Antología Seguridad Informatica II

INSTITUTO TECNOLÓGICO SUPERIOR DE

CENTLA

Academia de Informática y

Sistemas Computacionales

Antología

ESP - SEGURIDAD INFORMATICA II

Presenta

Ing. Manuel Torres Vásquez

Revisado por los integrantes de la academia

de Informática y Sistemas Computacionales

Material compilado con fines académicos

Fecha elaboración: Octubre 2009

Institución Certificada

Norma ISO 9001:2000

INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA Academia de Informática y Sistemas Computacionales

Asignatura: Seguridad Informática II Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada

autor.

Tabla de Contenido

Unidad I

Implementación de la seguridad informática

1.1 Sistemas y Mecanismos de Protección 1.1.1 Seguridad Física 1.1.1.1 Protección del hardware 1.1.1.1.1 Acceso Físico 1.1.1.1.2 Desastres Naturales 1.1.1.2 Contratación de Personal 1.1.2 Seguridad Lógica 1.1.2.1 Identificación y Autenticación 1.1.2.2 Modalidad de Acceso 1.1.2.3 Control de Acceso Interno 1.1.2.3.1 Contraseñas 1.1.2.3.2 Listas de Control de Acceso 1.1.2.3.3 Cifrado 1.1.2.4 Control de Acceso Externo 1.1.2.4.1 Dispositivos de Control de Puertos 1.1.2.4.2 Firewalls 1.1.2.4.2.1 Selección del Tipo de Firewall 1.1.2.4.2.2 Integración de las Políticas de Seguridad al Firewall 1.1.2.4.2.3 Revisión y Análisis del Mercado 1.1.2.4.3 Proxies 1.1.2.4.4 Integridad del Sistema 1.1.2.4.5 VPN (Virtual Private Networks) 1.1.2.4.6 DMZ (Zona Desmilitarizada) 1.1.2.4.7 Herramientas de Seguridad 1.2 Seguridad en Redes de Datos 1.2.1 Amenazas y Ataques a Redes 1.2.2 Elementos Básicos de Protección 1.2.3 Introducción a la Criptografía 1.2.4 Seguridad de la Red a nivel: 1.2.4.1 Aplicación 1.2.4.2 Transporte 1.2.4.3 Red 1.2.4.4 Enlace 1.2.5 Monitoreo 1.3 Seguridad en Redes Inalámbricas 1.3.1 Seguridad en el Access Point 1.3.2 SSID (Service Set Identifier) 1.3.3 WEP (Wired Equivalent Privacy) 1.3.4 Filtrado de MAC Address 1.3.5 RADIUS Authentication 1.3.6 WLAN VPN 1.3.7 Seguridad sobre 802.11(x)



autor.

1.3.8 Nuevas Tecnologías de Seguridad para redes Inalámbricas 1.4 Seguridad en Sistemas 1.4.1 Riesgos de Seguridad en Sistemas 1.4.2 Arquitectura de los Sistemas 1.4.3 Problemas Comunes de Seguridad 1.4.4 Instalación Segura de Sistemas 1.4.5 Administración de Usuarios y controles de acceso 1.4.6 Administración de Servicios 1.4.7 Monitoreo 1.4.8 Actualización de los Sistemas 1.4.9 Mecanismos de Respaldo



autor.

Unidad II

Monitoreo de la seguridad informática 2.1 Administración de la Seguridad Informática

2.1.1 Administración de cumplimiento de Políticas 2.1.2 Administración de Incidentes 2.1.3 Análisis de nuevas Vulnerabilidades en la Infraestructura 2.1.4 Monitoreo de los Mecanismos de Seguridad

2.2 Detección de Intrusos 2.2.1 Sistemas Detectores de Intrusos 2.2.2 Falsos Positivos 2.2.3 Falsos Negativos 2.2.4 Métodos de Detección de Intrusos

2.2.4.1 Análisis de Tráfico 2.2.4.2 HIDS (Host Intrusión Detection System) 2.2.4.3 NIDS (Network Intrusión Detection System) 2.2.4.4 Nuevos métodos de detección

2.2.5 Identificación de Ataques 2.2.6 Análisis del Tiempo de Respuesta de los IDS



autor.

Unidad III

Control de la seguridad informática 3.1 Auditoría de Red 3.1.1 Concepto de Auditoría sobre la Red 3.1.2 Herramientas de Auditoría 3.1.3 Mapeo de la Red 3.1.4 Monitores de Red 3.1.5 Auditoría a Firewalls 3.1.6 Pruebas de Penetración sobre redes 3.1.7 Análisis de la Información y Resultados 3.2 Auditoría a Sistemas 3.2.1 Checklist de Seguridad 3.2.2 Baseline del Sistema 3.2.3 Auditoría a las Políticas del Sistema 3.2.4 Auditoría a usuarios 3.2.5 Comandos del Sistema 3.2.6 Herramientas para realizar Auditoría 3.2.7 Auditoría a los Registros y Bitácoras del Sistema 3.2.8 Auditoría a la Configuración del Sistema 3.2.9 Auditoría a la Capacidad de Recuperación ante Desastres 3.2.10 Análisis de la Información y Resultados 3.3 Análisis Forense a Sistemas de Cómputo 3.3.1 Introducción al Análisis Forense en Sistemas de Cómputo 3.3.2 Obtención y Protección de la Evidencia 3.3.3 Análisis Forense sobre Sistemas 3.3.3.1 Imágenes en Medios de Almacenamiento 3.3.3.2 Revisión de Bitácoras 3.3.3.3 Revisión del Sistema de Archivos 3.3.3.3.1 Tiempos de Modificación, Acceso y Creación 3.3.3.4 Revisión de Procesos 3.3.3.5 Herramientas y Técnicas del Análisis Forense 3.3.4 Herramientas para Obtener información de la Red 3.3.5 Análisis de la Información y Resultados 3.3.6 Sistemas de Detección de Intrusos 3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos en la Seguridad

Informática 3.3.6.2 Tipos de Sistemas de Detección de Intrusos 3.3.6.3 Nivel de Interacción de los Sistemas de Detección de Intrusos 3.4 Respuesta y Manejo de Incidentes 3.4.1 Respuesta a Incidentes 3.4.2 Creación de un Equipo de Respuesta a Incidentes de Seguridad

Informática

Unidad IV



autor.

Entorno social e impacto económico de la seguridad

informática

4.1 Legislación Mexicana 4.1.1 Acceso Ilícito a Sistemas 4.1.2 Código Penal 4.1.3 Derechos de Autor 4.1.4 Actualidad de la legislación sobre delitos informáticos

4.2 Ley Modelo (CNUDMI) 4.3 Legislaciones Internacionales

4.3.1 Legislación de Estados Unidos de América en Materia Informática 4.3.2 Legislación de Australia en Materia Informática 4.3.3 Legislación de España en Materia Informática 4.3.4 Otras Legislaciones

4.4 Impacto Social de la Seguridad Informática 4.5 Impacto Económico de la Seguridad Informática

Unidad V

Nuevas tendencias y tecnologías

5.1 Cultura de la Seguridad Informática 5.2 Nuevas Tecnologías de Protección 5.3 Tendencias en Ataques y Nuevos Problemas de Seguridad

5.3.1 SPAM 5.3.2 Malware 5.3.3 Exploits de Días Cero 5.3.4 Metasploits

5.3.5 Otros



autor.

UNIDAD I

IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA 1. IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA

1.1 Sistemas y Mecanismos de Protección

La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Integridad: La información sólo puede ser modificada por quien está

autorizado y de manera controlada.

Confidencialidad: La información sólo debe ser legible para los

autorizados.

Disponibilidad: Debe estar disponible cuando se necesita.

Irrefutabilidad (No repudio): El uso y/o modificación de la información por

parte de un usuario debe ser irrefutable, es decir, que el usuario no

puede negar dicha acción.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad física, seguridad ambiental y seguridad lógica.

1.1.1 Seguridad Física

La Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n

http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n

http://es.wikipedia.org/wiki/Hardware

http://es.wikipedia.org/wiki/Programa_(computaci%C3%B3n)



autor.

Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales, incendios accidentales tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre.

3. Disturbios, sabotajes internos y externos deliberados.

Son ejemplos de mecanismos o acciones de seguridad física:

- Cerrar con llave el centro de cómputos.

- Tener extintores por eventuales incendios.

- Instalación de cámaras de seguridad.

- Guardia humana.

- Control permanente del sistema eléctrico, de ventilación, etc.

1.1.1.1 PROTECCIÓN DEL HARDWARE

El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización.

Son muchas las amenazas al hardware de una instalación informática; aquí se van a presentar algunas de ellas, sus posibles efectos y algunas soluciones, si no para evitar los problemas sí al menos para minimizar sus efectos.

Problemas a los que nos enfrentamos:

Acceso físico

Desastres naturales

Alteraciones del entorno

1.1.1.1.1 ACCESO FÍSICO

Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles.

De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo.



autor.

Otros ataques se simplifican enormemente, por ejemplo, si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen.

Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios.

Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho más sencillo atacar otros equipos de la misma.

Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).

Para la prevención hay soluciones para todos los gustos y de todos los precios:

Analizadores de retina,

Tarjetas inteligentes,

Videocámaras,

Vigilantes jurados, etc.

En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informáticos y no tener cableadas las tomas de red que estén accesibles.

Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.



autor.

1.1.1.1.2 DESASTRES NATURALES

Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.

Algunos desastres naturales a tener en cuenta:

Terremotos y vibraciones

Tormentas eléctricas

Inundaciones y humedad

Incendios y humos

Hay varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:

No situar equipos en sitios altos para evitar caídas,

No colocar elementos móviles sobre los equipos para evitar que caigan

sobre ellos,

Separar los equipos de las ventanas para evitar que caigan por ellas o

qué objetos lanzados desde el exterior los dañen,

Utilizar fijaciones para elementos críticos,

Colocar los equipos sobre plataformas de goma para que esta absorba

las vibraciones,

Otro desastre natural importante son las tormentas, especialmente frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles).

En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.

Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers, etc.) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los



autor.

cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.

Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.

Alteraciones del entorno

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar.

Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.

1.1.1.2 CONTRATACIÓN DE PERSONAL

Contratamos a un consultor externo o a personal de mantenimiento para realizar una serie de acciones sobre nuestro hardware. ¿Como nos aseguramos que únicamente va a realizar las manipulaciones para las que le hemos contratado y no otras? Es sencillo, lo único que debemos hacer es tener un formulario que el personal externo deberá firmar y donde se especificará la fecha de la manipulación, la manipulación exacta que se le permite hacer y si es necesario también lo que no se le permite hacer. De esta forma aseguramos que la persona que trabaje sobre nuestros sistemas no va a realizar más manipulación que la contratada.

Siempre es conveniente que una persona del personal de administración está presente cuando se realice cualquier mantenimiento o consultoría sobre sistemas críticos de la empresa, pues así podrá vigilar que las acciones realizadas sean las correctas e incluso podrá asesorar al consultor o personal de mantenimiento si este tiene algún tipo de duda sobre el sistema.

Revisar el entrenamiento del personal y políticas que aseguren alcanzar el nivel de conocimiento sobre seguridad para el caso de accidentes.

Controles y directivas adicionales pueden ser requeridas para ampliar la seguridad de un arrea segura.



autor.

Esto incluye controles para el personal o terceras partes trabajando en el área segura, así como actividades de terceras partes que tienen lugar aquí.

Los siguientes controles deberán ser considerados:

a) El personal deberá solo estar consciente de la existencia de, o actividades

dentro de un área segura, solo si tiene la necesidad de conocer.

b) El trabajo no supervisado en áreas seguras deberá ser evitado por razones

de seguridad y para prevenir oportunidades de actividades maliciosas.

c) Las áreas seguras desocupadas, deberán ser físicamente trabadas y

controladas periódicamente.

d) Al personal de servicios de terceras partes se deberá otorgar acceso

restringido a las áreas seguras o instalaciones de procesamiento de

información sensitiva, solo cuando sea requerida. Este acceso deberá ser

autorizado y monitoreado. Barreras y perímetros adicionales para controlar

el acceso físico puede ser necesarios entre áreas con diferentes

requerimientos de seguridad dentro del perímetro de seguridad.

e) No se debe permitir sin autorización el uso de equipos de fotografía, vídeo o

audio u otros equipos de grabación.

f) Instruir al usuario del área de servicios informáticos en particular y al resto

de la organización en general, sobre medidas de seguridad física, planes

de recuperación y de contingencias.

g) Incentivar al personal para cumplir las normas de seguridad.

h) Evaluar las políticas de entrenamiento de usuarios, para asegurar que

alcanzan el nivel de conocimiento sobre seguridad para el caso de

accidentes.

i) Evaluar que formación tiene el usuario en temas de informática, dado que

un bajo nivel de formación representa una fuente potencial de pérdidas de

datos y un alto nivel puede reducir la efectividad de las defensas más

sencillas.

j) Efectuar reuniones periódicas relativas a la seguridad para mantener un

nivel adecuado de interés, responsabilidad y cumplimiento.

k) Penalizar a los responsables por las violaciones a las normas vigentes

relacionadas a la seguridad.

l) Adoptar las normas sobre políticas de contraseñas emitidas.

Todo el personal de la organización está encargado de la seguridad física de los recursos relacionados a los sistemas de información a los que tienen acceso y los que están a su cargo. El responsable de seguridad debe velar por el cumplimiento de las definiciones de seguridad. El responsable de las áreas de servicios informáticos de implementar las

medidas.

1.1.2 SEGURIDAD LÓGICA



autor.

La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. La seguridad lógica involucra todas aquellas medidas establecidas por la administración, usuarios y administradores de recursos de tecnología de información, para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión

minuciosa y no puedan modificar los programas ni los archivos que no

correspondan.

3. Asegurar que se estén utilizados los datos, archivos y programas

correctos en y por el procedimiento correcto.

4. Que la información transmitida sea recibida sólo por el destinatario al

cual ha sido enviada y no a otro.

5. Que la información recibida sea la misma que ha sido transmitida.

6. Que existan sistemas alternativos secundarios de transmisión entre

diferentes puntos.

7. Que se disponga de pasos alternativos de emergencia para la

transmisión de información.

¿Cómo puedo protegerme de los hackers en forma rápida y sencilla?

1. Instale y mantenga actualizado un buen antivirus.

2. Instale y configure adecuadamente un buen firewall (cortafuegos).

3. Instalar todos los parches de seguridad para su sistema operativo.

4. Cerrar todos los servicios, excepto los imprescindibles. No dejar ninguno

que no se utilice 'por si acaso': pueden ser la puerta de entrada de un

intruso.

5. Si accede su ordenador en forma remota, reemplace telnet y FTP por

equivalentes seguros (no existe equivalente seguro de FTP, pero puede

utilizarse scp, uno de los componentes de SSH, cuando deban

trasferirse archivos importantes entre dos ordenadores). Si accede a su

ordenador por medio de telnet, cámbielo por SSH. El motivo es que los

datos, por telnet, van en texto plano (contraseñas incluidas), mientras

que en SSH (secure shell) todos los datos van encriptados.

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Informaci%C3%B3n



autor.

1.1.2.1 IDENTIFICACIÒN Y AUTENTICACIÒN

Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

Existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:

Algo que solamente el individuo conoce: por ejemplo una clave secreta

de acceso o password, una clave criptográfica, un número de

identificación personal o PIN, etc.

Algo que la persona posee: por ejemplo una tarjeta magnética.

Algo que el individuo es y que lo identifica unívocamente: por ejemplo

las huellas digitales o la voz.

Algo que el individuo es capaz de hacer: por ejemplo los patrones de

escritura.

Para cada una de estas técnicas vale mencionar sus ventajas y desventajas. Se destaca que en los dos primeros casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los controles de autenticación biométricos serían los más apropiados y fáciles de administrar, resultando ser también, los más costosos por lo dificultosos de su implementación eficiente.

Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina "single login" o sincronización de passwords.

Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas.

La Seguridad Informática se basa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de accesos.

Esta administración abarca:

Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de

las cuentas de usuarios. Es necesario considerar que la solicitud de



autor.

habilitación de un permiso de acceso para un usuario determinado, debe

provenir de su superior y, de acuerdo con sus requerimientos

específicos de acceso, debe generarse el perfil en el sistema de

seguridad, en el sistema operativo o en la aplicación según corresponda.

Además, la identificación de los usuarios debe definirse de acuerdo con

una norma homogénea para toda la organización.

Revisiones periódicas sobre la administración de las cuentas y los

permisos de acceso establecidos. Las mismas deben encararse desde

el punto de vista del sistema operativo, y aplicación por aplicación,

pudiendo ser llevadas a cabo por personal de auditoría o por la gerencia

propietaria del sistema; siempre sobre la base de que cada usuario

disponga del mínimo permiso que requiera de acuerdo con sus

funciones.

Las revisiones deben orientarse a verificar la adecuación de los

permisos de acceso de cada individuo de acuerdo con sus necesidades

operativas, la actividad de las cuentas de usuarios o la autorización de

cada habilitación de acceso. Para esto, deben analizarse las cuentas en

busca de períodos de inactividad o cualquier otro aspecto anormal que

permita una redefinición de la necesidad de acceso.

Detección de actividades no autorizadas. Además de realizar auditorías

o efectuar el seguimiento de los registros de transacciones (pistas),

existen otras medidas que ayudan a detectar la ocurrencia de

actividades no autorizadas. Algunas de ellas se basan en evitar la

dependencia hacia personas determinadas, estableciendo la

obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a

las funciones asignadas a cada una.

Nuevas consideraciones relacionadas con cambios en la asignación de

funciones del empleado. Para implementar la rotación de funciones, o en

caso de reasignar funciones por ausencias temporales de algunos

empleados, es necesario considerar la importancia de mantener

actualizados los permisos de acceso.

Procedimientos a tener en cuenta en caso de desvinculaciones de

personal con la organización, llevadas a cabo en forma amistosa o no.

Los despidos del personal de sistemas presentan altos riesgos ya que

en general se trata de empleados con capacidad para modificar

aplicaciones o la configuración del sistema, dejando "bombas lógicas" o

destruyendo sistemas o recursos informáticos. No obstante, el personal

de otras áreas usuarias de los sistemas también puede causar daños,

por ejemplo, introduciendo información errónea a las aplicaciones

intencionalmente.

Para evitar estas situaciones, es recomendable anular los permisos de

acceso a las personas que se desvincularán de la organización, lo antes



autor.

posible. En caso de despido, el permiso de acceso debería anularse

previamente a la notificación de la persona sobre la situación.

1.1.2.2 MODALIDAD DE ACCESO

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

Lectura: el usuario puede únicamente leer o visualizar la información

pero no puede alterarla. Debe considerarse que la información puede

ser copiada o impresa.

Escritura: este tipo de acceso permite agregar datos, modificar o borrar

información.

Ejecución: este acceso otorga al usuario el privilegio de ejecutar

programas.

Borrado: permite al usuario eliminar recursos del sistema (como

programas, campos de datos o archivos). El borrado es considerado una

forma de modificación.

Todas las anteriores.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación:

Creación: permite al usuario crear nuevos archivos, registros o campos.

Búsqueda: permite listar los archivos de un directorio determinado.

1.1.2.3 CONTROL DE ACCESO INTERNO

Los Sistemas de Información deben disponer de los mecanismos necesarios que permitan la validación de todos los usuarios en el momento de su conexión. Por lo tanto, no se permitirá la existencia de sistemas de información que no puedan identificar el usuario mediante un proceso lógico.

Se deben garantizar las siguientes reglas:

Cada usuario, dispondrá de un identificador único que pueda ser

reconocido por los sistemas de información de la organización.

A cada identificador de usuario corresponderá una, y solo una persona

física, y sólo esta persona, estará autorizada a utilizarlo.

Todas aquellas operaciones realizadas por un usuario, serán siempre

imputadas al identificador utilizado que se hubiere identificado ante el

sistema de información, independientemente de la persona física que lo

haya realizado.



autor.

El procedimiento de generación de identificadores de usuario para los sistemas de información de la organización deberá, al menos, cumplir, siempre que técnicamente sea posible, con los siguientes requisitos mínimos:

El código generado para este requisito deberá proveer de una

identificación inequívoca.

El procedimiento de generación, garantizará la imposibilidad de

reasignar o reutilizar identificadores de usuario previamente utilizados.

El procedimiento de generación garantizará la no duplicidad de los

mismos.

El procedimiento, garantizará que se cumpla con las reglas de

identificación y nomenclatura, así como demás estándares aplicables.

Se deberá establecer una nomenclatura de usuarios para el personal

externo a la organización, con el fin de identificar fácilmente si un

usuario es o no empleado de la organización.

Será responsabilidad de los administradores, la implementación y

gestión del mismo.

Este procedimiento, con ayuda del sistema informático de administración de usuarios, deberá exigir para generar un alta válida de usuario como mínimo, la cumplimentación y registro de los siguientes datos:

Nombre y apellidos del usuario

Número de empleado o identificación válida

Tipo de usuario (interno, externo, genérico)

Identificador asignado

Fecha de alta

Detalle de los permisos concedidos.

Siempre que sea técnicamente posible, se debe automatizar el procedimiento de bloqueo de identificadores de usuario, en los casos que se refieren a continuación, y según la clasificación de los sistemas ó el perfil de las cuentas afectadas.

Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos:

Por caducidad de los identificadores.

Por inactividad de los identificadores

Por intento de acceso fallido, utilizando dicho identificador en más de

cinco intentos fallidos.

Por baja temporal.

Por baja definitiva (lo cual implicará la eliminación del identificador).



autor.

1.1.2.3.1 CONTRASEÑAS.

Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. Aquellos que desean acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.

Factores en la seguridad de un sistema de contraseñas

La seguridad de un sistema protegido por contraseña depende de varios factores. El sistema debe, por supuesto, estar diseñado para sondear la seguridad (Ver seguridad e inseguridad de computadoras). Aquí se presentan algunos problemas sobre la administración de contraseñas que deben ser considerados:

Posibilidad de que algún atacante pueda adivinar o inventar la contraseña

La posibilidad de que algún atacante pueda proporcionar una contraseña que adivino es un factor clave al determinar la seguridad de un sistema. Algunos sistemas imponen un límite de tiempo después de que un pequeño número de intentos fallidos de proporcionar la clave se dan lugar. Al no tener otras vulnerabilidades, estos sistemas pueden estar relativamente seguros con simples contraseñas, mientras estas no sean fácilmente adivinadas, al no asignar datos fácilmente conocidos como nombres de familiares o de mascotas, el número de matrícula del automóvil o passwords sencillos como "administrador" o "1234".

Otros sistemas almacenan o transmiten una pista de la contraseña de manera que la pista puede ser fundamental para el acceso de algún atacante. Cuando esto ocurre, (y es muy común), el atacante intentara suministrar contraseñas frecuentemente en una alta proporción, quizás utilizando listas extensamente conocidas de passwords comunes. También están sujetas a un alto grado de vulnerabilidad aquellas contraseñas que se usan para generar claves criptográficas, por ejemplo, cifrado de discos, o seguridad wi-fi, por lo tanto son necesarias contraseñas más inaccesibles en estos casos.

Formas de almacenar contraseñas

Algunos sistemas almacenan contraseñas como archivos de texto. Si algún atacante gana acceso al archivo que contienen las contraseñas, entonces todas éstas se encontraran comprometidas. Si algunos usuarios emplean el mismo password para diferentes cuentas, éstas estarán comprometidas de igual manera. Los mejores sistemas almacenan las contraseñas en una forma de protección criptográfica, así, el acceso a la contraseña será más difícil para algún espía que haya ganado el acceso interno al sistema, aunque la validación todavía sigue siendo posible.

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Autentificaci%C3%B3n

http://es.wikipedia.org/wiki/Informaci%C3%B3n

http://es.wikipedia.org/wiki/Seguridad

http://es.wikipedia.org/wiki/Criptograf%C3%ADa

http://es.wikipedia.org/wiki/Archivo_inform%C3%A1tico



autor.

Un esquema criptográfico común almacena solamente una forma burda de la contraseña. Cuando un usuario teclea la contraseña en este tipo de sistema, se corre a través de un algoritmo, y si el valor del valor proporcionado es igual al almacenado en la base de datos de contraseñas, se permite el acceso al usuario.

El valor burdo de la contraseña se crea al aplicar una función criptográfica para secuenciar la consistencia del password y, normalmente, otro valor conocido como salt. La salt previene que los atacantes construyan una lista de valores para contraseñas comunes. Las funciones criptográficas más comunes son la MD5 y SHA1. Una versión modificada de DES fue utilizada en los primeros sistemas Unix.

Si la función que almacena el password está bien diseñada, no es computacionalmente factible revertirla para encontrar el texto directamente. Sin embargo, si algún atacante gana acceso a los valores (y muchos sistemas no los protegen adecuadamente), puede usar gran cantidad de herramientas disponibles para comparar los resultados cifrados de cada palabra dentro de una colección, como un diccionario. Están ampliamente disponibles largas listas de contraseñas posibles en muchos lenguajes y las herramientas intentarán diferentes variaciones. Estas herramientas demuestran con su existencia la relativa fortaleza de las diferentes opciones de contraseña en contra de ataques. El uso derivado de una función para una clave puede reducir este riesgo.

Desafortunadamente, existe un conflicto fundamental entre el uso de estas funciones y la necesidad de un reto de autenticación; este último requiere que ambas partes se pueden una a otra para conocer el secreto compartido (es decir, la contraseña), y al hacer esto, el servidor necesita ser capaz de obtener el secreto compartido en su forma almacenada. En los sistemas Unix al hacer una autenticación remota, el secreto compartido se convierte en la forma burda de la contraseña, no la contraseña en sí misma; si un atacante puede obtener una copia de la forma burda de la contraseña, entonces será capaz de acceder al sistema remotamente, incluso sin tener que determinar cuál fue la contraseña original.

Método de retransmisión de la contraseña al usuario

Las contraseñas pueden ser vulnerables al espionaje mientras son transmitidas a la máquina de autenticación o al usuario. Si la contraseña es llevada como señal eléctrica sobre un cableado no asegurado entre el punto de acceso del usuario y el sistema central que controla la base de datos de la contraseña, está sujeta a espionaje por medio de métodos de conexiones externas en el cableado. Si ésta es enviada por medio de Internet, cualquier persona capaz de ver los paquetes de información que contienen la información de acceso puede espiar el password con pocas posibilidades de detección. Los cable módem pueden ser más vulnerables al espionaje que DSL los módems y las conexiones telefónicas, el ethernet puede estar o no sujeto a espionaje, dependiendo particularmente de la opción del hardware de la red y del

http://es.wikipedia.org/wiki/MD5

http://es.wikipedia.org/w/index.php?title=SHA1&action=edit&redlink=1

http://es.wikipedia.org/wiki/DES

http://es.wikipedia.org/wiki/Unix

http://es.wikipedia.org/wiki/Internet

http://es.wikipedia.org/wiki/M%C3%B3dem

http://es.wikipedia.org/wiki/DSL



autor.

cableado. Algunas organizaciones han notado un incremento significativo de las cuentas robadas después de que los usuarios se conecten por medio de conexiones por cable.

El riesgo de intercepción de los password mandados por Internet pueden ser reducidos con una capa de transporte de seguridad (TLS - Transport Layer Security, previamente llamada SSL) que se integra en muchos navegadores de Internet. La mayoría de los navegadores muestran un icono de un candado cerrado cuando el TLS está en uso. Vea criptografía para otras maneras en las que pasar la información puede ser más seguro.

Procedimientos para cambiar las contraseñas

Usualmente, un sistema debe proveer una manera de cambiar un password, ya sea porque el usuario sospeche que el password actual ha (o ha sido) descubierto, o como medida de precaución. Si el nuevo password es introducido en el sistema de una manera no cifrada, la seguridad puede haberse perdido incluso antes de que el nuevo password haya sido instalado en la base de datos. Si el nuevo password fue revelado a un empleado de confianza, se gana poco. Algunos web sites incluyen la opción de recordar el password de un usuario de una manera no cifrada al mandárselo por e-mail.

