periodistas pudieran informar
acerca de lo que ocurría en países poco democráticos, ha derivado a sus usuarios en
un paraíso de servicios ocultos (anonymous, pedofilia, hackers, etc.).
Esta sesión de laboratorio está destinada a que los alumnos tengan conocimiento y
sepan manejarse en ambas partes. Por un lado, en «Me defiendo» se pretende que los
estudiantes se conozcan mejor y aprendan todo lo que se puede conocer de uno mismo
por la red, ver hasta dónde cualquier persona que indague con inteligencia por la
misma puede saber y, por extensión, averiguar las posibilidades que existen para
silenciar esos conocimientos.
En Google existen operadores con capacidad de combinación que nos aportan una
información muy extensa. intitle, allintitle, inurl, allinurl, filetype, etc. Y otros más
avanzados como link, inanchor, daterange, etc. Por otro lado, existen multitud de
metabuscadores y otras grandes fuentes de información dentro de Internet para buscar
cualquier huella o rastro digital. De todo esto dará buena cuenta en clase el profesor del
Laboratorio.
Por otro lado, en el apartado «Atacando», a través de TOR, se mostrará cómo acceder
a la navegación por la red de forma anónima, con todas las consecuencias que eso tiene.
Pero más importante todavía es dejar bien claras las medidas de seguridad previas que
se deben realizar.
Además, habrá que evaluar la calidad de la información que dan estas herramientas
y explicar si se cree que, en manos no deseadas, pudiera ser el inicio de un delito
contra la persona. ¿Es fácil realizar un delito informático con la información
recopilada? En caso afirmativo, ¿cómo se podrían evitar?
Test
8. Indica cuáles de las siguientes afirmaciones son correctas respecto a las políticas de
seguridad.
A. Indican los objetivos de la seguridad pero no la manera concreta de
obtenerlos.
B. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del
correo electrónico.
C. Pueden utilizarse para resolver conflictos de responsabilidad ante incidentes
de seguridad.
D. Ninguna de las anteriores.
[5.3] Fase I y II
9
5
TEMA
Esquema
TEMA 5 – Esquema
Planes de continuidad de negocio
fases
PCN I. Análisis de respuesta a incidentes
1
protege
Ideas clave
Para estudiar este tema lee atentamente las Ideas clave que encontrarás a
continuación.
Concretamente, tras terminar este estudio del tema, el estudiante debería ser capaz de:
Objetivo
MIENTRAS
Identificar, contener,
erradicar y recuperar
ANTES DESPUÉS
Preparar análisis Analizar los
previo del PCN hechos
INCIDENTE
Plan de
comunicación
de crisis
Plan de
Plan de
recuperación Comunicar
contingencia
de desastres
IT
Plan de
Continuidad Proteger y
de Negocio sostener
Plan de Plan de
recuperación emergencia de
de negocio ocupantes Recuperar y
restablecer
Plan de
continuidad
de
operaciones
5.3. Fase I y II
Análisis de riesgos
El análisis de riesgos estudia las amenazas, junto con su probabilidad e impacto
en un sistema de información. Mediante la aplicación de medidas de seguridad, estos
riesgos pueden rebajarse, pero no eliminarse. Por ello es necesario tomar medidas en
el caso de que ocurra un incidente. Este es el objetivo del Plan de Continuidad
del Negocio.
Objetivo
El conjunto de medidas que se aplica a los activos para reducir el riesgo se denomina
salvaguardas. Ejemplos de salvaguardas pueden ser los cortafuegos, las copias de
respaldo, los sistemas de control de acceso, el establecer procedimientos de alta de
usuarios y asignación de accesos, la adecuación a la legislación de protección de datos,
etc.
Para calcular el riesgo se debe tener en cuenta el impacto de las amenazas en los
activos, junto con su probabilidad de ocurrencia.
BIA
Para ello se debe evaluar el incremento de costo por no disponibilidad de los servicios y
estudiar el daño concreto de la falta de un servicio.
Existen dos indicadores principales de las exigencias al PCN: el tiempo que puede
soportar la organización sin servicio y el punto al que se deben recuperar los datos en
caso de contingencia.
