prev
next
out of 12

INFORME TECNICO ma Cliente Servidor

Embed Size (px)

Citation preview

INFORME TCNICO PLATAFORMA CLIENTE/SERVIDOR DIRECTORIO ACTIVO

Lic. Yetzina Dvila Evaluador de Seguridad Tecnolgica

Divisin de Investigaciones y Seguridad de Datos / Departamento de Seguridad de Datos

CONTENIDO

Fecha:

INFORME

15-07-2008

1. Introduccin 2. Conocimiento General de la Plataforma 3. Debilidades 4. Valor de Criticidad del Activo 5. Ponderacin de Vulnerabilidad 6. Fortalezas 7. Amenazas8. 9.

Matriz de Riesgo Conclusiones y Recomendaciones

2

FECHA:

INFORME

16-07-2008

1.- INTRODUCCIN: Siguiendo instrucciones de la Gerencia del Dpto. de Seguridad de Datos. Lic. Liliana Serrano, se elabora el presente informe tcnico, el cual est orientado a exponer la situacin actual de la Plataforma Cliente / Servidor, especficamente del Directorio Activo, tomando en cuenta para ello sus fortalezas, vulnerabilidades, amenazas y riesgos. 2.- CONOCIMIENTO GENERAL DE LA PLATAFORMA: El Directorio Activo es un servicio de red que almacena informacin acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red. Un directorio activo se puede definir como una estructura jerrquica y esta estructura se suele dividir en tres categoras principales, los recursos que pueden incluir hardware, como impresoras, servicios para los usuarios finales, tales como servidores de correo Web y los objetos que son las principales funciones del dominio y de la red. En general, Active Directory (AD) es el trmino utilizado por Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores. Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos, y polticas de acceso, en este caso a los recursos del Banco Industrial de Venezuela. El Directorio Activo posee los siguientes componentes:

Dominio: Objeto raz que actualmente se est administrando. Usuarios: Representan un usuarios de la red.

3

FECHA:

INFORME

16-07-2008

Computadores: Representa los equipos integrados al dominio. Impresoras: Representa las impresoras disponibles en el dominio. Grupos: Objeto contenedor que representa una agrupacin de usuarios. .

3.- VULNERABILIDADES: CUALITATIVAS

Falta de un Estndar en la creacin de los usuario, especficamente en los diferentes campos que son utilizados para almacenar la informacin de los referidos usuarios y en algunos casos la omisin de los mismos. Esto dificulta la capacidad que debe tener el Directorio Activo para proporcionar informacin de los usuarios. Ejemplo de esto, se aprecia en las siguientes pantallas:

4

FECHA:

INFORME

16-07-2008

5

FECHA:

INFORME

16-07-2008

Falta de una depuracin del Directorio Activo y actualizacin de la data, ya que existen usuarios que se encuentran activos siendo personal egresado y otros cuya informacin se encuentra totalmente desactualizada tales como: rea de Adscripcin, Departamento, Telfono, Fecha de desactivacin, etc. Adicionalmente, existen usuarios con la nomenclatura de contratados, siendo personal fijo de la institucin, los cuales no han sido estandarizados.

Existe segmentacin de los grupos para otorgar acceso a Internet, sin tener ningn valor agregado, slo funcionan para la clasificacin de los usuarios con este acceso.

6

FECHA:

INFORME

16-07-2008

La creacin de forma errada de los usuarios corrompe la Base de Datos del Directorio Activo.

El acceso a los recursos compartidos est mal organizado, ya que existen usuarios que pueden ingresar a diferentes carpetas cuando debera ser a una o varias en especfico. Esto indica que existen accesos indebidos en relacin a estos recursos.

Falta de normativa para la creacin de los grupos en el Directorio Activo.

CUANTITATIVAS

Falta de una estructuracin del contenedor USER creado para los usuarios de la institucin en condicin de empleados fijos. Esto impide facilitar la

7

FECHA:

INFORME

16-07-2008

organizacin de dichos usuarios, para su fcil recuperacin, acceso y posterior consulta.

Por falta de espacio de almacenamiento en los servidores, no se encuentra activo el Log de Auditoria de Seguridad, donde deberan estar registradas todas las operaciones realizadas por los usuarios en el directorio activo, que permita en caso de sospecha de falla en la seguridad, que este archivo pueda ser consultado para conocer los daos causados y/o identificar a los responsables de las operaciones irregulares.

4.- VALOR DE CRITICIDAD DEL ACTIVO Factor de Criticidad Crtico Alto Medio Bajo Disponibilidad (D) Confidencialidad (C) Integridad (I) Ponderacin Criticidad (D,C,I) / 3 2 2 2

6/3= 2

De acuerdo al resultado obtenido en la Ponderacin de Criticidad del Activo se puede observar, que el Directorio Activo tiene Asignacin de Criticidad MEDIO. 5.- PONDERACIN DE VULNERABILIDAD Vulnerabilidad Falla en la definicin del Acceso de usuarios Falta de Log De Seguridad Falta de Estndar en la Creacin X X Critica (4) Alta (3) Media (2) X (Valores de Criticidad) / Nro Vulnerabilidades Baja (1) Ponderacin de Vulnerabilidad

8

FECHA:

INFORMEde Usuarios Falta de Estructuracin de del los X X X X

16-07-2008

(2+4+4+3+2+2+4+4) / 8 = 3,125 3

Contenedor USER Falta de depuracin

Contenedores Falta de Actualizacin de la Data Accesos a los Recursos la X Compartidos mal organizado Falta de Normativa para Creacin de Grupos 6.- FORTALEZAS:

El Directorio Activo proporciona una primera etapa de validacin para el acceso a las diferentes aplicaciones del Banco Industrial de Venezuela.