Los Sistemas de Administración de Identidad, se utilizan cada vez más para automatizar la emisión de reemplazos para contraseñas perdidas. La identidad del usuario se verifica al realizar algunas preguntas y compararlas con las que se tienen almacenadas. Preguntas típicas incluyen las siguientes: "¿Dónde naciste?", "¿Cuál es tu película favorita?", "¿Cuál es el nombre de tu mascota?" En muchos casos las respuestas a estas preguntas pueden ser adivinadas, determinadas con un poco de investigación, u obtenidas a través de estafa con ingeniería social. Mientras que muchos usuarios han sido advertidos para que nunca revelen su password, muy pocos consideran el nombre de su película favorita para requerir este tipo de seguridad.

Longevidad de una contraseña

El forzar a los usuarios a que cambien su contraseña frecuentemente (ya sea semestralmente, mensualmente o en lapsos más frecuentes) asegura que una contraseña válida en manos equivocadas sea eventualmente inútil. Muchos sistemas operativos proveen esta opción, aunque ésta no se usa universalmente. Los beneficios de seguridad son limitados debido a que los atacantes frecuentemente sacan provecho de una contraseña tan pronto como ésta es revelada. En muchos casos, particularmente con las cuentas de administradores o cuentas "raíz", una vez que un cracker ha ganado acceso, puede realizar alteraciones al sistema operativo que le permitirán accesos futuros incluso si la contraseña inicial ya ha expirado.

Forzar cambios de password frecuentemente hace que los usuarios tiendan a olvidar cual es el password actual, y por esto se da la consecuente tentación de escribir las claves en lugares a la vista o que reutilicen passwords anteriores, lo

http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social

http://es.wikipedia.org/wiki/Sistema_operativo



autor.

cual niega cualquier beneficio de seguridad. Al implementar este tipo de política se requiere una cuidadosa consideración de los factores humanos.

Número de usuarios por password

En algunas ocasiones, una sola contraseña controla el acceso de un dispositivo, por ejemplo, para la red de un router, o para un teléfono móvil. Sin embargo, en el caso de un sistema informático, una contraseña se almacena generalmente para cada nombre de usuario, de este modo haciendo que todos los accesos puedan ser detectables (excepto, por supuesto, en el caso de usuarios que comparten la misma contraseña).

En estos casos, un usuario potencial debe proporcionar un nombre y un password. Si el usuario provee un password que coincide con el almacenado para el nombre de usuario, entonces se le permite el acceso al sistema del ordenador. Este también es el caso de los cajeros automáticos, con la excepción de que el nombre de usuario es el número de cuenta almacenado en la tarjeta del cliente, y que el PIN es normalmente muy corto (de 4 a 6 dígitos).

La asignación de contraseñas separadas a cada usuario de un sistema es normalmente preferible que hacer que una sola contraseña sea compartida por varios usuarios legítimos del sistema. Esto se da en parte porque la gente está más dispuesta a revelar a otra persona (quién no puede estar autorizada) una contraseña compartida que era exclusivamente para su propio uso. Contraseñas individuales para cada usuario también son esenciales si los usuarios son responsables por sus actividades, tales como en los casos de transacciones financieras o consulta de expedientes médicos.

1.1.2.3.2 LISTA DE CONTROL DE ACCESO

Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición.

Puntos, que se deben recordar

Una ACL es una lista de una o más instrucciones.

Se asigna una lista a una o más interfaces.

Cada instrucción permite o rechaza tráfico, usando uno o más de los

siguientes criterios: el origen del tráfico; el destino del tráfico; el

protocolo usado.


http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

http://es.wikipedia.org/wiki/Separaci%C3%B3n_de_privilegios

http://es.wikipedia.org/wiki/Separaci%C3%B3n_de_privilegios

http://es.wikipedia.org/wiki/Permisos_de_acceso_a_archivos

http://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)

http://es.wikipedia.org/wiki/Red_de_computadoras

http://es.wikipedia.org/wiki/Routers

http://es.wikipedia.org/wiki/Switch



autor.

El router analiza cada paquete, comparándolo con la ACL

correspondiente.

El router compara la ACL línea por línea. Si encuentra una coincidencia,

toma la acción correspondiente (aceptar o rechazar), y ya no revisa los

restantes renglones.

Es por eso que hay que listar los comandos desde los casos más

específicos, hasta los más generales. ¡Las excepciones tienen que estar

antes de la regla general!

Si no encuentra una coincidencia en ninguno de los renglones, rechaza

automáticamente el tráfico. Consideren que hay un "deny any" implícito,

al final de cada ACL.

Cualquier línea agregada a una ACL se agrega al final. Para cualquier

otro tipo de modificación, se tiene que borrar toda la lista y escribirla de

nuevo. Se recomienda copiar al Bloc de Notas y editar allí.

Las ACL estándar (1-99) sólo permiten controlar en base a la dirección

de origen.

Las ACL extendidas (100-199) permiten controlar el tráfico en base a la

dirección de origen; la dirección de destino; y el protocolo utilizado.

También podemos usar ACL nombradas en vez de usar un rango de

números. El darles un nombre facilita entender la configuración (y por lo

tanto, también facilita hacer correcciones). No trataré las listas

nombradas en este resumen.

Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface

puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico

saliente.

Sugerencia para el examen: Se deben conocer los rangos de números

de las ACL, incluso para protocolos que normalmente no nos interesan.

Colocación de las ACL

Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe

a sus limitaciones: no se puede distinguir el destino.

Las ACL extendidas se colocan cerca del origen del tráfico, por

eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.



autor.

1.1.2.3.3 CIFRADO

El cifrado consiste en transformar un texto en claro (inteligible por todos) mediante un mecanismo de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado.

La aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para cada uso distinto.

Las dos técnicas más sencillas de cifrado, son la sustitución (que supone el cambio de significado de los elementos básicos del mensaje -las letras, los dígitos o los símbolos-) y la trasposición (que supone una reordenación de los mismos); la gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas. El descifrado es el proceso inverso que recupera el texto plano a partir del texto cifrado y la clave.

Se distinguen dos métodos generales de cifrado:

Cifrado simétrico

Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos.

Ésta es la opción utilizada para cifrar el cuerpo del mensaje.

Cifrado asimétrico

Por otro lado, cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, es conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema posee la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada ni descifrar el texto con ella cifrado. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para los servicios de autenticación, distribución de claves de sesión y firmas digitales.

En general, el cifrado asimétrico se emplea para cifrar las claves de sesión utilizadas para cifrar el documento, de modo que puedan ser transmitidas sin peligro a través de la Red junto con el documento cifrado, para que en recepción éste pueda ser descifrado. La clave de sesión se cifra con la clave pública del destinatario del mensaje, que aparecerá normalmente en una libreta de claves públicas.



autor.

El cifrado asimétrico se emplea también para firmar documentos y autenticar entidades, firmas digitales.

1.1.2.4 CONTROL DE ACCESO EXTERNO

Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.

Debe considerarse para estos casos de sistemas públicos, que un ataque externo o interno puede acarrear un impacto negativo en la imagen de la organización.

1.1.2.4.1DISPOSITIVOS DE CONTROL DE PUERTOS

Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.

1.1.2.4.2 FIREWALLS

Un firewall es la combinación de diferentes componentes: dispositivos físicos (hardware), programas (software) y actividades de administración, que, en conjunto, permitirán aplicar una política de seguridad de una red, haciendo efectiva una estrategia particular, para restringir el acceso entre ésta red y la red pública a la cual esté conectada. El objetivo es protegerla de cualquier acción hostil proveniente de un host externo1 a la red.

La función de un firewall es tal que todo el tráfico de entrada y salida de la red privada debe pasar a través de él; el tráfico permitido por el firewall es autorizado mediante su evaluación en base a la política de seguridad;

En general no existe una terminología completamente consistente para arquitecturas de firewalls y sus componentes. Diferentes autores usan términos de diferentes formas (o incluso conflictivas). Es apropiado referirse como “firewall” al conjunto de estrategias y políticas de seguridad y como “sistema firewall” a los elementos de hardware y software utilizados en la implementación de esas políticas (hablar de políticas incluye implícitamente una estrategia ya que se ve reflejada en la primera).

El enfoque de firewalls está basado en el concepto de permitir a los usuarios locales el uso de todos los servicios de red internos a su red local y otros servicios ofrecidos por la Internet, controlando, además, el acceso de los usuarios externos a los recursos de la red local.

Funciones principales de un Firewall

http://www.iec.csic.es/criptonomicon/correo/firma.html



autor.

Un firewall permite proteger una red privada contra cualquier acción hostil, al limitar su exposición a una red no confiable2 aplicando mecanismos de control para restringir el acceso desde y hacia ella al nivel definido en la política de seguridad. Generalmente un firewall es utilizado para hacer de intermediario entre una red de una organización e Internet u otra red no confiable.

Estos mecanismos de control actúan sobre los medios de comunicación entre las dos redes, en particular, sobre la familia de protocolos utilizada para la comunicación de sistemas remotos. La más comúnmente usada es TCP/IP ya que dispone de amplios desarrollos de mecanismos estándares para su uso en varios aspectos, incluyendo en seguridad.

La tarea de un firewall consiste en inspeccionar y controlar todo el tráfico entre la red local e Internet. De esta forma se intenta detectar y rechazar todo el tráfico potencialmente peligroso antes de que alcance otras partes de la red interna, en algunos casos también se efectúan registros de tales actividades. La determinación de qué es peligroso para la red local, es especificada en la política de seguridad adoptada por el sitio.

La protección que provee un firewall es de diferentes tipos:

Bloquea tráfico no deseado;

Redirecciona tráfico de entrada a sistemas internos de más confianza;

Oculta sistemas vulnerables, que pueden ser fácilmente asegurados, de

Internet;

Puede registrar el tráfico desde y hacia la red privada;

Puede ocultar información como ser nombres de sistemas, topología de

la red, tipos de dispositivos de red, e identificadores de usuarios

internos, de Internet;

Puede proveer autenticación más robusta que las aplicaciones

estándares.

El firewall permite lograr esta protección aislando el segmento de la topología correspondiente a la red local del resto de Internet, controlando todo el tráfico que llega y sale de la misma.

Un firewall ayuda a manejar una variedad de aspectos en el punto de acceso a la red pública manteniendo a los intrusos fuera, mientras permite a la red interna concentrarse en ofrecer sus servicios. La idea básica es permitir a los usuarios de una red protegida acceder a una red pública y al mismo tiempo hacer disponibles a la red pública los servicios y productos de la compañía, ofrecidos por esta red protegida.

El control de acceso que ofrece un firewall a un sistema de red permite que algunos servidores puedan hacerse disponibles desde la red externa, mientras otros puedan ser cerrados del acceso externo no deseado. Previniendo, de esta forma, que los servicios inseguros o vulnerables sean explotados por atacantes externos, es posible el uso de estos servicios con un riesgo reducido



autor.

de exposición ya que solo algunos protocolos seleccionados serán capaces de pasar a través del firewall.

Estrategia de un firewall

Generalmente un firewall se encuentra situado en los puntos de entrada a la red que protege. Este es un enfoque tradicional que surge a partir de la forma más simple de conexión de una red privada a Internet: mediante un único enlace. Aunque es posible utilizar otros enfoques para diferentes topologías de interconexión. Pero en cada caso, cada conexión (punto de acceso) de la red local a Internet estará equipada con un firewall

Ya que todo el tráfico debe pasar por él, puede considerarse como el foco de todas las decisiones de seguridad. Concentrando las defensas en este punto, es posible reducir la sobrecarga de seguridad del sistema interno ya que el esfuerzo se limita a unos pocos dispositivos de toda la red (los que forman parte del firewall).

De esta forma, un firewall centraliza el control de acceso. Los usuarios remotos pueden acceder a la red interna de forma controlada y segura, pasando a través del firewall.

Un firewall será transparente a los usuarios si no advierten su existencia para poder acceder a la red. Los firewalls generalmente son configurados para ser transparentes para los usuarios de la red interna, mientras que para los usuarios de la red externa, no.

Fundamento de los firewalls

Alguien podría cuestionarse lo siguiente: si queremos proteger nuestra red privada porque permitimos que una red de dominio público como Internet, pueda acceder a ella? La respuesta es simple: porque queremos que nuestra red acceda a ella. Muchas compañías dependen de Internet para publicitar sus productos y servicios. Por lo que es necesario proteger los datos, transmisiones y transacciones de cualquier incidente, ya sea, causado por actos maliciosos o no intencionales.



autor.

En el caso de una red local directamente conectada a Internet sin un firewall, la red entera está sujeta a ataques (ver Figura 21). La experiencia práctica muestra que es muy difícil asegurar que todo host de la red esté protegido. Una contraseña mal elegida puede comprometer la seguridad de toda la red.

Figura 21: Red Local sin firewall

Si la red local está protegida por un firewall, solo existe acceso directo para un conjunto seleccionado de hosts y la zona de riesgo es reducida al firewall en sí mismo o a un conjunto seleccionado de hosts de la red interna. (ver Figura 22)

Figura 22: Red Local con firewall.

Un firewall no es tanto una solución de seguridad sino una respuesta al problema de ingeniería/administración: configurar un gran numero de sistemas de hosts para una buena seguridad. Un firewall solo no asegurará una red. Solo es parte de un área más amplia dedicada a proteger un sitio y efectuar operaciones de red.

Limitaciones de los firewalls

En el enfoque tradicional comentado, un firewall no puede ofrecer protección contra conexiones que no pasen a través de él, por lo que el firewall no puede proteger la red contra atacantes internos.

Adicionalmente un firewall restringirá el acceso a ciertos dispositivos o funcionalidades, si existen conexiones no protegidas que pueden comunicar los sistemas de la red interna con la externa, es posible que algún usuario no autorizado intente saltear el firewall para obtener acceso a esas funcionalidades. Este tipo de amenaza solo puede ser tratada por procedimientos de administración que estén incorporados a las políticas de seguridad de las organizaciones y aseguren la protección o eliminación de estas conexiones.

Obviamente un firewall no ofrecerá protección contra aquellas amenazas que no hayan sido consideradas en el diseño de la estrategia y la política de seguridad.



autor.

Ventajas y Desventajas de los firewalls

Obviamente, la principal ventaja de un firewall es que permite la interconexión segura de una red privada con una red pública para aprovechar los beneficios que ésta ofrece. Un firewall puede resultar en una reducción de costos si todo el software de seguridad puede ser situado en un único sistema firewall, en lugar de ser distribuido en cada servidor o máquina de la red privada.

Existen algunas desventajas de los firewalls: cosas de las cuales los firewalls no puede proteger, como ser amenazas de puntos de acceso alternativos no previstos (backdoors) y ataques originados en el interior de la red. El problema de los firewalls es que limitan el acceso desde y hacia Internet, pero es un precio que se debe pagar y es una cuestión de análisis de costo / beneficio al desarrollar una implementación de seguridad.

Implementación

Para asegurar una red privada, se debe definir qué idea se tiene del “perímetro” de red. En base a éstas y otras consideraciones se define una política de seguridad y se establecen los mecanismos para aplicar la política y los métodos que se van a emplear. Existe una variedad de mecanismos para la implementación de firewalls que pueden incrementar en gran medida el nivel de seguridad.

Antes de definir qué tipo de firewall se ajusta a las necesidades de la red, se necesitará analizar la topología de la red para determinar si los componentes tales como hubs, routers y cableado son apropiados para un modelo de firewall especifico.

La red debe ser analizada en base a las diferentes capas del modelo de red. Un firewall pasa a través de todas estas capas y actúa en aquellas responsables del envió de paquetes, establecimiento y control de la conexión y del procesamiento de las aplicaciones. Por eso, con un firewall podemos controlar el flujo de información durante el establecimiento de sesiones, inclusive determinando que operaciones serán o no permitidas.



autor.

1.1.2.4.2.1 SELECCIÓN DEL TIPO DE FIREWALL

Conceptualmente, se pueden distinguir dos tipos diferentes de firewalls:

* Nivel de red.

* Nivel de aplicación.

Cada uno de estos tipos tienen sus características propias, por lo que a prioridad no se puede decir que un tipo sea mejor ni peor que el otro.

Los firewalls del nivel de red toman decisiones según la dirección de procedencia, dirección de destino y puerto de cada uno de los paquetes IP. Un simple router es un ejemplo de firewall de nivel de red, con la deficiencia de que no pueden tomar decisiones sofisticadas. Los actuales corta fuegos de nivel de red permiten mayor complejidad a la hora de decidir; mantienen información interna acerca del estado de las conexiones que pasas por el, los contenidos de algunos datos. Estos sistemas, como es lógico han de tener una dirección IP válida. Los firewalls tienden a ser muy rápidos, y sobre todo, transparentes al usuario.

Los firewalls de nivel de aplicación, generalmente son host con servidores proxy, que no permiten el trafico directamente entre dos redes, sino que realizan un seguimiento detallado del trafico que pasa por el. Los firewalls de nivel de aplicación pueden ser usados como traductores de direcciones de red; según pasa el tráfico de un lado a otro, enmascara la dirección de origen, lo que dificulta observar la topología de la red el exterior. Estos sistemas proporcionan informes de auditoría más detallados que los firewalls de nivel de red; se usan cuando la política de control de acceso es más conservadora.



autor.

1.1.2.4.2.2 INTEGRACIÓN DE LAS POLÍTICAS DE SEGURIDAD AL FIREWALL

Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura.

Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios.

Mediante la adopción de una política de seguridad es posible identificar las amenazas de las cuales se intenta proteger los recursos de la red, los mecanismos de seguridad a implementar y el nivel de protección requerido.

La política de seguridad misma responderá a la posición que asuma la organización ante tales amenazas. Esta posición se traduce en la determinación de una estrategia de seguridad que corresponde a un enfoque en particular para la elección de las reglas y medidas a tomar para proteger la red.

Ajustarse a una estrategia de seguridad es una decisión muy importante al momento de construir una solución de seguridad firewall ya que será determinante de la estructura resultante de dicha solución.

Existen algunas estrategias generales que responden a diferentes principios asumidos para llevar a cabo la implementación de una solución de seguridad

Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad:

¿Qué se debe proteger?. Se deberían proteger todos los elementos de

la red interna (hardware, software, datos, etc.).

¿De quién protegerse?. De cualquier intento de acceso no autorizado

desde el exterior y contra ciertos ataques desde el interior que puedan

preverse y prevenir.

Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros.

¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a

establecer el nivel de monitorización, control y respuesta deseado en la

organización. Puede optarse por alguno de los siguientes paradigmas o

estrategias:



autor.

a. Paradigmas de seguridad

Se permite cualquier servicio excepto aquellos

expresamente prohibidos.

Se prohíbe cualquier servicio excepto aquellos

expresamente permitidos. La más recomendada y utilizada

aunque algunas veces suele acarrear problemas por

usuarios descontentos que no pueden acceder a tal cual

servicio.

b. Estrategias de seguridad

Paranoica: se controla todo, no se permite nada.

Prudente: se controla y se conoce todo lo que sucede.

Permisiva: se controla pero se permite demasiado.

Promiscua: no se controla (o se hace poco) y se permite

todo.

1.1.2.4.2.3 REVISIÓN Y ANÁLISIS DEL MERCADO

Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de firewalls, que están complementadas con los esfuerzos por elevar el nivel de seguridad de los distintos sistemas operativos.

Estas aplicaciones de firewalls están disponibles para los distintos sistemas operativos y si bien en líneas generales todos cumplen básicamente las mismas funciones, cada proveedor tiene sus características particulares que se van igualando de uno a otro con el correr del tiempo y el desarrollo de los distintos releases.

Entre los productos más utilizados se encuentran Firewall-1, Pix y Raptor, de las empresas Chekpoint, Cisco y HP respectivamente.

Indagando un poco en el mercado local se puede comprobar que el producto de Cisco esta siendo muy utilizado, debido a su integración “nativo” en todas aquellas organizaciones que están utilizando routers Cisco

Además de verificar las características particulares de cada uno se pueden bajar de Internet versiones de evaluación para corroborar las distintas facilidades como así también observar como se adapta a la organización donde se implementará.



autor.

1.1.2.4.3 PROXIES

El término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

La palabra proxy se usa en muchas situaciones en donde tiene sentido un intermediario.

El uso más común es el de servidor proxy, que es un ordenador que

intercepta las conexiones de red que un cliente hace a un servidor de

destino.

o De ellos, el más famoso es el servidor proxy web (comúnmente

conocido solamente como «proxy»). Intercepta la navegación de

los clientes por páginas web, por varios motivos posibles:

seguridad, rendimiento, anonimato, etc.

o También existen proxies para otros protocolos, como el proxy de

FTP.

o El proxy ARP puede hacer de enrutador en una red, ya que hace

de intermediario entre ordenadores.

Proxy (patrón de diseño) también es un patrón de diseño (programación)

con el mismo esquema que el proxy de red.

Un componente hardware también puede actuar como intermediario

para otros (por ejemplo, un teclado USB al que se le pueden conectar

más dispositivos USB).

Fuera de la informática, un proxy puede ser una persona autorizada para

actuar en representación de otra persona; por ejemplo, alguien a quien

le han delegado el derecho a voto.

Una guerra proxy es una en la que las dos potencias usan a terceros

para el enfrentamiento directo.

Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de intermediario. También se puede traducir por delegado o apoderado (el que tiene el poder).

Ventajas

En general (no sólo en informática), los proxies hacen posibles varias cosas nuevas:

Control: sólo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos sólo al

proxy.

http://es.wikipedia.org/wiki/Proxy_ARP

http://es.wikipedia.org/wiki/Proxy_(patr%C3%B3n_de_dise%C3%B1o)

http://es.wikipedia.org/wiki/Patr%C3%B3n_de_dise%C3%B1o

http://es.wikipedia.org/wiki/Programaci%C3%B3n

http://es.wikipedia.org/wiki/Hardware

http://es.wikipedia.org/wiki/USB



autor.

Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar

equipado para hacer el trabajo real.

Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy

puede hacer caché: guardar la respuesta de una petición para darla

directamente cuando otro usuario la pida. Así no tiene que volver a

contactar con el destino, y acaba más rápido.

Filtrado. El proxy puede negarse a responder algunas peticiones si

detecta que están prohibidas.

Modificación. Como intermediario que es, un proxy puede falsificar

información, o modificarla siguiendo un algoritmo.

Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil

que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,

por ejemplo cuando hay que hacer necesariamente la identificación.

Desventajas

En general (no sólo en informática), el uso de un intermediario puede provocar:

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y

responderlas, es posible que haga algún trabajo que no toque. Por tanto,

ha de controlar quién tiene acceso y quién no a sus servicios, cosa que

normalmente es muy difícil.

Carga. Un proxy ha de hacer el trabajo de muchos usuarios.

Intromisión. Es un paso más entre origen y destino, y algunos usuarios

pueden no querer pasar por el proxy. Y menos si hace de caché y

guarda copias de los datos.

Incoherencia. Si hace de caché, es posible que se equivoque y dé una

respuesta antigua cuando hay una más reciente en el recurso de

destino. En realidad este problema no existe con los servidores proxy

actuales, ya que se conectan con el servidor remoto para comprobar que

la versión que tiene en cache sigue siendo la misma que la existente en

el servidor remoto.

Irregularidad. El hecho de que el proxy represente a más de un usuario

da problemas en muchos escenarios, en concreto los que presuponen

una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).

http://es.wikipedia.org/wiki/Cach%C3%A9



http://es.wikipedia.org/wiki/TCP/IP



autor.

Funcionamiento

Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página web) en una caché que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de proxy se agrupan diversas técnicas.

1.1.2.4.4 INTEGRIDAD DEL SISTEMA

La integridad del sistema se refiere a la estabilidad y accesibilidad del servidor

que patrocina la fuente con el tiempo. Esto generalmente se refiere al trabajo

de los administradores del sistema.

Para garantizar la integridad del sistema, es necesario detectar intrusiones a un

nivel más alto. Éste es el objetivo de los verificadores de integridad como

Tripwire.

El software Tripwire, originalmente desarrollado por Eugene Spafford y Gene

Kim en 1992, se utiliza para garantizar la integridad del sistema a través de la

supervisión constante de los cambios en ciertos archivos y carpetas. Tripwire

lleva a cabo verificaciones de integridad y mantiene una base de datos

actualizada de las firmas. En intervalos regulares, inspecciona las siguientes

características del archivo para indicar si hubo alguna modificación y/o si está

en peligro:

permisos,

última fecha de modificación,

fecha de acceso,

tamaño del archivo,

firma del archivo.

Las alertas se envían por correo electrónico, preferentemente a un servidor

remoto, para evitar que el hacker las elimine.

Los límites de la verificación de la integridad

http://es.wikipedia.org/wiki/Web




autor.

Para obtener resultados fiables en la verificación de la integridad, se debe estar

seguro de la integridad del equipo durante su instalación. También es muy

difícil configurar este tipo de software, ya que el número de archivos que se

debe supervisar puede ser muy grande. Es más, cuando se instalan nuevas

aplicaciones, sus archivos se deben configurar para que puedan verificarse.

Además, este tipo de solución tiende a enviar un gran número de falsas

alarmas, especialmente cuando el sistema sólo está modificando archivos de

configuración o cuando se está actualizando.

Finalmente, si el equipo realmente está en peligro, el hacker puede intentar

poner en peligro la integridad del verificador antes de la siguiente actualización,

por lo que es muy importante almacenar las alertas en un equipo remoto o en

un soporte externo que no se pueda volver a grabar.

1.1.2.4.5 VPN (VIRTUAL PRIVATE NETWORKS)

La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una

tecnología de red que permite una extensión de la red local sobre una red

pública o no controlada, como por ejemplo Internet.

Requerimientos básicos

Identificación de usuario: las VPN deben verificar la identidad de los

usuarios y restringir su acceso a aquellos que no se encuentren

autorizados.

Codificación de datos: los datos que se van a transmitir a través de la

red pública (Internet), antes deben ser cifrados, para que así no puedan

ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o

3DES que solo pueden ser leídos por el emisor y receptor.

Administración de claves: las VPN deben actualizar las claves de cifrado

para los usuarios.

Tipos de VPN

Básicamente existen tres arquitecturas de conexión VPN:

VPN de acceso remoto

Es quizás el modelo más usado actualmente y consiste en usuarios o

proveedores que se conectan con la empresa desde sitios remotos (oficinas

comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando

Internet como vínculo de acceso. Una vez autentificados tienen un nivel de

acceso muy similar al que tienen en la red local de la empresa.

http://es.wikipedia.org/wiki/Red_de_computadoras

http://es.wikipedia.org/wiki/Red_local

http://es.wikipedia.org/wiki/Internet

http://es.wikipedia.org/wiki/Algoritmo

http://es.wikipedia.org/wiki/DES

http://es.wikipedia.org/wiki/3DES

http://es.wikipedia.org/wiki/Usuario

http://es.wikipedia.org/wiki/Usuario

http://es.wikipedia.org/wiki/Hotel

http://es.wikipedia.org/wiki/Avi%C3%B3n

http://es.wikipedia.org/wiki/Red_local



autor.

Muchas empresas han reemplazado con esta tecnología su infraestructura dial-

up (módems y líneas telefónicas).

VPN punto a punto

Este esquema se utiliza para conectar oficinas remotas con la sede central de

la organización. El servidor VPN, que posee un vínculo permanente a Internet,

acepta las conexiones vía Internet provenientes de los sitios y establece el

túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando

los servicios de su proveedor local de Internet, típicamente mediante

conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto

a punto tradicionales, sobre todo en las comunicaciones internacionales. Es

más común el siguiente punto, también llamado tecnología de túnel o tunneling.

