UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE INGENIERÍA SISTEMAS DE SEGURIDAD PARA LA RED DE DATOS DE UNA EMPRESA TELEVISORA MEXICANA T E S S QUE PARA OBTENER EL TITULO DE: INGENIERO MECÁNICO ELECTRICISTA ( ÁREA ELÉCTRICA Y ELECTRÓNICA ) P R E S E N T A: CARLOS JAVIER~NDA D(AZ INGENIERO ELÉCTRICO Y ELECTRÓNICO ( ÁREA EN COMUNICACIONES ) P R E S E N T A N: SERGIO EDGAR GUERRA ARGÜELLES MIGUEL ANGEL LÓPEZ SALGADO MIGUEL ANGEL LUNA CRISÓSTOMO DIRECTOR DE TESIS: M. l. LAURO SANTIAGO. CRUZ CIUDAD UNIVERSITARIA 2003 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. PAGINACION DISCONTINUA Carlos Javier Landa Díaz A mi esposa e hijos: Por su cariño, comprensión y paciencia. A mis padres: Por su empuje. Gracias por su esfuerzo en hacenne lo que soy. A mis hermanas y suegros: Por motivarme para la culminación de esta meta. El tiempo ha puesto en mi camino un extenso abanico de seres quienes sin proponérselo han llenado mi vida con un cúmulo de hechos inoh1idables, que ayudaron a forjar a la persona que ahora soy, al-influir de diferente manera y medida en mi sentir.y más aún en mi pensar. A todos éllós ofrezco Jodo mi respeto y ad~irac~ón .. i . . e ,' :, :· Primero que nada d~b·~ a~r~de~er ~ Dios por permit.ir~e ~iJi~ ITiis ¡ueños y mis desengaños, mis caídas y mis logros. < .~·· '·' :. · · · ,·: '~ Nada de esto sería posible sin la presenciad~ la~ p~~sC>~ris'h ~uí~~~sdebo·· todo, y a quienes siempre estaré agradecido: a mi padre por fodos y cQda uno de sus aciertos y errores que me han moldeado en lo qUe ahora ·muestro. A mi madre por todos sus sacrificios y llenarme de amor. A mi abuelita por el desmesurado amor del que siempre he gozado. Y en especial. al mejor ejemplo ·de rectitud e integridad que jamás podré encontrar, a mi abuelito. Este trabajo es de ustedes y para ustedes, gracias. Si de algo puedo sentirme afortunado y agradecido es que además de contar con el amor de mi madre y mi abuela; es de contar con alguien más a quien llamarle madre, mamá Beatriz. Gracias por todo tu amor, comprensión y compañía. A mis hermanos por darmé la oportunid~d de a_certar y fallar, y seguir creyendo en_ mí. .· >~··· .... ,, . A mi tía Eva y a mis primos, por soportarm~ y'~i~rnp;e darme 6nim~para seguir adelante, en especial a .July por acompañarme'tanto's años; ser mi puente a la realidad y mi amiga más cercana. Al topo (Xi mena) por,:sop()rtar todas mis burlas y aun apreciarme. Al peluso (Angel) por;sus'chistesVpor hacerme creer que alguien en realidad me escucha. , :";,.·•·D{· · · A toda mis tías y primas que de alguna o d~ <>'t~ri·'iria~~r~ siempre han estado ahí para brindarme cariño y apoyo: Elvia.y.'.JÚÍ:lith'(flaca), Luisa (Luris) y Manolo, Coco y Miry (piporro) y en espéd(Ji'a'ITlil'lermana Laura con quien siempre he contado. · ;:::. · · · · · · · . .'.':·.:":· ··_: . A mis padrinos .Jllan y. Cruz por creer en. mCal igual que a mis primos .Juan y Bola por hacer de. cada visita algo inolvidable. e A Andrés de la Cruz (Tache) por todas nuestras aventuras, travesuras y desventuras que más qúe haEernos crecer como personas; hicieron crecer nuestra amistad. - . ,._, A la ahora familia Villcinu~vci~Cu~i~-1 (ci~~R~. Ve~o y Dany), gracias por darme un lugar entre ustedes y por, todos los .mómentos de exceso (sobre todos los míos) que juntos hemos- p_ 'cis_~d~._:- --. . .- , .• _ -_ -_.-- --- !,i;,-•;, - . -,::o:~:~ ' ' . A Pedro del Palació CC~iiuc~~)'pg~;g~~~~~i~·~~~tldcis y canchas recorridas que si no nos llevaron a nirigúri sitio; nos_ hi~ieron mejores amigos. Al Ringo (Ricardo Ramírez) y Lucero por su-amistad, comprensión y apoyo. A todos aquellos que siempre me han mostrado su amistad desinteresada, Eutimio Ruiz (Timi). Pepe Yúdico, Hector (Negro) y a Cesar Ramírez. No hay espacio suficiente para mencionar a quienes dejaron algo en mí, de modo que si omití a alguien en papel, créanme que siempre los llevaré en la memoria. Sergio 'E.ágar querra)ílrgüeffes Agradecimientos Dar gracias a Dios, que me ha dado Ja oportunidad de v1v1r y de conocer cosas tan maravillosas, que me han permitido formarme como persona. Gracias a mis padres, Flavia y Miguel que han sacrificado mucho de su vida esperando este momento, en donde sólo es una muestra de lo mucho que les agradezco por apoyarme en todo. Les agradezco su amor y cariño que me han tenido y espero que se sientan orgullosos de esta pequeña muestra de gratitud al dedicarles este trabajo. Gracias a mi hermana Margarita por todo Jo que me ha apoyado, por Jo que hemos vivido y porque siempre esperemos seguir así. Gracias a mi hermano Juan Pedro, por Jos momentos que hemos compartido juntos, por su forma de ser y su apoyo, esperando que sigas adelante en las metas que te propongas. Gracias al M.I. Lauro Santiago Cruz por su apoyo en Ja elaboración de este trabajo. Gracias a todas las personas tan maravillosas que conozco del Instituto Asunción, en especial a Juan Pablo Matamala, Pepe, Nacho, Marcelo, Cristóbal, Juan Pablo Sáenz, Ja Sra. Miriam, Tere y otras tantas, que no significa que nos las tenga presente en mi corazón y de las que he aprendido tanto. Gracias a mis amigos de Ja Universidad, en especial a José, Heroito, Ezequiel y Blanca por todo Jo que compartimos y aprendimos a Jo largo de Ja carrera y porque siempre me tuvieron paciencia y apoyaron cuando Jo necesitaba. Gracias a Miguel Angel Luna, por su amistad, por su apoyo y sobretodo por Ja sencill~z en su forma de ser, además que sin su valiosa ayuda. hubiera sido muy dificiLllegar. a este momento tan especial, en verdad gracias. · .•• > -- - Gracias a todos Jos que formaron parte de este equipo en Ja elab.óració~ ~-~ ;elte·~-~~ajo, por su compresión, paciencia y empeño en Ja, presentación, final . _de -·_una : meta _q~e nos propusimos alcanzar y que ustedes tienen como resultado eti esté.trabajo:·· -· .. - . ' Gracias a la Facultad de Ingenieria p~r apÓy~~e en una et~pd t~ imp~rtante de mi vida y por darme Ja satisfacción y el orgullo ·de ser egresado'de ella.' . . ,;··· ·:::~_-.;,_. _, ·,',>;;; __ : Gracias vida, por tantas bendiciones, satisfacciones, emociones, amistades y por Jos momentos de alegria y tristeza .que me han ayudado a aprender cada dfa y a formarme como persona. Miguel A11gel López Salgado Dedicado a ••• Mis padres Alicia y Miguel, por su amor y sacrificios ... de verdad que los quiero mucho. Mis hermanos Sergio y Maynor y a sus bellas familias, por todo su apoyo y cariño incondicional. Mí familia, quienes siempre están presentes en mis logros y fracasos. Mis amigos, Mendieta, Ezequiel, Heroito, Miguel , Blanca, Anel y Carlos, por todo lo que compartimos juntos durante la carrera y desarrollo del presente trabajo. Y de manera especial a Javier, Roque (t) y Belem, gracias por su amistad. Reconocimientos Agradezco a la Facultad de lngenieria de la UNAM, por darme la oportunidad de cursar mis estudios profesionales. Al M. en l. Lauro Santiago Cruz, por su paciencia y consejos en ·el desarrollo del presente trabajo. . Al M. C. Luis Marcial Hemández Ortega (t), por sus consejos y amistad, gracias.. _ Finalmente agradezco a todas aquellas personas que de alguna manera participaron en el presente proyecto. · Miguel Angel Luna Crlsóstomo ÍNDICE PÁG INDICE DE FIGURAS iii INDICE DE TABLAS iv INTRODUCCIÓN CAPÍTULO 1 TERMINOLOGÍA Y CONCEPTOS DE REDES 3 1 . 1. Modelos de redes 3 1.2. Redes de cómputo 5 1.3. Internet e Intranet 6 1.4. Servicios de red 7 1.5. Estándares de red 11 1.6. Modelo de referencia OSI 12 1.7. Familia de estándares IEEE 802.xx 14 1.8. Especificaciones para inteñaces de red 15 1.9. Medios de transmisión 16 1.10. Arquitecturas y Topologlas de Red 18 1 . 11 . Tarjetas de red 23 1. 12. Dispositivos de conectividad y mecanismos de transporte 24 1. 13. Protocolo de transporte 25 1 . 13. 1. Protocolo TCP/I P 27 CAPÍTULO 2 SEGURIDAD EN REDES 33 2. 1. Seguridad y administración de seguridad en redes Microsoft 33 2. 1. 1. Modelos generales de administración de redes 39 2.1.2. Manejo de cuentas de grupos y usuarios 41 2.1.3. Implementación de seguridad por Sistema Operativo 43 2. 1.4. Monitoreo de la red 45 2.1.5. Tareas de auditoria 47 2. 1.6. Recuperación de datos del sistema 47 2.2. Recursos externos de seguridad en redes 48 2.2.1. Definición de política de seguridad de red 48 2.2.2. Tipos de ataques 51 2.2.3. Antivirus 54 2.2.4. Firewalls 57 2.2.5. Sistema de Detección de Intrusos 59 2.2.6. Sistemas de Inspección de Contenido y Detección de Vulnerabilidades y Riesgos 60 2.2.7. lnteroperatividad y administración de seguridad 61 2.3. Modelos y Arquitecturas de seguridad 63 2.3.1. Arquitectura de Zona Desmilitarizada y Militarizada 63 2.3.2. Estructura por capas de seguridad 2.3.3. Métodos complementarios de seguridad 2.3.4. Estándares e Instituciones reconocidas en seguridad 2.3.5. Metodologías de comparación de productos 2.3.6. Comparación de estrategias de proveedores 2.3.7. Evaluación y comparación de otras tecnologías CAPÍTULO 3 ANÁLISIS DEL CASO 3. 1. Planteamiento del problema 3.2. Estado actual del sistema de seguridad 3.3. Levantamiento de la información 3.3. 1. Método 3.4. Integración y correlación de la información 3.4. 1. Expresión gráfica de los resultados 3.5. Análisis y exposición de los resultados CAPITULO 4 DISEÑO E IMPLEMENTACIÓN 4. 1. Sistema de seguridad 4.1.1. Justificación del Diseño 4.1.2. Diseño de la arquitectura del sistema de seguridad 4.2. Requerimientos para el sistema de seguridad 4.3. Plan de trabajo e implementación del sistema de seguridad 4.3. 1. Plan de trabajo 4.3.2. Implementación del sistema de seguridad 4.3.3. Presupuesto del sistema de seguridad 4.4. Pollticas de Seguridad de la red 4.5. Memorias técnicas RESULTADOS Y CONCLUSIONES BIBLIOGRAFÍA APÉNDICE GLOSARIO DE TÉRMINOS ¡¡ 65 65 67 71 74 76 79 79 80 82 82 100 .100 102 105 105 106 122 129 131 131 136 136 137 141 161 167 A-1 A-2 INDICE DE FIGURAS Figura 1. 1. Modelo de referencia OSI Figura 1.2. Topología flsica de FDDI Figura 1.3. El protocol stack de Internet o TCP/IP Figura 1.4. Comparación del Modelo OSI y TCP/IP Figura 2.1. Negación de servicios provocado por varios host Figura 2.2. Arquitectura DMZ Figura 3.1. Arquitectura de Red WAN Figura 3.2. Método para el levantamiento de Información Figura 3.3. Gráfica de rendimiento de seguridad empresarial relativa Figura 4.1. Productos Antivirus más reconocidos del mercado Figura 4.2. Productos IDS más reconocidos en el mercado Figura 4.3. Participación y tendencias de mercado por fabricante (IDC 2001) Figura 4.4. Arquitectura del Sistema de Seguridad Figura 4.5. Arquitectura de la herramienta del software eTrust Content lnspection Figura 4.6. Pantalla del Control Center Figura 4.7. Pantalla del Audit Viewer del eTrust Canten! lnspection Figura 4.8. Pantalla Policy Manager del e Trust Canten! lnspection Figura 4.9. Configuración de eTrust Policy Compliance Figura 4. 