Introducción
Recuperación datos perdidos (RPO a de datos
Crisis) perdidos
Objetivo
» Comunicación interna
o Una vez se ha detectado un incidente se debe comunicar al resto de
departamentos y al equipo de respuesta a incidentes.
o Escalado de problemas a los superiores.
» Comunicación externa
o Comunicación a organismos reguladores.
o A los medios de comunicación.
Objetivo
• Plan de Contingencia IT
Objetivo
Plan de emergencia
Ventajas
Capacidad de realizar pruebas sin necesidad de interrumpir las operaciones de la
empresa, instalación de una red redundante dedicada a la continuidad del negocio,
equipo de recuperación separado del de producción principal, contratación,
formación y mantenimiento de personal especializado y provisión adecuada de
personal de soporte adicional
Inconvenientes
Falta de control, miedo a la pérdida de confidencialidad, posible falta de
disponibilidad… Cuidado con los términos de los contratos, SLAs, ojo a los tiempos
de espera, cláusulas contractuales, acuerdos de nivel de servicio, descripción del
control que se va a realizar al proveedor, pruebas, con su periodicidad, ámbito,
alcance y tipo de software empleado en el centro de respaldo.
Hot site
RTO 1 hora
Warm site
RTO 1 día
En muchos casos se usa como centro que aloja otro sistema o función y en caso de activación
del plan de contingencia acoge los sistemas de respaldo.
Cold site
RTO 1 semana
Objetivo
Las soluciones particulares son muy específicas de cada organización, por lo que aquí se
expresan ideas generales que luego hay que llevarlas a la práctica, tanto desde el punto
de vista del negocio con planes de recuperación del negocio (BRP), como desde
el punto de vista de los SI con los planes de recuperación de desastres (DRP).
» Durante la recuperación:
Objetivo
todas las tareas del PCN. Respecto a los cuadros de mando, creación y mantenimiento
de un cuadro de mando del PCN. Como cualquier proyecto, los logros deben poder ser
medidos mediante un cuadro de mando, que es un conjunto de indicadores que
muestran si se han conseguido los objetivos del PCN.
Lo + recomendado
Lecciones magistrales
SOC
En esta lección magistral vamos a tratar el tema de las SOC (Security Operation Center)
y todo lo que pueden reportar a sus clientes. Los Centros de Operaciones de Seguridad
son aquellas empresas que proporcionan un servicio de seguridad a otras que no
desean contar con un departamento propio que se encargue de esta cuestión, por lo que
prefieren subcontratarlo.
No dejes de leer…
Sterling, S., Duddridge, B., Elliott, A., Conway, M, Payne, A. (2012). Businees
continuity for dummies. West Sussex: John Wiley & Sons, Ltd.
+ Información
Bibliografía
Watters, J. (2005). Disaster Recovery, Crisis Response & Business Continuity. New
York: Apress. ISBN: 978-1-4302-6406-4.
Test de autoevaluación
9. Indica cuáles de las siguientes afirmaciones son correctas; los pasos en las pruebas
en el mantenimiento de un PCN son:
A. Definición de objetivos, ámbito y alcance. Ejecución de las pruebas- Análisis y
medida de resultados. Elaboración de puntos de mejora y Seguimiento de las
recomendaciones.
B. Definición de objetivos, ámbito y alcance. Ejecución de las pruebas. Análisis y
medida de resultados. Elaboración de dosier de resultados.
C. Las dos anteriores son ciertas.
D. Ninguna de las anteriores.
TEMA
Esquema
TEMA 6 – Esquema
Protejamos nuestra empresa
HIDS
contiene
IDS
DMZ
NIDS
2
considerando
ACL
Riesgos y amenazas
De alta integración
aplicando
Honeypot
De baja integración
Políticas de seguridad
Ideas clave
Para estudiar este tema lee atentamente las Ideas clave que encontrarás a
continuación.
Concretamente, tras terminar este estudio del tema, el estudiante debería ser capaz de:
» Conocer los objetivos generales y específicos de una red desmilitarizada, así como
las amenazas a considerar.