TUNNELING

Internet se construyó desde un principio como un medio inseguro. Muchos de

los protocolos utilizados hoy en día para transferir datos de una máquina a otra

a través de la red carecen de algún tipo de cifrado o medio de seguridad que

dichos datos. Este tipo de técnica requiere de forma imprescindible tener una

cuenta de acceso seguro en la máquina con la que se quiere comunicar los

datos.

VPN interna VLAN

Este esquema es el menos difundido pero uno de los más poderosos para

utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en

vez de utilizar Internet como medio de conexión, emplea la misma red de área

local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.

Esta capacidad lo hace muy conveniente para mejorar las prestaciones de

seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como las nóminas

de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación

adicional más el agregado del cifrado, haciendo posible que sólo el personal de

recursos humanos habilitado pueda acceder a la información.

Ventajas

Integridad, confidencialidad y seguridad de datos.

Las VPN reducen los costes y son sencillas de usar.

Facilita la comunicación entre dos usuarios en lugares distantes.

http://es.wikipedia.org/wiki/Tecnolog%C3%ADa

http://es.wikipedia.org/wiki/Dial-up

http://es.wikipedia.org/wiki/Dial-up

http://es.wikipedia.org/wiki/M%C3%B3dem

http://es.wikipedia.org/wiki/Servidor

http://es.wikipedia.org/wiki/Banda_ancha

http://es.wikipedia.org/wiki/Tunneling

http://es.wikipedia.org/wiki/VLAN

http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_local

http://es.wikipedia.org/wiki/WiFi



autor.

1.1.2.4.6 DMZ (ZONA DESMILITARIZADA)

Los servicios accesibles externamente deberían residir en lo que en la industria de seguridad se conoce como una zona desmilitarizada (DMZ), un segmento lógico de red donde el tráfico entrante desde Internet sólo podrá acceder esos servicios y no tiene permitido acceder la red interna. Esto es efectivo en que, aún cuando un usuario malicioso explota una máquina en el DMZ, el resto de la red interna queda detrás de los cortafuegos en un segmento separado.

Cuando algunas máquinas de la red interna deben ser accesibles desde una

red externa (servidores web, servidores de correo electrónico, servidores FTP),

a veces es necesario crear una nueva interfaz hacia una red separada a la que

se pueda acceder tanto desde la red interna como por vía externa sin correr el

riesgo de comprometer la seguridad de la compañía. El término "zona

desmilitarizada" o DMZ hace referencia a esta zona aislada que posee

aplicaciones disponibles para el público. La DMZ actúa como una "zona de

búfer" entre la red que necesita protección y la red hostil.

Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan

como un puesto de avanzada en la red de la compañía.

Por lo general, la política de seguridad para la DMZ es la siguiente:

El tráfico de la red externa a la DMZ está autorizado

El tráfico de la red externa a la red interna está prohibido

El tráfico de la red interna a la DMZ está autorizado

El tráfico de la red interna a la red externa está autorizado

El tráfico de la DMZ a la red interna está prohibido

El tráfico de la DMZ a la red externa está denegado

De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es

lo suficientemente alto para almacenar datos imprescindibles de la compañía.

Debe observarse que es posible instalar las DMZ en forma interna para aislar la

red interna con niveles de protección variados y así evitar intrusiones internas.

http://es.kioskea.net/contents/www/www-intro.php3

http://es.kioskea.net/contents/courrier-electronique/fonctionnement-mta-mua.php3

http://es.kioskea.net/contents/internet/ftp.php3

http://es.kioskea.net/contents/detection/ids.php3



autor.

1.1.2.4.7 HERRAMIENTAS DE SEGURIDAD

La herramienta debe proporcionar mecanismos para controlar el acceso y las

modificaciones a los que contiene. La herramienta debe, al menos, mantener

contraseñas y permisos de acceso en distintos niveles para cada usuario.

También debe facilitar la realización automática de copias de seguridad y

recuperaciones de las mismas, así como el almacenamiento de grupos de

información determinados, por ejemplo, por proyecto o aplicaciones.

Un conjunto de métodos y herramientas destinados a proteger la información y

por ende, los sistemas informáticos ante cualquier amenaza.

1.2 SEGURIDAD EN REDES DE DATOS

En la actualidad la información es un activo importante en las organizaciones, y

por lo tanto, cualquier organización debiera darle la atención y protección

necesaria, ya que en ello se juega el prestigio y la confianza de sus usuarios.

La información tiene tres características que deben protegerse:

•Confidencialidad

•Integridad

•Disponibilidad

Confidencialidad

Es una característica muy delicada en todo tipo de organización, ya que hay

datos que sólo conciernen a algunos, y que pueden ser utilizados de forma

indebida por otros, o simplemente pueden afectar el prestigio de la

organización si se sabe que no se les da el cuidado adecuado. Hay información

que necesita ser confidencial y otra que no, pero en general obtener la

información por una vía ilícita delata problemas en la organización, y muy

graves si la información es confidencial. Una fuente de información importante

para la Escuela es la Intranet, la cual almacena mucha información confidencial

o restringida a grupos de usuarios específicos, por esta razón es manejada con

un nivel de seguridad alto. Los computadores personales de usuarios de la

Escuela muchas veces mantienen información importante y confidencial, por lo

tanto se deberían proteger casi de la misma forma que la Intranet.

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

http://www.monografias.com/trabajos12/dispalm/dispalm.shtml

http://www.monografias.com/trabajos11/grupo/grupo.shtml

http://www.monografias.com/trabajos12/pmbok/pmbok.shtml



autor.

Integridad

Es una característica que nos da la seguridad que la información no ha sido

alterada ni manipulada, y por lo tanto es fidedigna y utilizable. Este es uno de

los puntos débiles del correo electrónico, y es un problema de diseño el cual se

logra solucionar utilizando firma digital.

Disponibilidad

Es una característica que apunta más a factores externos, ya que se refiere al

hecho de poder acceder a la información la mayor cantidad de tiempo posible o

todas las veces que se requiera, lo cual se logra con tecnologías de redes y de

procesamiento (servidores). La información no es útil si no se puede acceder

cuando es necesaria, y los problemas más comunes que causan situaciones de

no disponibilidad son los problemas de red, como lo suele ser un enlace

colapsado. Esto último afecta gravemente a la Escuela ya que no sólo la

comunidad universitaria no puede acceder a servicios externos, sino que

también usuarios externos no puedan acceder a servicios provistos por la

Escuela.

En general si la información de la organización no importa que sea destruida,

modificada o que no este disponible, entonces no tiene ninguna de las

características nombradas y por lo tanto sólo ocupa espacio en disco y no tiene

ninguna utilidad.

Tanto como la información de la organización se debe cuidar adecuadamente,

el equipamiento de red, los servidores, el ancho de banda, etc. son recursos

que las organizaciones también deben cuidar y proteger, ya que en ellos se

levanta la plataforma informática utilizada a diario. Estos recursos además de

ser costosos, son una parte medular de toda organización.



autor.

1.2.1 AMENAZAS Y ATAQUES A REDES

Un ataque de red se produce cuando un atacante utiliza vulnerabilidades y

fallos en la seguridad a diferentes niveles (TCP, IPv4, WiFi, DNS,

aplicaciones…) para intentar comprometer la seguridad de una red.

Debido a su complejidad, se recolectan datos que le dan al atacante las pautas

para tener éxito, las más habituales son:

Identificación del sistema operativo: Los ataques difieren mucho según

el sistema operativo que esté instalado en el ordenador

Escaneo de protocolos, puertos y servicios:

Los servicios: Son los programas que carga el propio sistema operativo

para poder funcionar, servicio de impresión, actualizaciones

automáticas, Messenger…

o Los puertos son las vías que utiliza el ordenador para

comunicarse, 21 es el del FTP, 995 el del correo seguro…

o Protocolos: Son los diferentes lenguajes establecidos que utiliza

el ordenador para comunicarse De este modo si se escanea todo

esto el atacante se hace una idea de cómo poder realizar el

ataque.

Escaneo de vulnerabilidades.

o Del sistema operativo.

o De los programas instalados.

Existen multitud de tipos de ataques de red aunque existen cuatro tipos

básicos:

o Ataques de denegación de servicio.

o Ataques contra la autentificación.

o Ataques de modificación y daño.

o Ataques de puerta trasera o backdoor.

Se entiende por amenaza una condición del entorno del sistema de información

(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar

a que se produjese una violación de la seguridad (confidencialidad, integridad,

disponibilidad o uso legítimo).



autor.

La política de seguridad y el análisis de riesgos habrán identificado las

amenazas que han de ser contrarrestadas, dependiendo del diseñador del

sistema de seguridad especificar los servicios y mecanismos de seguridad

necesarios.

Las amenazas a la seguridad en una red pueden caracterizarse modelando el

sistema como un flujo de información desde una fuente, como por ejemplo un

fichero o una región de la memoria principal, a un destino, como por ejemplo

otro fichero o un usuario. Un ataque no es más que la realización de una

amenaza.

Las cuatro categorías generales de amenazas o ataques son las siguientes:

Interrupción: un recurso del sistema es destruido o se vuelve no

disponible. Este es un ataque contra la disponibilidad. Ejemplos de este

ataque son la destrucción de un elemento hardware, como un disco

duro, cortar una línea de comunicación o deshabilitar el sistema de

gestión de ficheros.

Intercepción: una entidad no autorizada consigue acceso a un recurso.

Este es un ataque contra la confidencialidad. La entidad no autorizada

podría ser una persona, un programa o un ordenador. Ejemplos de este

ataque son pinchar una línea para hacerse con datos que circulen por la

red y la copia ilícita de ficheros o programas (intercepción de datos), o

bien la lectura de las cabeceras de paquetes para desvelar la identidad

de uno o más de los usuarios implicados en la comunicación observada

ilegalmente (intercepción de identidad).

Modificación: una entidad no autorizada no sólo consigue acceder a un

recurso, sino que es capaz de manipularlo. Este es un ataque contra la

integridad. Ejemplos de este ataque son el cambio de valores en un

archivo de datos, alterar un programa para que funcione de forma

diferente y modificar el contenido de mensajes que están siendo

transferidos por la red.

Fabricación: una entidad no autorizada inserta objetos falsificados en el

sistema. Este es un ataque contra la autenticidad. Ejemplos de este

ataque son la inserción de mensajes espurios en una red o añadir

registros a un archivo.

Estos ataques se pueden así mismo clasificar de forma útil en términos de

ataques pasivos y ataques activos.



autor.

Ataques pasivos

En los ataques pasivos el atacante no altera la comunicación, sino que

únicamente la escucha o monitoriza, para obtener información que está siendo

transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico,

una técnica más sutil para obtener información de la comunicación, que puede

consistir en:

Obtención del origen y destinatario de la comunicación, leyendo las

cabeceras de los paquetes monitorizados.

Control del volumen de tráfico intercambiado entre las entidades

monitorizadas, obteniendo así información acerca de actividad o

inactividad inusuales.

Control de las horas habituales de intercambio de datos entre las

entidades de la comunicación, para extraer información acerca de los

períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna

alteración de los datos. Sin embargo, es posible evitar su éxito mediante el

cifrado de la información y otros mecanismos que se verán más adelante.

Ataques activos

Estos ataques implican algún tipo de modificación del flujo de datos transmitido

o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro

categorías:

Suplantación de identidad: el intruso se hace pasar por una entidad

diferente. Normalmente incluye alguna de las otras formas de ataque

activo. Por ejemplo, secuencias de autenticación pueden ser capturadas

y repetidas, permitiendo a una entidad no autorizada acceder a una serie

de recursos privilegiados suplantando a la entidad que posee esos

privilegios, como al robar la contraseña de acceso a una cuenta.

Reactuación: uno o varios mensajes legítimos son capturados y

repetidos para producir un efecto no deseado, como por ejemplo

ingresar dinero repetidas veces en una cuenta dada.

Modificación de mensajes: una porción del mensaje legítimo es alterada,

o los mensajes son retardados o reordenados, para producir un efecto

no autorizado. Por ejemplo, el mensaje “Ingresa un millón de pesetas en

la cuenta A” podría ser modificado para decir “Ingresa un millón de

pesetas en la cuenta B”.



autor.

Degradación fraudulenta del servicio: impide o inhibe el uso normal o la

gestión de recursos informáticos y de comunicaciones. Por ejemplo, el

intruso podría suprimir todos los mensajes dirigidos a una determinada

entidad o se podría interrumpir el servicio de una red inundándola con

mensajes espurios. Entre estos ataques se encuentran los de

denegación de servicio, consistentes en paralizar temporalmente el

servicio de un servidor de correo, Web, FTP, etc.

1.2.2 ELEMENTOS BÁSICOS DE PROTECCIÓN

Hoy en día la seguridad no es solo para grandes corporaciones; ni siquiera

podemos escudarnos en que no existe presupuesto para estar bien seguros

Las compañías que quieren abrirse al mundo, independientemente de su

actividad y tamaño. La competitividad de la empresa pasa por la modernización

de todos los aspectos del negocio, incluyendo sistemas de gestión, recursos

humanos y, en general, todas las áreas de actividad. Un aspecto clave de la

modernización lo constituye la tecnología, herramientas que automatizan los

procesos de negocio y que, hasta hace muy poco, sólo grandes empresas

podían acceder a ellas. Ahora estamos en una nueva etapa, todo el mundo

tiene la posibilidad de acceder a una conexión y expandir su negocio a un

escaparate virtualmente infinito. Con ello, incluso la pequeña y mediana

empresa consigue obtener una importante base para el desarrollo de su

negocio: que sus pro-veedores, clientes, y trabajadores estén interconectados

entre sí a través de la banda ancha. Y para que este nuevo contexto de

conectividad un verdadero beneficio, la empresa debe dotarse de un sistema

de seguridad que no quede cubierto únicamente con sistemas de protección de

puesto de trabajo, sino que es necesaria una seguridad perimetral avanzada.

Conforme evoluciona la pequeña y mediana empresa, se crean dispositivos

que se adecuan a sus necesidades, ya sea por prestaciones, precio, sencillez

de uso, etc., es decir, dispositivos que verdaderamente cubran estas

necesidades que la pyme lleva pidiendo mucho tiempo. A día de hoy, la

conectividad se vende por un lado y la seguridad por otro. Sin embargo, la

demanda real es la de adquirir seguridad y comunicaciones en un solo

dispositivo, seguridad perimetral, seguridad como habilitador de la

conectividad, que funciona de

Garantizar el acceso y la integridad de la información ha pasado a ser una

prioridad en forma independiente y ha de cubrir todas las áreas. La seguridad

perimetral se está convirtiendo en una característica obligatoria de todos los

proyectos de infraestructura de comunicaciones y conectividad de cualquier

compañía. Este tipo de seguridad se basa en la protección de todo lo que

rodea nuestra red frente a aquellos puntos que pueden estar en contacto con



autor.

otras redes que no son las nuestras. La seguridad perimetral es una

seguridad«excluyente», es decir, aquel tipo de seguridad que mantiene a «los

malos»fuera. Por eso, sus principales elementos son Firewall (cortafuegos) o

Control de Contenidos / Anti-Spam. Por eso, las soluciones perimetrales son un

primer paso, pero sin duda, una buena seguridad siempre tiene que ser

multidimensional y, sobre todo, debe de ser integrada para crear el máximo

nivel de seguridad y a la vez no aumentar la carga de administración. Una

empresa necesita seguridad perimetral por que es quizás uno de los vectores

menos controlados y de gran importancia. Al final, cualquier empresa que esté

conectada a Internet es un posible objetivo para ataques de red. La seguridad

perimetral nos permite aumentar nuestro umbral de seguridad de manera

significativa. De este modo, el futuro de la pyme pasa por dispositivos de

seguridad perimetral que lleven integrados los sistemas de seguridad críticos

identificados en cada negocio, con ello los costes y la dificultad asociada a la

instalación y puesta en marcha de éstos dispositivos se mantendrán limitados

al uso real que se quiera dar al dispositivo. Hoy en día los elementos básicos

de seguridad en un sistema para la pequeña y mediana empresa incluyen unos

buenos cortafuegos y un antivirus de red como complemento al antivirus del

puesto de trabajo. Además, según el tipo de negocio y el control del uso de

recursos que se quiera establecer, son ríos al antivirus de escritorio y servidor:

Firewall, VPN, Anti-virus de red y filtrado de contenidos. En algunos casos es

incluso posible integrar el módulo de comunicación es para facilitar la

instalación y reducir costes asociados al mantenimiento de la solución.

Contando con dichos equipos el integrador deberá ser capaz de ofertar

servicios de seguridad basados en las comunicaciones de banda ancha a sus

clientes, siendo ésta una forma perfecta de fidelización. Por tanto, siempre es

recomendable una buena seguridad perimetral pero también es aconsejable la

implementación de soluciones más enfocadas a la red interna, tales como

dispositivos para la protección de los puestos de trabajo. El fin dela seguridad,

cualquiera que sea su denominación, es la de bloquear el mayor número

posible de ataques que vienen de fuera. En definitiva, para que una seguridad

perimetral sea eficiente hay que saber también qué es lo que se está

protegiendo y así poder establecer las reglas más adecuadas en cada caso.

Recomendables un filtrado de contenidos web y un servidor VPN. Un extra muy

recomendable en éste tipo de dispositivos es que dispongan del módulo de

comunicaciones WAN integrado, de forma que tanto la configuración inicial

como el mantenimiento posterior del sistema de seguridad perimetral, se

reduzcan a un solo dispositivo. Es importante que estos sistemas sean capaces

de evolucionar según lo hagan las amenazas en Internet, ya sea mediante

actualizaciones de software y/o hardware como de integración de nuevos

servicios de seguridad. Muestra de ello es la necesidad, cada día más



autor.

apremiante, de disponer de un buen sistema Antispam, que bloquee deforma

efectiva el correo basura.

1.3 SEGURIDAD EN REDES INALÁMBRICAS

Elementos de la seguridad inalámbrica

Para proteger una red inalámbrica, hay tres acciones que pueden ayudar:

Proteger los datos durante su transmisión mediante el cifrado: en su

sentido básico, el cifrado es como un código secreto. Traduce los datos

a un lenguaje indescifrable que sólo el destinatario indicado comprende.

El cifrado requiere que tanto el remitente como el destinatario tengan

una clave para decodificar los datos transmitidos. El cifrado más seguro

utiliza claves muy complicadas, o algoritmos, que cambian con

regularidad para proteger los datos.

Desalentar a los usuarios no autorizados mediante autenticación: los

nombres de usuario y las contraseñas son la base de la autenticación,

pero otras herramientas pueden hacer que la autenticación sea más

segura y confiable. La mejor autenticación es la que se realiza por

usuario, por autenticación mutua entre el usuario y la fuente de

autenticación.

Impedir conexiones no oficiales mediante la eliminación de puntos de

acceso dudosos: un empleado bienintencionado que goza de conexión

inalámbrica en su hogar podría comprar un punto de acceso barato y

conectarlo al zócalo de red sin pedir permiso. A este punto de acceso se

le denomina dudoso, y la mayoría de estos puntos de acceso los

instalan empleados, no intrusos maliciosos. Buscar la existencia de

puntos de acceso dudosos no es difícil. Existen herramientas que

pueden ayudar, y la comprobación puede hacerse con una computadora

portátil y con software en un pequeño edificio, o utilizando un equipo de

administración que recopila datos de los puntos de acceso.

Soluciones de seguridad inalámbrica

Existen tres soluciones disponibles para proteger el cifrado y la autenticación de LAN inalámbrica: Acceso protegido Wi-Fi (WPA), Acceso protegido Wi-Fi 2 (WPA2) y conexión de redes privadas virtuales (VPN). La solución que elija es específica del tipo de LAN inalámbrica a la que está accediendo y del nivel de cifrado de datos necesario:

WPA y WPA2: estas certificaciones de seguridad basadas en normas de

la Wi-Fi Alliance para LAN de grandes empresas, empresas en

crecimiento y para la pequeña oficina u oficinas instaladas en el hogar



autor.

proporcionan autenticación mutua para verificar a usuarios individuales y

cifrado avanzado. WPA proporciona cifrado de clase empresarial y

WPA2, la siguiente generación de seguridad Wi-Fi, admite el cifrado de

clase gubernamental. "Recomendamos WPA o WPA2 para las

implementaciones de LAN inalámbrica en grandes empresas y

empresas en crecimiento", comenta Jeremy Stieglitz, gerente de

productos de la unidad comercial de Conexión de Redes Inalámbricas

de Cisco. "WPA y WPA2 ofrecen control de acceso seguro, cifrado de

datos robusto y protegen la red de los ataques pasivos y activos".

VPN: VPN brinda seguridad eficaz para los usuarios que acceden a la

red por vía inalámbrica mientras están de viaje o alejados de sus

oficinas. Con VPN, los usuarios crean un "túnel" seguro entre dos o más

puntos de una red mediante el cifrado, incluso si los datos cifrados se

transmiten a través de redes no seguras como la red de uso público

Internet. Los empleados que trabajan desde casa con conexiones de

acceso telefónico o de banda ancha también pueden usar VPN.

Política de seguridad inalámbrica

En algunos casos, puede haber parámetros de seguridad diferentes para usuarios o grupos de usuarios diferentes de la red. Estos parámetros de seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto de acceso. Por ejemplo, puede configurar políticas de seguridad diferentes para grupos de usuarios diferenciados dentro de la compañía, como por ejemplo, los de finanzas, jurídico, manufactura o recursos humanos. También puede configurar políticas de seguridad independientes para clientes, partners o visitantes que acceden a la LAN inalámbrica. Esto le permite utilizar un solo punto de acceso de forma económica para ofrecer soporte a varios grupos de usuarios con parámetros y requisitos de seguridad diferentes, mientras la red se mantiene la segura y protegida. La seguridad de LAN inalámbrica, aun cuando está integrada en la administración general de la red, sólo es efectiva cuando está activada y se utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las políticas del usuario son también una parte importante de las buenas prácticas de seguridad. El desafío es elaborar una política de usuarios de LAN inalámbrica que sea lo suficientemente sencilla como para que la gente la cumpla, pero además, lo suficientemente segura como para proteger la red. Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente certificados. La política de seguridad de LAN inalámbrica debería también cubrir cuándo y cómo pueden los empleados utilizar los puntos activos públicos, el uso de dispositivos personales en la red inalámbrica de la compañía, la prohibición de dispositivos de origen desconocido y una política de contraseñas robusta.



autor.

1.2.3 INTRODUCCIÓN A LA CRIPTOGRAFÍA

La palabra "Criptografía" viene del griego "Kryptos", escondido, y "Graphos",

escritura. Es decir, cuando hablamos de Criptografía estamos hablando de

"Escritura escondida". Se trata de escribir algo de manera que otra persona

que quiera leer lo que hemos escrito no pueda entenderlo a no ser que

conozca cómo se ha escondido.

Los sistemas criptográficos están teniendo un gran auge últimamente ante el

miedo de que una transmisión en Internet pueda ser interceptada y algún

desaprensivo pueda enterarse de alguna información que no debería. Y no

estamos hablando de un correo electrónico en el que organizamos las

vacaciones con los amigos, nos referimos a, por ejemplo, una transacción

comercial de cientos de miles de euros o una información sobre determinados

temas empresariales que podría hacer las delicias de un competidor.

Desde la Antigüedad todas las civilizaciones han desarrollado sistemas de

criptografía para que las comunicaciones no fueran públicas. Incluso hoy en día

muchas personas utilizan lenguajes específicos para que solamente los

iniciados en ellos puedan comprender la conversación como, por ejemplo, las

jergas utilizadas en ambientes carcelarios. A veces los informáticos también

parece que hablemos en clave...

Hay muchos sistemas para "camuflar" lo que escribimos. Quizá el más fácil sea

la "trasposición" del texto. Consiste en cambiar cada letra del texto por otra

distinta. Por ejemplo, si escribo "boujwjsvt", solamente las personas que

supieran que he puesto la letra siguiente del alfabeto para escribir la palabra

"antivirus" podrían entender la palabra.

Evidentemente los sistemas criptográficos actuales van mucho más allá de un

sistema como el de transposición, fácil de descubrir en unos cuantos intentos.

Incluso si en lugar de trasponer un determinado número de espacios elegimos

aleatoriamente las letras a sustituir, también bastaría con un ordenador que

tuviera un simple corrector ortográfico para, en unos cuantos intentos, descubrir

el significado de un mensaje.



autor.

1.2.4 SEGURIDAD DE LA RED A NIVEL:

1.2.4.1 APLICACIÓN

La capa de aplicación es la séptima en el modelo OSI y es la que ofrece a las

aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las

demás capas y define los protocolos que utilizan las aplicaciones para

intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases

de datos y servidor de ficheros (FTP).

Ofrece un servicio no transparente involucrando al usuario en las tareas

necesarias, aunque es el más flexible ya que el alcance y la intensidad de la

protección puede ser diseñada para cubrir las necesidades específicas de cada

aplicación.

Cada aplicación crítica requiere una definición de las opciones de autenticación

y encriptado necesarias

1.2.4.2 TRANSPORTE

Seguridad de la capa de transporte (TLS) sean protocolos criptográficos eso

proporciona seguro comunicaciones sobre Internet para las cosas tales como,

E-mail, El enviar por telefax del Internet, mensajería inmediata y otras

transferencias de datos.

Dentro de las responsabilidades que debe cumplir la capa de transporte esta el

seguimiento de conversaciones individuales en las que se debe mantener la

comunicación continua entre las aplicaciones, segmentación de datos que

consiste en dividir en partes manejables la información para su fácil

transportación, reensamble de segmentos en donde la información se une

nuevamente para seguir su proceso de trasmisión a la capa de aplicación y ser

mostrada al destino, identificación de las aplicaciones en la que a la capa de

transporte le es asignado un número de puerto, el cual es el identificador de la

aplicación destino y por último los requerimientos de datos varían en donde la

capa de transporte cuenta con varios protocolos que permiten que los

segmentos puedan llegar en una secuencia especifica al destino o incluso

pueda haber demora en la recepción de la información pero son enviados al

destino exitosamente. Una de las más importantes actividades de la capa de

transporte es la separación de comunicaciones múltiples lo que nos hace

referencia a que cuando existen varias aplicaciones simultáneas solicitando

servicios diferentes, la capa de transporte debe enviar la información correcta

http://culturacion.com/2009/04/especial-modelo-osi-introduccion/

http://culturacion.com/2009/04/especial-modelo-osi-capa-de-aplicacion/

http://www.worldlingo.com/ma/enwiki/es/Cryptographic_protocol

http://www.worldlingo.com/ma/enwiki/es/Security

http://www.worldlingo.com/ma/enwiki/es/Internet

http://www.worldlingo.com/ma/enwiki/es/E-mail

http://www.worldlingo.com/ma/enwiki/es/Internet_fax

http://www.worldlingo.com/ma/enwiki/es/Instant_messaging_&_messengers



autor.

a cada aplicación, de esta manera se establece una conversación entre el

origen y el destino.

Debe existir un control de las conversaciones, para ello se debe establecer

una sesión la cual permitirá la comunicación entre las aplicaciones antes de

que los datos sean trasmitidos, de esta manera se asegura una entrega

confiable pues si por algún motivo existe un pérdida de datos se pueden

volver a transmitir debido a esto sucede que los segmentos lleguen en

desorden, al numerar y secuenciar los segmentos la capa de transporte permite

reensamblar estos segmentos para que continúen de manera ordenada. Uno

de los problemas frecuentes al enviar datos es que éstos pueden ser

demasiado pesados y ocupar mucha memoria o ancho de banda para esto la

capa de transporte solicita a los protocolos que reduzcan la velocidad del flujo

de los segmentos, de esta manera se puede evitar la pérdida de datos en la

transmisión o incluso impedir que se reenvíen.