1 O. Arquitectura del Producto e Trust Policy Compliance Figura 4.11. Pantalla de Configuración de eTrust Policy Compliance Figura 4.12. Pantalla de eTrust Policy Compliance CA Update Figura 4.13. Producto eTrust Policy Compliance- Proceso de Auditoría ¡¡¡ PÁG 13 22 27 28 54 64 81 82 101 110-111 115-116 121 123 146 146 147 147 150 150 151 151 153 ÍNDICE DE TABLAS Tabla 1.1. Ejemplos de Clases y Direcciones IP Tabla 2.1.Tabla auxiliara para implementar la política de seguridad de red Tabla 3.1.0rganizaclón y politicas de seguridad Tabla 3.2. Prevención de seguridad Tabla 3.3. Administración de usuarios Tabla 3.4. Control de accesos Tabla 3.5. Seguridad fisica Tabla 3.6. Evaluación de activos Tabla 3.7. Análisis de seguridad Tabla 3.8. Continuidad del negocio Tabla 3.9. Análisis de auditoría Tabla 3.10. Análisis del ambiente aplicativo Tabla 3.11. Respuestas ofrecidas por Director de Sistemas Tabla 3.12. Respuestas ofrecidas por el Gerente de Seguridad Informática Tabla 3.13. Porcentajes de las respuestas a los cuestionarios Tabla 4.1. Comparación de productos por fabricante de AV Tabla 4.2. Comparación de soluciones de IDS Tabla 4.3. Comparación de diversos fabricantes en seguridad Tabla 4.4. Requerimientos de configuración Tabla 4.5. Actividades del Plan de Implementación Tabla 4.6. Presupuesto de Licenciamiento Tabla 4.7. Ejemplos de los modelos configurados Tabla 4.8. Reporte de Auditoria de eTrust Policy Compliance iv PÁG 30 50 84-85 85-86 87-88 88-89-90-91-92 92-93 94 95 95-96 96 97 98 99 101 108-109 112-113-114 117-118-119-120 129 132 137 152-153 154-155-156- 157-158 INTRODUCCIÓN La seguridad informática corporativa, es el proceso por medio del cual las organizaciones pueden garantizar la confidencialidad, integridad y la disponibilidad de sus datos, sistemas y aplicaciones. Ésta, implementada de manera adecuada, incluye la autentificación (tú eres quien dice ser} y la autorización {permitir a los usuarios autentificados acceder a los datos, sistemas y aplicaciones permitidas). La seguridad es un compromiso en el cual debe existir un balance entre la protección de un sistema, la facilidad de acceso y uso del mismo. Este compromiso se obtiene al considerar el riesgo que se tiene, observando la posibilidad de que ocurra una amenaza y cuanto le importa al interesado que dicha amenaza se presente. Estadísticamente, los sistemas de seguridad son frecuentemente empleados para proteger a las organizaciones contra ataques internos, más que para protegerlas contra ataques externos planeados. No obstante, la seguridad está presente a menudo en noticias referentes a ataques de los llamados hackers, en fraudes cometidos a entidades financieras y espionaje industrial, entre otras, pero esa es solamente una pequeña parte a contemplar en la seguridad informática empresarial. Con la introducción de Internet, "la Red de Redes", y por lo tanto de los negocios electrónicos, "eBusiness'', con sus diferentes variantes como son: Negocio a Negocio, Negocio a Empleado, Negocio a Consumidor y Sistemas de Gobierno Digital. se han desarrollado nuevas formas de ataques en contra de la seguridad informática empresarial, como es el cyber-activismo {actividades vandálicas informáticas), las negaciones de servicio, la infección por virus, robo de información, intrusiones y el uso indebido de los activos de la empresa; por tal razón es necesario el uso de una estrategia integral de seguridad empresarial, basada en estándares y politicas que se estén empleando en dichos sistemas de seguridad. Para cumplir con esta estrategia es crucial seguir con los pasos necesarios, iniciando con entender los procesos claves de la empresa -en cuanto a seguridad se refiere- , seguido de la composición de los principales activos de la misma -lo que se pretende proteger-, y a partir de ahí, realizar la evaluación de los riesgos de que la empresa pierda cualquiera de sus activos, para posteriormente implementar las políticas de protección con las tecnologías adecuadas. La seguridad informática no es estática, ésta tiene que mantenerse continuamente actualizada, principalmente en cuanto a las nuevas amenazas que puedan surgir y las tecnologías que puedan cubrir las mismas. La mejor forma de llevar a cabo este mantenimiento, es auditando y revisando el esquema de protección de activos empresariales de forma continua. Dentro del desarrollo del presente trabajo nos adentraremos en un caso real, consistente en una empresa televisora de nuestro pals, que debido a su importancia como medio de comunicación, y a la alta tecnologla con la que convive, deberá de contar con una fuerte protección de activos de datos, videos, nóminas ejecutivas al igual que la protección al acceso de los sistemas de sus socios, proveedores y público en general. Esta situación se presenta de forma generalizada en la mayoria de las empresas en nuestro país, y es nuestra tarea el contribuir con aportaciones como este trabajo, para entender cada vez más estos conceptos, ya que la única razón por la cual las empresas son vulnerables, es por la falta de cultura de seguridad informática. La seguridad informática es de gran amplitud y por lo tanto es necesaria llevarla a cabo por etapas, de tal forma que en el planteamiento de este trabajo se estarán cubriendo: conceptos básicos -referentes a la constitución e implementación de una red de datos con sus diferentes componentes-, tomando esto como base para el mejor entendimiento y posterior análisis del sistema de seguridad propuesto; se diseñará una solución que evite el robo de información dentro de la red de esta empresa, y que impida el envio de la misma hacia el exterior; se tendrá control en los sitios de Internet a los que los empleados internos o externos acceden, complementando con herramientas contra ataques de virus y de análisis de vulnerabilidades para estos sistemas. Lo anterior se desarrollará partiendo de los conceptos básicos en lo referente a la integración de una red de datos, los estándares y protocolos más utilizados actualmente, para posteriormente explicar la seguridad informática, desde los niveles del Sistema Operativo de Red, en nuestro caso, una red con Sistema Operativo Microsoft Windows NT, hasta las pollticas más utilizadas y prácticas ligadas para este caso especifico. Este trabajo tiene también la intención de concientizar a las áreas informáticas y de seguridad de las empresas mexicanas en lo referente a la seguridad informática empresarial, lo cual impulsa a las mismas hacia los conceptos de empresa de clase mundial en nuestro pais. 2 CAPÍTULO 1 TERMINOLOGÍA Y CONCEPTOS DE REDES 1.1. Modelos de redes En la actualidad existen varios tipos de redes de cómputo, con variadas plataformas tecnológicas, desarrolladas por distintos fabricantes. En el presente capitulo se verán los principios básicos de implementación de una red de datos, junto con los diversos estándares, protocolos y componentes de red involucrados en la misma. Históricamente las redes de cómputo se han desarrollo paso a paso, adoptando tres modelos básicos: Modelo de red Centralizada. Modelo de red Distribuida. Modelo de red Cooperativa. Modelo de red Centralizada El primero de estos tres modelos, también llamado de procesamiento centralizado, es una configuración de red en donde un sólo servidor procesa tareas para múltiples terminales. En este modelo todas las terminales se pueden comunicar con la computadora central, también llamada mainframe, quien realiza la tarea de procesamiento de información. Las terminales no realizan procesamiento de los datos y sirven sólo como receptores y transmisores de los mismos. En este modelo las terminales deben de compartir la potencia de procesamiento de la computadora central. Modelo de red Distribuida En el modelo de red Distribuida existe una mayor intervención del usuario final, donde el procesamiento de datos se realiza en mayor parte en la computadora central y una porción menor en la estación de trabajo del usuario. Este modelo requiere que las terminales tengan capacidad de procesamiento, esto es que cuenten con un CPU (Central Processor Unit: Unidad Central de Procesamiento). 3 Modelo de red Cooperativa Este modelo de red permite a Jos equipos que se encuentran dentro de un ambiente de cómputo distribuido, compartir poder de procesamiento, además de datos, recursos y servicios. Dentro de este modelo un equipo puede prestar poder de procesamiento al correr un programa en otra computadora de Ja red, o Jos procesos podrían ser designados para llevarse a cabo en una o más computadoras. Las redes generalmente caen en alguna de las dos categorías de configuración siguientes: Redes tipo punto a punto (peer to peer). Redes tipo Cliente/Servidor. En el primer modo cada computadora conectada trabajará al mismo nivel jerárquico y todas pueden solicitar o pedir datos, servicios o recursos. Actuando como servidor o cliente. Sus principales características son: Todos Jos nodos pueden ser servidores y estaciones de trabajo a Ja vez, compartiendo sus discos duros, CD-ROM's e impresoras. Eí NOS (Network Operating System: Sistema Operativo de Red) debe instalarse en cada nodo, consume poca memoria y por lo tanto_ no se requiere de servidores dedicados. La administración e instalación de la red es muy sencilla, por Jo que no se requiere de personal altamente calificado. Se pueden formar redes a partir de 2 nodos. Su sistema de seguridad es básico, pero puede ser_· suficiente -para aplicaciones pequeñas. -_. _ - _•:f;' -,, _ La principal ventaja de este tipo de redes es que son ecÓnómicas;:sencillas y fáciles de instalar, orientadas a cubrir el_ mercado' de" las;: pequeñas empresas. ·1>: ... <1--- :··¡.f• -•·'•·'-· ·' Sus desventajas consisten en su poca -ségurlclad'.:·y~::um-ltantes de comunicaciones externas. · -. ' ·<'.\•'-•r»h·::?":'';,-.c;·'•/:"- Las redes punto a punto llenan una necesidad que o;ras arqultEÍ6t~~as no cubren, que todos los nodos de Ja red compartan sus recursos; y-,no solamente Jos servidores. Hoy en día es común que coexistan en -una misma red un Sistema Operativo de Red Cliente/Servidor y un sistema punto a punto, para aprovechar todas las ventajas de estas diferentes arquitecturas. En el modo Cliente/Servidor se debe de partir que en una red existe un proceso distribuido, donde el procesador del Servidor ejecuta las instrucciones del Sistema Operativo de Red, generalmente de servicios de archivos, y el procesador de las estaciones de trabajo procesa los trabajos locales. No obstante Jo anterior las aplicaciones cada día requieren de mayor poder en el procesador, lo que 4 implicarla que las estaciones de trabajo tuvieran procesadores muy poderosos, con las respectivas consecuencias económicas, pero si se parte del hecho que los servidores cuentan con este tipo de procesadores, la arquitectura Cliente/Servidor implica aprovechar estos procesadores poderosos para hacer las tareas pesadas y los trabajos ligeros dejárselos al procesador de las estaciones de trabajo. Para poder manejar realmente una plataforma Cliente/Servidor se requiere que la aplicación esté diseñada especfficamente bajo esta arquitectura y que el Sistema Operativo de Red dé soporte a estas aplicaciones. La ventaja del modelo Cliente/Servidor, es que permite que las tareas se repartan en forma más eficiente entre los elementos involucrados (Clientes y Servidores) y que se minimice el intercambio innecesario de información entre ellos. En la actualidad la arquitectura Cliente/Servidor se explota principalmente en las aplicaciones de base de datos y sistemas de correo electrónico. En estas aplicaciones el archivo completo es el que viaja desde el servidor de archivos a la estación de trabajo, ésta última procesa la información después de una serie de 'preguntas y respuestas' que se llevan a cabo entre el servidor y la estación, para que finalmente se devuelva el archivo. El servidor procesa la información y devuelve el resultado, o sea el registro, no el archivo completo que el cliente demandó. El proceso Cliente/Servidor que se lleva a cabo en un servidor de intercomunicación o Gateway de comunicaciones es muy similar. ~ste se encarga de las labores de comunicación entre el host (también llamada computadora central) y la estación de trabajo (cliente), a quien le envfa solamente las pantallas necesarias y toma la información del teclado, pero el proceso de comunicaciones se lleva a cabo por completo en el Gateway. 1.2. Redes de cómputo Existen los siguientes tipos de redes: Una LAN (Local Area Network: Red de Area Local), es un conjunto de computadoras interconectadas dentro de un área geográfica (ffsica) limitada, como por ejemplo un edificio, una universidad, un hospital, etc. Las redes LAN suelen caracterizarse por velocidades de transferencia de datos relativamente altas y una relativamente baja incidencia de errores. Las PC's que conforman la red LAN son llamadas nodos 1 y pueden ser tanto estaciones de trabajo como servidores, a las cuales se les ha instalado una Tarjeta de Interfaz de Red en sus ranuras de expansión, para conectarse al circuito LAN de la red. 5 A la forma ffsica de conectar los nodos dentro de la LAN -es decir, el cableado- se le llama topologla ffsica. Dependiendo de la forma en que los nodos estén conectados podrá ser una red ffsica de tipo estrella, anillo, bus, árbol o estrella- anillo. La manera en que los datos pasan por el circuito de red se llama topolog!a lógica. Siendo esencialmente de dos formas: Bus. Los datos pueden salir de todos los nodos simultáneamente, descartando los datos que no vayan dirigidos a si mismos. Anillo. Los datos recorren todo el circuito, una vez por cada tiempo, quedándose en la computadora a donde el dato fue dirigido. Una WAN (Wide Area Network: Red de Area Amplia), se reconoce comúnmente como una serie de LAN"s interconectadas entre si y cuya extensión geográfica es ilimitada, la infraestructura de interconexión generalmente no depende en forma directa de la organización que controla la LAN. En este tipo de red la velocidad de transmisión de datos es relativamente baja, comparada a la de las LAN·s. La MAN (Metropolitan Area Network: Red de Area Metropolitana}, se encuentra entre la LAN y la WAN, con una cobertura que comprende desde unos kilómetros hasta cientos de kilómetros, y una velocidad de transmisión de unos cuantos kbps a Gbps, sirve como espina dorsal o backbone que interconecta varias LAN's distribuidas o puede proveer acceso a la red metropolitana o a una red pública de cobertura amplia. 