» Conocer las partes que integran una red desmilitarizada y sus funciones principales.
» Definir políticas de seguridad en una red DMZ.
» Conocer la función de un sistema de detección de intrusos y saber los tipos que hay.
» Saber diferenciar entre HIDS y NDIS.
» Saber desarrollar listas de control de accesos en función de las necesidades
existentes en nuestra empresa.
» Aprender a integrar un honeypot como método de aprendizaje de las técnicas de
cualquier atacante.
» Diferenciar honeypots de alta y de baja integración
¿Qué es una red DMZ? Una DMZ —o Zona Desmilitarizada— es una red local que se
ubica entre la red interna de una organización y una red externa, generalmente
Internet.
década de 1950.
Objetivo
El objetivo de una red DMZ es añadir una capa extra de seguridad para
proteger la red interna de una empresa u organización. De esta forma, desde
la red externa solo se puede acceder hacia la red DMZ, pero no hay ningún
acceso hacia la red interna.
Fuente: security.stackexchange.com
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean
accedidos desde fuera, como servidores SMTP, HTTP o DNS.
Importante
Un host bastión se configura para ofrecer los servicios externos de una empresa
(HTTP, FTP, SMTP, DNS) y, por tanto, se ubica fuera de su red interna. Está expuesto a
ataques y en él, solo se habilitan los servicios estrictamente necesarios; de esta forma se
reducen las vulnerabilidades se seguridad.
evaluar e identificar los riesgos y amenazas potenciales que tiene la red, los sistemas y
los datos.
Esto permite que los equipos de la DMZ puedan dar servicios a la red externa
mientras protegen la red interna en el caso de que intrusos comprometan la
seguridad de los equipos situados en la zona desmilitarizada.
Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la
zona desmilitarizada se convierte en un callejón sin salida.
IDS son las siglas del término en inglés Intrusion Detection System. Es un sistema
basado en software que monitorea el tráfico de los paquetes en una red informática, en
busca de actividades maliciosas. Este sistema es pasivo, ya que solo realiza la actividad
de monitoreo, y luego genera reportes sobre tales actividades. Sus características
principales son:
» Herramienta de seguridad.
» Monitoriza los eventos ocurridos en un determinado sistema.
» Busca violaciones de la política de seguridad establecida.
» Detecta accesos no autorizados a un equipo o a una red.
» Descubre intentos de comprometer el sistema que protege.
» Buscan patrones que impliquen cualquier tipo de actividad sospechosa.
¿IDS software o hardware? Es posible optar por una solución hardware, software
o incluso una combinación de ambas. La posibilidad de introducir un elemento
hardware se debe a la necesidad de disponer de un procesador en redes con mucho
tráfico. A su vez, los registros de firmas y las bases de datos que albergan los posibles
ataques requieren gran cantidad de memoria, otro aspecto a tener en cuenta.
Importante
En función del componente que defiende, el IDS puede ser HIDS o NDIS.
Los HIDS (Host IDS) protegen únicamente al Servidor, PC o host en el que están
instalados. Monitorizan gran cantidad de eventos y analizan actividades con una gran
precisión, determinando de esta manera qué procesos y usuarios se involucran en una
determinada acción. Recaban información del sistema (ficheros, logs, recursos, etc)
para su posterior análisis, en busca de posibles incidencias (todo ello en modo local,
dentro del propio equipo). Fueron los primeros IDS desarrollados por la industria de la
seguridad informática.
Fuente: windowsecurity.com
Los NIDS (Network IDS) protegen una red o parte de ella (instalados en un equipo
dedicado o elemento de construcción de red). Capturan y analizan los paquetes que
pasan por su interior en tiempo real, buscando patrones que supongan algún tipo de
ataque. Monitorizan grandes redes con un impacto pequeño en el tráfico, trabajan tanto
a nivel TCP/IP como a nivel de aplicación y detectan ataques en el momento de
producirse. Basados tanto en Análisis por patrones o firmas (BD con ataques comunes)
como en Análisis heurístico (el comportamiento no habitual delata posibles anomalías).