Se puede restringir el acceso a los empleados a los recursos informticos del BIV, as como tambin, controlar, regular y parametrizar los mismos.

Existe una estructuracin de los objetos del directorio (rbol Jerrquico), permitiendo al administrador del dominio una gestin ms lgica de usuarios, grupos, equipos, etc., pero tambin le permite a cualquier usuario una bsqueda de los objetos ms sencilla cuando explora el directorio buscando recursos (por ejemplo, se podra localizar fcilmente las impresoras compartidas de la Torre Las Delicias).

9

FECHA:

INFORME

16-07-2008

7.- AMENAZAS:

Al no deshabilitar de forma oportuna a los usuarios se corre el riesgo de que un usuario pueda atentar en contra de los activos informticos del BIV, en vista de que este recurso proporciona acceso a la red del BIV.

Al no tener bien estructurado los accesos a los recursos compartidos, existe la posibilidad de que algn usuario tenga permisologa a ciertas carpetas de forma no autorizada, incumpliendo as con las polticas y normas en materia de perfiles de acceso y dando lugar a que esta situacin pueda ser aprovechada por los usuarios para realizar atentados intencionales, tales como borrado de data.

10

FECHA:

INFORME

16-07-2008

La falta de informacin actualizada podra generar errores mayores, tal como otorgar otros accesos de manera indebida.

8.- MATRIZ DE RIESGO Amenazas/ Vulnerabilidades Falta de Logs de Auditoria No es Posible establecer Responsabilidades y Acceso Indebido a los tomar acciones legales Recursos del BIV Falta de estructuracin en los Recursos CompartidosDestruccin, daos o de modificaciones alteren el que correcto

funcionamiento de algn sistema o que a travs de su uso indebido, se produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno.

9.- CONCLUSIONES Y RECOMENDACIONES: Se debe realizar un plan de trabajo que permita subsanar las debilidades encontradas en el Directorio Activo. Para ello se recomienda tomar en cuenta las siguientes sugerencias: Realizar una depuracin de los usuarios que existen en el directorio activo, de manera de bloquear a aquellos usuarios que pudiesen encontrarse activos siendo personal desincorporado.

Actualizar la data de los usuarios y estandarizar aquellos que lo requieran.

11

FECHA:

INFORME

16-07-2008

Activar los Logs de Auditoria, que permitir en caso de mala administracin establecer responsabilidades. Establecer un estndar para el ingreso de la informacin de los usuarios, estableciendo claramente los registros que deben existir en cada uno de los campos.

Estructurar el contenedor user, de acuerdo a la organizacin de la empresa (por rea, Divisin, Departamento), esto ayuda a una mejor administracin de la seguridad y fcil recuperacin y acceso a los objetos.

Depurar los accesos otorgados al grupo WWW, ya que existen usuarios que poseen accesos a Internet cuando su perfil no lo requiere. Revisar la organizacin de los recursos compartidos, de manera de otorgar slo los accesos requeridos. Establecer una normativa para la creacin de los grupos en el Directorio Activo.

12


Cliente servidor

Cliente servidor

Internet
Arquitetura Cliente-Servidor

Arquitetura Cliente-Servidor

Documents
Arquitectura Cliente-Servidor

Arquitectura Cliente-Servidor

Documents
Arquitetura cliente servidor

Arquitetura cliente servidor

Education
Sd Cliente Servidor

Sd Cliente Servidor

Documents
1 Arquitectura Cliente/Servidor Tema IV. 2 Justificación Cliente/Servidor

1 Arquitectura Cliente/Servidor Tema IV. 2 Justificación Cliente/Servidor

Documents
Cliente servidor servidor p2p

Cliente servidor servidor p2p

Documents
BD Centralizad a Sistemas cliente- Servidor Sistemas cliente- Servidor

BD Centralizad a Sistemas cliente- Servidor Sistemas cliente- Servidor

Documents
Aplicacion cliente servidor

Aplicacion cliente servidor

Documents
Socket Cliente Servidor

Socket Cliente Servidor

Documents
Cliente servidor

Cliente servidor

Documents
Tecnologías Cliente / Servidor

Tecnologías Cliente / Servidor

Documents
Modelo Cliente Servidor

Modelo Cliente Servidor

Documents
Arquitectura cliente/servidor

Arquitectura cliente/servidor

Technology
FORMS Cliente Servidor

FORMS Cliente Servidor

Documents
Arquitectura cliente servidor

Arquitectura cliente servidor

Education
SERVIDOR IRC_conexion Cliente

SERVIDOR IRC_conexion Cliente

Documents
DNS cliente servidor

DNS cliente servidor

Education
Interação Cliente-Servidor

Interação Cliente-Servidor

Documents
Trabalho Cliente Servidor

Trabalho Cliente Servidor

Documents
Tutorial Cliente/Servidor

Tutorial Cliente/Servidor

Documents
Módulo 6. Modelo Cliente/Servidor Componentes funcionais duma aplicação : A aplicação cliente / servidor O modelo Cliente / Servidor

Módulo 6. Modelo Cliente/Servidor Componentes funcionais duma aplicação : A aplicação cliente / servidor O modelo Cliente / Servidor

Documents
Cliente - Servidor

Cliente - Servidor

Education
Materia Cliente/Servidor

Materia Cliente/Servidor

Education
Desenvolvimento de Sistemas Cliente/Servidor - Estrutura de sistemas cliente servidor

Desenvolvimento de Sistemas Cliente/Servidor - Estrutura de sistemas cliente servidor

Documents
Exposicion Cliente-Servidor

Exposicion Cliente-Servidor

Technology