1.3. Internet e Intranet Hace aproximadamente una década, se inventaron los llamados exploradores o navegadores, aprovechando las facilidades visuales de las nuevas interfaces gráficas, en los sistemas operativos visuales como Windows, las cuales permitlan "ver" el contenido de un servidor. Estos navegadores nos permiten recorrer un servidor con su contenido multimedia (datos, voz y video). De lo anterior se desprenden las redes que se definen como lntranets e Internet. Una Intranet la definimos como una LAN o un conjunto de LANs cuya propiedad y administración es privada y pertenece a una empresa o un consorcio empresarial específico. Esta definición nos hemos permitido hacerla para distinguir entre la Internet y el medio ambiente "atrás" de la Internet, es decir, dentro de la red de una empresa conectada a la Internet. Porque si bien cualquier computadora, estación de trabajo o host que tenga acceso a la Internet, dentro de una empresa, está por definición "en linea" o conectada con la Internet. Para fines prácticos, distinguimos como una Intranet al conjunto de computadoras interconectadas dentro de una empresa o una LAN. 6 También definimos que cualquier máquina estará en linea con la Internet si cumple con los siguientes requisitos: Opera con la pila de protocolos TCP/IP. Tiene una dirección de IP asignada. Puede enviar paquetes o frames de IP a los servidores que lo soliciten y se encuentren conectados a la red global. Está conectada al router del IPS (Internet Provider Server: Proveedor de Servicios de Internet). La Internet como es sabido es la "súper carretera" de la información. La gran WAN basada en los protocolos TCP/IP, desde su declaración oficial en 1983, con sus dos caracterlsticas más sobresalientes: la de conmutación de frames, que permite que un frame llegue desde su origen a su destino sin importar la trayectoria que éste siga y la de que cualquier LAN pueda conectarse a ella sólo con emplear los protocolos TCP/IP. Actualmente la Internet se compone de tres niveles de conectividad: el llamado backbone, que son redes de computadoras conectadas por un medio flsico de muy alta velocidad, como fibra óptica; las redes de nivel medio o redes regionales, donde generalmente se conectan los ISP's (Internet Service Providers: Proveedores de Servicios de Internet) y el último nivel compuesto por las LANs y los host que son propiamente los usuarios finales de la Internet. Dentro de los servicios que la Internet puede proveer distinguimos: Correo electrónico. Noticias o intercambio de mensajes noticiosos y foros. Sesión remota como Telnet, rlogin (remote login: acceso remoto a la red), donde se puede entrar a una máquina con una cuenta autorizada. FTP (File Transfer Protocol: Protocolo de Transferencia de Archivos), para intercambio directo de archivos desde un servidor de FTP. WWW (World Wide Web: Malla de Red Mundial), término Idiomático empleado para describir al término más popular de Internet, la de despliegue de páginas de contenido multimedia (texto, imagen, voz y video) en una computadora. Vale la pena mencionar que la llamada Red de Redes o WWW es una. parte de Internet y no la Internet misma, como a veces se suele confundir. Ésta:·es un servicio especifico de Internet, que se usa para visualizar páginas contenidas dentro de servidores de la Internet, mediante el uso de un explorador. 1.4. Servicios de red Los servicios de red son la razón básica· por •la que interconectamos las computadoras. Basados en los servicios que una··compañfa' ofrece, se puede comprar un programa y/o Sistema Operativo de Red especifico.· Dentro de una 7 red, las PCs deben tener un software especial que les permita funcionar en un ambiente de gestión de redes. Los servicios de archivo permiten a las computadoras conectadas a una red compartir archivos entre si. Este servicio incluye el almacenamiento, recuperación, o movimiento de archivos de datos, asi como leer, escribir y manejar archivos y datos entre las computadoras. Los servicios de archivo son una parte importante de los ambiente Cliente/Servidor y de servicios Web. Las computadoras que proporcionan este tipo de servicios son llamadas servidores de archivo. Dos tipos de servidores existen: dedicados y no dedicados. Los servidores no dedicados tienen una doble función: permitir a un usuario ir hacia Ja máquina que actúa como servidor de archivo y pedir el uso de archivos de otras máquinas; al mismo tiempo, estos servidores proporcionan archivos a Jos usuarios que les piden desde otras computadoras en la red. Los servidores dedicados cumplen solamente con conectar a los clientes a una red de computadoras. Los servicios de archivo centralizados generalmente son más recomendados para organizaciones. Los términos centralizado y distribuido en este contexto describen el método de manejo de recursos del procesador, recursos de archivo, o las tareas administrativas. Una tarea importante es proporcionar y regula-r el acceso a los programas y datos guardados en la unidad de disco duro del senlidor. de: archivo. Esto es conocido como compartir archivos. Ésta es una de_ las _razones principales por la que las compañias invierten en una red, las compañlaá puederi ahorrar dinero en adquirir una sola versión de alguna aplicación para red; en _vez de adquirir tantas versiones individuales como equipos necesiten de su_utilización. Situar archivos de datos creados también por usuarios en un servidor, sirve a varios propósitos, incluyendo a Ja seguridad, al control de los documentos, actualización y respaldo de la información o backup. La mayoría de las redes tienen alguna forma de almacenamiento de archivo centralizado. Durante muchos años, las compañías han usado el almacenamiento en linea u on/ine, guardando información directamente al disco duro, a una cinta o disco óptico, para acceder a sus archivos, limitando la cantidad de espacio en disco disponible. Otro método común para guardar archivos es el almacenamiento fuera de linea u offline, que consiste en cerrar las aplicaciones, para de ahí ejecutar el procedimiento de backup de archivos a Jos medios comentados anteriormente. Otro sistema de almacenamiento para eficientar el espacio en disco es el llamado HSM (Herarchica/ Storage Management: Sistema de Administración Jerárquico de Almacenamiento), éste consiste en migrar los datos de menos uso a alguno de los medios comentados anteriormente, pudiendo ser accesados en linea. 8 Otro servicio que ofrece la red es la actualización y sincronización de archivos o fi/e-update synchronization. Éste asegura que todos los usuarios tienen la más reciente copia de un archivo. File-update synchronization puede supervisar la fecha y marca de tiempo en archivos y determina qué archivos fueron salvados recientemente. Después de los serv1c1os de archivo, imprimir probablemente es la segunda necesidad más importante para instalar una red. Imprimir basado en "cola de impresión" siempre será más económica que la impresión local, porque las estaciones de trabajo o workstations pueden compartir el recurso. El Servicio de Mensajerla/Comunicación es el encargado de transferir información de un lugar a otro. Esta comunicación de información puede dividirse en tres sub-áreas: Correo electrónico o Email. Correo de voz o voice mai/. Servicios de fax. Servicios Web Los servicios Web (SW) es el último paradigma hacia donde se dirige el mundo de las tecnologlas de información. Éste consiste en combinar los servicios de aplicaciones tanto al interior como al exterior de la empresa; al interior consiste en compartir las aplicaciones entre los empleados de la organización, ofreciendo acceso de una forma sencilla a este tipo de sistemas; hacia el exterior, el compartir los sistemas con las entidades externas a la empresa, tanto proveedores, clientes, socios, aliados, etc. De esta forma proporciona un acercamiento con medios de alta automatización para incrementar los niveles de productividad en los diferentes procesos empresariales. Para llevar a cabo este tipo de procesos es necesario integrar la infraestructura y las aplicaciones existentes en una sola visualización adaptada para cada usuario, en donde la tecnologla juega un papel fundamental, desde los servidores que contienen a los equipos de conectividad y telecomunicaciones, el Sistema Operativo de Red, bases de datos, sistemas de Email, hasta los sistemas centrales como los ERP's (Enterprise Resource Planning: Sistemas de Planeación y Administración de Recursos). Las aplicaciones para este tipo de serv1c1os ya no pueden actuar de forma independiente, por lo que actualmente, para cada una de estas aplicaciones, es necesario que estén ligadas a plataformas de servicios comunes, y es de ahl de donde provienen los conceptos B2x , Negocio a x o mayormente denominados sistemas B2C (Business to Customer: Negocio a Cliente), B2E (Business to Employee: Negocio a Empleado), y B2B (Business to Business: Negocio a Negocio), entre otros. 9 Servicio de Acceso Remoto Es un servicio de información para los ISP's, el cual utiliza software y hardware de una computadora (una combinación de acceso local, " pools de módem", servidores de terminales, enrutamiento y capacidades para traducción de protocolo, todo ello en una sola solución) que está hecha para manejar usuarios que buscan acceso a un JSP desde un Jugar remoto (en corporaciones, personas en subsidiarias, usuarios remotos y personas que viajan, etc). El RAS (Remate Access Services: Servicio de Acceso Remoto), soporta dos conjuntos de protocolos: los protocolos de acceso remoto y Jos de LAN. Cuando se utiliza el Servicio de Acceso Remoto, Windows NT utiliza los protocolos de acceso remoto para que a través del RAS se pueda conectar a otro equipo, a Internet o a un JSP. En estos protocolos se incluyen: el SLIP (Serial Une Internet Protocolo: Protocolo de Linea Serial), el protocolo del Servicio de Acceso Remoto de Microsoft y el PPTP (Point-to-Point Tunneling Protocol: Protocolo de Túnel Punto a Punto). El protocolo LAN que Windows NT utiliza para comunicarse sobre una conexión al Servicio de Acceso Remoto puede ser cualquiera de los protocolos que se utilizan en Windows NT, incluyendo NetBEUI, NWLINK o TCP/IP. Red Privada Virtual La VPN (Virtual Private Network: Red Privada Virtual) es una alternativa a Ja conexión WAN mediante líneas telefónicas y Servicio de Acceso Remoto, bajando Jos costos de éstos y brindando Jos mismos servicios, mediante el uso de Ja autentificación, cifrado y el uso de túneles para las conexiones. Una VPN es un sistema para simular una red privada sobre una red pública, por ejemplo, Internet. La idea es que la red pública sea "vista" desde dentro de Ja red privada como un cable lógico que une dos o más redes que pertenecen a Ja red privada. Las VPNs también permiten la conexión de usuarios móviles a Ja red privada, tal como si estuvieran en una LAN dentro de una oficina de Ja empresa donde se implementa la VPN. Esto resulta muy conveniente para el personal que no tiene lugar fijo de trabajo dentro de la empresa, como podrian ser vendedores, ejecutivos que viajan, personal que realiza trabajo desde el hogar, etc. La forma de comunicación entre las partes de la red privada a través de Ja red pública, se hace estableciendo túneles virtuales entre dos puntos, para Jos cuales se negocian esquemas de cifrado y