Fuente: windowsecurity.com
Según las clases de respuestas que ofrecen se pueden catalogar los IDS:
» Ossec: http://www.ossec.net
» Tripwire: http://www.lids.org
» Samhain Labs: http://la-samhna.de/samhain/
» Lids: http://www.tripwire.org
» Bro: http://www.bro.org/
» Suricata: http://suricata-ids.org/
» Snort: http://www.snort.org/
ACL (Access Control List). Se trata de reglas en forma de sentencias que detallan
puertos de servicio o nombres de domino (de redes) que están disponibles en un
terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales
y/o redes que tienen permiso para usar el servicio.
ACL minimiza los problemas y las pérdidas de protección que pueden ocurrir
debido a una mala configuración de Listas de Control de Acceso (ACL). Por ejemplo,
especifica qué usuario o proceso del sistema tiene acceso a un objeto u objetos, así
como que tipo de permisos tienen sobre ese objeto.
Una Lista de Control de Acceso está conformada por una serie de entradas llamadas
Entradas de Control de Acceso, ACE (Access Control Entry). Cada ACE especifica
una regla de acceso o denegación, de forma simple. Al combinar varias ACE dentro de
una ACL se crea una ACL más compleja, que se adapte a requerimientos específicos y
particulares.
Cuando el sistema sobre el cual se implementa la ACL hace uso de esta, va leyendo cada
ACE que conforma dicha ACL, de arriba hacia abajo, hasta encontrar una
concordancia. Si no se encuentra ninguna regla no se hace nada. Por esta razón se debe
ser cuidadoso a la hora de crear las entradas en las ACL, y al final siempre hay que
especificar una regla que deniegue permiso a todo lo demás.
A continuación se visualizan las reglas, en la forma en que el equipo las enumera dentro
de la ACL.
Estas reglas que se han establecido dentro de esta ACL indican, primeramente, que se
permita el acceso a los paquetes que provengan de la red de origen 192.168.1.0 y se
indica una máscara, la cual establece que para esa red están permitidas 255 host
diferentes. Es decir, que los paquetes que cumplirán esa regla son los que provengan
del rango de direcciones desde la 192.168.1.0 hasta la 192.168.1.255.
En las reglas de las ACL se utiliza la máscara de red invertida a como se utiliza para
describir las direcciones IP de las redes normalmente. A esta máscara invertida se le
llama «Wildcard».
En esta parte se hace la configuración, introduciendo las reglas para la ACL extendida
número 100.
En esta otra parte se visualizan las reglas, de la forma en que el equipo las enumera
dentro de la ACL.
En este caso, se puede apreciar que la primera regla ACL extendida tiene más partes en
su constitución. En esta primera regla se indica que se concede el permiso a los
paquetes cuyo protocolo sea TCP, cuya dirección de red de origen sea 200.100.50.0 con
rango de hosts desde 0 hasta 255, y que vayan dirigidos hacia el equipo con dirección
192.168.1.30, a través del puerto de aplicación WWW que es el puerto 80.
En la segunda regla se indica que todos los paquetes cuyo protocolo sea cualquiera de
los protocolos que pertenecen al conjunto de IP, sean denegados, no importa cuál sea
su origen ni cuál su destino. Con esta segunda regla lo que se logra es que a todos
aquellos paquetes que no cumplan con la primera regla establecida, se les aplique esta
segunda regla, y por tanto sean eliminados.
Esta es la forma recomendada en términos de seguridad, solo permiten lo estrictamente
necesario y luego establecer una denegación para todo lo demás.
Hay que tener mucho cuidado a la hora de crear y establecer estas reglas, ya que si no
están bien hechas para cubrir todos los posibles casos, se dejaría un agujero de
seguridad, que si es descubierto por alguna persona malintencionada podría
aprovecharlo para hacer pasar paquetes hacia equipos de la red interna.
Un honeypot (tarro de miel) es un sistema que funciona como una especie de trampa
para detectar y desviar ataques a la propia red, es decir, un cebo.
Consiste en un ordenador el cual contiene un programa que aparenta ser parte de una
red, conteniendo información y recursos importantes; pero por el contrario, está
aislado y siendo monitoreado.