Los protocolos más comunes de la capa de transporte en el modelo TCP/IP

son el Protocolo de control de transmisión (TCP), el cual se encarga de la

entrega confiable y del control de flujo. Cada segmento de TCP posee 20 bytes

de carga en el encabezado, que encapsulan los datos de la capa de Aplicación,

los exploradores web, e-mail utilizan este protocolo. El otro protocolo más

utilizado es el Protocolo de datagramas de usuario (UDP) que cuenta con la

ventaja de proveer la entrega de datos sin utilizar muchos recursos, las

porciones de comunicación de este protocolo se les llama datagramas, los

cuales son enviados "máximo esfuerzo", entre las aplicaciones que utilizan

este protocolo se incluye DNS, streaming de video y voz sobre IP. Tanto

TCP como UDP cuentan con encabezados que se pueden identificar de

forma exclusiva. El organismo que asigna las normas de direccionamiento

(IANA), es responsable de los distintos tipos de números de puertos bien

conocidos que van del 0 al 1023 y se reservan para servicios y aplicaciones,

los puertos registrados que son del 1024 al 49151 están asignados a

procesos del usuario, los puertos privados del 49 152 al 65 535 son destinados

a aplicaciones de cliente cuando se inicia una conexión. El Netstat es una

utilidad de red para determinar las conexiones abiertas de un host.

Para que existan comunicaciones confiables es necesario que haya acuses de

recibo que confirmen la entrega exitosa de datos dentro de la sesión TCP, si

en un tiempo determinado este acuse no es recibido los datos se retransmiten

al destino. Dentro de la capa de transporte los números de puerto no pueden

tener dos servicios asignados a un servidor individual por esto se debe mejorar

la seguridad en un servidor y se limita el acceso al servidor a aquellos

puertos asociados con las aplicaciones accesibles a solicitudes. Se deben

cumplir tres pasos para que exista una conexión TCP, primero el cliente inicia

la conexión enviando un segmento, después el servidor responde con un



autor.

segmento de valor reconocido y finalmente el cliente que inicio la conexión

responde con un valor de afirmación, de esta forma queda establecida la

comunicación. Sin embargo para establecer la comunicación en el proceso de

cliente UDP se selecciona al azar un número de puerto del rango dinámico

y lo utiliza como puerto de origen para establecer la conexión, el cual

colaborará con la seguridad. Al elegir los puertos de origen y destino se utilizan

al principio de los datagramas que utilicen la transacción, para la devolución de

datos del servidor al cliente, se invierten los números de puerto de origen y

destino en el encabezado del datagrama.

1.2.4.3 RED

Implementar la seguridad en el nivel de red tiene muchas ventajas. La primera

de todas es que las cabeceras impuestas por los distintos protocolos son

menores ya que todos los protocolos de transporte y de aplicación pueden

compartir la infraestructura de gestión de claves provista por esta capa. La

segunda sería que pocas aplicaciones necesitarían cambios para utilizar la

infraestructura de seguridad, mientras que si la seguridad se implementara en

capas superiores cada aplicación o protocolo debería diseñar su propia

infraestructura. Esto resultaría en una multiplicación de esfuerzos, además de

incrementar la probabilidad de existencia de fallos de seguridad en su diseño y

codificación.

La desventaja principal de implementar la seguridad en la capa de red es la

dificultad de resolver problemas como el de la imposibilidad de repudio o la

autorización del usuario, ciertos mecanismos de seguridad extremo a extremo -

en los routers intermedios no existe el concepto de usuario, por lo que este

problema no podría darse.

Los ataques a nivel de red siguen siendo bastante frecuentes. Aunque las pilas

TCP/IP de los distintos sistemas operativos son cada vez más robustas,

todavía son frecuentes los ataques de denegación de servicio en servidores NT

y Unix debidos al empleo de generadores de datagramas IP erróneos o

complicados de procesar.

Es también frecuente el empleo de herramientas automatizadas de escaneo y

comprobación de vulnerabilidades en redes, así como la utilización de

programas específicos que explotan una determinada vulnerabilidad de un

servidor o servicio concreto para atacarlo.

En esta sección vamos a tratar sobre todo las medidas que creemos que se

deben establecer en las organizaciones mediante el uso de diversos protocolos

en los routers de acceso, para así evitar el acceso desde fuera a estos

servicios. Estas medidas no serán efectivas contra ataques internos, salvo que



autor.

se apliquen medidas internas concretas en aquellas organizaciones que tienen

un direccionamiento plano de red para su red física, pero permitirán como

mínimo reducir ciertos problemas como el SPAM o los ataques contra servicios

bien conocidos como NFS, NetBios, etc. Además permitirán que incluso si los

usuarios activan esos servicios en sus máquinas, éstos no serán accesibles

desde el exterior, evitando así múltiples problemas.

Filtrado de paquetes

Aunque la seguridad a nivel de sistema sigue teniendo una importancia vital,

los fallos en varios servicios TCP/IP y la existencia de protocolos defectuosos

hace imprescindible el uso de filtros en el nivel de red, que permitan a una

organización restringir el acceso externo a estos servicios. De esta forma, sólo

aquellos servicios que deban estar accesibles desde fuera del área local serán

permitidos a través de filtros en los routers. Además es importante que estos

filtros determinen las condiciones de acceso a los servicios permitidos.

CONFIGURACIÓN DE LAS PILAS TCP/IP EN EQUIPOS FINALES

La combinación de estos dos filtros prevendrán que un atacante de fuera de

nuestra red envíe paquetes simulando hacerlo desde dentro de nuestra red, así

como que paquetes generados dentro de nuestra red parezcan haber sido

generados fuera de la mismas.

Monitorización de routers y equipos de acceso

Hace algunos años era frecuente el empleo de equipos de acceso (servidores

de pools de modems, routers de acceso, etc.) para la conexión a los servidores

de las organizaciones desde el domicilio de los usuarios.

Tanto estos equipos como los routers de interconexión y cualquier dispositivo

(switch, concentrador ATM, etc. que disponga de esta opción), deben estar

monitorizados.

Esta monitorización es muchas veces muy sencilla de establecer y la recepción

y almacenamiento de los registros no requiere mucha carga del procesador.

En instalaciones con mucho equipamiento de red puede ser recomendable el

empleo de alguna herramienta de monitorización, de forma que las incidencias

que vayan ocurriendo sean notificadas en tiempo real a los administradores de

la red.



autor.

Separación de las redes y filtros anti-sniffing

Gran parte de los ataques que se producen son debidos a la obtención de las

claves empleando un programa de sniffing en una red ethernet. En muchas

ocasiones, la separación de las redes y el empleo de switches y routers hace

falta para permitir una mayor descongestión del tráfico interno de una

organización, pero además es muy necesario para lograr una mayor seguridad

dentro de esta.

Las salas de acceso general (bibliotecas, salas de prácticas comunes, aulas de

estudiantes, etc.) deben estar separadas mediante puentes (bridges) o

conmutadores (switches) del resto de la red, para evitar que se puedan

obtener, mediante sniffers, claves de acceso de otros grupos de usuarios. En

general los equipos que necesiten el empleo de sistemas inseguros de

transmisión de claves deberán estar aislados de la red, de forma que estas

claves no se transmitan por toda la organización.

Hay que considerar además las posibilidades de gestión y consola remota que

disponen muchos hubs y switches: hay que cambiar las claves por defecto que

suelen tener estos equipos y deshabilitar la gestión remota de éstos si no se va

a hacer uso de ella (SNMP, consolas remotas, servidor de HTTP.).

1.2.4.4 ENLACE

Es la forma de protección criptográfica más transparente tanto para los

controladores de los dispositivos como para las aplicaciones.

Esta protección solo afecta a un enlace individual. La ventaja principal es que el

paquete es encriptado por completo, incluyendo las direcciones de origen y

destino lo que deja fuera de riesgo la comunicación. Aunque el problema es

que solo protege un enlace en particular: si un mensaje debe atravesar más de

un enlace, será vulnerable en el nodo intermedio y en el siguiente enlace, si

éste no está protegido.

Por lo tanto, el encriptado a nivel de enlace es útil para proteger solo tráfico

local o unas pocas líneas de enlace muy vulnerables o críticas (como por

ejemplo circuitos satelitales).

Es el proceso de asegurar los datos en el nivel de enlace, cuando los datos son

transmitidos entre dos nodos instalados sobre el mismo enlace físico

Requerimientos: una clave secreta compartida entre las partes en contacto, y

un algoritmo de cifrado previamente acordado



autor.

Cifrado en el nivel de enlace

Cuando el transmisor y receptor no comparten un medio de transporte de datos

en común, los datos deben ser descifrados y recifrados en cada uno de los

nodos en el camino al receptor

El cifrado en el nivel de enlace se usa en caso de que no se aplique un

protocolo de cifrado de mayor nivel.

El cifrado a nivel de enlace no provee seguridad de extremo a extremo, fuera

del enlace físico.

Solo debe ser considerada una medida adicional en el diseño de la red. El

cifrado a nivel de enlace requiere más recursos de hardware en los puntos de

acceso.

1.2.5 MONITOREO

El término monitoreo de red describe el uso de un sistema que constantemente

monitorea una red de computadoras para detectar sistemas lentos o en mal

funcionamiento y que notifica al administrador de la red en caso de falla vía

correo electrónico, beeper u otras alarmas.

Es un subconjunto de las funciones implicadas en la administración de la red.

Los aplicativos de monitoreo del estado de red permiten, entre varias cosas:

- Revisar los signos vitales de la red en tiempo real.

Mientras un sistema de detección de intrusos monitorea una red de amenazas

del exterior, un sistema de monitoreo de red monitorea la red de problemas

debidos a servidores, conexiones de red u otros dispositivos sobrecargados y/o

fuera de servicio.

1.3 SEGURIDAD EN REDES INALÁMBRICAS

Son muchos los motivos para preocuparnos por la seguridad de una red

inalámbrica. Por ejemplo, queremos evitar compartir nuestro ancho de banda

públicamente. A nadie con algo de experiencia se le escapa que las redes

inalámbricas utilizan un medio inseguro para sus comunicaciones y esto tiene

sus repercusiones en la seguridad. Tendremos situaciones en las que

precisamente queramos compartir públicamente el acceso a través de la red

inalámbrica, pero también tendremos que poder configurar una red inalámbrica

para limitar el acceso en función de unas credenciales. También tenemos que

tener en cuanta que las tramas circulan de forma pública y en consecuencia

cualquiera que estuviera en el espacio cubierto por la red, y con unos medios



autor.

simples, podría capturar la tramas y ver el tráfico de la red. Aunque esto pueda

sonar a película de Hollywood, está más cerca de lo que podríamos pensar.

Para resolver los problemas de seguridad que presenta una red inalámbrica

tendremos que poder, por un lado, garantizar el acceso mediante algún tipo de

credencial a la red y por otro garantizar la privacidad de las comunicaciones

aunque se hagan a través de un medio inseguro.

Una empresa no debería utilizar redes inalámbricas para sus comunicaciones

si tiene información valiosa en su red que desea mantener segura y no ha

tomado las medidas de protección adecuadas. Cuando utilizamos una página

web para enviar un número de tarjeta de crédito deberemos, hacerlo siempre

utilizando una web segura porque eso garantiza que se transmite cifrada. Pues

en una red inalámbrica tendría que hacerse de una forma parecida para toda la

información que circula, para que proporcione al menos la misma seguridad

que un cable. Pensemos que en una red inalámbrica abierta se podría llegar a

acceder a los recursos de red compartidos.

1.3.3 WEP

WEP (Wired Equivalent Privacy), Privacidad Equivalente a Cable. Es el sistema

más simple de cifrado y lo admiten, la totalidad de los adaptadores

inalámbricos. El cifrado WEP se realiza en la capa MAC del adaptador de red

inalámbrico o en el punto de acceso, utilizando claves compartidas de 64 o 128

bits. Cada clave consta de dos partes, una de las cuales la tiene que configurar

el usuario/administrador en cada uno de los adaptadores o puntos de acceso

de la red. La otra parte se genera automáticamente y se denomina vector de

inicialización (IV). El objetivo del vector de inicialización es obtener claves

distintas para cada trama.

Funcionamiento del cifrado WEP.

Cuando tenemos activo el cifrado WEP en cualquier dispositivo inalámbrico,

bien sea una adaptador de red o un punto de acceso, estamos forzando que el

emisor cifre los datos. El receptor recoge y la descifra. Para no incurrir en

errores de concepto, esto es sólo aplicable a comunicaciones, cuando el punto

de acceso recoge una trama y la envía a través del cable, la envía sin cifrar. El

cifrado se lleva a cabo partiendo de la clave compartida entre dispositivos que,

como indicamos con anterioridad, previamente hemos tenido que configurar en

cada una de las estaciones. En realidad un sistema WEP almacena cuatro

contraseñas y mediante un índice indicamos cual de ellas vamos a utilizar en

las comunicaciones.

El proceso de cifrado WEP agrega un vector de inicialización (IV) aleatorio de

24 bits concatenándolo con un la clave compartida para generar la llave de

cifrado. Observamos como al configurar WEP tenemos que introducir un valor



autor.

de 40 bits (cinco dígitos hexadecimales), que junto con los 24 bits del IV

obtenemos la clave de 64 bits. El vector de inicialización podría cambiar en

cada trama trasmitida. WEP usa la llave de cifrado para generar la salida de

datos que serán, los datos cifrados más 32 bits para la comprobación de la

integridad, denominada ICV (integrity check value). El valor ICV se utiliza en la

estación receptora donde se recalcula y se compara con el del emisor para

comprobar si ha habido alguna modificación y tomar una decisión, que puede

ser rechazar el paquete.

Para cifrar los datos WEP utiliza el algoritmo RC4, que básicamente consiste

en generar un flujo de bits a partir de la clave generada, que utiliza como

semilla, y realizar una operación XOR entre este flujo de bits y los datos que

tiene que cifrar. El valor IV garantiza que el flujo de bits no sea siempre el

mismo. WEP incluye el IV en la parte no cifrada de la trama, lo que aumenta la

inseguridad. La estación receptora utiliza este IV con la clave compartida para

descifrar la parte cifrada de la trama.

Lo más habitual es utilizar IV diferentes para transmitir cada trama aunque esto

no es un requisito. El cambio del valor IV mejora la seguridad del cifrado WEP

dificultando que se pueda averiguar la contraseña capturando tramas, aunque

a pesar de todo sigue siendo inseguro.

Debilidades de WEP

Las debilidades de WEP se basan en que, por un lado, las claves permanecen

estáticas y por otro lado son insuficientes y se transmiten sin cifrar.

Algunos adaptadores sólo admiten cifrado WEP por lo que a pesar de su

inseguridad puede ser mejor que nada. Al menos evitaremos conexiones en

abierto incluso evitaremos conexiones y desconexiones a la red si hay varias

redes inalámbricas disponibles.



autor.

1.4 Seguridad en Sistemas

La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Integridad: La información sólo puede ser modificada por

quien está autorizado y de manera controlada.

Confidencialidad: La información sólo debe ser legible para

los autorizados.

Disponibilidad: Debe estar disponible cuando se necesita.

Irrefutabilidad (No repudio): El uso y/o modificación de la

información por parte de un usuario debe ser irrefutable, es

decir, que el usuario no puede negar dicha acción.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad física, seguridad ambiental y seguridad lógica.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea comprometida.



autor.

1.4.4 instalación segura de sistemas

Es el proceso por el cual nuevos programas son transferidos a un computador y eventualmente, configurados, para ser usados con el fin para el cual fueron desarrollados. Un programa recorre diferentes fases de desarrollo durante su vida útil:

1. Desarrollo: cada programador necesita el programa instalado,

pero con las herramientas, códigos fuente, bancos de datos y

etc, para modificar el programa.

2. Prueba: antes de la entrega al usuario, el software debe ser

sometido a pruebas.

3. Producción: Para ser utilizado por el usuario final.

En cada una de esas fases la instalación cumple diferentes objetivos.

Se debe comprender que en castellano programa sirve para señalar tanto un guión o archivo ejecutable, ejemplo tar, como un conjunto de archivos que sirven un fin común, ejemplo OpenOffice.org. Por eso usaremos el neologismo software para programas computacionales.

http://es.wikipedia.org/wiki/Configuraci%C3%B3n

http://es.wikipedia.org/wiki/Fases_del_desarrollo_de_software

http://es.wikipedia.org/wiki/Gui%C3%B3n

http://es.wikipedia.org/wiki/Tar

http://es.wikipedia.org/wiki/OpenOffice.org

http://es.wikipedia.org/wiki/Paquete_de_software

http://es.wikipedia.org/wiki/Paquete_de_software



autor.

1.4.5 ADMINISTRACIÓN DE USUARIO Y CONTROLES DE ACCESO

La administración es el proceso de planificar, organizar, dirigir y controlar el uso de los recursos y las actividades de trabajo con el propósito de lograr los objetivos o metas de la organización de manera eficiente y eficaz.

hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos de usuarios existe una herramienta de administración: el administrador de usuarios incluido en NT Workstation y el administrador de usuarios para dominios incluido en NT Server.

El funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios dispone de más opciones. Por ello, se describirá el administrador de usuarios para dominios.

Control de acceso son una popular solución de seguridad para grandes empresas con muchos empleados. Sistemas de control de acceso le permiten convenientemente permitir el acceso a zonas de las empresas sólo es necesaria a cada empleado de forma individual. Acceso a los sistemas de control de la mayoría de las veces el uso de una identificación o de identificación con una banda magnética con la información codificada.

Teclados, escáneres de huellas digitales y otro tipo de tecnología también puede ser incorporado a un sistema de control de acceso, dependiendo de las necesidades de seguridad y las consideraciones prácticas. Un buen sistema de control de acceso proveedor puede ayudar mediante el diseño de un sistema que responde a sus necesidades de seguridad específicas de las empresas.

Un sistema de control de acceso fácil y rentable proporciona a usted la empresa de seguridad necesaria, así como de numerosos otros beneficios. Los Sistemas de control de acceso también puede utilizarse eficazmente en las pequeñas empresas, hoteles, e incluso complejos de apartamentos y dormitorios del colegio. Control de acceso a la tecnología puede ahorrar con cada cambio de cerraduras inquilino o rotación de personal, y le permitirá sentirse



autor.

seguro en el entorno seguro. Cómodo y fácil de utilizar, sistemas de control de acceso se están convirtiendo en una opción de seguridad más popular cada año. Sistemas de control de acceso también puede ocupar el lugar de su tradicional reloj de tiempo, la mejora de la puntualidad y el rendimiento de los empleados. Las actividades del Empleado pueden controlarse fácilmente con el numeroso que ofrece un sistema de control de acceso.

1.4.6 ADMINISTRACIÓN DE SERVICIO

La Administración de Servicios es una iniciativa de alto impacto de la Administración de Servicios de Negocio, que conecta la administración de servicios y demandas con la planificación del portafolio de servicios.

Los Administradores de Servicios son las que gestionan y administran todo tipo de que haceres concernientes a la red. Los Administradores de Servicios tienen acceso pleno a los servicios (CHaN, NiCK, MeMO, etc.). Los Administradores son Operadores e IRCops por extensión con lo cual además de sus responsabilidades, heredan las de estos. Al igual que los Operadores, los Administradores están normalmente ocupados, con lo que en ocasiones resulta difícil encontrar uno disponible. En ese caso deberás comentar el problema con un Operador, quien posteriormente se encargará de informar a un Administrador sobre el problema si no lo pudo resolver.



autor.

1.4.7 MONITOREO

El Monitoreo se basa en un sistema de seguimiento continuo de la información relacionada al sistema jurídico político para la medición de resultados o identificación de acciones llevadas adelante por un determinado sector de nuestra sociedad o grupo social con el objetivo de ser estudiado para investigaciones socio-políticas. El monitoreo en este caso consiste en plasmar en un solo lugar información relacionada a nuestra agenda publica según los debates, artículos y notas que salen en los medios de Comunicación virtuales. La herramienta de monitoreo tiene como principal finalidad permitir recrear, en base a hechos cronológicos, lo acontecido desde el año 2008 hasta nuestros dias en el ámbito jurídico político, como así también ser una herramienta a ser utilizada para permitir un estudio detallado de los hechos que marcaron a nuestra comunidad.

El monitoreo de sistemas es un programa que permite verificar sistemáticamente el desempeño y la disponibilidad de los elementos críticos de un equipo de cómputo instalado en el Centro de Datos, a través de la identificación y el aislamiento de problemas. Fue diseñado para empresas que necesitan mantener un desempeño confiable y escalable en sus equipos y aplicaciones, y que cuentan con escaso personal técnico. Características: Identificación y registro de eventos tales como falta de disponibilidad de un equipo o recurso y violaciones a los umbrales de operación definidos. Identificación de degradaciones en el desempeño del sistema que provocan problemas o tiempos de respuesta lentos. Registro de los eventos identificados (bitácora). Emisión de reportes mensuales de eventos. Beneficios: Facilita la planeación de la capacidad de sus operaciones. Continuidad de su operación gracias a detección de temprana de eventos. Requerimientos: Ubicar el equipo y aplicaciones a monitorear dentro del Centro de Datos.



autor.

1.4.8 ACTUALIZACIONES DE LOS SISTEMAS

La actualización comienza a prepararse con el diseño y construcción del sistema El proceso de actualización es multifacético: afecta a software, hardware y datos, pero también es un reto organizativo Es recomendable involucrar a los usuarios en el proceso de decisión sobre la actualización y en su implantación No es deseable que el tecnológico sea el único motor de la actualización de sistemas. 1.4.9 MECANISMO DE RESPALDO Consiste en realizar una copia de seguridad para la información de los usuarios, existen muchas herramientas y metodologías para

respaldar la información, sin embargo su aplicación depende directamente de la unidad de TI. La mejor manera para evitar perdida de información es mediante la elaboración de planes/políticas/procedimientos y su aplicación.



autor.

Unidad II

Monitoreo de la seguridad informática

2.1 ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA La administración de la seguridad informática consiste en una serie

de procesos que tienen como propósito mantener un nivel

adecuado de seguridad informática en el sistema de información a

lo largo del tiempo.

Los procesos no se limitan al mantenimiento y la optimización de la

seguridad informática en el presente, sino que incluyen también

procesos de planeación estratégica de seguridad informática, que

garanticen que el nivel de seguridad se mantendrá en el futuro, y

que le permitan al sistema de seguridad informática anticiparse a

los requerimientos de seguridad impuestos por el entorno, o por la

organización a la cual el sistema de información sirve.

La administración de la seguridad informática debe garantizar:

La Disponibilidad de los sistemas de información.

El Recupero rápido y completo de los sistemas de información

La Integridad de la información.

La Confidencialidad de la información.

http://www.monografias.com/trabajos/hackers/hackers.shtml

http://www.monografias.com/trabajos7/sisinf/sisinf.shtml



autor.

Cinco objetivos principales de la administración de la seguridad informática: Integridad: La verificación de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisión (accidental o intencionalmente).

Confidencialidad: consiste en hacer que la información sea

ininteligible para aquellos individuos que no estén involucrados en la

operación.

Disponibilidad: El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.

Evitar el rechazo: garantizar de que no pueda negar una operación

realizada.

Autenticación: La autenticación consiste en la confirmación de la

identidad de un usuario; es decir, la garantía para cada una de las

partes de que su interlocutor es realmente quien dice ser. Un control

de acceso permite (por ejemplo gracias a una contraseña

codificada) garantizar el acceso a recursos únicamente a las

personas autorizadas.

El rol de la administración de informática es el de asegurar que los

recursos de informática y los derechos de acceso a estos recursos

coincidan con la política de seguridad definida por la organización.



autor.

2.1.1 ADMINISTRACIÓN DE CUMPLIMIENTO DE POLITICA

Política: son instrucciones mandatorios que indican la intención de

la alta gerencia respecto a la operación de la organización.

Una política de seguridad informática es un conjunto de reglas que

definen la manera en que una organización maneja, administra,

protege y asigna recursos para alcanzar el nivel de seguridad

definido como objetivo.

Pasos administrables del cumplimiento de política:

1. Determine dónde enfocar sus esfuerzos de cumplimiento.

2. Utilice procedimientos que validen el cumplimiento.

3. Consolide la administración del cumplimiento.

4. Diseñe políticas de cumplimiento con un enfoque jerárquico.

5. Decida automatizar los procesos de cumplimiento.

6. Elija tecnologías que habiliten el cumplimiento.

Área de cumplimiento de política

1. Definir y monitorear la implementación de la política de

seguridad consecuente con la estrategia de la organización.

2. Administrar las políticas de seguridad física, ambiental y lógica

del Departamento, garantizando todos los aspectos

relacionados con la integridad y confidencialidad de la

información del Organismo.



autor.

3 Garantizar la compatibilidad de los sistemas con las políticas y

normas de Seguridad de la información.

2.1.2 ADMINISTRACIÓN DE INSIDENTE

El conocimiento es un factor decisivo al momento de administrar

incidentes y gestionar la política de control.

Pasos para la administración de incidente.

Minimizar la interrupción de la actividad normal

Proveer reportes específicos y puntuales de seguridad

Minimizar la exposición y el compromiso de información

Proteger la reputación de la organización de sus activos

Hacer mención de la relevancia de un equipo de respuesta a

incidentes bien capacitados.



autor.

2.1.3 ANÁLISIS DE NUEVAS VULNERABILIDADES EN LA

INFRAESTRUCTURA

Para reforzar la Seguridad de la Información es indispensable

conocer las vulnerabilidades que afectan la infraestructura,

clasificarlas de acuerdo a su severidad y trabajar en un Plan de

Trabajo que permita irlas controlando conforme la Empresa lo

requiera o de acuerdo a sus posibilidades.

Conocimiento de las Vulnerabilidades Reales de Seguridad de la

Infraestructura, Reconoce configuraciones erróneas.

Recomendaciones Específicas para Reducir o Eliminar las

Vulnerabilidad críticas.

Plan de Trabajo detallado con compromisos sobre Niveles de

Seguridad para la Operación

Análisis Posteriores para verificar que las Vulnerabilidades estén

bajo control o hayan sido eliminadas

Actualización periódica sobre nuevas Vulnerabilidades que afecten

la operación.

Las pruebas de vulnerabilidad son una parte esencial de un

programa de seguridad informática eficaz. Las pruebas de

vulnerabilidad pueden ofrecerle mucha información valiosa sobre su

nivel de exposición a las amenazas. La realización continua de

evaluaciones de sus equipos informáticos críticos y de alto riesgo le

ayudará a fortalecer de manera anticipada su entorno frente a

posibles amenazas.

http://www.stealth-iss.com/securityes/vulnerability.html



autor.

2.1.4 MONITOREO DE LOS MECANISMOS DE SEGURIDAD

Un mecanismo de seguridad informática es una técnica o

herramienta que se utiliza para fortalecer la confidencialidad, la

integridad y/o la disponibilidad de un sistema informático.

Existen muchos y variados mecanismos de seguridad informática.

Su selección depende del tipo de sistema, de su función y de los

factores de riesgo que lo amenazan.

Clasificación según su función:

Preventivos: Actúan antes de que un hecho ocurra y su función es

detener agentes no deseados.

Detectivos: Actúan antes de que un hecho ocurra y su función es

revelar la presencia de agentes no deseados en algún componente

del sistema. Se caracterizan por enviar un aviso y registrar la

incidencia.

Correctivos: Actúan luego de ocurrido el hecho y su función es

corregir las consecuencias.



autor.

2.2 DETECCIÓN DE INTRUSOS

Un sistema de detección de intrusos (o IDS de sus siglas en inglés

Intrusion Detection System) es un programa usado para detectar

accesos no autorizados a un computador o a una red. Estos

accesos pueden ser ataques de habilidosos hackers o de Script

Kiddies que usan herramientas automáticas.

El funcionamiento de estas herramientas se basa en el análisis

pormenorizado del tráfico de red, el cual al entrar al analizador es

comparado con firmas de ataques conocidos, o comportamientos

sospechosos, como puede ser el escaneo de puertos, paquetes

malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino

que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El

detector de intrusos es incapaz de detener los ataques por sí solo,

excepto los que trabajan conjuntamente en un dispositivo de puerta

de enlace con funcionalidad de firewall, convirtiéndose en una

herramienta muy poderosa ya que se une la inteligencia del IDS y el

poder de bloqueo del firewall, al ser el punto donde forzosamente

deben pasar los paquetes y pueden ser bloqueados antes de

penetrar en la red.