autentificación, que aseguran Ja confidencialidad e integridad de Jos datos transmitidos utilizando la red pública. Cuando se usan redes públicas, en general Internet, es necesario prestar debida atención a las cuestiones de seguridad, que se aborda a través de estos esquemas de cifrado y autentificación. La tecnologia de túnel o tunneling es un modo de transferir datos en la que se encapsula un tipo de paquete de datos dentro del paquete de datos de algún 10 protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo asl a su estado original. En el traslado a través de Internet, los paquetes viajan cifrados. Las técnicas de autentificación son esenciales en las VPNs, ya que aseguran a los participantes de la misma, que están intercambiando información con el usuario o dispositivo correcto. La autentificación en la VPN es conceptualmente parecido al login en un Sistema Operativo de Red, como nombre de usuario y contraseña, pero con necesidades mayores de aseguramiento de validación de identidades. La mayoría de los sistemas de autentificación usados en la VPN están basados en un sistema de claves compartidas. La autentificación es llevada a cabo generalmente al inicio de una sesión, y luego en forma aleatoria durante el curso de la misma, para asegurar que no haya algún tercer participante que se haya intrometido en la conversación. La autentificación también puede ser usada para asegurar la integridad de los datos. Los datos son procesados con un algoritmo para derivar un valor incluido en el mensaje como checksum. Cualquier desviación en el checksum indica que los datos fueron corruptos en la transmisión o interceptados y modificados en el camino. Tipicamente las VPN's trabajan en los protocolos TCP/IP y UDP, y pueden utilizar diferentes tipos de cifrado, entre ellos se pueden mencionar RSA, Public Key Cryptosystem 1024, 3DES, DES56 ó DES40. 1.5. Estándares de red Un estándar es un conjunto de reglas y procedimientos ampliamente utilizados u oficialmente especificados. El mercado de las redes locales se debate en ofrecer soluciones estándares que permitan la comunicación de dispositivos de diferentes marcas, o bien ofrecer soluciones únicas para un sólo producto, sacrificando la estandarización en beneficio de un mejor rendimiento. La estandarización es la única vla que garantiza la compatibilidad de los equipos y la posibilidad de expandirse en un futuro evitando que queden obsoletos. Asl, se permite la independencia de los fabricantes, en el sentido de que si los productos están estandarizados serán compatibles entre si y en todo momento el comprador podrá evaluar las distintas ofertas. Se cuenta además con la garantía de soportar un conjunto de servicios bien conocidos basados en métodos y técnicas bien probadas. Y se cuenta también con la facilidad de la expansión, permitiendo añadir en un futuro nuevos equipos y nuevos protocolos a la configuración existente. Organizaciones de estándares Muchas organizaciones contribuyen a interconectividad de redes, ofreciendo 11 establecer foros de los estándares de discusión, generando especificaciones formales a partir. de discusiones informales y difundiendo las especificaciones una vez que han sido aprobadas: La mayorla de las organizaciones generan estándares formales utilizando procesos especlficos: organizando ideas, analizando métodos, votando acerca de aspectos de los estándares y posteriormente, liberando el estándar al público. Algunas de las organizaciones más conocidas que contribuyen a la publicación de estándares de interconectividad de redes son las siguientes: ISO (lnternational Standar Organization: Organización Internacional para la Estandarización}, es una organización internacional responsable de una gran variedad de estándares, entre ellos muchos relacionados con las redes. Su contribución más conocida fue el desarrollo del modelo OSI (Open Systems lnterconnection: Interconexión de Sistemas Abiertos), y su grupo de protocolos OSI. ANSI (American National Standards lnstitute: Instituto Nacional Americano de Estándares). es el cuerpo que coordina a los grupos voluntarios de estandarización dentro de los Estados Unidos. EIA (Electronic Industries Association: Asociación de Industrias Electrónicas), especifica los estándares de transmisión eléctrica, incluyendo los que se utilizan en la conectividad de redes. La EIA desarrolló el estándar RS-232 que es ampliamente utilizado en la conexión de equipos periféricos. IEEE (lnstitute of Electrical and Electronics Engineers: Instituto de Ingenieros en Electrónica y Electricidad), es una organización profesional que define la conectividad de redes y otros estándares. El IEEE desarrolló estándares de LAN ampliamente utilizados como el IEEE 802.5. ITU-T (lnternational Telecommunications Union_ Telephony: La Unión Internacional de Telecomunicaciones), originalmente Comité Consultivo Internacional de Telegrafla y Telefonla, es una organización internacional que ha desarrollado estándares de comunicación como X.25 y otros. IAB (Internet Architecture Board: Consejo para la Arquitectura de Internet), es un grupo de investigadores de interredes que analizan problemas relacionados con Internet y establecen sus pollticas a través de decisiones y grupos de trabajo. El IAB designa algunos RFC (Request for Comments: Petición de Comentarios). como estándares de Internet, incluyendo el TCP/IP (Transmision Control Protocolllntemet Protocol: Protocolo de Control de Transmisión/Protocolo de Internet) y el SNMP (Simple Network Managernent Protocol: Protocolo Simple de Administración de Red}. 1.6. Modelo de referencia OSI El modelo de referencia OSI es la arquitectura de red actual más prominente. OSI es un modelo de siete capas, donde cada capa define los procedimientos y las reglas (protocolos estandarizados) que los subsistemas de comunicaciones deben 12 seguir, para poder comunicarse con sus procesos correspondientes de los otros sistemas. La figura 1.1. Muestra el modelo de referencia OSI de siete capas. Aplicación. Presentación Sesión Transporte Red Enlace de datos Física Figura 1. 1. Modelo de referencia OSI. Algunas de las funciones de cada capa o nivel se describen a continuación: Nivel de Aplicación. Se definen una serie de aplicaciones para la comunicación entre distintos sistemas, las cuáles gestionan: Transferencia de archivos FTP. Intercambio de mensajes (Emaii). Nivel de Presentación. En esta capa se realizan las siguientes f~ri~ion·~~: Se da formato a la información para visualizarla o impri~Írl:ar·: ·.. . .. Se interpretan los códigos que estén en los datos (conversión de código). Se gestiona el cifrado de datos. · · · .. '' · · · Se realiza la compresión de datos. Nivel de Sesión. Provee mecanismos para organizar y estructurar diálogos entre procesos de aplicación. Actúa como un elemento moderador capaz de coordinar y controlar el intercambio de los datos. Controla la integridad y el flujo de los datos en ambos sentidos. Algunas de las funciones que realiza son las siguientes: Establecimiento de la conexión de sesión. Intercambio de datos. Liberación de la conexión de sesión. Sincronización de la sesión. Administración de la sesión. Nivel de Transporte. Esta capa asegura que se reciban todos los datos en orden adecuado. Realiza un control de transmisor a receptor. Algunas de las funciones que realiza son: 13 Acepta los datos del Nivel de Sesión, fragmentándolos en unidades más pequeñas en caso necesario y los pasa al Nivel de Red; Multiplexaje. . . < .. · . Regula el control de flujo de tráfico de transmisor a receptor. Reconoce los paque.tes duplicados.< • y~, • Nivel de Red. En esta capa• se ~~terrnÍ~~ .~:;·e~t~~lecimiento .de la ruta de transmisión. Algunas de sus principalés:~aracterlsticas son: -, .. --,,_- ·-··:·.-._.:·:,.:--._-;:,"- Verifica las direcciones del' p~qÚete · para determinar los métodos de conmutación y enrutamiento. . Realiza control de tráfico de datos. Nivel de Enlace de Datos. Este nivel es responsable de la transferencia fiable de cada paquete al Nivel de Red. Algunas de sus funciones son: Detección y control de errores mediante el empleo del CRC (Cíe/ye Redundancy Test: Prueba Cfclica de Redundancia). Control de secuencia. Control de flujo de datos. Control de enlace lógico. Control de acceso al medio. Sincronización del trame. Nivel Ffsico. Este nivel engloba los medios mecánicos, eléctricos, funcionales y de procedimiento para acceder al medio flsico. Es el encargado de la activación y desactivación fisica de la conexión. Otras de sus funciones son: Define las características físicas (componentes y conectores mecánicos). Define las características eléctricas (niveles de tensión). Define las características funcionales de la interfaz (establecimiento, mantenimiento y liberación del enlace físico). Solamente reconoce bits individuales, no reconoce caracteres, ni trames mullí-carácter. Por ejemplo RS-232 y RS-449. 1.7. Familia de estándares IEEE 802.xx La IEEE 802.xx es una serie de estándares que fueron establecidos a partir de 1980, con el objetivo de llevar a cabo una conectividad entre las NIC's (Network Interface Cards: Tarjetas de Interfaz de Red), y el medio de transmisión. La familia 802 se divide en trece grupos, en donde a cada grupo se le tiene asignado una tarea específica dentro de las redes. Sus principales características se mencionan a continuación: 14 El estándar IEEE 802 . 1 provee estándares para el manejo de red y cubre desde la Capa Flsica hasta la Capa de Transporte en el modelo OSI. El estándar IEEE 802.2 define el LLC (Logical Link Control: Control Lógico de Enlace), apoyado en el protocolo MAC (Media Access Control: Control de Acceso al Medio). El estándar IEEE 802.3 define una red derivada del Ethernet y su técnica de acceso denominada CSMAICD (Carrier Sense Mu/tiple Access with Coal/ision Detection: Acceso Múltiple con Detección de Portadora y Detección de Colisiones). El estándar IEEE 802.4 describe una red Token Ring con topologla de bus. El estándar IEEE 802.5 fue derivado de las redes Token Ring de IBM, con Topologla en Anillo, utilizando un dispositivo llamado MSAU (Mu/tistation Access Unit: Unidad de Acceso a Estaciones Múltiples). El estándar IEEE 802.6 describe una red MAN basada en tecnologla DQDB (Distribuited Queue Dual Bus: Canal Dual de Cola Distribuida). Los estándares IEEE 802. 7 y 802.8 son comités creados para apoyar y supervisar los desarrollos de tecnologías existentes, que puedan migrar hacia fibra óptica o tecnologías en banda ancha. El estándar IEEE 802.9 se enfoca en arquitecturas e interfaces estándares que permitan aplicaciones de escritorio con servicios integrados de voz, video y datos. Este estándar es compatible con ISDN (lntegrated Services Digital Network: Red Digital de Servicios Integrados). El estándar IEEE 802.10 está ligado con normas de seguridad y cifrado. El estándar IEEE 802. 