Puede ser un software, pero también es viable que sea un conjunto de sistemas que
aparentemente son vulnerables. En cualquier caso, la función en ambos casos es la
misma, atraer a personas que han accedido de forma ilícita para registrar sus acciones.
Un error en el diseño del sistema podría provocar que el atacante pudiera acceder a
la información o a los servicios protegidos, poniendo en peligro toda la red. La
principal ventaja de este tipo de honeypots es que, al tratarse de sistemas reales, no
solo permiten identificar técnicas de ataque y vulnerabilidades existentes, sino que
también permiten identificar fallos y estudiar ataques desconocidos hasta el
momento (conocidos como zero days), alertando con antelación y permitiendo
anticiparse a la situación.
También puede haber, según su ubicación, dos tipos de honeypots, los aislados del
entorno de producción y los integrados en el mismo.
Top 10 de contraseñas usadas por los atacantes para acceder al servidor SSH Kippo Graph
Lo + recomendado
Lecciones magistrales
Redes DMZ
No dejes de leer…
Schmied, W., Imperatore, D., Schinder, T.W., Shimonski, R.J., Chang, V., Simonis, D. .
(2003). Building DMZs for Enterprise Networks. Conceptos fundamentales de Ciencia
Política. Sygress.
No dejes de ver…
Año: 2013.
Duración: 17:26.
Sinopsis: En este vídeo podrás descubrir con detalle cómo se crea un honeypot con la
herramienta Kippo Graphs.
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=OyBiIjrVXgk
+ Información
A fondo
En esta sección se describe qué es NAT, cómo trabaja en los aparatos de seguridad, sus
beneficios y sus diferentes tipos.
Enlaces relacionados
Aquí tienes un listado de diversas páginas y blogs donde ahondar en esta temática y a
los que podrás acceder a través de sus respectivas páginas web:
» Blackploit: http://www.blackploit.com
» BruteForce: http://bruteforce.gr
» Carnivore: http://r-s-g.org/carnivore/
» CVE Details: http://www.cvedetails.com
» Edgis Security: http://edgis-security.org
» EthicalHack3r: http://www.ethicalhack3r.co.uk
» Explot-db: http://www.exploit-db.com
» GitHub: https://github.com
» HolisticInfoSec: http://holisticinfosec.blogspot.com.es
» Metasploit: http://www.metasploit.com
» OpenVAS: http://www.openvas.org
» SecurityArtWork: http://www.securityartwork.es
» SourceForge: http://sourceforge.net
Test de autoevaluación
3. Indica cuáles de las siguientes afirmaciones son correctas sobre el sistema HIDS.
A. Analizan actividades con una gran precisión.
B. Capturan y analizan los paquetes que pasan por su interior en tiempo real,
buscando patrones que supongan algún tipo de ataque.
C. Protegen únicamente al servidor, PC o host en el que están instalados.
D. Ninguna de las anteriores.
4. Indica cuáles de las siguientes afirmaciones son correctas sobre la catalogación del
IDS.
A. Pasivos: generan algún tipo de respuesta sobre el sistema atacante.
B. Activos: únicamente notifican los problemas registrados a la autoridad
competente o administrador de la red.
C. Activos: pueden cerrar la conexión al detectar la intrusión o enviar algún tipo
de mensaje predefinido.
D. Todas las anteriores.
Gestión de incidentes
Proceso para que el incidente pueda ser contenido y alcanzar la recuperación. Coordina
el conjunto de respuesta a incidentes.
Incidente o contingencia
Evento que causa un daño a la organización.
Organización
Empresa privada o administración pública que tiene un objetivo y que usa los
sistemas de información para conseguirlo.
PCN
La acción de prever los incidentes que afecten a funciones o procesos críticos para la
organización y que asegura que la respuesta a todos ellos se ejecuta de una manera
organizada y consecuente. Según el Business Continuity Institute.
Respuesta a incidentes
Plan de acciones a realizar en respuesta y para recuperarse de incidentes.
Sistemas de información
Conjunto de equipos hardware, software y programas de aplicación, junto con las
personas que los administran y manejan.