2.2.2 FALSOS POSITIVOS

Un falso positivo es un error por el cual un software antivirus reporta

que un archivo o área de sistema está infectada, cuando en realidad

el objeto está limpio de virus.

http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos

http://es.wikipedia.org/wiki/Firewall

http://es.wikipedia.org/wiki/Puerta_de_enlace

http://es.wikipedia.org/wiki/Puerta_de_enlace





autor.

2.2.3 FALSO NEGATIVO

Un falso negativo es un error mediante el cual el software falla en

detectar un archivo o área del sistema que está realmente

infectada.

Tanto los falsos positivos como los falsos negativos se pueden

producir debido a que el antivirus empleado no contiene los micro

códigos exactos del virus, que no necesariamente se encuentran en

una misma y única "cadena" o se trata de una nueva variante de la

especie viral. Los métodos heurísticos que no tengan una buena

técnica de programación o al ser compilados no hayan sido

"consistenciados", son susceptibles de reportar falsos positivos o

falsos negativos.

2.2.4 MÉTODOS DE DETECCIÓN DE INTRUSOS

El método es un orden que debe imponer a los diferentes procesos

necesarios apara lograr un fin dado o resultados.

http://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCE



autor.

2.2.4.1 ANÁLISIS DE TRÁFICO

El análisis del tráfico de red se basa habitualmente en la utilización

de sondas con interfaz Ethernet conectadas al bus. Dichas sondas,

con su interfaz Ethernet funcionando en modo promiscuo, capturan

el tráfico a analizar y constituyen la plataforma en la que se

ejecutarán, de forma continua, aplicaciones propietarias o de

dominio público, con las que se podrá determinar el tipo de

información que circula por la red y el impacto que pudiera llegar a

tener sobre la misma.

Para realizar análisis de tráfico existe una gran variedad de

soluciones que van desde productos propietarios que incluyen

hardware y software, hasta soluciones gratuitas y de código abierto

comúnmente utilizadas bajo sistemas Linux-UNIX.

2.2.4.2 HIDS

HIDS (HostIDS): el principio de funcionamiento de un HIDS,

depende del éxito de intrusos, que generalmente dejaran rastros de

sus actividades en el equipo atacado, cuando intentan adueñarse

del mismo, con propósito de llevar a cabo otras actividades. El HIDS

intenta detectar tales modificaciones en el equipo afectado, y hacer

un reporte de sus conclusiones.

2.2.4.3 NIDS

NIDS (NetworkIDS): un IDS basado en red, detectando ataques a

todo el segmento de la red. Su interfaz debe funcionar en modo

promiscuo capturando así todo el tráfico de la red.



autor.

2.2.4.4 NUEVOS METODOS DE DETECCION

Detección de mal uso y detección de anomalías.

el modelo de detección de anomalías se basa en constantemente

monitorear el sistema para así detectar cualquier cambio en los

patrones de utilización o el comportamiento del mismo.

El modelo de detección de mal uso consiste en observar cualquier

proceso que intente explotar los puntos débiles de un sistema en

específico.

2.2.5 IDENTIFICACION DE ATAQUES

La identificación de ataques consiste en descubrir las

vulnerabilidades de una red y tener acceso a la misma, y de esta

forma poder modicar o eliminar archivos.

Se debe de tener en cuenta que podemos realizar los ataques de manera física y lógica.

Ataque Físico: Es aquel que lo podemos realizar a la infraestructura de una red es decir al hardware.

Ataque Lógico: consiste el descubrir las vulnerabilidades del software implantadas por la compañía.

Diremos que se entiende por amenaza una condición del entorno

del sistema de información (persona, máquina, suceso o idea) que,

dada una oportunidad, podría dar lugar a que se produjese una

violación de la seguridad (confidencialidad, integridad, disponibilidad

o uso legítimo).

http://www.monografias.com/trabajos/adolmodin/adolmodin.shtml

http://www.monografias.com/trabajos2/mercambiario/mercambiario.shtml

http://www.monografias.com/trabajos/adolmodin/adolmodin.shtml




autor.

Ataque WIFI.: Este tipo de ataques se basa en el engaño y

básicamente en la suplantación de identidades y/o dispositivos

pertenecientes a la Red Inalámbrica Wifi atacada.

Snifers._ es un programa de captura de las tramas de red.

Generalmente se usa para gestionar la red con una finalidad

docente, aunque también puede ser utilizado con fines maliciosos.

2.2.6 ANÁLISIS DE TIEMPO DE RESPUESTA DE IDS

Un sistema de detección de intrusos (o IDS de sus siglas en inglés

Intrusion Detection System) es un programa usado para detectar

accesos no autorizados a un computador o a una red. Estos

accesos pueden ser ataques de habilidosos hackers, o de Script

Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red)

con los que el núcleo del IDS puede obtener datos externos

(generalmente sobre el tráfico de red). El IDS detecta, gracias a

dichos sensores, anomalías que pueden ser indicio de la presencia

de ataques o falsas alarmas.


http://es.wikipedia.org/wiki/Hacker

http://es.wikipedia.org/wiki/Script_Kiddies

http://es.wikipedia.org/wiki/Script_Kiddies

http://es.wikipedia.org/wiki/Sniffer



autor.

Unidad III

Control de la seguridad informática

3.1 Auditoría de Red

Una auditoria de red toma en cuenta diversos factores no solo ligados a la productividad y performance o comportamiento de la red sino también a la seguridad de la misma.

Es importante en este caso mantener las premisas fundamentales de la seguridad informática:

1. Integridad

2. Confidencialidad

3. Disponibilidad

Estas deben estar garantizadas en todo momento para el correcto funcionamiento de la red y de sus servicios por parte del usuario final. Cuando se rompe una de las tres premisas la seguridad de la información ha sido comprometida y debe abrirse paso la ejecución del DRP o Disaster Recovery Plan o en menor medida un análisis de la intrusión y restablecimiento de los servicios y demás dependiendo del caso.

Dentro de una auditoria de red, tanto interna como externa, se analizan distintos factores, como puntos débiles, puntos críticos, vulnerabilidades, se realiza un análisis del espacio de IPS de la empresa, se verifican los servicios brindados y la posibilidad no solo de intrusiones sino también de ataques de denegación de servicio.

Además de un análisis exhaustivo se extraen conclusiones y recomendaciones de la información que se ha recabado, lo cual es uno de los puntos más importantes a la hora de brindar un informe al cliente. Este suele ser también el paso principal para la mejora o hardening de la red de información de la empresa.



autor.

Luego del diagnóstico de la red o de que la misma ha sido auditada puede procederse a un plan o abono de Mantenimiento de la Red.

Es una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. Metodología Identificar: - Estructura física ( hardware, topología) - Estructura lógica ( Software aplicaciones) - Etapas de la auditoria de redes - Análisis de la vulnerabilidad. - Estrategia de saneamiento. - Plan de contención ante posibles incidentes. - Seguimiento continúo del desempeño de sistemas. - Análisis de la vulnerabilidad: Este es sin duda el punto mas critico de toda la auditoria, ya que de el dependerá directamente el curso de acción a tomar en las siguientes etapas y el éxito de estas - Estrategia de saneamiento. Se identifican las brechas en la red y se produce a aprovecharlas, ya sea actualizando el software afectado, reconfigurando de una manera mejor o removiéndolo para reemplazarlo por otro software similar.



autor.

- Plan de contención ante posibles incidentes. Consta de elaborar un plan “B” que provea un incidente a un después de tomadas las medidas de seguridad, y que da respuesta a posibles eventualidades. - Seguimiento continúo del desempeño de sistemas. La seguridad no es un producto es un proceso. Constantemente surgen nuevos fallos de seguridad, nuevos virus, nuevas herramientas que facilitan la instrucción en sistemas, como también nuevas y más efectivas tecnologías para solucionar estos y otros problemas.

Auditoria De La Red Física

Se debe garantizar que exista:

Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de

comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de

comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas.

Comprobando que:

El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

La seguridad física del equipo de comunicaciones sea adecuada.

Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.

Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripción física

de la misma. Haya procedimientos de protección de los cables y las bocas

de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a

la misma. El equipo de prueba de comunicaciones ha de tener unos

propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones.

http://monografias.com/trabajos10/anali/anali.shtml

http://www.monografias.com/trabajos13/mapro/mapro.shtml



autor.

Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.

Auditoria De La Red Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones:

Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por

el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.

Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos.

Que se comprueban si:

El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.

Inhabilitar el software o hardware con acceso libre. Generar estadísticas de las tasas de errores y transmisión. Crear protocolos con detección de errores. Los mensajes lógicos de transmisión han de llevar origen,

fecha, hora y receptor. El software de comunicación, ha de tener procedimientos

correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.

Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.

http://www.monografias.com/trabajos/comercioexterior/comercioexterior.shtml

http://www.monografias.com/trabajos10/comerci/comerci.shtml

http://www.monografias.com/Computacion/Software/

http://www.monografias.com/Computacion/Hardware/

http://www.monografias.com/trabajos15/estadistica/estadistica.shtml

http://www.monografias.com/trabajos5/resudeimp/resudeimp.shtml



autor.

Se debe hacer un análisis del riesgo de aplicaciones en los procesos.

Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.

Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe

revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.

Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.

Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generará propios ataques para probar

solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:

o Servidores = Desde dentro del servidor y de la red interna.

o Servidores web. o Intranet = Desde dentro. o Firewall = Desde dentro. o Accesos del exterior y/o Internet.

http://www.monografias.com/trabajos11/metods/metods.shtml#ANALIT

http://www.monografias.com/trabajos13/ripa/ripa.shtml


http://www.monografias.com/trabajos6/napro/napro.shtml

http://www.monografias.com/trabajos/todomodem/todomodem.shtml

http://www.monografias.com/Computacion/Programacion/

http://www.monografias.com/trabajos12/rete/rete.shtml

http://www.monografias.com/trabajos12/rete/rete.shtml

http://www.monografias.com/trabajos5/laweb/laweb.shtml



autor.

3.1.1 CONCEPTO DE AUDITORÍA SOBRE LA RED

Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.

El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de especialis-tas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso.

Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.

La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.



autor.

3.1.2 HERRAMIENTAS DE AUDITORÍA

Métodos, técnicas y herramientas de auditoría.

Las auditorías informáticas se materializan recabando información y

documentación de todo tipo. Los informes finales de los auditores

dependen de sus capacidades para analizar las situaciones de

debilidad o fortaleza de los diferentes entornos. El trabajo de campo

del auditor consiste en lograr toda la información necesaria para la

emisión de un juicio global objetivo, siempre amparado en hechos

demostrables, llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando la

cumplimentación de cuestionarios preimpresos que se envían a las

personas concretas que el auditor cree adecuadas, sin que sea

obligatorio que dichas personas sean las responsables oficiales de

las diversas áreas a auditar.

Sobre esta base, se estudia y analiza la documentación recibida, de

modo que tal análisis determine a su vez la información que deberá

elaborar el propio auditor. El cruzamiento de ambos tipos de

información es una de las bases fundamentales de la auditoría.

Cabe aclarar, que esta primera fase puede omitirse cuando los

auditores hayan adquirido por otro medios la información que

aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuación las relaciones personales con el

auditado. Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna

materia de su responsabilidad.

2. Mediante “entrevistas” en las que no se sigue un plan

predeterminado ni un método estricto de sometimiento a un

cuestionario.



autor.

3. Por medio de entrevistas en las que el auditor sigue un método

preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante

del auditor; en ellas, éste recoge más información, y mejor

matizada, que la proporcionada por medios propios puramente

técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista

entre auditor y auditado se basa fundamentalmente en el concepto

de interrogatorio; es lo que hace un auditor, interroga y se interroga

a sí mismo. El auditor informático experto entrevista al auditado

siguiendo un cuidadoso sistema previamente establecido,

consistente en que bajo la forma de una conversación correcta y lo

menos tensa posible, el auditado conteste sencillamente y con

pulcritud a una serie de preguntas variadas, también sencillas.

Sin embargo, esta sencillez es solo aparente. Tras ella debe existir

una preparación muy elaborada y sistematizada, y que es diferente

para cada caso particular.

Tunning:

Es el conjunto de técnicas de observación y de medidas

encaminadas a la evaluación del comportamiento de los

Subsistemas y del Sistema en su conjunto. Las acciones de tunning

deben diferenciarse de los controles habituales que realiza el

personal de Técnica de Sistemas. El tunning posee una naturaleza

más revisora, estableciéndose previamente planes y programas de

actuación según los síntomas observados.

Optimización de los Sistemas y Subsistemas:

Técnica de Sistemas debe realizar acciones permanentes de

optimización como consecuencia de la realización de tunnings

preprogramados o específicos. El auditor verificará que las acciones

de optimización* fueron efectivas y no comprometieron la

Operatividad de los Sistemas ni el plancrítico de producción diaria

de Explotación.



autor.

Optimización:

Por ejemplo: cuando se instala una Aplicación, normalmente está

vacía, no tiene nada cargado adentro.

Lo que puede suceder es que, a medida que se va cargando, la

Aplicación se va poniendo cada vez más lenta; porque todas las

referencias a tablas es cada vez más grande, la información que

está moviendo es cada vez mayor, entonces la Aplicación se tiende

a poner lenta.

Lo que se tiene que hacer es un análisis de performance, para

luego optimizarla, mejorar el rendimiento de dicha Aplicación.

Checklist:

El auditor profesional y experto es aquél que reelabora muchas

veces sus cuestionarios en función de los escenarios auditados.

Tiene claro lo que necesita saber, y por qué.

Sus cuestionarios son vitales para el trabajo de análisis,

cruzamiento y síntesis posterior, lo cual no quiere decir que haya de

someter al auditado a unas preguntas estereotipadas que no

conducen a nada. Muy por el contrario, el auditor conversará y hará

preguntas “normales”, que en realidad servirán para la

cumplimentación sistemática de sus Cuestionarios, de sus

Checklists.

Según la claridad de las preguntas y el talante del auditor, el

auditado responderá desde posiciones muy distintas y con

disposición muy variable.

El auditado, habitualmente informático de profesión, percibe con

cierta facilidad el perfil técnico y los conocimientos del auditor,

precisamente a través de las preguntas que éste le formula.



autor.

El auditor deberá aplicar la Checklist de modo que el auditado

responda clara y escuetamente. Se deberá interrumpir lo menos

posible a éste, y solamente en los casos en que las respuestas se

aparten sustancialmente de la pregunta.

En algunas ocasiones, se hará necesario invitar a aquél a que

exponga con mayor amplitud un tema concreto, y en cualquier caso,

se deberá evitar absolutamente la presión sobre el mismo.

El entrevistado no debe percibir un excesivo formalismo en las

preguntas. El auditor, por su parte, tomará las notas imprescindibles

en presencia del auditado, y nunca escribirá cruces ni marcará

cuestionarios en su presencia. 3.1.3 MAPEO DE LA RED Mapeo de red es un procedimiento por el cual se identifican todos los host y dispositivos de red, en una LAN. La utilidad q tiene esto, es para evitar q les hackeen la red xD. Porque si tienen mapeada su red, saben que tienen... Y detectan fácilmente equipos intrusos, q se hayan agregado a sí mismo.



autor.

3.1.4 MONITORES DE RED

Con el Monitor de red puede recopilar información que le ayudará a mantener la red a pleno rendimiento, gracias a funciones que permiten desde identificar patrones a evitar o solucionar problemas. El Monitor de red proporciona información acerca del tráfico de la red que fluye hacia y desde el adaptador de red del equipo donde está instalado. Al capturar información y analizarla puede evitar, diagnosticar y solucionar muchos tipos de problemas relativos a la red. Para obtener más información acerca de cómo solucionar problemas de la red, vea Recursos del Monitor de red.

Puede configurar el Monitor de red para que proporcione información específica que sea más importante para usted. Por ejemplo, puede configurar desencadenadores para que el Monitor de red inicie o detenga la captura de información cuando se cumpla una condición o un conjunto de condiciones. También puede configurar filtros para controlar la información que el Monitor de red captura o muestra. Para facilitar el análisis de la información, es posible modificar cómo se muestra la información en la pantalla, así como guardarla o imprimirla para su revisión posterior. Para obtener más información acerca de cómo personalizar el Monitor de red, vea Capturar datos y Filtrar datos.

El componente Monitor de red que se suministra con los sistemas operativos de la familia Microsoft® Windows Server 2003 puede capturar tramas enviadas hacia o desde el equipo donde está instalado. Si desea capturar las tramas enviadas hacia o desde un equipo remoto, debe utilizar el componente Monitor de red que se suministra con Microsoft Systems Management Server, que puede capturar las tramas enviadas hacia o desde cualquier equipo donde esté instalado el controlador del Monitor de red. Para obtener más información acerca de Microsoft Systems Management Server, vaya al sitio Web de Microsoft.

La información que proporciona el Monitor de red proviene del propio tráfico de la red, dividido en tramas. Una trama contiene información como la dirección del equipo que la envió y del que la recibió, y los protocolos que incluye. Para obtener más información acerca de las tramas, vea Cómo funciona el Monitor de red.

http://technet.microsoft.com/es-es/library/cc785797(WS.10).aspx



http://go.microsoft.com/fwlink/?LinkId=299




autor.

3.1.5 AUDITORÍA A FIREWALLS

La auditoría de firewalls (equipos que monitorean el flujo de información desde los servidores hacia y desde Internet) ocupa un espacio fundamental, tendiente a determinar que todo el tráfico desde adentro hacia afuera, y viceversa, pase por él, y destacando que sólo el tráfico autorizado podrá pasar, permaneciendo el firewall mismo inmune a la penetración. Se realizarán procedimientos para determinar que su arquitectura combine medidas de control tanto a nivel de aplicación como a nivel de red. Son también importantes los sistemas que generan alarmas ante actividades sospechosas, llamados “detectores de intrusiones”. Los Firewalls son grandiosos para restringir el acceso a la red, pero los firewalls no pueden prevenir todos los problemas. dos de los problemas más comunes con firewalls son Mala configuración que permite acceso no deseado Servicios vulnerables mas allá del firewall (ejemplo. El servidor web sobre el puerto 80) permitiendo a un atacante pasar a través del firewall, y a través del servicio vulnerable, dentro de la máquina que corre el servicio vulnerable, desde aquí puede atacar el resto de su red detrás del firewall en si mismo. 3.1.6 PRUEBAS DE PENETRACIÓN SOBRE REDES

Que es prueba de penetración

Los ensayos o pruebas de penetración son pruebas realizadas para la determinación de las características geotécnicas de un terreno, como parte de las técnicas de reconocimiento de un reconocimiento geotécnico

Tipos de pruebas de penetración

Ataques del entorno El software no se ejecuta aislado. Depende de cualquier número de archivos binarios y módulos de código equivalente, como scripts y complementos.



autor.

Puede usar también información de configuración del Registro o del sistema de archivos, así como de bases de datos y de servicios que podrían residir en cualquier parte. Cada una de estas interacciones del entorno puede constituir la fuente de una infracción de seguridad y, por lo tanto, deben someterse a prueba. Ataques de entrada

En las pruebas de penetración, el subconjunto de entradas que procede de fuentes que no son de confianza es el más importante. Éstas incluyen rutas de comunicación como, por ejemplo, protocolos de red y sockets, funcionalidades remotas expuestas como DCOM, llamadas a procedimiento remoto (RPC, Remote Procedure Calls) y servicios web, archivos de datos (binarios o de texto), archivos temporales creados durante la ejecución y archivos de control como scripts y archivos XML, todos los cuales están sujetos a manipulaciones. Ataques de datos y de lógica

Algunos errores se encuentran incrustados en los mecanismos internos de almacenamiento de datos de la aplicación y en la lógica de algoritmos. En dichos casos, parece haber errores de diseño y de codificación en los que el desarrollador ha asumido la presencia de un usuario benevolente o bien no se dio cuenta de la presencia de ciertas rutas de código en las que el usuario debe tener cuidado. No se deje disuadir en su intento

Las pruebas de penetración son muy distintas de las pruebas funcionales tradicionales; no sólo carecen los evaluadores de penetración de la documentación apropiada sino que, además, éstos deben pensar como usuarios que tienen la intención de hacer daño.



autor.

3.1.7 ANÁLISIS DE LA INFORMACIÓN Y RESULTADOS

La evaluación de desempeño de las redes, según la metodología y los ejemplos utilizados, corresponde: (1) a una valoración actual del desempeño de cada una de ellas; esto es, para el estadio en que está la red y como expresión tanto de sus fortalezas y debilidades internas, como de la influencia del contexto externo. También se ha evaluado. (2) la influencia del contexto externo. En ambos casos, se ha utilizado la lista correspondiente a los criterios de medición del desempeño. El análisis puede mostrarse en tres niveles. · Por una caracterización por grupos de redes, independientemente de la forma en que se hayan asociado (la asociación civil sin fines de lucro es una forma común, por ejemplo). · Por la caracterización de cada uno de estos grupos en relación con los criterios empleados para la evaluación del desempeño (comportamiento, gestión empresarial, gestión financiera). · Por la influencia del contexto externo en relación con los grupos de redes. Clasificación por grupos de redes “Aspectos comunes” En términos de redes para la agro-exportación, puede reconocerse que éstas tienen muy poca antigüedad (esto es así contando su edad desde que comienzan a exportar). Esta situación, de una parte, limita el realizar apreciaciones sobre la madurez de las redes (de ver su evolución con el paso de los años), y de otra, sobre el nivel de consolidación de estos entes como empresas (de asociaciones informales hasta redes consolidadas y directamente vinculadas con el mercado externo). La afinidad cultural es también característica común en los integrantes de cada red que se agrupa. También lo es, el escaso apoyo del sector público.



autor.

Aspectos diferentes La otra situación a tomar en cuenta y que marca la clasificación que aquí se adopta, tiene que ver con el tamaño de la propiedad individual que se agrupa, y con el tipo del mercado al cual se exporta. Ello conduce a la siguiente clasificación que será considerada para el análisis. 3.2 AUDITORÍA A SISTEMAS

Auditoría de Sistemas:

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.



autor.

Objetivos específicos de la auditoria de sistemas:

1. Participación en el desarrollo de nuevos sistemas:

evaluación de controles

cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.

respaldos, preveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos.

resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.

fraudes

control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

utilitarios.

control sobre la utilización de los sistemas operativos

programas utilitarios.

8. Auditoría de la base de datos.

estructura sobre la cual se desarrollan las aplicaciones...

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.



autor.

Fines de la auditoria de sistemas:

1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.

2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.

Similitudes y diferencias con la auditoría tradicional:

Similitudes:

No se requieren nuevas normas de auditoría, son las mismas.

Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.

Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.

Diferencias:

Se establecen algunos nuevos procedimientos de auditoría.

Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.

Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.

El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

Aspectos del medio ambiente informático que afectan el enfoque de la auditoria y sus procedimientos.

Complejidad de los sistemas.



autor.

uso de lenguajes.

metodologías, son parte de las personas y su experiencia.

Centralización.

departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.

Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados) .

Confiabilidad electrónica.

debilidades de las máquinas y tecnología.

Transmisión y registro de la información en medios magnéticos, óptico y otros.

almacenamiento en medios que deben acceder a través del computador mismo.

Centros externos de procesamiento de datos.

Dependencia externa.



autor.

3.2.1 CHECKLIST DE SEGURIDAD

Un check list o lista de verificación, es un documento que detalla uno por uno distintos aspectos que se deben, comprobar, verificar, etc.

Un check list también puede definirse como la creación de criterios de comprobación en forma de una lista, cuya observación garantiza, que nada salga mal en su acción de marketing directo. Lo mejor es que elabore su lista de comprobación siguiendo el método paso - a - paso. Tachar por medio de una cruz o incluir los diversos puntos garantiza que ningún detalle importante se quede en el tintero. El auditor profesional tiene claro lo que necesita saber a partir de las politicas de la empresa, y el por qué. Sus cuestionarios son vitales para el trabajo de análisis y síntesis posterior, el auditor conversará y hará preguntas "normales", que en realidad servirán para la completación sistemática de sus Cuestionarios, de sus Checklists, los cuales serviran para tomar medidas si fuesen necesarias o para aplicar plnes de contingencias. Los Checklists deben o pueden ser contestadas oralmente, o solo seran un control no verbal de solo ticks, verificando en "terreno" si secumplen las normativas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado para mas tranquilidad de él, lo que genera un clima mas relajado, pero dependiendo de la política de la empresa podría darse que un cuestionario conste de cruces ,marcas, cuestionarios en su presencia. No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarias adaptaciones correspondientes en las preguntas a realizar. En nuestro caso podríamos aplicar el siguiente checklist, por ejemplo:

http://www.monografias.com/trabajos11/empre/empre.shtml

http://www.monografias.com/trabajos/fintrabajo/fintrabajo.shtml

http://www.monografias.com/trabajos11/metods/metods.shtml#ANALIT

http://www.monografias.com/trabajos7/sipro/sipro.shtml

http://www.monografias.com/trabajos/clima/clima.shtml

http://www.monografias.com/trabajos15/disenio-cuestionarios/disenio-cuestionarios.shtml

http://www.monografias.com/trabajos16/marca/marca.shtml



autor.

Políticas de Passwords : El Administrador puede forzar a los usuarios a cumplir ciertas reglas en la configuración de sus cuentas. Algunas de las medidas más utilizadas son: Longitud máxima y mínima de la contraseña.(cumple el largo dterminado) Duración máxima de la contraseña.(por ejemplo 6 meses) Histórico de la contraseña.(se guardan las contraseñas en desuso?) Bloqueo tras sucesivos fallos de login. Combinación de caracteres en la contraseña. Otros objetivos del checklist podrian ser:

* Auditoría de cuentas de usuario: Inicio y cierre de sesión. Acceso a ficheros, directorios o impresoras. Ejercicio de los derechos de un usuario. Seguimiento de procesos. Inicio, reinicio y apagado del sistema.

*Auditoría del sistema de archivos:

Rastrea sucesos del sistema de archivos Los sucesos que se pueden auditar Cambio de permisos y Toma de posesión.

*Auditoría de impresoras:

Registro de sucesos de aplicaciones. Registro de sucesos de seguridad. Registro de sucesos del sistema

http://www.monografias.com/trabajos16/objetivos-educacion/objetivos-educacion.shtml



autor.

*Seguridad en Red

Tipo de protocolos: o NetBEUI o TCP/IP

*Y los mas basico es:

Cuenta por lo menos con la penúltima versión de Service Pack's *Cortafuegos

Tipo y características del cortafuego.

http://www.monografias.com/trabajos10/carso/carso.shtml



autor.

3.2.2 BASELINE DEL SISTEMA Baseline del sistema es un instrumento que nos servirá para forzar al sistema a que arranque con una determinada configuración. Independientemente de que cualquier usuario intente borrar archivos, instalar programas o hacer cualquier cosa en el PC, con Baseline podremos resetear el Pc a la configuración base deseada, y asegurarnos de que estará perfectamente disponible para el siguiente usuario. De esta forma, Baseline se convierte en una herramienta de seguridad y gestión del sistema idónea para estaciones de trabajo o equipos compartidos por diversos usuarios, que necesiten estar siempre a punto con unas determinadas características. Un base line es un conjunto de reglas establecidas que forman una base de normas o prácticas sobre un proceso o sistema. Estas normas o prácticas son establecidas normalmente como una base de comparación entre organizaciones o empresas para verificar un nivel de cumplimiento. Para poder establecer un base line, se requieren varios elementos: - basarse en algunos estándares internacionales o mejores

prácticas, - normas publicadas por algunas organizaciones reconocidas

internacionalmente y - experiencias obtenidas por la práctica en las organizaciones. - Establecer un base line en seguridad de información, requiere

mucha experiencia y madurez, no es muy práctico solo “copiar” base line de otras organizaciones dado que cada organización es diferente, tiene necesidades diferentes de acuerdo a sus niveles de madurez y necesidades.