11 está diseñado para redes locales inalámbricas. El estándar IEEE 802.12 se le conoce como 100VGAnyLAN, y se basa en una Topologia de Estrella y en un método de acceso de competencia, por lo que el propósito de este estándar es de manejar redes de alta velocidad que puedan operar tanto en Token Ring como Ethernet. El estándar IEEE 802.14 normaliza la transmisión de datos sobre cable de lineas deTV. 1.8. Especificaciones para interfaces de red Los adaptadores de red necesitan software capaz de controlar sus operaciones desde el Sistema Operativo de Red. De este modo, las aplicaciones tienen controlados los accesos al hardware del sistema. Este software es un controlador o driver de muy bajo nivel, que es especifico para cada Tarjeta de Interfaz de Red dependiendo del fabricante. Sobre este controlador pueden establecerse otros programas de más alto nivel y que tienen funciones especificas, relacionadas con los protocolos de la red en la que se va a instalar el sistema. A estos programas se les llama packet-drivers , ya que son los encargados de los frames que circulan por la red, además de que sobre la misma Tarjeta de Interfaz de Red puedan soportarse distintos protocolos sin interferencias entre ellos. IS Hay dos tecnologfas básicas para realizar el enlace entre las capas de alto nivel del modelo OSI y la Tarjeta de Interfaz de Red; una de ellas es el NDIS (Network Driver Interface Specifications: Especificación de Interfaz del Controlador de Red) de Microsoft y 3COM y el ODI (Open Datalink Interface: Interfaz Abierta de Enlace de Datos) de Novel/ y Apple. El driver de estas aplicaciones actúa como interfaz entre los protocolos de transporte y la Tarjeta de Red. Tanto el NDIS como ODI se configuran a través de archivos de texto especiales, (PROTOCOL.INI), que indican al driver cómo utilizar los recursos de la tarjeta, asf como los parámetros que definen la red local. Algunos parámetros son el IRQ (lnterrupt Request Une: Petición de Interrupción de Linea) de la tarjeta, el canal DMA (Direct Memory Access: Acceso Directo a Memoria), el tipo de frame de red que se ha de generar, datos de identificación de la red, etc. 1.9. Medios de transmisión Como base del entendimiento de la seguridad en redes de datos, es importante conocer los medios de transmisión entre las computadoras, finalmente es por ahf por donde fluyen los datos y la información critica de las empresas. Dentro del concepto de los medios de trasmisión es importante diferenciar la velocidad de transmisión y el ancho de banda. La velocidad de transmisión tiene como unidad el baud y ésta es la velocidad de señalización igual al número de condiciones discretas o eventos en la señal por segundo. Los bauds son equivalentes a los bits por segundo cuando cada evento en la señal presenta exactamente un bit. El ancho de banda es la diferencia entre la frecuencia más alta y la más baja de las señales de una red, también puede describir la tasa máxima de transmisión de información en un medio de comunicación. El medio de comunicación es el medio ffsico por el que viaja la información entre dos o más equipos, puede ser el espacio si se utilizan ondas de radio o luminosas, un cable si se utilizan impulsos eléctricos, fibra óptica o cualquier otro medio que sea capaz de transportar algún tipo de energía útil para enviar información. La manera en que se realiza esta comunicación es mediante una forma binaria y el ancho de banda de la transmisión se va a ver limitado por el tipo de medio empleado por la red. En el momento de seleccionar un medio para la transmisión, se deben de tomar en cuenta las siguientes características: costo. requerimiento de instalación, ancho de banda, señalización, atenuación y la inmunidad a interferencias. En la transmisión de datos se puede utilizar el cable coaxial y suelen emplearse dos tipos: para las redes de tipo locales cables de 50 ohms (RG58), para señales digitales; y cable de 75 ohms (RG70), para señales analógicas y digitales de alta velocidad. El cable coaxial puede ser delgado (6 mm), llamados thinlan para 10BASE2, con una capacidad de soportar tramos máximos de hasta 185 metros; o los llamados gruesos, thicklan para 10BASE5. que pueden llegar a cubrir tramos 16 de hasta 500 metros. Estos dos tipos de cable pueden soportar un ancho de banda máximo de 1 O Mbps. Otro tipo de cableado utilizado en las redes es el par trenzado, debido a su bajo costo; una característica especial es que el trenzado de los cables evita la interferencia electromagnética, además reduce el ruido producido por las frecuencias de radio que intervienen con los cables y componentes electrónicos, tiene una capacidad de transmisión de 500 Mbps y puede soportar una longitud máxima de 100 m. Estos cables son actualmente los más utilizados, ya que pueden aprovechar la misma conexión para voz y datos, integrando los llamados cableados estructurados. Los tipos de cables de par trenzado son: STP (Shie/ded Twisted Pair: Par Trenzado Blindado) y UTP (Unshie/ded Twisted Pair: Par Trenzado no Blindado). El UTP puede clasificarse en nivel 1, nivel 2, nivel 3, nivel 4 y nivel 5, los cuales dependerán del ancho de banda soportado y de la longitud máxima del segmento. Actualmente los más utilizados son el nivel 1 y el nivel 5. De los cables de par trenzado comentados anteriormente, el que se utiliza en la mayor parte de las instalaciones es el UTP, debido a la flexibilidad que ofrece, lo que facilita su manejo durante la instalación. Es recomendable utilizar el STP sólo en casos en los que existan segmentos de alta interferencia, como plantas de luz, transformadores o cualquier otro dispositivo que se encuentre cerca del segmento a instalar. Los conectores más comúnmente empleados en este tipo de cableados son el RJ 45 y el RJ 11. Otro medio de transmisión no menos importante es la fibra óptica, aparece dentro de la especificación de Capa Flsica 10BASE-FL, éste es el medio más adecuado para transmisión de datos a grandes distancias, ya que se puede extender por kilómetros, soportando un gran ancho de banda y resulta inmune ·a las interferencias electromagnéticas. Aunque la fibra óptica ofrece muchos beneficios, su instalación eleva su costo, principalmente por la extrema precisión con que se tienen que hacer los empalmes o uniones de las fibras. Las nuevas tecnologlas de cables, en conjunto con el desarrollo de nuevas especificaciones para la Capa Flsica, han permitido definir beneficios importantes para transmitir ya sea, a través de cable coaxial, par trenzado o fibra óptica, en todas ellas a 100 Mbps. De ahl se han generado nuevas especificaciones como el 1 OOVGAnyLAN, definido en el estándar IEEE 802.12, tanto para redes IEEE802.3 ó 802.5. Estas redes pueden utilizar UTP o STP nivel 1, 5 o fibra óptica. Otra nueva especificación es el 100BASE-X, también llamado Fast Ethernet, éste puede utilizar UTP o STP nivel 5 (100BASET4 ó 100BASETX) o fibra óptica (100BASEFX). 17 La implementación de redes inalámbricas, en la actualidad, se está incrementando rápidamente debido a los avances tecnológicos. Estos tipos de redes tienen grandes ventajas como medio de transmisión; pero desventajas en el rubro de seguridad, ya que abren la posibilidad de robo de datos o información. Un medio de transmisión, también inalámbrico, muy utilizado principalmente en las redes WAN y MAN, son las microondas, éstas son punto a punto, a nivel terrestre o satelital. Las frecuencias de operación están en el rango de los Gigahertz (GHz} y van de 4-8 GHz a 21-23 GHz y su capacidad de ancho de banda va de 1 a 10 Mbps, las caracterlsticas de atenuación son determinadas por la potencia del transmisor, frecuencia y tamaño de la antena, aunque para altas frecuencias, las condiciones meteorológicas pueden afectar. Como los sistemas de microondas son susceptibles a la interferencia atmosférica y pueden ser vulnerables a equipos electrónicos, tlpicamente los datos para este medio se encuentran cifrados. 1.1 O. Arquitecturas y topologlas de red Las arquitecturas y topologlas de red son importantes factores a tomar en cuenta en la implementación de un sistema de seguridad, ya que basándose en las mismas se podrán deducir los protocolos utilizados. Los protocolos son un conjunto de reglas y convenciones que gobiernan la forma en que los dispositivos de una red intercambian información, y esta información es la que tenemos que resguardar ante su mal aprovechamiento. Las redes integran una variedad de estándares o arquitecturas, cada una de ellas contemplan componentes tales como hardware compatible, protocolos, medios de transmisión y una topologla. Una topologla es un mapa de la red que indica cómo se va a cablear de un punto otro. La definición de una topologla para una red empresarial, va ligada al método de acceso que mejor se adapte a las necesidades de la empresa. Un método de acceso es un conjunto de reglas que definen el cómo los nodos comparten el medio de transmisión. Los métodos de acceso más importantes son: El método de Competencia o Contention. Éste es un método de acceso en el cual los dispositivos de la red compiten por los derechos de acceso al medio ffsico. Se recomienda en aquellas redes donde tienen eventos de ráfaga o burst tales como transferencia de datos intermitentes y para redes con pocas computadoras. Polling. Un dispositivo es el responsable de llamar o transmitir los datos de otros dispositivos. Éste integra un controlador maestro, quién se encarga de verificar si los nodos están listos para transmitir o recibir datos, este método es poco usado en redes ya que tiende a sobrecargar de tráfico la red. 18 Token Passing. Las computadoras toman su turno para usar el medio de transmisión. Para ello utiliza un paquete llamado ficha o token, el cual circula alrededor de la red. Aquella computadora que reciba el token tendrá la capacidad, en forma única, de recibir o transmitir datos y una vez terminado, pasa el token a otro dispositivo. Topologías de Red Una topologla define los arreglos entre nodos, cableado y conectividad de diferentes dispositivos dentro de la red. Ésta contempla dos categorlas: la topologla flsica y la topologla lógica. La primera define el diagrama de interconexión entre los dispositivos y la segunda, las reglas lógicas por donde se van a transmitir los datos. Tanto las topologías físicas y lógicas tienen diferentes formas de configuración. Las topologlas flsicas más importantes son: Topo/ogfa de Bus. Las estaciones de trabajo se conectan a un medio de transmisión común consistente en una linea de cable o bus que corre de un extremo a otro de la red. Su instalación es muy sencilla, pues basta que una estación se conecte al bus para integrarse a la red, por lo que su mantenimiento es relativamente sencillo. Las estaciones de trabajo compiten por el acceso al medio, lo cual se convierte en una desventaja ya que sólo una estación puede transmitir a la vez sin que existan colisiones. Esta tecnologla es utilizada principalmente en redes Ethernet. Topo/ogfa de Anilfo. Ésta se cablea en forma de circulo. Cada nodo es conectado a un nodo vecino y Jos datos van fluyendo de uno a otro. Cada dispositivo integra un receptor y un transmisor, así mismo también, un repetidor que pasa Ja señal de un dispositivo a otro. Dado que la señal es regenerada en cada dispositivo, Ja degradación de Ja misma es muy poca. Esta topología predomina en Jos métodos de acceso Token Ring, en donde el token va circulando alrededor del anillo. Por tanto, aquel dispositivo que tenga el token tendrá Ja posibilidad de transmitir o recibir datos en ese momento. Las topologlas físicas de anillo no son muy comunes, típicamente ésta es más usada a nivel lógico, utilizando una topologla flsica en forma de estrella. Topologfa de Estre/fa. En Ja Topologla de Estrella, los equipos se conectan a un concentrador o hub central. El hub recibe las señales de los dispositivos de red y la trasmite a su destinatario. Estas topologlas pueden estar configuradas en forma de árbol o inclusive pueden ser jerarquizadas. Topo/ogfa de Malla. Éste es un modelo hlbrido ya que puede mezclar todas las topologlas flsicas y lógicas comentadas anteriormente. Asl, cualquier dispositivo podrá ser conectado a cualquiera de las mismas. Cuando un nuevo dispositivo es agregado, se lleva a cabo Ja conexión a todos Jos dispositivos. Por tanto el nivel de redundancia ante fallas disminuye considerablemente, pero a cambio, el nivel de intervención para administración de la misma se eleva, asl como la complejidad del cableado. 19 Arquitecturas de red La arquitectura de red es el diseño de interconexión de todos los dispositivos. tosta integra al cableado, las Tarjetas de Interfaz de Red y los mecanismos por los cuales los datos son enviados de un dispositivo a otro. El camino que siguen los datos en una arquitectura es de extrema importancia, ya que de ella depende el buen diseño de un sistema de seguridad de datos. Para nuestro caso, se analizarán las arquitecturas más conocidas en el mercado. Ethernet. Es la arquitectura, o especificación de red, más utilizada en las redes empresariales, su topologla lógica es de bus, aunque su topologla física puede ser en bus o estrella. tosta última se puede configurar a través de los concentradores. Ethernet utiliza el método de acceso llamado CSMNCD, el cual es un mecanismo de acceso a canal, en donde los dispositivos que deseen transmitir primero verifican la existencia de la portadora en el canal, si no se detecta la portadora en un cierto lapso, los dispositivos pueden transmitir, en caso de que dos de ellos transmitan a la vez, ocurre una colisión que es detectada por dispositivos especiales retardando la retransmisión durante un periodo de tiempo aleatorio. Es importante aclarar que la banda base o baseband, tiene como caracterfstica el siempre utilizar una portadora. La banda base se diferencia de la banda amplia o broadband, ya que ésta última integra múltiples frecuencias de portadoras. Estas redes pueden operar a 1 O ó 100 Mbps utilizando banda base para su transmisión. Las especificaciones de la Capa Ffsica soportadas son: 10BASE2, 10BASE5, 10BASE-T, 10BASE-FL, 100VGAnyLAN y 100BASE- X. Token Ring. La topologfa física se encuentra tfpicamente en forma de estrella, aunque el token utiliza el anillo para pasar de estación a estación. Cada nodo debe conectarse a un concentrador llamado MSAU (Multistation Access Unit: Unidad de Acceso a Estaciones Múltiples). El MSAU tiene la capacidad de determinar si una de las estaciones está fuera de operación y de ahf hacer y dar un salto o bypass a la siguiente estación. Las Tarjetas de Interfaz de Red de Token Ring pueden ser configuradas a 4Mbps ó 16Mbps. Dentro de una red, todas las Tarjetas de Interfaz deben estar configuradas a una sola velocidad. El cableado usado para redes Token Ring lo definió IBM y es el siguiente: o Tipo 1. i:oste es STP, integra dos pares de par trenzado con recubrimiento. La distancia máxima es de 100 metros. o Tipo 2. Usa un total de seis pares de par trenzado con recubrimiento STP y cuatro pares de UTP para lfneas telefónicas. La máxima distancia soportada por segmentos es de 100 metros. o Tipo 3. Es una alternativa de menor costo a diferencia de los tipos anteriores. toste utiliza par trenzado sin recubrimiento UTP y no 20 puede ser utilizado para la configuración de 16Mbps. La máxima distancia de cableado es de 45 metros. Existen otras variantes de cables poco utilizados dentro de Token Ring, algunos son: Tipo 5 para fibra óptica, Tipo 6 llamado Data Pach Cable, el Tipo 8 llamado Carpet Grade y el Tipo 9 llamado Plenum Grade. Red de lnteñaz de Datos Distribuida por Fibra La FDDI (Fiber Distributed Data lnteñace: Red de lnteñaz de Datos Distribuida por Fibra ), es una MAN que sigue un estándar ANSI, pero que fue creada pensando en la compatibilidad con la norma IEEE 802. Sus caracterlsticas generales son: Está orientada hacia redes de área metropolitana, cuya cobertura es de 100 km aproximadamente, los entornos para los que se diseñó son: o Red backend: Concepto tradicional de red, con varias estaciones conectadas a un mismo medio. o Red backbone. Red cuya función principal es interconectar otras redes. Velocidad: 100 Mbps. Topologla flsica: anillo. Topologla lógica: de anillo. Medio flsico: fibra óptica. Alta fiabilidad: se produce en promedio un error cada 2.5X1010 bits y, además, hay posibilidad de que la red se reconfigure y siga funcionando en caso de que se rompa una fibra. Soporta del orden de 500 nodos, aunque no todos transmitiendo al mismo tiempo. Topología FDDI En FDDI la topologla flsica es de doble anillo, asl en caso de que fallase un tramo de fibra óptica de uno de los anillos, se podrla seguir transmitiendo por el otro. Incluso si se rompiesen los dos tramos de fibra entre dos estaciones, el anillo se reestablecerla formando un sólo anillo con las dos fibras, como se ve en la figura 1.2. Aparte de las estaciones, otro tipo de elementos en FDDI son los concentradores, a los cuales se conectan varias estaciones mediante cable coaxial de buena calidad y con longitudes inferiores a 100 metros. Los concentradores también pueden tener una única conexión de fibra SAC (Single Attachment Concentrator: Concentrador de un Solo Enlace), o doble DAC (Dual Attachment Concentrator: Concentrador de Enlace Dual). · 21 Figura 1.2. Topo/ogfa física de FDDI. El A TM (Asynchronous Transfer Mode: Modo de Transferencia Asfncrona) puede ser considerado como una tecnología de conmutación de paquetes de alta velocidad, que cuenta con las siguientes características: Los paquetes son de pequeño y constante tamaño (53 bytes). Es una tecnología de naturaleza conmutada y orientada a la conexión. Los nodos que componen la red no tienen mecanismos para el control de errores o control de flujo. El encabezado o header de las células tiene una funcionalidad limitada. Simplificando al máximo, podemos ver que una red ATM está compuesta por nodos de conmutación, elementos de transmisión y equipos terminales de usuarios. Los nodos son capaces de encaminar la información empaquetada en células a través de unos caminos llamados conexiones de cana/es virtuales. Frame Relay Frame Re/ay, considerado como un estándar industrial, comenzó como un movimiento a partir del mismo grupo de normalización que dio lugar a X.25. Sus especificaciones fueron definidas por el Instituto Nacional Americano de Estándares, fundamentalmente como medida para superar la lentitud de X.25, eliminando la función de los conmutadores, en cada "salto" de la red. Frame Relay proporciona conexiones entre usuarios a través de una red pública, del mismo modo que lo haría una red privada con circuitos punto a punto. De hecho, su gran ventaja es la de reemplazar las líneas privadas por un sólo enlace a la red. El uso de conexiones implica que los nodos de la red son conmutadores, y las tramas deben de llegar ordenadas al destinatario, ya que todas siguen el mismo camino a través de la red. 22 Las redes Frame Relay se construyen partiendo de un equipo de usuario que se encarga de empaquetar todas las tramas de los protocolos existentes en una única trama Frame Relay. La información transmitida en una trama Frame Relay puede oscilar entre 1 y 8250 bytes, aunque por defecto es de 1600 bytes. También incorporan los nodos que conmutan las tramas Frame Relay en función del identificador de conexión, a través de la ruta establecida para la conexión en la red. En Frame Relay, los dispositivos del usuario se interrelacionan con la red de comunicaciones, haciendo que sean aquellos mismos los responsables del control de flujo y de errores. La red sólo se encarga de la transmisión y conmutación de los datos, as! como de indicar cual es el estado de sus recursos. En el caso de errores o de saturación de los nodos de la red, los equipos del usuario solicitarán el reenvio (al otro extremo) de las tramas incorrectas, y si es preciso, reducirán la velocidad de transmisión para evitar la congestión. La clave para que Frame Relay fuera aceptado rápidamente, es su gran facilidad como tecnologla, para ser incorporado a equipos ya existentes: ruteadores, conmutadores, multiplexores, etc., y que éstos pueden, con Frame Relay, realizar sus funciones de un modo más eficiente. Por ello, Frame Relay es una solución ampliamente aceptada, especialmente para evitar la necesidad de construir mallas de redes entre ruteadores, y en su lugar multiplexando muchas conexiones a lugares remotos a través de un solo enlace de acceso a la red Frame Relay. 1.11. Tarjetas de Red Las Tarjetas de Interfaz de Red (NIC), se instalan en una de las ;~n~ra~ 'o ~lots de la PC. Los datos dentro de una computadora fluyen en forma .paralela/laJarjeta debe cambiar la señal a una forma serial hacia el medio de transmisión; Una vez que fluye por el canal de. transmisión, esta. señal serial deberá' .. · _::. , Que los recursos no puedan ser destruidos, corrompidos o _róbados dentro y fuera de la red. _ · - , :,:, ,. .. · · Las fallas que un sistema de red puedan llegar· a teri~r:·se~n Intencionales o involuntarias, se llaman amenazas a la seguridad del ~sistema~- Por ende para determinar la seguridad de una red hay que conocer todas las posibles amenazas que ésta pueda llegar a sufrir, implementando las medidas necesarias para evitarlas lo mejor que sea posible. Una clasificación simple de las posibles amenazas a una red serla el siguiente: Interna/externa. Una amenaza interna es la producida por un malfuncionamiento del hardware o software del sistema de red en si. Una amenaza externa es derivada por un agente externo a la red. Intencional/accidental. Una amenaza que puede ser sometida a un proceso judicial de responsabilidad legal por daños y perjuicios es intencional (el daño inflingido por descuido de algún empleado se puede llegar a evaluar como daño por negligencia); accidental, es en los casos en que la amenaza no pueda ser inculpada a alguna persona. Activa/pasiva. Es activa cuando alguien penetra el sistema de seguridad de la red y su principal objetivo es dañar. Pasiva si el ataque no lleva la intención de dañar (aunque puede resultar un efecto colateral de este ataque). Por hardware. Son ataques a medios físicos del sistema de red, que pueden ser naturales y provocados: los primeros son generalmente atribuidos al envejecimiento propio de los equipos interconectados a la red. Los provocados varlan desde el robo de una parte del equipo de la red hasta el uso no autorizado de algún dispositivo. De software. Amenazas a los programas de aplicación y de sistema de la red. 34 De información. Amenazas a los datos de la empresa, sea intencional o accidental. A la funcionalidad de la red. Pueden ser ·amenazas a las actividades ordinarias de la red, como por ejemplo, a la administración o al monitoreo de la red. Para evitar este tipo de amenazas es necesario contar con un sistema de seguridad, con la capacidad de proteger y asegurar a la red, además de disminuir los efectos de las amenazas sobre el sistema si éstas ya se presentaron. En forma más especifica los objetivos de un sistema de seguridad consisten en: Prevenir daño malintencionado a la red y sus recursos. Prevenir el uso malintencionado del hardware o software de la red. Prevenir el robo de los componentes de la red. Limitar el daño o destrucción de software o hardware tanto por descuido como por accidente. Proteger la privacidad de los datos del sistema. Prevenir el acceso a la red y el uso no autorizado de sus recursos. Teóricamente una red se considera segura si reúne los siguientes requisitos: Está disponible siempre que un usuario autorizado lo necesite. Sus recursos pueden ser modificados sólo por usuarios autorizados. El contenido de información de 'la· red puede ser leido sólo por usuarios autorizados. Las medidas de seguridad a emplearse en un sistema de red pueden ser: Asegurar fisicamente el hardware contra robo, accidentes o daños naturales. Asegurar lógicamente el hardware mediante, por ejemplo, circuitos integrados de cifrado en Tarjetas de Red. Emplear dispositivos de control de potencia como por ejemplo, una UPS (Uninterruptible Power Supply: Fuente de Poder Ininterrumpida). Usar sistemas de servidores con tolerancia a las fallas. Aplicar sistemas de cableado y Tarjetas de Red redundantes. Administrar un sistema de respaldo de información. Implementar sistemas de redundancia de información y datos como el uso de RAID (Redundant Array of lnexpensive Disks: Serie Redundante de Discos de Bajo Costo). No instalar sistemas de copiado de co·s en las estaciones de trabajo. Emplear sistemas de módem con llamada de regreso o callbacks modems para usuarios fuera del sistema de la red local. Inspección automática de áreas del disco antes de escribir en él. 35 Monitoreo de todas las actividades de sesión del usuario. Control de acceso a archivos. Control de privilegios de escritura de archivos para los usuarios del sistema. Uso adecuado de contraseñas de acceso al sistema. · · · Cifrado de transmisiones. Empleo de códigos de autentificación de mensajes y firmas digitales. Reporte de actividades de intrusiones al sistema. · .