- Generalmente están listados en orden de importancia aunque pueden no serlo.

• Para cada activo de información y sistema de información debe existir una bitácora externa al mismo para el registro de usuarios autorizados para acceder a los mismos.



autor.

• Debe establecerse procedimientos para verificar que el nivel de acceso concedido es apropiado para el propósito de negocio y que sea consistente con la directriz de control de acceso.

• El procedimiento de creación de usuarios debe indicar como se otorga la autorización requerida antes de otorgar el acceso solicitado.

• El formato de solicitud de autorización para dar de alta o modificación de un usuario a un activo con los siguientes campos:

– Nombre del usuario – Sistema o aplicación al cual requiere acceso,

revocación o modificación. – Organización a la que pertenece – Privilegios solicitados – Gerencia que solicita el acceso

• El usuario final que se le brinda el acceso debe recibir una

notificación con el permiso otorgado, privilegios y responsabilidades asociadas a la cuenta o en su defecto la razón por la que fue denegado el acceso

• Se debe asegurar no proporcionar accesos hasta no

completar los procedimientos de autorización establecidos. • Se debe mantener un registro formal de todas las personas

registradas con derecho a usar los activos de información o sistemas de información.



autor.

3.2.3 AUDITORÍA A LAS POLÍTICAS DEL SISTEMA

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.

Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.

En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva.

Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

Definición de Políticas de Seguridad Informática

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios.

http://www.monografias.com/trabajos14/comer/comer.shtml

http://www.monografias.com/trabajos16/configuraciones-productivas/configuraciones-productivas.shtml

http://www.monografias.com/Politica/index.shtml

http://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtml

http://monografias.com/trabajos10/anali/anali.shtml

http://www.monografias.com/trabajos10/motore/motore.shtml

http://www.monografias.com/trabajos15/plan-negocio/plan-negocio.shtml



autor.

Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Elementos de una Política de Seguridad Informática

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

o Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

o Objetivos de la política y descripción clara de los elementos involucrados en su definición.

o Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.

o Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.

o Definición de violaciones y sanciones por no cumplir con las políticas.

o Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.

http://www.monografias.com/trabajos2/rhempresa/rhempresa.shtml

http://www.monografias.com/trabajos16/desarrollo-del-lenguaje/desarrollo-del-lenguaje.shtml

http://www.monografias.com/trabajos2/mercambiario/mercambiario.shtml



autor.

Parámetros para Establecer Políticas de Seguridad

Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:

o Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.

o Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.

o Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

o Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área.

o Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.

o Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.

Razones que Impiden la Aplicación de las Políticas de Seguridad Informática

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.

Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas".

http://www.monografias.com/trabajos4/acciones/acciones.shtml

http://www.monografias.com/trabajos15/llave-exito/llave-exito.shtml

http://www.monografias.com/trabajos11/henrym/henrym.shtml

http://www.monografias.com/trabajos13/mepla/mepla.shtml



autor.

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.

http://www.monografias.com/trabajos7/imco/imco.shtml

http://www.monografias.com/trabajos7/imco/imco.shtml

http://www.monografias.com/trabajos11/henrym/henrym.shtml

http://www.monografias.com/trabajos7/gepla/gepla.shtml



autor.

3.2.4 AUDITORÍA A USUARIOS.

Por defecto, cuando la auditoría del sistema está activada, el estado de auditoría es activado para todos los usuarios. Se somete automáticamente a auditoría a los usuarios nuevos agregados al sistema.

Puede supervisar qué usuarios están utilizando los sistemas HP-UX mediante la auditoría. Para cambiar los usuarios que se auditan, elija una de las siguientes opciones:

Auditar todos los usuarios.

Por defecto, el estado de auditoría está activado para todos los usuarios cuando el sistema de auditoría está activado. Se somete automáticamente a auditoría a los usuarios nuevos agregados al sistema.

Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso sin éxito a un objeto. La habilitación de la auditoría del acceso del servicio de directorio y la configuración en los objetos de directorio puede generar un gran volumen de entradas en los registros de seguridad de los controladores de dominio, sólo debería habilitar esos valores si realmente desea utilizar la información creada. Recuerde que puede establecer en un objeto de utilizando la ficha Seguridad del cuadro de diálogo Propiedades de ese objeto.



autor.

3.2.5 COMANDOS DEL SISTEMA Planificación de la puesta en ejecución de la auditoría Para planificar la puesta en ejecución de la auditoría, dé los siguientes pasos:

1. Determine los usuarios que va a auditar. Por defecto, se seleccionan todos los usuarios para la auditoría.

2. Determine los sucesos o llamadas de sistema para auditar. Utilice el comando audevent para mostrar una lista de sucesos y llamadas de sistema que están seleccionados actualmente para auditoría.

Los sucesos y las llamadas de sistema se pueden agrupar en perfiles.

3. Decida dónde desea colocar los archivos de registro de auditoría (rastros de auditoría) en el sistema. Para obtener más información sobre la configuración de los archivos de registro de auditoría, consulte la Sección .

4. Cree una estrategia para archivar y hacer una copia de seguridad de los archivos de auditoría. Los archivos de auditoría ocupan, a menudo, mucho espacio en disco y se pueden desbordar si no se planifica detenidamente la administración de los archivos. Utilice la opción -X con el comando audomon para automatizar el archivo.

Para obtener información adicional sobre la administración y el rendimiento del sistema de auditoría que le puede ayudar a planificar la puesta en ejecución de la auditoría, consulte la Sección y la Sección.

http://docs.hp.com/es/5992-3422/ch10s05.html

http://docs.hp.com/es/5992-3422/ch10s02.html#badcebia

http://docs.hp.com/es/5992-3422/ch10s02.html#badifhib



autor.

Habilitación de la auditoría Para habilitar la auditoría en el sistema, dé los siguientes pasos:

1. Configure los usuarios que desea auditar utilizando el comando userdbset. Para obtener más información sobre la configuración de la auditoría para los usuarios, consulte la Sección .

2. Configure los sucesos que desea auditar utilizando el comando audevent. Por ejemplo, para efectuar una auditoría según MySitePolicy, escriba el siguiente comando:

# audevent -P -F -r MySitePolicy

5. MySitePolicy se debe definir en el archivo /etc/audit/audit_site.conf.

6. Utilice el comando audevent sin opciones para mostrar una lista de sucesos y llamadas de sistema que están configurados actualmente para auditoría.

7. Para obtener más información sobre la configuración de la auditoría para los sucesos, consulte la Sección .

8. Defina los parámetros del argumento audevent en el archivo/etc/rc.config.d/auditing para habilitar el sistema de auditoría a fin de conservar los parámetros de configuración actuales cuando el sistema se reinicia. Por ejemplo, para conservar los parámetros configurados en el paso 2, defina los parámetros del modo siguiente:

AUDEVENT_ARGS1 = –P –F –r MySitePolicy 9. Inicie el sistema de auditoría y defina los rastros de auditoría

utilizando el comando audsys:

#audsys -n -c archivo_auditoría_principal -s 1000

12. Configure los archivos de registro y los parámetros de conmutación de archivos de registro en el archivo /etc/rc.config.d/auditing. Dé los pasos siguientes:

a. Defina PRI_AUDFILE en el nombre del archivo de registro de auditoría principal.

b. Defina PRI_SWITCH en el tamaño máximo del archivo de registro de auditoría principal (en KB), en el que el registro de auditoría conmuta a un archivo de registro auxiliar.

c. Defina SEC_AUDFILE en el nombre del archivo de registro auxiliar.





autor.

d. Defina SEC_SWITCH en el tamaño máximo del archivo de registro de auditoría secundario (en KB).

Para obtener más información sobre cómo configurar los archivos de registro de auditoría principal y auxiliar, consulte la Sección .

13. Inicie el demonio audomon si todavía no se ha iniciado. El demonio audomon supervisa el crecimiento del rastro de auditoría actual y conmuta a un rastro de auditoría alternativo siempre que sea necesario. Por ejemplo:

#audomon -p 20 -t 1 -w 90 -X "/usr/local/bin/rcp_audit_trail hostname"

16. Para obtener más información sobre la configuración del demonio audomon, consulte la Sección .

17. Defina el parámetro del argumento audomon en el archivo /etc/rc.config.d/auditing para conservar la configuración actual entre los reinicios del sistema.

18. Defina el indicador AUDITING en 1 en el archivo /etc/rc.config.d/auditing para habilitar al sistema de auditoría para que comience automáticamente cuando se inicie el sistema.

Deshabilitación de la auditoría Para deshabilitar la auditoría en el sistema, dé los siguientes pasos:

1. Detenga la auditoría del sistema con el siguiente comando:

#audsys -f

4. Defina el indicador AUDITING en 0 en el archivo /etc/rc.config.d/auditing para evitar que el sistema de auditoría comience cuando se reinicie el sistema.

5. (Opcional) Para detener el demonio audomon, escriba:

# kill `ps -e | awk '$NFS~ /audomon/ {print $1}'`

8. Utilice este paso sólo si desea reconfigurar el demonio audomon. Para reconfigurar y reiniciar el demonio audomon, dé el paso 6 y el paso 7 según se describe en la Sección . Supervisión de los archivos de auditoría

Para consultar, supervisar y administrar los archivos de auditoría, dé los siguientes pasos:

1. Visualice los archivos de registro de auditoría con el comando audisp:


http://docs.hp.com/es/5992-3422/ch10s05.html#v1196141

http://docs.hp.com/es/5992-3422/ch10s02.html#v817623



autor.

# audisp archivo_auditoría

4. Para obtener detalles sobre cómo utilizar el comando audisp, consulte la sección «Consulta de los archivos de registro de auditoría».

5. Defina los argumentos de supervisión del archivo de registro de auditoría en el archivo /etc/rc.config.d/auditing. Defina los mismos valores utilizados en el paso 2.

6. (Opcional) Detenga la auditoría del sistema con el siguiente comando:

#audsys –f

9. (Opcional) Defina el indicador AUDIT en 0 en el archivo /etc/rc.config.d/auditing para que no se inicie el sistema de auditoría en el próximo reinicio del sistema.

Consideraciones sobre el rendimiento La auditoría aumenta la sobrecarga del sistema. Cuando el rendimiento sea motivo de preocupación, sea selectivo a la hora de elegir los sucesos y los usuarios para auditar. Esto puede contribuir a atenuar el impacto de la auditoría en el rendimiento.





autor.

Pautas para administrar el sistema de auditoría Utilice las siguientes pautas cuando administre el sistema:

Compruebe los registros de auditoría según la directiva de seguridad. Los archivos de auditoría en línea deben conservarse durante al menos 24 horas y todos los registros de auditoría almacenados sin conexión deben preservarse durante un mínimo de 30 días.

Examine el archivo de registro de auditoría en busca de actividades poco comunes, como: inicios de sesión nocturnos, errores de inicio de sesión, errores de acceso a los archivos del sistema e intentos infructuosos para llevar a cabo tareas relacionadas con la seguridad.

Archive diariamente para evitar que el archivo de auditoría se desborde.

Revise cada cierto tiempo los sucesos seleccionables actuales, sobre todo después de instalar revisiones nuevas de HP-UX, ya que es frecuente que se incorporen llamadas del sistema nuevas a las revisiones nuevas.

Revise cada cierto tiempo la selección de usuarios para auditar.

No siga ningún modelo ni programa en cuanto a la selección de sucesos o usuarios.

Defina las pautas que han de seguirse en el emplazamiento. Implique a los usuarios y a la dirección en el establecimiento de dichas pautas.

Si se prevé un volumen alto de datos de auditoría, configure los rastros de auditoría en un volumen lógico que conste de varios discos físicos y varias tarjetas de E/S. Utilice la opción -N con el comando audsys para dividir el rastro de auditoría en varios archivos.



autor.

3.2.6 HERRAMIENTAS PARA REALIZAR AUDITORÍA



autor.

3.2.7 AUDITORÍA A LOS REGISTROS Y BITÁCORAS DEL SISTEMA Registro de auditoría.

Unidad discreta de datos registrados en la pista de auditoría sobre la ocurrencia de un suceso. Un registro de auditoría consiste en un conjunto de descriptores, cada uno de los cuales tiene un conjunto de atributos asociados. Cada registro tiene siempre un descriptor de auditoría para los campos de cabecera y, normalmente, un descriptor de auditoría adicional, que detalla el (los) sujeto(s) y objeto(s) involucrados en el suceso.

Registro de auditoría de seguridad

Conjunto de datos recogidos, y si procede usados, para llevar a cabo una auditoría de seguridad (ISO ISO-7498-2).

Es término sinónimo de "registro de auditoría".

Monitoreo en bitácoras Generalmente no deseamos permitir a los usuarios ver los archivos de bitácoras de un servidor, y especialmente no queremos que sean capaces de modificarlos o borrarlos. Normalmente la mayoría de los archivos de bitácoras serán poseídos por el usuario y grupo root, y no tendrán permisos asignados para otros, así que en la mayoría de los casos el único usuario capaz de modificar los archivos de bitácoras será el usuario root. Debido a la cantidad de información que se genera en la bitácoras, siempre es bueno adoptar algún sistema automático de monitoreo, que levante las alarmas necesarias para cuando algún evento extraño suceda. El sistema operativo Debian utiliza LogCheck para realizar el análisis y monitoreo de bitácoras, RedHat emplea LogWatch, etc.



autor.

3.2.8 AUDITORÍA A LA CONFIGURACIÓN DEL SISTEMA

Auditoría de Sistemas:

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.



autor.

3.2.9 AUDITORÍA A LA CAPACIDAD DE RECUPERACIÓN

ANTE DESASTRES

Recuperación de desastres.

El objetivo de esta revisión es analizar y evaluar las políticas y procedimientos relacionados a la planificación de contingencia para asegurar la capacidad del ente para responder eficazmente ante desastres y otras situaciones de emergencia. Para conseguirlo, el equipo de auditoría realiza lo siguiente:

a) Revisión del plan de contingencia

Primero es necesario obtener una copia del plan o manual de recuperación de desastre y hacer lo siguiente: Realizar un muestreo de las copias distribuidas del manual y verificar que están actualizadas. Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre, planteándose preguntas como las siguientes:

1) ¿Identifica el plan los puntos de reunión del comité de administración de desastre o del equipo de administración de emergencia para que se reúnan y decidan si debe iniciarse la recuperación de desastre?

2) ¿Son adecuados los procedimientos documentados para una recuperación exitosa?

3) ¿Trata el plan de desastres de diverso grado?

Revisar la identificación y el soporte planificado de las aplicaciones críticas, incluyendo sistemas basados en Pc o desarrollados por usuarios finales para esto:

4) Determine si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de un desastre.

5) Determine si se han identificado todas las aplicaciones críticas, (incluyendo aplicaciones en PC).

6) Determine si en el "Hot Site" tiene las versiones correctas de sistema operativo.



autor.

Revisar la corrección e integridad de la lista de personal de recuperación de desastre, contactos de emergencia con el "Hot Site", contactos de emergencia con proveedores, etc.

1) En la practica se sugiere realizar llamadas a una muestra de la gente indicada y verifique que los números de teléfono y domicilios son correctos y que posean copia del manual de recuperación de desastre.

2) Entrevistar al personal para obtener una comprensión de las responsabilidades que tienen asignadas en una situación de desastre.

Evaluar procedimientos para actualizar el manual. ¿Se aplican y distribuyen las actualizaciones de manera oportuna?. ¿Existen responsabilidades específicas respecto a mantener el manual actualizado?.

Determinar si los elementos necesarios para la reconstrucción de la instalación de procesamiento de información se almacenan en otra sede (planos, inventario de hardware, diagramas de cableado, etc.

b) Evaluación del almacenamiento en sede alternativa.

Debe evaluarse la instalación de almacenamiento en sede alternativa para asegurarse de la presencia, sincronización y actualización de los medios magnéticos y documentación críticas. Ello incluirá archivos de datos, software de aplicaciones, documentación de aplicaciones, software de sistemas, documentación de sistemas, documentación de operaciones, insumos necesarios, formularios especiales, y una copia del plan de contingencia. Para verificar las condiciones que se mencionaron, el auditor de sistemas debe realizar un examen detallado de inventario.

Ese inventario debe incluir poner a prueba los nombres de correctos de los archivos, identificación de cintas o cassettes, ubicación correcta en los depósitos de las cintas o cassettes así como una revisión de la documentación y verificar que corresponda con documentación actualizada.



autor.

c) Revisión de cobertura de seguros.

Es esencial que la cobertura de seguros refleje el costo actual de la recuperación, por ende debe revisarse la adecuación de la cobertura de seguros para daños a medios magnéticos, interrupción de negocio, reemplazo del equipo, y procesamiento de contingencia. A fin de determinar la adecuación, obtenga una copia de las pólizas de seguros de la empresa y evalúe la adecuación de la cobertura.

d) Conocimientos de los procedimientos de recuperación por parte del personal.

El auditor de sistemas debe entrevistar al personal clave que se necesita para la recuperación con éxito de las operaciones del negocio. Todo el personal clave debe tener una comprensión de las responsabilidades asignadas, así como documentación detallada y actualizada que describe sus tareas.

e) Seguridad física en la instalación en sede alternativa.

Debe evaluarse la seguridad física en la instalación alternativa, para asegurarse de que tiene controles de acceso como ambientes apropiados, tales controles incluyen la capacidad de limitar el acceso solo a los usuarios autorizados de la instalación, piso sobre elevado, controles de humedad, controles de temperatura, circuitos especializados, fuente ininterrumpida de energía, dispositivos de detección de agua, detectores de humo y un sistema adecuado de extinción de incendios. El auditor de sistemas debe hacer un examen del equipo en busca de etiquetas de inspección y calibración vigentes.

f) Examen del contrato de procesamiento alternativo.

Debe revisarse el contrato con el proveedor de la instalación de procesamiento alternativo, teniendo en cuenta lo siguiente: Que el proveedor sea confiable y de prestigio. Que el proveedor ponga por escrito todo lo que promete. Asegurarse de que el contrato es claro y es comprensible para un Juez. Asegurarse de que se puede continuar trabajando con las reglas que son aplicables cuando se tenga que compartir la sede con otros suscriptores. Asegurarse que la cobertura de seguro se vincula y cubre todos o la mayoría de gastos del desastre. Prestar atención a los requerimientos de comunicaciones para la sede alternativa.



autor.

3.2.10 ANÁLISIS DE LA INFORMACIÓN Y RESULTADOS

Cuando haya terminado de usar los métodos y herramientas seleccionados para su estudio, tendrá información almacenada en cuadernos, archivos e índices organizada cronológicamente o por método usado, o ambos. Este capítulo trata sobre los procesos que permiten analizar la información recopilada; verificar su confiabilidad mediante la triangulación; interpretar y comprender los resultados; y presentar y usar los resultados. Debido a que la documentación es uno de los resultados más importantes de un estudio de evaluación de la higiene se demuestra, en términos prácticos, cómo la investigación y el análisis se vinculan con la redacción de informes

Análisis e interpretación de los resultados

Hay cuatro etapas principales en el análisis e interpretación de la información cualitativa. Estos se tratan más detalladamente en varios textos, incluidos Patton (1986, 1990), Miles y Huberman (1994) y Silverman (1994). Aquí nos centraremos más en las tareas prácticas que en los temas teóricos.

Análisis descriptivo

La descripción y análisis de la información cualitativa están estrechamente vinculados, de ahí la frase análisis descriptivo. Este análisis incluye una descripción de la finalidad del estudio, la localidad y personas comprometidas, y sus generalidades usualmente se presentan en la introducción del informe. El análisis descriptivo se centra en cómo, dónde y quién recolectó la información, lo cual implica revisar la información, identificar vínculos, patrones y temas comunes, ordenar los hechos y presentarlos como son, sin agregar ningún comentario sobre su importancia. En el informe, esto se presenta generalmente en la sección de Resultados. El orden de los resultados puede ser cronológico, según la secuencia de observación de los hechos, o jerárquico, de acuerdo a la importancia de los temas. La introducción y la sección del análisis descriptivo (resultados) del informe deben responder las siguientes preguntas básicas:



autor.

La sección de la introducción

•¿Dónde se realizó el estudio? ¿Cuáles son las condiciones físicas y climáticas?

•¿Cuándo se realizó el estudio? ¿Por qué?

•¿Cuáles fueron los objetivos y los resultados esperados del estudio?

•¿Quién realizó el estudio? ¿Qué métodos y herramientas se usaron? ¿Por que ?

•¿Cómo participaron las personas en el estudio? ¿Qué grupos étnicos, idiomas u otros grupos participaron? ¿Cómo se compara el nivel de participación logrado en su estudio con el carácter distintivo de la participación comunitaria?

Sección de resultados

Incluirá resultados en cuanto a:

• método y herramienta de investigación usados;

• núcleo de prácticas de higiene;

• cualquier otro orden relevante.

En el análisis descriptivo se debe incluir detalles suficientes para permitir que el lector vea qué pasos siguió en la investigación, cómo tomó decisiones metodológicas o cambios de dirección y por qué.

Recuerde que los hechos tienen que presentarse de manera clara, coherente y completa antes de que puedan ser interpretados. Una característica muy importante del análisis es la verificación, seguida de la verificación cruzada de la información a fin de establecer la calidad y confiabilidad de los resultados.

Trataremos esto por separado y con más detalle en «Confiabilidad de la información».



autor.

Interpretación

La segunda etapa es determinar el significado de los resultados y cuán significativos son en su contexto especifico.

Las razones que motivan ciertas prácticas de higiene y la influencia de los factores socioculturales sobre ellas pueden analizarse con el aporte de las múltiples perspectivas del equipo de estudio.

Tomando como base los resultados, también pueden explorarse temas más amplios que vinculen las prácticas de higiene con la salud.

A continuación se presentan algunas de las preguntas que deben ser respondidas por el equipo de estudio al interpretar los resultados del estudio:

•¿Qué significan los resultados? •¿Cómo surgieron los resultados? •¿Cuáles son las posibles explicaciones de los resultados'? •¿Se ha respondido a todos los por qué ? ¿Algunos requieren investigación adicional?

Idealmente, la interpretación de los resultados debe reflejar los comentarios y sugerencias hechas por la población durante las sesiones de retroalimentación sobre el uso de métodos y herramientas analíticos y de investigación que se han descrito en los capítulos 5 y 6. Esto ayudará a minimizar los prejuicios que pudieran influir en la interpretación de los resultados y asegurará que se tome en cuenta el contexto de la información.



autor.

Juicio

El análisis descriptivo y la interpretación de los resultados, en último término, permiten evaluar los resultados como positivos, negativos o ambos y determinar sus razones.

Los valores del equipo de estudio y de las partes interesadas influyen en los resultados del estudio.

Por ejemplo, los resultados pueden indicar qué es bueno, malo, aconsejable o indeseable respecto a cómo el proyecto ha promovido un mejor abastecimiento de agua, saneamiento, higiene y salud o cómo han respondido las personas a las intervenciones externas y por qué.

En este sentido, las preguntas que deben responderse son:

•¿Cuál es la importancia de los resultados para los diversos interesados en este entorno especifico?

•¿para el proyecto?

•¿para la población estudiada?

•¿para los investigadores interesados en los vínculos entre determinadas prácticas de higiene y la salud?

Generalmente, la interpretación y juicio de los resultados se presentan en la sección Discusiones de un informe Es importante lograr un equilibrio justo entre los aspectos positivos y negativos. Los resultados positivos deben recalcarse sin dejar de lado los negativos.

De igual manera, los resultados negativos no sólo deben enumerarse, sino discutirse de modo que exploren posibles soluciones prácticas o remedios factibles. La sección de discusiones debe preceder a las conclusiones, las que pueden presentarse en la misma sección o por separado.



autor.

Recomendaciones

La cuarta etapa es formular algunas recomendaciones para la acción basadas en el análisis, interpretación y juicio de los resultados del estudio. La sección de Recomendaciones de un informe generalmente debe seguir a la discusión y conclusiones y debe abordar las siguiente preguntas.

•¿Cuáles son las implicaciones de los resultados, basadas en su análisis, interpretación y juicio? ¿Cuáles son las deducciones:

• para su proyecto especifico? • para otros proyectos que puedan estar interesados en aprender de sus resultados? • para otras partes interesadas, como los investigadores?

•¿Qué debe hacer su proyecto y otros interesados con los resultados de su estudio?

Mientras mas partes interesadas participen en la interpretación y juicio de los resultados del estudio, más fácil será reflejar sus intereses en las recomendaciones. Las sugerencias prácticas y factibles deben incluirse claramente en las recomendaciones.

Confiabilidad de la información

Los criterios para establecer la confiabilidad de los datos cualitativos son componentes esenciales del diseño y realización del estudio, lo que mejora la confiabilidad de la información recogida.

A diferencia de los datos estadísticos, con los cuales se puede llegar a promedios cuantitativos, los criterios para la confiabilidad de los datos cualitativos no son un conjunto de pruebas que se aplican a la información después de haber sido recogida, sino verificaciones inherentes que se diseñan antes de iniciar la recolección de la información y que se monitorean durante toda la investigación.

Usted debe ser capaz de juzgar la confiabilidad de la información mediante la aplicación de los criterios establecidos al momento de diseñar y realizar el estudio.



autor.

El número de criterios aplicados puede variar de un estudio a otro, según los recursos (humanos, materiales, tiempo) y otras limitaciones del estudio. Sin embargo, los siguientes criterios claves constituyen los requisitos mínimos que deben cumplirse para establecer la confiabilidad y calidad de la información cualitativa.

• Participación prolongada o intensa del equipo con la población estudiada. La duración del estudio dependerá de los recursos disponibles y la familiaridad del equipo con la población. Se puede hacer mucho en un par de semanas, especialmente si los trabajadores de campo conocen muy bien a su población de estudio. Si no, se raqueará un tiempo más largo para que el equipo se relacione con la población y minimice los prejuicios introducidos por modales inusuales y la separación innecesaria entre el equipo y la comunidad.

Sea claro y honesto al informar sobre los prejuicios que pueden haber influido en el estudio debido al tipo de relación establecida entre el equipo de estudio y la población.



autor.

3.3 Análisis Forense a Sistemas de Cómputo

¿Qué es la informática forense?

Debido a estos ataques y delitos informáticos que se vienen presentando hace más de dos décadas, las autoridades policiales en el mundo tomaron cartas en el asunto, creando laboratorios informáticos para apoyar las investigaciones judiciales, en pocas palabras crearon un departamento de computación forense para analizar las informaciones de la red y sus comportamientos, y poder atrapar a los delincuentes.

De acuerdo con lo anterior, podemos definir la computación forense como una rama de la informática que se encarga de recolectar y/o recopilar información valiosa desde sistemas informáticos (redes, ordenadores, soportes magnéticos, ópticos, etc) con distintos fines, sirviendo de apoyo a otras disciplinas o actividades, como son las labores de criminalística e investigaciones. Estas evidencias que permite descubrir diferentes datos sirven, por ejemplo, para condenar o absolver a algún imputado.

Esta rama investigativa tuvo su origen en 1984 cuando el FBI y otras agencias de Estados Unidos comenzaron a desarrollar programas para examinar evidencia computacional.

Componentes del análisis forense

• Identificación de la evidencia: los investigadores deben conocer muy bien los formatos que tiene la información con el fin de saber cómo extraerla, dónde y cómo almacenarla y preservarla. • Preservación de la evidencia: es importante que no se generen cambios en la evidencia al analizarse, sin embargo en algunos casos donde deba presentarse esos cambios deben ser explicados ya que toda alteración debe ser registrada y justificada • Análisis de la evidencia: cada uno de los datos recopilados como prueba deben ser examinados por expertos en el tema. • Presentación: las metodologías que se utilicen para la presentación de los datos analizados deben ser serias, probadas y confiables.



autor.