· · Todas estas medidas de seguridad están basadas en la regla de costo/eficiencia, en donde se toman en cuenta las características particulares de la empresa. Es elemental el saber que entre más medidas se implementen el costo será mayor. Se debe llegar a un punto de equilibrio entre las medidas a tomar y el costo de éstas, sobre los beneficios reales que la empresa obtenga. Existen cuatro niveles de seguridad reconocidos que un sistema de red puede llegar a tener, dependiendo de la naturaleza misma de éste. Esta clasificación es tomada del llamado libro naranja: "Trusted Computer System Eva/uation Criteria", una publicación gubernamental de los Estados Unidos de Norteamérica. La clasificación es la siguiente: clase D, clase C, clase B y clase A. Los sistemas de seguridad e/ase D (seguridad mínima). No pueden considerarse seguros, ya que el Sistema Operativo que gobierna los equipos no dispone de medidas para asegurar el sistema. Tal es el caso del MSDOS. Los sistemas de seguridad clase C (protección a discreción). Se pueden subdividir en dos: C1 y C2, los primeros son sistemas de red como UNIX, que contienen elementos de seguridad consistentes en contraseñas de acceso, permisos de uso de archivos, prevención de destrucción de programas del sistema y restricción del uso de recursos. Los C2 además registran todas las operaciones de los usuarios, restringiendo sus privilegios dentro de la red. Los clase B (protección obligatoria). Ejecutan rastreos de amenazas y protección contra fallas. Son considerablemente mucho más seguros que cualquiera de sus predecesores, sólo superados por la clase A. Los clase A (protección verificada). Emplean algoritmos matemáticos complejos que garantizan en todo instante el óptimo funcionamiento de la red, apegados a la política de seguridad de éste. De lo anterior se desprende que para instalar un sistema de seguridad en una empresa, es necesario primero conocer las necesidades de la misma para, con base en ello, se pueda escoger un sistema que lo respalde. Para asegurar un sistema de red es necesario controlar los elementos del mismo. Existen tres tipos de control que podemos ejercer sobre un sistema de red: el control administrativo, el operativo y el control técnico. 36 El control administrativo. Es un conjunto de técnicas empleadas en la gestión del sistema red. El operativo. Son controles ejecutados por el personal a cargo de administrar el sistema de red. · · El control técnico. Es el efectuado por el mismo ·.sistema de cómputo programado para tal efecto. · ' En el rubro del control administrativo del sistema de red sobresalen dos aspectos fundamentales: · ·· · · Protección de datos. Reducción del tiempo fuera de servicio. Para la protección de datos del sistema, podemos hacer dos cosas: un respaldo de los datos y conectar un sistema de respaldo de energla. · Los respaldos en el rubro administrativo del sistema, se efectúan mediante comandos del Sistema Operativo de Red, enviando los datos a respaldarse a unidades DA T (Digital Audio Tape: Cinta de Audio Digital) diseñadas para tal fin, y son cintas magnéticas de alta capacidad y bajo costo por Gigabyte de información. Existen varios tipos de respaldos que se pueden hacer: completos, incrementales, diferenciales y de copia diaria. Éstos ya dentro de un ambiente de trabajo del Sistema Operativo de Red de Windows. En un respaldo completo se copian todos los archivos de datos del sistema (y algunos programas criticos) a los módulos DAT. En el respaldo incremental se copian sólo los archivos que han cambiando desde el último respaldo. Los diferenciales permitirán respaldar sólo algunos tipos de archivos a conveniencia del sistema. Por último, los de copia diaria son aquellos que automáticamente respaldan la información hayan estado o no en uso. Un sistema de protección de datos mediante respaldos debe estar dentro de un plan de respaldo de datos de sistema. Pudiendo hacerse, por ejemplo, un respaldo diario de tipo incremental o uno diferencial y semanalmente uno completo. La instalación de UPS, es una de las caracteristicas tipicas de la administración de un sistema, para proteger los datos del mismo contra fallas del suministro eléctrico. Consiste en un banco de potencia (tipo baterla) o un pequeño generador de voltaje, que permite que el sistema siga funcionando aún después de que el suministro de energla ha fallado, permitiendo asi, salir del sistema correctamente sin perder datos, como ocurriria en caso de una interrupción súbita, además de evitar una falla del propio sistema al apagarlo intempestivamente. Se pueden agregar estas UPS a los ruteadores de la red para, permitir el apagado lento del sistema, además de que hay unidades UPS con software que avisa cuando una 37 eventualidad ha surgido para cerrar voluntariamente nuestra sesión de red sin perder datos. Para reducir el tiempo de fuera de seivicio de un sistema de red, se han generado varias medidas de acción: Las que sobresalen en el ámbito de administración de red, son las referidas a la misma unidad de disco duro, estas medidas se han llamado de tolerancia a las fallas o fau/t-tolerant y se basan en la redundancia de recursos de información, es decir, se copian los datos doble vez al mismo tiempo, y para lograr esto, se han diseñado las llamadas unidades RAID. En estas unidades de disco, son copiados los datos en uso por el sistema, mediante la tarjeta controladora de disco en diferentes niveles de RAID y proporcionando cada nivel mayor seguridad. Existen seis niveles de configuración de RAID, desde el nivel O al nivel 5. El nivel O no proporciona ningún tipo de tolerancia a fallas. El nivel 1 proporciona un poco de tolerancia a fallas, ya que éste utiliza dos discos para el respaldo de la información. En el nivel 2 la información es escrita en diferentes drives, entrelazando la información. El total de la información es escrita en drives especiales o drives Checksum, que se utilizan como una estrategia basada en la evaluación de los bytes transmitidos en paquetes para la detección de errores, por lo que este nivel es muy lento e inestable. El nivel 3 se asemeja al nivel 2, sólo que éste utiliza un bit de paridad y drives de paridad, en lugar de drives Checksum, resultando más estable que el nivel 2. El nivel 4 es semejante al nivel 3, sólo que un bloque entero (sector) se escribe a cada disco duro en todo momento. El nivel 5 es el nivel más rápido y fiable de les niveles antes mencionados, siendo también el más utilizado, ya que es donde trabaja el Sistema Operativo de Red de Windows NT Server. Básicamente consiste en un sistema redundante donde los bits de los datos en uso se van escribiendo alternados en tercias de discos de RAID. De forma que si se escriben por ejemplo ocho bits de un dato en el primer disco, y otros ocho bits en un segundo, en el tercero se escribirá la suma binaria de los dos discos anteriores. Después los bits del siguiente dato se escriben en el disco segundo y los del siguiente dato en el disco tercero quedando el disco primero la suma binaria de estos dos, siguiendo este ciclo alternadamente. En una falla de alguno de los tres discos se podrá recuperar la información completa con la información contenida en los otros dos. Esta configuración de RAID admite hasta 32 discos a la vez. Dentro de los sistemas de reducción del tiempo fuera de seivicio de la red, se han implementado dos más, que vale la pena considerar aquí: el Servidor Espejo y el Súper Servidor. El primero consiste en dos máquinas tipo seividor, independiente entre si, pero que ambas contienen una réplica del contenido de las dos; de forma tal, que si un equipo falla, el "espejo" lo suplirá inmediatamente, de manera automática mediante un software especial que detecta cualquier contingencia en el equipo. 38 El Súper Servidor es un equipo especialmente diseñado para que ante cualquier falla de algún componente del equipo, éste pueda ser substituido inmediatamente sin necesidad de interrumpir el servicio. 2.1.1. Modelos generales de administración de redes Existen cuatro modelos de seguridad normalme.rite utilizados para la conexión de una red de computadoras. Éstos son: Grupos de Trabajo Este modelo administrativo está diseñado para. operar sistemas como Windows 95, Windows para Workgroups y Windows NT. En un Modelo de Grupos de Trabajo o Workgroups, no hay niriguná base de datos centralizada o servidor que guarde la información en una cuenta de usuario, debido a que este tipo de modelo.de seguridad se encuentra en una red de tipo punto a punto y además hay una o. más máquinas .que tienen recursos para oom~~ · Un Grupo de Trabajo es simplemente un nombre q.'::e . se' le da a un grupo de computadoras para fines de organización. Bindery-Based En este modelo existe un servidor y varios clientes. El servidor tiene una base de datos con cuentas de usuarios en orden alfabético para poder controlar el acceso al sistema, pudiendo también asignar derechos o privilegios de los recursos que la red dispone. Estos derechos o se asignan en una base tipo user-by-user. o una base del tipo group-by-group. ·· .. ·• El servidor también es responsable de contener todos los servicios en la··;~d·y las máquinas-cliente no se diseñan para proporcionar servicio alguno, lo que· permite una dirección más centralizada de la red. · ' ·,• -,· \:.~ <'::>'' Una máquina-cliente sólo se conectará a un servidor central, el cuál autentificará a la máquina-cliente contra la base de datos de cuenta de usuario. El usuario proporcionará un nombre válido que existe dentro de la base de datos de cuenta de usuario o login name y una contraseña o password asociada. Si el nombre y la contraseña existen dentro de la base de datos de cuenta de usuario del servidor, al usuario se le concede permiso para usar la red. En este modelo se tiene el beneficio de centralizar la base de datos para realizar todas las tareas de dirección. Un problema del Modelo Bindery-Based se presenta cuando se tienen muchos servidores en la red, ya que este modelo no permite compartir sus listas de la base de datos de cuenta de usuarios entre los servidores, y debido a esta limitación, un administrador necesitarla hacer la tarea 39 repetitiva de dar de alta al nuevo usuario en Ja base de datos de la cuenta de usuarios para mantener Ja seguridad de Ja red. Modelo de Dominio El Modelo de Dominio o Domain Model, es un modelo de seguridad tipo Cliente/Servidor, que se usa en Windows NT SetVer y OS/2 networks. Es similar a Bindery-Based en su administración centralizada de cuentas de usuario, pero con Ja diferencia de que Ja base de datos se guarda en una o más computadoras conocidas como Controladores de Dominio o Domain Control/ers. Este modelo está diseñado para redes más grandes. Cuando un servidor de Windows NT se instala, se debe de configurar uno de los tres parámetros siguientes para el servidor: El PDC (Primary Domain Control/er: Controlador de Dominio Primario). El BDC (Backup Domain Control/er: Controlador de Dominio de Respaldo). Servidor Miembro o Member SetVer. PDC y BDC realizan esencialmente Ja misma función, guardan Ja base de datos de las cuentas de usuarios, Ja diferencia es que el PDC guarda Ja copia maestra de la base de datos, mientras que el BDC es Ja copla del PDC. Se pueden agregar cuantas BDC se requieran. El papel del Member Server es contener Jos recursos como archivos, impresoras y aplicaciones a las que los usuarios quieran acceder de la red. Por sf mismo, el Member Server no guarda una base de datos de dominio de usuario, pero en cambio da el acceso a los recursos basado en la lista de cuentas de usuarios de los directores del dominio. Los servidores del Member Server no procesan el login del cliente, esta función sólo es realizada por Jos directores del dominio. Algunas desventajas que presenta el Modelo de Dominio son que debe de existir una utilerla separada para realizar funciones administrativas diferentes, es decir, hay una utilerla para crear a Jos usuarios y otra para manejar las impresoras, o si se instalara un servidor del facsímil, habría una nueva utililerla para manejar este servidor del facslmil. Otro problema importante con este modelo, es que no se diseño para soportar no más de 40,000 cuentas. En una cuenta queda registrado el grupo y el dominio al que corresponde Ja máquina, asf, en algunas redes más grandes es necesario crear dominios múltiples. Modelo de Servicios de Directorio El Modelo de Servicios de Directorio o Directory SetVices, también conocido como la norma de X.500, es utilizado actualmente por Banyan Vines, Novel/ NetWare 4.x y higher y Windows NT 5. 