Delitos informáticos

Los ataques virtuales y delitos informáticos al igual que los delitos comunes y corrientes del mundo real, son analizados por unidades o laboratorios de computación forense en todo el planeta, los cuales buscan encontrar a los culpables y condenarlos.

En América Latina países como México, Colombia, Chile, Argentina, Cuba, Venezuela, Brasil, Ecuador, El Salvador, Perú, Guatemala, Panamá, Paraguay, Perú, República Dominicana y Uruguay, cuentan con equipos de respuesta de seguridad en cómputo, los cuales se encargan de la investigación de los casos de cybercrime que se hayan reportado. Cabe aclarar que algunas empresas no denuncian sus casos pues temen perder credibilidad, o sufrir consecuencias de tipo económico u otras similares, como explica el mayor Fredy Bautista, jefe del grupo de delitos informáticos de la Dijín, (Dirección de Policía Judicial de Colombia).

Para poner un ejemplo, en lo que va corrido del 2007, en Colombia las empresas han perdido 6.6 billones de pesos a raíz de delitos informáticos. De las cuentas de personas naturales se han sustraído 311 mil millones de pesos, y los casos reportados, respecto al 2006, se han incrementado en un 71%. .

Dirección de investigación criminal

En Colombia, la informática forense surgió como una ciencia que apoya las labores investigativas de la Policía Nacional a partir del 2004, con la creación de la que se conoce actualmente como Dirección de investigación criminal.

Según algunos estudios realizados en el país, y basados en los casos reportados de ataques virtuales y delitos informáticos, por entidades gubernamentales, privadas y por el sector bancario, en Colombia estos eventos, su prevención y procesamiento se están volviendo cada vez más importantes, motivo por el cual se ha aumentado el accionar policial y judicial.

En 2004, no sólo se estableció el Gabinete de informática forense, hoy en día Dirección de investigación criminal, sino que en la Contraloría delegada para investigaciones, juicios fiscales y jurisdicción coactiva de la Contraloría General de la República, se



autor.

creó un laboratorio de informática forense, con el fin de determinar actos ilícitos o fraudes donde el patrimonio del Estado esté en riesgo.

Con la creación de este laboratorio, la Contraloría fue la primera entidad en Latinoamérica que contó con estos elementos investigativos al igual que el FBI, la CIA, la Interpol, la Policía de New York, la Agencia de Seguridad Israelí, entre otras instituciones.



autor.

3.3.1 Introducción al Análisis Forense en Sistemas de Cómputo

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Dispositivos a analizar

La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:

Disco duro de una Computadora o Servidor Teléfono Móvil o Celular, parte de la telefonía celular Agendas Electrónicas (PDA) Dispositivos de GPS Impresoras Memorias USB



autor.

Las evidencias electrónicas son datos que de manera digital se encuentran almacenados o fueron transmitidos mediante equipos informáticos y que son recolectados mediante

herramientas técnicas especializadas empleadas por un perito en una investigación informática. Tienen la función de servir como prueba física (por encontrarse dentro de un soporte) de como prueba física (por encontrarse dentro de un soporte) de carácter intangible (no modificables) en las investigaciones informáticas



autor.

3.3.2 Obtención y Protección de la Evidencia Obtención de evidencia

La adquisición de la evidencia electrónica se debe hacer siempre de forma que el sistema examinado se vea impactado o modificado en su estado lo mínimo posible.

En un entorno como el informático, en el que el estado (contenido de registros, memoria, estado del procesador, etc) de los sistemas cambia continuamente, esto es díficil, si no imposible, de cumplir en la práctica. Siempre que existe una interacción (por leve y cuidadosa que sea) del investigador o sus herramientas con el sistema examinado, se produce una alteración de este último.

En la práctica forense moderna, se considera que ciertos tipos de evidencia son más útiles o importantes que otros, y se acepta la modificación del estado de la evidencia siempre que esta alteración sea conocida y predecible.

Para ello es importante conocer las herramientas a utilizar. No sólo hay que conocer el tipo de información que extrae o qué informes genera, sino saber, con detalle, cual es la interacción de la herramienta con el sistema sobre el que corre: cómo afecta a la memoria, qué ficheros modifica, a qué recursos del sistema accede, etc.

Como regla general, se debe obtener la evidencia de la forma menos destructiva posible, y siempre en orden de más volátil a menos volátil, en el orden que se muestra a continuación.

Cuando la evidencia se compone de listados de cientos de conexiones, decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de gigabytes de disco duro, es necesario



autor.

establecer un plan para la forma de abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo es, y en qué orden hacer las cosas.

Cierto es que la mayoría de los casos son muy estándar, y el procedimiento siempre sigue las mismas pautas. Casos típicos son:

Hacker accede a un sistema explotando una vulnerabilidad de un servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel de super-usuario, e instala un kit de herramientas que le permita volver a acceder al sistema cuando desee, aunque la vulnerabilidad original se haya solucionado.

Usuario legítimo del sistema provoca una infección del ordenador (software de dudosa procedencia, “drive-by downloads”, ficheros adjuntos en correo electrónico, etc.) que instala un troyano que convierte al sistema en un “zombie” parte de una “botnet”.

Empleado desencantado sabotea los sistemas de su propia empresa.

Se sospecha de la posesión por parte del usuario de material no autorizado o ilegal (software pirata, propiedad intelectual, pornografía infantil)

Empleado roba documentación e información confidencial, o la envía a la competencia.

Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)

Ninguna investigación forense se inicia sin tener al menos una sospecha de la conducta o incidente a investigar, y esto permite adaptar la metodología al caso concreto.

¿Apagar o no apagar?

Un elemento de la metodología que es importante tener claro es la decisión de apagar o no apagar la máquina, y en caso de no apagar, si mantenerla conectada a la red o no.

Toda decisión que se toma desde el momento que se inicia la investigación debe estar meditada, sopesada, y evaluada en relación a sus posibles beneficios y posibles perjuicios.

En los casos donde la actividad maliciosa está clara, y en los que cada segundo que pasa se hace más daño a la organización, puede ser buena práctica tirar del cable de alimentación (mejor que apagar usando la función de “shutdown” del sistema, que tiende a alterar



autor.

más el estado de la evidencia). Por supuesto, en este caso tenemos que haber decidido que el contenido de la memoria no es importante, o haber obtenido previamente una imagen de memoria o información útil sobre los procesos activos.

Existen casos en los que apagar o desconectar de la red un sistema, particularmente servidores de aplicaciones críticas de línea de negocio, no es una opción. Ya sea por el impacto que puede tener en el negocio, o por motivos regulatorios o de procesos estrictos de gestión del cambio, una caida no planificada de un sistema crítico puede ser peor que la incidencia que se está investigando.

¿Apagar dispositivos móviles?

Con la incorporación de sistemas móviles a la infraestructura de nuestros sistemas aparece un problema nuevo. ¿Qué hacer cuando se investiga un teléfono móvil, Blackberry, o PDA? Es importante evitar comunicaciones salientes o entrantes del dispositivo cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes. Existen dos opciones cuando se incauta un dispositivo de comunicaciones móvil:

Apagar el dispositivo Mantenerlo encendido pero aislado de la red

Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas contraseñas o buscar una manera de obviarlas. Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería.

Con la opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red. Pero en general, estos dispositivos, al no encontrar portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente.

Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y esperar a que siga encendido varios días después cuando se va a realizar la investigación de la evidencia.



autor.

La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías) que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento puede ser interesante en ciertos casos.

En cualquier caso, mientras la metodología esté documentada y justificada, queda a la discreción del investigador el método exacto a seguir.

Protección.

Un aspecto a tener en cuenta, sobre todo en casos con implicaciones legales, es la posible existencia de información confidencial o personal, ajena al caso, entre la evidencia recolectada.

¿Qué medidas se toman para proteger esa información? ¿Quién tiene acceso a ella? La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la intimidad y la privacidad de datos de carácter personal.

Un juicio en Michigan (EEUU) ha puesto este tema de actualidad. Una de las partes litigantes había solicitado al juez una orden para examinar el disco duro de un PC de otra de las partes .

El juez dictaminó que un experto investigador forense realizase la investigación del disco duro sin participación de ninguna de las partes litigantes. El perito elaboraría un inventario de los elementos de evidencia que sería presentado al propietario del disco. Este tendría un tiempo determinado para indicar los elementos a ser excluidos del caso, mediante una solicitud al juez. La parte demandante debería cubrir los gastos del procedimiento.



autor.

3.3.3 Análisis Forense sobre Sistemas Los servicios de análisis forense de Sistemas comprenden el estudio de los sistemas para determinar el grado de compromiso y exposición de los sistemas, los datos de los presuntos atacantes y el nivel de intrusión alcanzado y la recuperación de datos en caso de pérdidas. Los servicios de análisis forense surgen dada la necesidad de analizar los ataques sufridos, así como la necesidad de desvelar a los atacantes o intrusores. Es igualmente preciso conocer qué herramientas y metodologías han empleado los atacantes para entrar en nuestros sistemas, y todo ello orientado a planificar adecuadamente planes que impidas que los ataques se repitan. La experiencia en los informes de análisis forense facilita la elaboración de un protocolo de análisis forense exclusivo de la organización, mediante el cual se preservan los datos y la privacidad de los afectados, y se tratan las evidencias obtenidas con las máximas condiciones de asepsia, para impedir la contaminación de pruebas. Los servicios de análisis forense son especialmente útiles

Para analizar las intrusiones externas a nuestros sistemas

Para analizar las intrusiones internas a nuestros sistemas

Para conocer los detalles de posibles fugas de

confidencialidad

Para minimizar el riesgo de fallas de seguridad del personal

Para obtener evidencias útiles en procesos judiciales

Realizar trabajos de análisis forense es necesario para asegurar, principalmente, que las brechas de seguridad han sido resueltas y que el incidente que se haya producido no se produzca más. Los datos de un análisis forense le permiten trazar la identidad de los atacantes, así como su localización, pudiendo obtener de éstos datos, información útil para procesos judiciales o laborales.

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

http://es.wikipedia.org/wiki/Estaci%C3%B3n_de_trabajo

http://es.wikipedia.org/wiki/Red_de_ordenadores

http://es.wikipedia.org/wiki/Red_de_ordenadores

http://es.wikipedia.org/wiki/Servidor



autor.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Fases de una auditoría

Los servicios de auditoría constan de las siguientes fases:

Enumeración de redes, topologías y protocolos Identificación de los sistemas operativos instalados Análisis de servicios y aplicaciones Detección, comprobación y evaluación de vulnerabilidades Medidas específicas de corrección Recomendaciones sobre implantación de medidas

preventivas.

Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001 analizado por maritee.

http://es.wikipedia.org/wiki/Topolog%C3%ADa_de_red

http://es.wikipedia.org/wiki/Protocolo

http://es.wikipedia.org/wiki/Sistema_operativo



autor.

3.3.3.1 Imágenes en Medios de Almacenamiento

La presente invención se refiere a un dispositivo para la presentación visual de una imagen estereoscópica para presentar una imagen estereoscópica con paralaje en un medio de presentación, caracterizado porque comprende: un medio de almacenamiento de datos de imagen para almacenar los datos de imagen fuente en los cuales una pluralidad de imágenes se basan para producir una imagen plana que no tiene paralaje; un primer medio de almacenamiento temporal que se puede escribir/leer que incluye por lo menos un área de almacenamiento con puntos que corresponden al número de pixeles para una imagen del medio de presentación visual para almacenar temporalmente los primeros datos de imagen de presentación para presentar una primera imagen de presentación visual para la izquierda; un segundo medio de almacenamiento temporal que se puede escribir/leer que incluye por lo menos un área de almacenamiento con puntos que corresponden al número de pixeles para una imagen del medio de presentación visual para almacenar temporalmente los segundos datos de imagen de presentación para presentar una segunda imagen de presentación visual para la derecha; un medio de almacenamiento de información de paralaje para almacenar la información de paralaje para especificar una cantidad de desplazamiento de la primera y segunda imágenes de presentación en una dirección lateral entre sí; un medio de control de escritura para convertir los datos de imagen plana para una imagen en los datos de imagen fuente en primeros y segundos datos de imagen de presentación y escribir los primeros datos de imagen de presentación en el primer medio de almacenamiento temporal y escribir los segundos datos de imagen de presentación en el segundo medio de almacenamiento temporal con base a la información de la paralaje, de tal manera que la primera y segunda imágenes de presentación son desplazadas por el número de puntos que corresponden a la paralaje en la dirección lateral entre sí, cuando la primera y segunda imágenes de presentación son presentadas por el medio de presentación; un medio de control de lectura para leer los primeros o segundos datos de imagen de presentación almacenados temporalmente en el primero o segundo medios de almacenamiento temporal, cuando el medio de control de escritura no está realizando la operación de escritura para el primero o segundo medios de almacenamiento temporal; y un medio de suministro para suministrar primero y segundo datos de



autor.

imagen de presentación leídos por medio de control de lectura al medio de presentación.



autor.

3.3.3.2 Revisión de Bitácoras

Bitácora, del francés bitacle, es una especie de armario que se utiliza en la vida marítima. La bitácora se fija a la cubierta y cerca del timón, ya que allí se instala la aguja náutica que facilita la navegación.

En la antigüedad, la bitácora solía albergar un cuaderno (el cuaderno de bitácora) donde los navegantes relataban el desarrollo de sus viajes. Dicho cuaderno, al guardarse en la bitácora, era protegido de las tormentas y los avatares climáticos.

Con el tiempo, la noción de bitácora pasó a asociarse de manera casi exclusiva a la de cuaderno de bitácora (por ejemplo: “El avistaje de la isla fue narrado de forma detallada en la bitácora del capitán”) y se extendió a otros ámbitos.

Una bitácora es, en la actualidad, un cuaderno o publicación que permite llevar un registro escrito de diversas acciones. Su organización es cronológica, lo que facilita la revisión de los contenidos anotados. Los científicos suelen desarrollar bitácoras durante sus investigaciones para explicar el proceso y compartir sus experiencias con otros especialistas.

Las bitácoras consiguieron una gran fama a partir del desarrollo de los weblogs o blogs, que son bitácoras virtuales que se publican n. Los blogs recopilan información de todo tipo y pueden ser escritos por uno o más autores. Este tipo de bitácora suele aceptar la participación de los lectores a través de comentarios y opiniones.

El fotolog o flog, por otra parte, es un blog que se basa en la publicación de imágenes y comentarios de escasa extensión.



autor.

3.3.3.3.1 Tiempos de Modificación, Acceso y Creación Supongamos que ya tenemos montadas las imágenes del sistema comprometido en nuestra estación de trabajo independiente y con un sistema operativo anfitrión de confianza. El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello re-copile la siguiente información sobre los ficheros:

acceso, creación y borrado).

Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instala-ción del sistema operativo, por lo que un sistema que se instaló hace meses y que fue com-prometido recientemente presentará en los ficheros nuevos, inodos y fechas MAC muy distin-tas a las de los ficheros más antiguos. La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que ade-más se encuentren en rutas poco comunes. Piense que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se sue-le mirar, como por ejemplo en los directorios temporales.



autor.

A modo de guía céntrese primero en buscar los archivos de sistema modificados tras la instalación del sistema operativo, averigüe después la ubicación de los archivos ocultos y écheles un vistazo a ver dónde están y de qué tipo son, busque también los archivos borrados o fragmentos de éstos, pues pueden ser restos de logs y registros borrados por sus atacantes. Aquí cabe destacar nuevamente la importancia de realizar imágenes de los discos pues po-dremos acceder al espacio residual que hay detrás de cada archivo, (recordemos que los fiche-ros suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve. Piense que está buscando “una aguja en un pajar”, por lo que deberá ser metódico, vaya de lo general a lo particular, por ejemplo parta de los archivos borrados, intente recupe-rar su contenido, anote su fecha de borrado y cotéjela con la actividad del resto de los archi-vos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque. Sin perder de vista ese timestamp anterior, comience a examinar ahora con más detalle los ficheros logs y de registros que ya ojeó durante la búsqueda de indicios del ataque, intente buscar una correlación temporal entre eventos. Piense que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones específicas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modificación de usuarios, estado del sistema, etc. Por lo que tendremos que buscar nuevamente entradas anómalas y compararlas con la actividad de los ficheros. Edite también el archivo de contra-señas y busque la creación de usuarios y cuentas extrañas sobre la hora que considere se inició el compromiso del sistema.



autor.

3.3.3.4 Revisión de Procesos Revisión de todos los procesos encargados de producir resultados, entre ellos la captura de la información, los sistemas hardware de explotación, los recursos humanos de explotación y otros. 3.3.3.5 Herramientas y Técnicas del Análisis Forense.

Componentes del análisis forense

• Identificación de la evidencia: los investigadores deben conocer muy bien los formatos que tiene la información con el fin de saber cómo extraerla, dónde y cómo almacenarla y preservarla. • Preservación de la evidencia: es importante que no se generen cambios en la evidencia al analizarse, sin embargo en algunos casos donde deba presentarse esos cambios deben ser explicados ya que toda alteración debe ser registrada y justificada • Análisis de la evidencia: cada uno de los datos recopilados como prueba deben ser examinados por expertos en el tema. • Presentación: las metodologías que se utilicen para la presentación de los datos analizados deben ser serias, probadas y confiables.

Software de Libre Distribución y Open Source

Vamos a comenzar con una recopilación de herramientas que necesitan ser ejecutadas bajo un sistema operativo anfitrión, bien sea MS Windows o UNIX/Linux. The Forensic ToolKit

Se trata de una colección de herramientas forenses para plataformas Windows, creado por el equipo de Foundstone. Puede descargarlo desde www.foundstone.com, donde además encontrará gran cantidad de herramientas de seguridad. Este ToolKit le permitirá recopilar información sobre el ataque, y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd.exe.

The Sleuth Kit y Autopsy

Este conjunto, cuyo autor es Brian Carrier, consiste en una colección de herramientas forenses para entornos UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit (TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd. Pese a ser de libre distribución (puede descargarlo del sitio Web



autor.

www.sleuthkit.org) ofrece más detalle que algunos programas de pago. Incluye funciones como registro de casos separados e investigaciones múltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, genera la línea temporal de actividad de los archivos (timestamp), permite buscar datos dentro de las imágenes por palabras clave, permite crear notas del investigador e incluso genera informes. HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. F.I.R.E. Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso.



autor.

3.3.4 Herramientas para Obtener información de la Red Seguro que muchas veces, sobre todo los que nos dedicamos al mundo de la informática, nos hemos encontrado el caso de tener que efectuar alguna acción en una red local pero sin saber cuantas maquinas la componen ni que sistemas poseen estas maquinas y no disponer de mucho tiempo para averiguarlo. Para tener un informe rápido de las maquinas que integran una red les recomiendo la herramienta Kaboodle es gratis y se puede usar en Linux, Windows y FreeBSD. Además puede generar informes a través de VPN, también tiene VNC para administración remota y sistema para transferir ficheros. Es una herramienta muy aconsejable para administradores de sistemas.

3.3.5 Análisis de la Información y Resultados

Análisis de resultados cuando se hayan terminado de usar los métodos y herramientas seleccionados para el estudio, se tendrá información almacenada en cuadernos, archivos e índices organizada cronológicamente o por método usado, o ambos. Este apartado trata sobre los procesos que permiten analizar la información recopilada; verificar su confiabilidad mediante la triangulación; interpretar y comprender los resultados; y presentar y usar los resultados. Debido a que la documentación es uno de los resultados más importantes de un estudio de evaluación de la higiene se demuestra, en términos prácticos, cómo la investigación y el análisis se vinculan con la redacción de informes.

Existen cuatro etapas principales en el análisis e interpretación de la información cualitativa. Estos se tratan más detalladamente en varios textos, incluidos Patton (1986, 1990), Miles y Huberman (1994) y Silverman (1994). Aquí nos centraremos más en las tareas prácticas que en los temas teóricos. Análisis descriptivo

La descripción y análisis de la información cualitativa están estrechamente vinculados, de ahí la frase análisis descriptivo.



autor.

Este análisis incluye una descripción de la finalidad del estudio, la localidad y personas comprometidas, y sus generalidades usualmente se presentan en la introducción del informe.

El análisis descriptivo se centra en cómo, dónde y quién recolectó la información, lo cual implica revisar la información, identificar vínculos, patrones y temas comunes, ordenar los hechos y presentarlos como son, sin agregar ningún comentario sobre su importancia. En el informe, esto se presenta generalmente en la sección de Resultados.

El orden de los resultados puede ser cronológico, según la secuencia de observación de los hechos, o jerárquico, de acuerdo a la importancia de los temas. La introducción y la sección del análisis descriptivo (resultados) del informe deben responder las siguientes preguntas básicas:

La sección de la introducción

• ¿Dónde se realizó el estudio? ¿Cuáles son las condiciones físicas y climáticas?

• ¿Cuándo se realizó el estudio? ¿Por qué?

• ¿Cuáles fueron los objetivos y los resultados esperados del estudio?

• ¿Quién realizó el estudio? ¿Qué métodos y herramientas se usaron? ¿Por qué?

• ¿Cómo participaron las personas en el estudio?

¿Qué grupos étnicos, idiomas u otros grupos participaron? ¿Cómo se compara el nivel de participación logrado en su estudio con el carácter distintivo de la participación comunitaria?



autor.

Sección de resultados

Incluirá resultados en cuanto a:

• Método y herramienta de investigación usados; • Núcleo de prácticas de higiene; • Cualquier otro orden relevante.

Las respuestas a estas preguntas requieren un análisis y descripción rigurosos, pero no una interpretación. En el análisis descriptivo se debe incluir detalles suficientes para permitir que el lector vea qué pasos siguió en la investigación, cómo tomó decisiones metodológicas o cambios de dirección y por qué. Recuerde que los hechos tienen que presentarse de manera clara, coherente y completa antes de que puedan ser interpretados. Una característica muy importante del análisis es la verificación, seguida de la verificación cruzada de la información a fin de establecer la calidad y confiabilidad de los resultados.

Interpretación

La segunda etapa es determinar el significado de los resultados y cuán significativos son en su contexto específico. Las razones que motivan ciertas prácticas de higiene y la influencia de los factores socioculturales sobre ellas pueden analizarse con el aporte de las múltiples perspectivas del equipo de estudio. Tomando como base los resultados, también pueden explorarse temas más amplios que vinculen las prácticas de higiene con la salud.

A continuación se presentan algunas de las preguntas que deben ser respondidas por el equipo de estudio al interpretar los resultados del estudio:

• ¿Qué significan los resultados? • ¿Cómo surgieron los resultados? • ¿Cuáles son las posibles explicaciones de los resultados’? • ¿Se ha respondido a todos los por qué? ¿Algunos requieren investigación adicional?

Idealmente, la interpretación de los resultados debe reflejar los comentarios y sugerencias hechas por la población durante las sesiones de retroalimentación sobre el uso de métodos y herramientas analíticos y de investigación.



autor.

Esto ayudará a minimizar los prejuicios que pudieran influir en la interpretación de los resultados y asegurará que se tome en cuenta el contexto de la información.

Juicio

El análisis descriptivo y la interpretación de los resultados, en último término, permiten evaluar los resultados como positivos, negativos o ambos y determinar sus razones. Los valores del equipo de estudio y de las partes interesadas influyen en los resultados del estudio. Por ejemplo, los resultados pueden indicar qué es bueno, malo, aconsejable o indeseable respecto a cómo el proyecto ha promovido un mejor abastecimiento de agua, saneamiento, higiene y salud o cómo han respondido las personas a las intervenciones externas y por qué. En este sentido, las preguntas que deben responderse son:

• ¿Cuál es la importancia de los resultados para los diversos interesados en este entorno específico? • ¿para el proyecto? • ¿para la población estudiada? • ¿para los investigadores interesados en los vínculos entre determinadas prácticas de higiene y la salud?

Es importante lograr un equilibrio justo entre los aspectos positivos y negativos. Los resultados positivos deben recalcarse sin dejar de lado los negativos. De igual manera, los resultados negativos no sólo deben enumerarse, sino discutirse de modo que exploren posibles soluciones prácticas o remedios factibles.



autor.

3.3.6 Sistemas de Detección de Intrusos

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos en la Seguridad Informática.

En aquellas organizaciones donde la seguridad es altamente crítico el contar con personal de respuesta de incidentes es prácticamente una obligación (en estos ambientes un sistema de detección de intrusos instalado y configurado apropiadamente suele ser muy

http://es.wikipedia.org/wiki/Sniffer



autor.

valioso); algunas organizaciones donde este tipo de sistemas suelen ser más efectivos son:

Instituciones gubernamentales (principalmente aquellas relacionadas con seguridad pública)

Instituciones financieras Empresas que manejan gran cantidad de información

confidencial.



autor.

3.3.6.2 Tipos de Sistemas de Detección de Intrusos Básicamente existen dos tipos de detectores de Intrusos: IDSes basados en red Un IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el tráfico (como un HUB o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en máquina. IDSes basados en máquina Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado.



autor.

3.3.6.3 Nivel de Interacción de los Sistemas de Detección de Intrusos La interacción, permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. La correlación es una nueva característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.



autor.

3.4 RESPUESTA Y MANEJO DE INCIDENTES El manejo de incidentes su objetivo primordial es restablecer el servicio lo más rápido posible para evitar que el cliente se vea afectado, esto se hace con la finalidad de que se minimicen los efectos de la operación. El término incidente se refiere a un evento desfavorable en un sistema de información o una red o el riesgo de ocurrencia de tal evento. En algunos casos el incidente permanece sin corregirse por dos o más días, lo que provoca que se dé alta varias veces el mismo incidente.

3.4.1 RESPUESTA A INCIDENTES

Una respuesta a incidentes es una reacción acelerada a un problema. Con respecto a la seguridad de la información, un ejemplo seria las acciones del equipo de seguridad en contra de un hacker que ha penetrado un cortafuego y está actualmente husmeando el tráfico de la red. El incidente es la violación de la seguridad. La respuesta depende de cómo el equipo de seguridad reaccione, que acciones toman para reducir los datos y cuando restablecen los recursos, todo esto mientras intentan garantizar la integridad de los datos.

Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se afecta en prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el dado potencial causado por el sistema en peligro.

http://www.monografias.com/trabajos11/sercli/sercli.shtml



autor.

3.4.2 CREACIÓN DE UN EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA

"Creación de equipos de respuesta a incidentes de seguridad en computo", las redes de computadoras han revolucionado la forma en que se llevan a cabo los negocios, a la vez que han introducido riesgos potenciales. Los cambios en la manera en campo la sociedad hace uso de la tecnología trae consigo nuevas posibilidades de intrusión. En la mayoría de los casos, los administradores de las redes o sistemas no cuenta con la gente ni la experiencia para defenderse en contra de los ataques y reducir los datos. Las organizaciones pueden responder de diferentes formas como defensa en contra de las amenazas de seguridad en internet, ya sea manteniéndose con los últimos parches de los sistemas operativos y las actualizaciones los productos, instalar defensas perimetrales e internas como ruteadores, firewalls, scanner y sistemas detectores de intrusos, con nuevas políticas y procedimientos de seguridad, lanzando alertas de seguridad, capacitando a los empelados, clientes y miembros de la organización. Un csirt (computer security incident response team) es una organizaciã³n o equipo que provee servicios y soporte para prevenir, manejar y responder a los incidentes de seguridad computacional. En general: es un punto de contacto para el reporte de los problemas locales y de su rango de acción. Asiste a la organización y en general a la comunidad de cómputo en la prevención y manejo de incidentes de seguridad en computo. Comparte información y experiencias con el csirt/cc, otros equipos de respuesta y otros sitios y organizaciones adecuados. la creaciã³n de un csirt es uno de los pasos que las organizaciones pueden tomar para proveer una estrategia mas rápida de respuesta, para lo que habrá que identificar claramente las acciones y decisiones claves a considerarse para la planeación e implementación de este en la organización.



autor.

Para poder implementar exitosamente un csirt, la organización deben reunir la información necesaria para ello (tipo de problemas, puntos críticos, procesos, etc.), identificar el rango de acción y los servicios que proporcionaría, la forma en que se estructurara, los equipos e infraestructura, obtener recursos (incluyendo personal, experiencia y financiamiento), autoridades, entre otras cosas mas, basando sus acciones en una vision global de los requerimientos de su organización y en la mision que tiene la creacion de este equipo. Se puede aprender de la experiencia de otros csirt, como lo son: mxcert, singcert, cancert, cert nask, etc. cada equipo determina: el rango de servicios que proporcionaría: horarios, políticas, modo de operación, prioridades, herramientas y equipo, responsables, etc. El nivel de soporte que daría a cada uno de los servicios: asignación de recursos, extensión y profundidad del servicio proporcionado, etc., el plan de creacion de un csirt, también tiene que ser retroalimentado por otros expertos de seguridad, otros csirt, proveedores de servicios de internet y otros grupos de la misma organización. Puede pensarse incluso, en modelos alternativos de csirt, los que pueden atender aspectos muy específicos de seguridad, pueden ser equipos locales, virtuales, centralizados, combinados, etc. los que pueden evolucionar de acuerdo a los cambios y necesidades que vayan surgiendo y que se vayan evaluado, ya sea a corto o largo plazo.



autor.

Unidad IV

Entorno social e impacto económico de la seguridad informática

4.1 LEGISLACIÓN MEXICANA La legislación es un conjunto de leyes por las cuales se gobierna un estado o una materia determinada.

La palabra legislación puede referirse a una variedad de normas jurídicas cuyo rasgo común es que regulan las relaciones de ciertas personas que tienen en común la pertenencia a un territorio o sociedad.

Por lo general, los estatutos son una forma de derecho propio. El Derecho surge como un medio efectivo para regular la conducta del hombre en sociedad. Pero la sociedad no es la misma en cada uno de los lugares del planeta ni es la misma en cada momento de la historia. El Derecho regula la conducta y los fenómenos sociales a través de leyes. El proceso de creación de las leyes es largo y lento, sobre todo en el Sistema Jurídico Latino. En los últimos años, las Tecnologías de la Información y la Comunicación han revolucionado la vida social en numerosos aspectos: científicos, comerciales, laborales, profesionales, escolares, etc. La tecnología avanza a una velocidad vertiginosa y el Derecho, en especial, el Derecho mexicano, se ha quedado con mucho rezagado en la regulación de una materia que lo ha rebasado.

http://es.wikipedia.org/wiki/Norma_jur%C3%ADdica

http://es.wikipedia.org/wiki/Norma_jur%C3%ADdica

http://es.wikipedia.org/wiki/Sociedad

http://es.wikipedia.org/wiki/Derecho_propio



autor.

4.1.1 ACCESO ILÍCITO A SISTEMAS

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

Las penas previstas en este articulo se incrementaran en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.

4.1.2. CÓDIGO PENAL

Un código penal es un conjunto unitario y sistematizado de las normas jurídicas punitivas de un Estado, es decir, un compendio ordenado de la legislación aplicable en materia penal, que busca la eliminación de redundancias, la ausencia de lagunas y la universalidad: esto es, que no existan normas penales vigentes fuera del compendio.

El primer código penal que recogió los requisitos que, a partir de la Ilustración, fueron estableciéndose sobre la forma de un cuerpo legislativo moderno, fue el Código Penal francés, de la época napoleónica (por ello también es denominado Código penal napoleónico), promulgado con la finalidad de dar coherencia a un sistema jurídico casi indescifrable por la multitud de normas dispersas que existían.

La idea jurídica de la existencia de códigos es típicamente burguesa y liberalista, dado que favorece los intercambios comerciales y de seguridad jurídica. Además, en el caso del Código penal, permite a los ciudadanos un mayor conocimiento de los delitos, y no ser enjuiciados por actos delictivos que podrían desconocer.

http://es.wikipedia.org/wiki/Norma

http://es.wikipedia.org/wiki/Estado

http://es.wikipedia.org/wiki/Legislaci%C3%B3n

http://es.wikipedia.org/wiki/Derecho_penal

http://es.wikipedia.org/wiki/Ilustraci%C3%B3n

http://es.wikipedia.org/w/index.php?title=C%C3%B3digo_Penal_franc%C3%A9s&action=edit&redlink=1

http://es.wikipedia.org/wiki/Napole%C3%B3n

http://es.wikipedia.org/wiki/Burgues%C3%ADa

http://es.wikipedia.org/wiki/Liberalismo

http://es.wikipedia.org/wiki/Seguridad_jur%C3%ADdica



autor.

4.1.3 DERECHOS DE AUTOR

Es la facultad exclusiva que tiene el creador intelectual para explotar temporalmente, por sí o por terceros, las obras de su autoría (facultades de orden patrimonial), y en la de ser reconocido siempre como autor de tales obras (facultades de orden moral), con todas las prerrogativas inherentes a dicho reconocimiento.

El derecho de autor se basa en la idea de un derecho personal del autor, fundado en una forma de identidad entre el autor y su creación.

El derecho moral está constituido como emanación de la persona del autor: reconoce que la obra es expresión de la persona del autor y así se le protege.

La protección del copyright se limita estrictamente a la obra, sin considerar atributos morales del autor en relación con su obra, excepto la paternidad; no lo considera como un autor propiamente tal, pero tiene derechos que determinan las modalidades de utilización de una obra.

http://es.wikipedia.org/wiki/Autor



autor.

4.1.4 ACTUALIDAD DE LA LEGISLACIÓN SOBRE DELITOS INFORMÁTICOS

En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz para obtener y conseguir información, lo que las ubica también como un nuevo medio de comunicación, y condiciona su desarrollo de la informática; tecnología cuya esencia se resume en la creación, procesamiento, almacenamiento y transmisión de datos.

La informática esta hoy presente en casi todos los campos de la vida moderna.

Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos, y comienzan a utilizar los sistemas de Información para ejecutar tareas que en otros tiempos realizaban manualmente.

En la actualidad la informatización se ha implantado en casi todos los países.

Tanto en la organización y administración de empresas y administraciones públicas como en la investigación científica, en la producción industrial o en el estudio e incluso en el ocio, el uso de la informática es en ocasiones indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta comienzan a surgir algunas facetas negativas, como por ejemplo, lo que ya se conoce como "criminalidad informática".



autor.

4.2 LEY MODELO (CNUDMI)

La CNUDMI, mejor conocida por sus siglas en inglés UNCITRAL1 es el órgano jurídico central del sistema de la Organización de las Naciones Unidas (ONU) en el ámbito del derecho mercantil internacional. Desde su fundación en 1966, esta Comisión ha desempeñado un papel de suma relevancia en el apoyo que brinda la ONU al comercio internacional y es considerada como uno de los instrumentos más importantes para el desarrollo de la economía mundial. La Asamblea General de la ONU le encomendó la labor de fomentar la armonización y unificación progresivas del derecho mercantil internacional, por lo que como parte de sus funciones se encuentra la elaboración de convenciones internacionales y leyes modelo, de entre las que se encuentran: la Convención sobre los Contratos de Compraventa Internacional de Mercaderías (Convención de Viena), la Ley Modelo de la CNUDMI sobre la Insolvencia Transfronteriza, la Convención de las Naciones Unidas sobre el Reconocimiento y Ejecución de las Sentencias Arbitrales Extranjeras (Convención de Nueva York), la Convención sobre Letras de Cambio Internacionales y Pagarés Internacionales y la Ley Modelo sobre Arbitraje Comercial Internacional (Ley Modelo de arbitraje).



autor.

Unidad V

Nuevas tendencias y tecnologías

5.1 CULTURA DE LA SEGURIDAD INFORMÁTICA

Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.

Si los usuarios de su red conocen cómo actuar ante situaciones de riesgo, se evitarán en gran medida los errores cometidos por la falta de información, minimizando al máximo las posibles pérdidas. Lo primero es establecer unas normas básicas a seguir por los usuarios (Políticas de comportamiento seguro) y plantear un plan de formación de los mismos.



autor.

Las Políticas de comportamiento seguro sirven para establecer una normativa que defina cómo actuar ante determinadas situaciones de riesgo. Por ejemplo, entre ellas estarían las siguientes:

Si se reciben ficheros no solicitados o de origen desconocido, hay que rechazarlos por muy interesantes que parezcan, ya que pueden contener virus.

Al recibir un nuevo mensaje de correo electrónico, se deben analizar siempre con el antivirus antes de abrirlo, aunque se conozca al remitente.

Evitar la descarga de programas desde lugares no seguros de Internet y procurar confirmar que están avalados por un organismo público, editoriales o una empresa antivirus.

Poner la máxima precaución si se observa que en el ordenador se llevan a cabo acciones sospechosas (aumento de tamaño de los ficheros, aparición de avisos de Windows no habituales, recepción de correos de personas desconocidas o en idiomas no utilizados habitualmente, etc.).

Muchas veces, son las personas y no las tecnologías, quienes presentan el punto débil en la seguridad de una compañía.

México se ubica en el lugar 15 como generador de ciberataques.

En tanto, el país que genera y recibe mayor cantidad de ataques en América es Estados Unidos. Le siguen Corea del Sur, China, Alemania, Francia, Taiwan, Canadá, Italia, Gran Bretaña y Japón.

En México la situación es preocupante. Actualmente nuestro país pasó del cuarto al tercer lugar en recibir ataques cibernéticos, según Symantec, corporativo dedicado a la seguridad informática. Y principalmente por los virus de tipo Worm.

Especialistas reconocen que México está rezagado en materia de seguridad informática y en plena desventaja mundial, sus programas de difusión, capacitación y fomento de la cultura de seguridad informática son deficientes.



autor.

En parte, esta situación se debe a que las instituciones de nivel superior no han abordado el problema. Deberían crearse licenciaturas especializadas en seguridad de la información, incluso en áreas como Derecho, pues no contamos con las suficientes leyes para sancionar el mal uso de recursos informáticos.

A diferencia de la delincuencia habitual, los crímenes cibernéticos pueden ser ejecutados desde la comodidad de la casa, la oficina o desde un café internet, pues los hackers usan el correo electrónico (phishing), los sitios web falsos (phar-ming) y los chats o messengers para obtener información confidencial.

También mandan un mail al usuario con el pretexto de advertir sobre problemas con su cuenta bancaria, clonación de tarjeta, premios, actualización de datos o cambio de políticas de seguridad.

Según un informe elaborado por AOL y la Alianza Nacional para la Seguridad Cibernética, uno de cada cuatro internautas está expuesto a amenazas, por ejemplo, mensajes electrónicos falsos, que tratan de robar información personal. Y los que navegan por el ciberespacio, de acuerdo con los expertos, no están preparados para afrontar tales engaños.

El estudio señala que 70 por ciento de los usuarios no sospechaba que estos correos eran falsos y que procedían de fuentes ilegítimas. Por ello, el usuario ingenuamente, introduce sus datos personales, hace clic en la liga del correo y se le transfiere a un sitio web falso al mismo tiempo que se envían sus datos confidenciales al hacker.

La gente que labora en las grandes compañías tiene poco cuidado al elegir el lugar para guardar passwords y tira libretas o apuntes confidenciales en la basura. Otro riesgo es revelar datos privados durante las conversaciones telefónicas que se realizan en lugares públicos.

Hoy en día las empresas deben enfocar su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se puedan traducir en pérdidas cuantiosas de dinero.

El usuario debe tener cuidado de no dar acceder a sitios que considere poco fiables y no bajar programas piratas o de fuentes no confiables, pues a pesar de que son más económicos pudiera ser víctima de un fraude.



autor.

Así como optar por sistemas operativos que han sido configurados para redes como UNIX. También se deben mantener las mejores prácticas de seguridad, algunas muy sencillas como no compartir el password.

El interés por la cultura de la seguridad cibernética ha hecho que surjan organismos encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias como el Computer Emergency Response Team Coordination Center, un centro de alertas y reacción frente a los ataques informáticos, destinados a las empresas y administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

Además, ya se pueden encontrar en la Red, sitios destinados a proporcionar información sobre la seguridad cibernética. Uno de ellos, es BlogAntivirus, un espacio de información sobre Seguridad Informática, en el cual se abordan temas como Virus, Troyanos, Espías, Spam, Pishing, y de todas las herramientas que pueden ayudar a evitar estos ataques: antivirus, antiespias, cortafuegos, antispam.

Sin duda, la seguridad informática es un tema complejo que requiere de estrategias que alerten y garanticen la protección de la información contenida en los ordenadores, así como de soluciones eficaces que satisfagan los problemas informáticos actuales y prevean los futuros.



autor.

5.2 NUEVAS TECNOLOGÍAS DE PROTECCIÓN En la actualidad, las empresas presentes en Internet y empiezan a introducirse en el ámbito de las Nuevas Tecnologías y la protección de datos, deben tener en cuenta los nuevos problemas jurídicos y técnicos los cuales plantean estos nuevos medios. Debido a la gran importancia que ha obtenido el internet en nuestros días y debido a los conflictos de intereses que se suscitan, es importante proteger los derechos mediante la aplicación de estrategias para hacer valer y defender las innovaciones tecnológicas y en línea.

Actualmente en rama del derecho se encuentran:

Protección de programas de cómputo

Registro y protección de nombres de dominio

Representación en controversias por nombres de dominio

Redacción de contratos para uso en Internet

Asesoría en comercio electrónico

Redacción de avisos legales para sitios web

Protección de contenidos de sitios web, etc.

Parte de un exitoso desarrollo de las empresas se deriva tanto del concepto de creatividad, como de inventiva, es por lo anterior que las empresas independientemente de su tamaño, busquen la protección de su imagen, de su nombre, o de sus procesos derivados de una actividad inventiva, para tener mayor penetración en un mercado cada vez más competido.

La entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD- hace que surjan una serie de obligaciones para las empresas que posean datos de carácter personal.



autor.

En este sentido, “Legaldata, Protección de Datos y Servicios Jurídicos de las T.I.C.” proporciona asesoramiento jurídico, en todo el territorio nacional, a las empresas que manejan datos de carácter personal, en las siguientes materias: Realización de Informes de adecuación a la legislación

vigente en materia de Protección de Datos de Carácter Personal.

Clasificación de ficheros según su contenido y finalidad así

como inscripción y actualización de tales ficheros en el Registro General de Protección de Datos.

Mediación y representación del cliente ante la Agencia de

Protección de datos, gestionando altas, modificaciones o cancelaciones de ficheros así como la defensa del cliente en caso de apertura de expedientes.

Redacción y actualización de los documentos de seguridad y

planificación de los procedimientos y prácticas en la actividad del cliente al objeto de evitar lar responsabilidades derivadas del incumplimiento de la legislación vigente en materia de Protección de Datos de Carácter Personal.

Elaboración de cláusulas informativas de Protección de Datos.

Gestión de las reclamaciones de los derechos de los

afectados. Revisión del grado de cumplimiento de la legislación vigente

en materia de Protección de Datos de Carácter Personal. Seguridad Pública y Derecho Penal.



autor.

5.3 TENDENCIAS EN ATAQUES Y NUEVOS PROBLEMAS DE

SEGURIDAD 5.3.1 SPAM Se llama SPAM a la práctica de enviar indiscriminadamente mensajes de correo electrónico no solicitados. Generalmente, se trata de publicidad de productos, servicios o de páginas web. Los que envían SPAM suelen comprar o generar una lista de direcciones de correo electrónico, y envían mensajes desde muchas cuentas diferentes de toda la red. Además, suelen "falsificar" los mensajes para ocultar quién los envía de verdad.

Todos aquellos que tenemos una dirección de correo electrónico recibimos a diario varios mensajes publicitarios que no solicitamos sobre cosas que no nos interesan.

Actualmente, se calcula que entre el 60 y el 80% de los mails (varios miles de millones de mails por día) que se envían son no solicitados, o sea, SPAM. El SPAM es perjudicial para todos, hasta para la empresa que lo envía.

Por lo general, las direcciones son robadas, compradas, recolectadas en la web o tomadas de cadenas de mail. Yo mismo recibo cada día dos o tres ofertas de bases de datos con millones de direcciones de email por unos pocos dólares.

Spam entonces es la palabra que se utiliza para calificar el correo no solicitado enviado por Internet.

La mayor razón para ser indeseable es que la mayoría de las personas conectadas a la Internet no goza de una conexión que no les cueste, y adicionalmente reciben un cobro por uso del buzón. Por lo tanto el envío indiscriminado de este tipo de correo ocasiona costos al lector.

Las personas que envían SPAM generalmente compran o generan una lista de direcciones de e-mail a los cuales les envían los mensajes. El origen de estos mensajes tienden a ser "falsificados," para ocultar quién realmente las envió.



autor.

Spammer

Es aquel que usa direcciones de destinatarios desconocidos para el envío de mensajes no solicitados en gran número. Hay tres tipos de spammers: Spam User: Es aquel spammer que usa direcciones de destinatarios desconocidos para divulgar sus productos y servicios.

E-mail Deales: Es aquel spammer que vende listas de direcciones de email sin autorización de sus propietarios.

Spam Dealer: Es aquel spammer que usa sus listas de direcciones y vende servicios de spam a un spam user.

Hay que tener presente que los autores del SPAM cuentan con herramientas muy sofisticadas para recolectar direcciones E-mail válidas, entre ellas podemos citar los programas webspiders que permiten rastrear páginas web, news y otros recursos de Internet. Por lo tanto:

Sólo hay que dar nuestra dirección E-mail a nuestros amigos y conocidos.

No publicar nuestra dirección E-mail en las News o en páginas web.

No rellenar formularios en los que se soliciten nuestros datos personales.

Nunca hay que contestar a un mensaje de SPAM ya que en muchos casos la dirección del remitente será falsa y nos devolverán el mensaje y si no es falsa servirá a la empresa de publicidad para saber que nuestra dirección E-mail es correcta.

Los programas de correo suelen incluir sistemas de filtrado de mensajes que pueden ser útiles para evitar el SPAM. Es la solución de andar por casa para tener un programa anti-SPAM sin gastar dinero.



autor.

5.3.2 MALWARE

Malware (también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware.

Programa maligno. Cualquier programa creado con intenciones de molestar, dañar o sacar provecho en las computadoras infectadas.

En general, es fácil determinar si un programa es (o contiene) un malware: sus actividades son ocultas y no son anunciadas al usuario. Pero existen casos en que la distinción no es clara, provocando hasta demandas por parte de los desarrolladores de estos programas a los antivirus y antiespías que los detectan como malignos.

Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado.

Sin embargo la expresión "virus informático" es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware.

Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red.

Existen varios factores que hacen a un sistema más vulnerable:

Código sin confirmar - Un código en un diskette, en CD-ROM o USB, se puede ejecutar por la irresponsabilidad o ignorancia del usuario.

Defectos - La mayoría de los sistemas contienen errores que se pueden aprovechar por el malware, mientras no se ponga el parche correspondiente.

Homogeneidad - Cuando todas las computadoras en una red funcionan con el mismo sistema operativo, sí pueden corromper ese SO, podrán afectar cualquier computadora en el que funcione.



autor.

Sobre-privilegios del código - La mayoría de los sistemas operativos permiten que el código sea ejecutado por un usuario con todos los derechos.

Sobre-privilegios del usuario - Algunos sistemas permiten que todos los usuarios modifiquen sus estructuras internas.

Bugs

La mayoría de los sistemas contienen bugs (errores) que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de la que le caben, sobre escribiendo áreas anexas. Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código.

Clasificación

Existen muchísimos tipos de malware, aunque algunos de los más comunes son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware o incluso ciertos bots.

Dos tipos comunes de malware son los virus y los gusanos informáticos, este tipo de programas tienen en común la capacidad para auto replicarse, es decir, pueden contaminar con copias de sí mismos y en algunas ocasiones mutando, la diferencia entre un gusano y un virus informático radica en la forma de propagación, un gusano opera a través de una red, mientras que un virus lo hace a través de ficheros a los que se añade.

Los virus informáticos utilizan una variedad de portadores.

Los blancos comunes son los archivos ejecutables que son parte de las aplicaciones, los documentos que contienen macros (Virus de macro), y los sectores de arranque de los discos de 3 1/2 pulgadas y discos duros (Virus de boot, o de arranque). En el caso de los archivos ejecutables, la rutina de infección se produce cuando el código infectado es ejecutado, ejecutando al primero el código del virus.

Normalmente la aplicación infectada funciona correctamente. Algunos virus sobrescriben otros programas con copias de ellos mismos, el contagio entre computadoras se efectúa cuando el software o el documento infectado van de una computadora a otra y es ejecutado.



autor.

Cuando un software produce pérdidas económicas en el usuario del equipo, también se clasifica como software criminal o Crimeware,3 término dado por Peter Cassidy, para diferenciarlo de los otros tipos de software malignos, en que estos programas son encaminados al aspecto financiero, la suplantación de personalidad y el espionaje, al identificar las pulsaciones en el teclado o los movimientos del ratón o creando falsas páginas de bancos o empresas de contratación y empleo para con ello conseguir el número de cuenta e identificaciones, registros oficiales y datos personales con el objetivo de hacer fraudes o mal uso de la información.

También es utilizando la llamada Ingeniería social, que consiste en conseguir la información confidencial del propio usuario mediante engaños, como por ejemplo, mediante un correo en donde mediante engaños se solicita al usuario enviar información privada o entrar a una página falsificada de Internet para hacerlo.

Métodos de protección

Usar sistemas operativos más seguros, mejores y efectivos que windows como GNU/Linux, Mac OS o FreeBSD.

Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo, solo utilizar la cuenta de administrador cuándo se deba cambiar una configuración o instalar un software de confianza. De todas maneras, se debe ser cauteloso con lo que se ejecuta.

Cada vez que se transfiera un archivo desde o hacia Internet se debe tener la precaución de revisarlo contra virus, crimeware o malwares, pero lo más importante saber de dónde proviene.

Se debe comprobar todos y cada uno de los medios magnéticos (Diskettes, ya en desuso), soportes ópticos (CDS, DVD, Blu-ray) o tarjetas de memoria (SD, MMC, XD, compact Flash), que se introduzcan en el ordenador.

Comprobar los archivos comprimidos (ZIP, RAR, ACE, CAB, 7z..).

Hacer copias de respaldo de programas y documentos importantes, pueden ser guardados en un Pendrive, CD, DVD, entre otros medios externos.

No instalar programas de dudoso origen.

http://es.wikipedia.org/wiki/Malware#cite_note-2



autor.

Evitar navegar por sitios potencialmente dañinos buscando cosas como "pornografía", "programas gratis", "mp3 gratis", claves, licencias o cracks para los programas comerciales.

Evita descargar programas, archivos comprimidos o ejecutables, desde redes peer-to-peer ya que no se sabe el real contenido de la descarga.

Crear una contraseña de alta seguridad. Mantener las actualizaciones automáticas activadas, como por

ejemplo el Windows Update. Tener un programa antivirus y un firewall (también llamados

cortafuegos) instalados en el ordenador, un anti-espías como SpywareBlaster, Spybot - Search & Destroy, y un filtrador de IP' maliciosas como el PeerGuardian que eventualmente también frena troyanos.

También es importante tener actualizados estos programas ya que cada día aparecen nuevas amenazas.

Desactivar la interpretación de Visual Basic VBS y permitir JavaScript JS, ActiveX y cookies sólo en páginas web de confianza.

Seguir las políticas de seguridad en cómputo.



autor.

5.3.3 EXPLOITS DE DÍAS CERO El término "Zero day" (o "día 0"), se aplica en este caso a un exploit hecho público para una vulnerabilidad de la que aún no existe un parche, generalmente el mismo día de haber sido descubierta.

Un ataque o amenaza de día-cero (o también hora-cero) es un ataque contra un ordenador, a partir del cual se intentan explotar determinadas vulnerabilidades de algún programa o programas que corren bajo el mismo.

Normalmente estas vulnerabilidades son desconocidas, no están publicadas o no existe un parche que las solvente. El término día cero se utiliza también para describir virus desconocidos o virus de día-cero.

Los exploits de día 0 se liberan antes de que el vendedor del parche lo libere públicamente. Este tipo de exploits circulan generalmente entre las filas de los potenciales atacantes hasta que finalmente son liberados en foros públicos. Un exploit de día-cero normalmente es desconocido para la gente y el vendedor del producto.

Ventana de vulnerabilidad

Los ataques día-cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches que los solucionan. Normalmente estos parches los preparan los propios responsables del programa "defectuoso" en cuestión (sobre todo con los programas de pago).

La línea de tiempo que se emplea para los virus y troyanos, entre otros es la siguiente:

Publicación del ataque o exploit al mundo Detección y estudio del problema Desarrollo de una solución al mismo Publicación del parche, (o firma del virus si procede), para

evitar el exploit. Distribución e instalación del parche en los sistemas de los

usuarios y actualización de los antivirus. Este proceso puede durar horas o, incluso, días. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad.



autor.

5.3.4 METASPLOITS El Proyecto Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son las bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.

Metasploit proporciona información útil para las personas que realizan pruebas de penetración, el desarrollo de la firma IDS, y explotar la investigación

Este proyecto fue creado para proporcionar información sobre las técnicas de explotación y de crear un recurso útil para explotar a los desarrolladores y profesionales de la seguridad. Las herramientas y la información en este sitio se proporcionan para la investigación en seguridad jurídica y propósitos de prueba. Metasploit es un proyecto gestionado por la comunidad por Metasploit LLC.



autor.

5.3.5 OTROS

Las tendencias de ataque de los códigos maliciosos se concentraron fundamentalmente en las redes sociales y plataformas 2.0 como Twitter y Slideshare.

Gusano Koobface: se expandió a través de la red social microblogging utilizando una técnica de ingeniería social relacionada con los videos de los usuarios. Además el sitio recibió ataques de denegación de servicios posiblemente asociado a la proliferación del gusano Koobface.

Presentaciones Slideshare: para propagar malware a través de la creación de falsas diapositivas que contenían enlaces maliciosos.

Mayor cantidad de abuso de servidores ajenos y vulnerables a través de herramientas automáticas (bot): para encontrar estos servidores e instalar scripts, que permitan vulnerar sistemas no actualizados de usuarios y empresas, infectándolos.

Mayor movilidad del malware destinado a servidores vulnerables e incremento en la cantidad de variantes de cada malware: Esto tiene como objetivo lograr menores índices de detección por parte de las herramientas antivirus.

Registro y aparición de dominios creados para propagar malware utilizando técnicas de posicionamiento en buscadores: (SEO). En este sentido el rogue actual ha demostrado ser muy efectivo en su propagación.

Mayor disponibilidad de herramientas públicas y/o comerciales para realizar los ataques mencionados: Estas herramientas son desarrolladas por grupos que proveen servicios ilegales de este estilo.

Con este tipo de movilidad en Internet cada componente dañino posee un rol dinámico y activo, buscando maximizar la posibilidad de infección ya sea a través de scripts, de vulnerabilidades encontradas o a través de las miles de variantes de cada malware en particular que aparecen diariamente.



autor.

Al igual que en el caso de Twitter, se continúa advirtiendo el uso de técnicas de Ingeniería Social para captar la atención de los usuarios, por lo que es fundamental prestar especial atención a la hora de abrir enlaces dentro de sitios web poco confiables o en los cuales otros usuarios pueden ser generadores de contenidos.

El código malicioso está haciendo uso de una de sus características más comunes que es la reproducción y lo hace a través de sitios con gran cantidad de visitas como son las redes sociales es por eso que debemos estar alertas a este tipo de riesgos controlando el acceso a estas páginas y no descargando ningún tipo de aplicación ni accediendo a links que no sean de confianza y conjuntamente a una solución de antivirus efectiva estaremos mitigando en gran parte que tengamos un incidente de seguridad por este tipo de riesgos.



autor.

Documents

Antología Seguridad Informatica II