40 --~---------------------- Directory Services es un poderoso sistema de seguridad para la red, puede adecuarse desde redes pequeñas hasta redes sumamente grandes, además de que resuelve muchas de las limitaciones vistas en los modelos anteriores. Directory Services está basado en un modelo de base de datos jerárquicos distribuidos. Este modelo permite la dirección de todos los recursos a través de una utileria, proporcionando también un alto nivel de tolerancia a fallas dentro del sistema. En este modelo no se guardan los archivos en un directorio dentro de su propia unidad de disco duro, sino que se agrupan los archivos en los directorios de tal forma que se ponen archivos que se relacionan entre si, para lograr una fácil referencia. Esto mismo se aplica para el servicio de cuenta de la base de datos. En lugar de los directorios, se guardan juntos a todos los usuarios de un trabajo o que acceden a los mismos recursos. De hecho, muchos Directory Services organizan la base de datos de manera similar a mapas orgánicos corporativos. La dirección de recursos no se limita a los usuarios y grupos dentro de una base de datos de servicios de directorio. Otros recursos en la red también tienen los objetos dentro de la base de datos. Asl, cuando una impresora se instala, su objeto también se instalará en la base de datos; la dirección de esta impresora puede, de igual forma, hacerse en la base de datos de servicios de directorio. Esta funcionalidad permite a los administradores usar una utilerla para la mayorla de sus direcciones de la red. Uno de los benficios principales de este modelo es que se puede fraccionar la base de datos en servidores diferentes. Esto significa que si un usuario se agrega en Paris, el servidor de México, no deberá ser actualizado. En un Modelo del Dominio, todas las cuentas del usuario se deben de copiar a .todos los BDCs, siempre que una cuenta del usuario se agregue. En general este modelo es la norma hacia la que todos los Sistemas Operativos están emigrando. 2.1.2. Manejo de cuentas de grupos y usuarios El manejo de cuentas de grupos y usuarios es muy importante para la seguridad de la red. Algunas compañlas podrlan creer que sus documentos cotidianos no requieren de seguridad, pero no consideran sus archivos de nómina u otros datos que son fundamentales para ésta. Windows NT, como un modelo administrativo, presenta una manera práctica de manejar esta información, por medio de cuentas de grupos y usuarios. Cuentas de los usuarios En la mayorla de los casos, una cuenta de usuario se crea para cada individuo en la red y sólo es para uso de una persona. Esto se hace a través de la utilerla "Gerente de Usuario para los Dominios". Esta cuenta de usuario generalmente es 41 un formulario extraído del nombre de la persona y sin que estas cuentas se repitan. En su nivel más básico, uná. cuenta de usuario normalmente contiene las tres siguientes propiedades: Un nombre de usuario o username. Este elemento distingue una cuenta de otra. Una contraseña. Este elemento confirma la identidad del usuario. Deben guardarse las contraseñas individuales de manera privada para evitar accesos desautorizados. Esta propiedad puede ser optativa, dependiendo de las restricciones de seguridad. Los grupos en los cuáles el usuario es un miembro. Estos grupos determinan los derechos del usuario y permisos en la red. Ésta es una propiedad optativa. Existen otras propiedades optativas, como un directorio de casa o home directory (es el lugar dónde un usuario puede guardar los archivos personales en la red} o disponer de información especifica sobre el usuario, como su nombre completo y descripción. Ninguna de estas propiedades es crucial para .el funcionamiento de la cuenta. · < "< /,·'..'>> ~- . En la creación de las cuentas de los usuarios y sus contraseñás0 se debe tener un equilibrio entre la seguridad y facilidad de recordar la ccintraseñá para eli.Jsuario. Las contraseñas deben de tener fechas de expiración, ytienen'qi.Je ser, fáciles de recordar para el propio usuario. "·,: ' , . . ···"' >'· ··,·;;fi :3• .'i·· ,o,:-' ·;;,_>':::~··· Cuentas de grupos ;·:·:·{: :f:·:: "~'· ~'..>:~ :.·.~:.. Después de que el usuario ha sido establecido:•.'el pré>xillló'paso consiste en asignar los permisos apropiados; y debe hacerse creá'ndo. un grupo o un juego de grupos, asignando los permisos a los . grupos, y poniendo entonces al usuario dentro de él o los grupos apropiados. Una red Windows puede incluir dos tipos de recursos de grupos especificos: Global y Local, teniendo cada uno de estos grupos funciones muy especificas. En el Grupo Global. Sólo se pueden crear Grupos Globales, como las cuentas del usuario, en el Controlador del Dominio Primario en el dominio de Microsoft. Estos grupos funcionan principalmente como recipientes para las cuentas del usuario. Se diseñan los Grupos Globales para contener agrupaciones generales de usuarios, como por ejemplo ventas, contabilidad o recursos humanos. El Grupo Local. Puede crear grupos locales, tanto en Windows NT Server como en la Estación de Trabajo o Workstation, pudiéndose incluir en ambos cuentas de usuarios y Grupos Globales, asl como asignar permisos a estos 42 grupos. La premisa detrás de los Grupos Locales es que un administrador puede crear un Grupo Local para un uso especifico. Los permisos Los permisos se refieren especlficamente al nivel de confianza que el dueño de un recurso tiene en las personas con las que él comparte el recurso. Por defecto, Windows NT y Windows 95 comparten los recursos con el mando total, por lo que no sólo se pueden ver los recursos del usuario, sino que también se pueden añadir, modificar, e incluso anular. Un buen compromiso es conceder permisos de sólo lectura, que permiten a otros ver sus archivos o imprimir una copia, pero no modificar ni eliminar. Los derechos Los derechos son atributos generales que tienen usuarios particulares o grupos. Estos derechos incluyen la capacidad de registrar de forma local o de cargar y descargar controladores de dispositivos. Los derechos se refieren al nivel de mando de un usuario en particular o grupos que tienen por encima de un recurso especifico. 2.1.3. Implementación de seguridad por Sistema Operativo Como se mencionó oportunamente al comienzo del presente trabajo, se escogió como Sistema Operativo a Windows, por ser éste el del cliente donde se instalará un Antivirus (AV). uno o más Firewalls, un /OS (Intrusión Detection System: Sistema de Detección de Intrusos), Sistemas de Inspección de Contenido y un Sistema de detección de vulnerabilidades y riesgos. Por ende, durante todo el trabajo cuando se refiera al Sistema Operativo de Red hablaremos de Windows, salvo que se especifique lo contrario. La seguridad impllcita o por Sistema Operativo de Red (NOS) es un tópico de vital importancia para el administrador de la red. Nosotros no pretendemos modificar las funciones administrativas de dicho personal, ya que nuestro trabajo será una implementación explícita con los componentes de seguridad ya mencionados, sin embargo resultará muy útil conocer como se lleva a cabo la seguridad dentro del Sistema Operativo de Red. La base de la seguridad por Sistema Operativo de Red es la creación y la asignación de permisos, para poder usar los recursos de la red; estos recursos varlan desde servicios, como por ejemplo impresión, hasta datos que pueden estar agrupados por carpetas y archivos. Partiendo de los modelos generales de administración de redes, y del manejo de cuentas de grupos y usuarios mediante el uso del NOS, podemos conocer como es posible implementar la seguridad en éste. 43 Al crear y asignar permisos a una carpeta compartida en el NOS (en este caso Windows NT), podemos crear un directorio con un nombre cualquiera y asignarle el permiso de que se pueda compartir, y esto es una asignación de un permiso, en este caso, sobre un directorio dentro del disco que contiene el NOS. Al compartir un directorio estamos dando permisos de lectura (read), además de que también podemos especificar otros permisos sobre de este directorio al compartirlo. En realidad, al otorgar un permiso lo estamos haciendo a un grupo ya sea local o general dentro del sistema. Este grupo puede tener variados niveles· de control sobre el directorio compartido. Al especificar un directorio a compartir, también los subdirectorios y los archivos dentro de éste estarán compartidos. Cuando se asignan los permisos para compartir carpetas, directorios, subdirectorios o archivos dentro del Sistema Operativo de Red debemos de especificar si lo estamos haciendo dentro de una partición de disco tipo FA T (File Al/ocation Table: Cuadro de Asignación de Archivo), que es la más común en un Sistema Operativo básico como Windows 95 ó 98 (W9x), o en una partición del tipo NTFS (Native File System: Sistema de Archivo Nativo para Windows NT) que es la más empleada en servidores de red con NOS. Con el sistema de FAT la seguridad no puede ser completa, ya que muchos permisos y derechos a usuarios no se pueden restringir. En cambio con la partición NTFS es posible realizar restricciones de permisos y derechos a usuarios para uso de archivos y directorios, aún localmente NTFS ofrece mayor seguridad. También podemos agregar que al asignar los recursos de la red para ser compartidos, en nivel de compartir, se trabaja con el Modelo de Dominio del NOS, pero a nivel local es posible trabajar con el Modelo de Grupos de Trabajo o con un Sistema Operativo, por ejemplo W9x. Esto puede reducir costos sobre licencias. En este último caso, si se decide emplear un Sistema Operativo, como W9x, para trabajar con un equipo designado como servidor, la implementación de seguridad puede ser de dos tipos: nivel compartir y nivel usuario. El nivel compartir para un Sistema Operativo es soportado por el Modelo de Grupos de Trabajo y también cuando el equipo es parte del dominio del NOS. Bajo esta premisa la seguridad es mediante asignación de contraseñas para cada directorio o impresora del sistema. Existen tres asignaciones de contraseñas posibles: Sólo lectura o Read Only. En esta asignación se puede entrar a directorios, subdirectorios y archivos sin poderlos borrar, mover o escribir. Acceso total o Ful/ Access. En donde con una sola contraseña se puede acceder a todos los recursos del sistema. Depende de la contraseña o Depends on Password. Donde hay una contraseña para acceso de lectura y otra para acceso total. 44 A nivel usuario, con el Sistema Operativo Local se tiene mayor seguridad, ya que admite una identificación de usuario con su correspondiente autentificación, además de la contraseña necesaria para acceder a los recursos del sistema. Para lograr esto, es necesario tomar prestada una base de datos de usuarios del NOS (por ejemplo Windows ND. Así, el equipo con el Sistema Operativo requerirá los datos para la autentificación del usuario que quiere entrar del sistema a un servidor externo de red. En este mismo nivel de usuario, es posible compartir directorios y la seguridad se trabaja asignándole privilegios a los usuarios o grupos a acceder al sistema. Los privilegios pueden ser de tres tipos: Sólo lectura. Donde no se podrán borrar o copiar los directorios o los archivos dentro de estos. Acceso Total. Donde el usuario podrá realizar cualquier operación de gestión de archivo o directorio en el sistema. A la Medida o Custom. Que es una combinación de privilegios más especlficos, como son: o Lectura de archivos. o Escritura a archivos. o Creación de archivos. o Desplegado de archivos. o Borrado de archivos. o Cambio de atributos de archivo. o Cambio de permisos. En este nivel de usuario, por la forma de trabajo con Sistema Operativo, se puede compartir una impresora; en este caso hay necesidad de habilitar un modo especial para el sistema llamado "modo de cliente" y un servicio llamado "compartir archivos e impresora" 2.1.4. Monitoreo de la red Dentro de una operación de red ocurren eventos relevantes, normalmente invisibles al usuario asl como al administrador. Pero cuando ocurre una falla, son estos eventos los que nos pueden ayudar a determinar cual es el problema, para asi solucionarlo. Monitoreo de eventos ' Un evento es un. Incidente que .tiene algún interés potencial, de hecho, muchos eventos tienen muy poco interés. El visor de eventos supervisa tres categorlas de eventos, los cuáles se almacenan en sus respectivos registros: 45 Eventos de sistema. Son generados por el Sistema Operativo de Red y son almacenados en el registro de sistema. Los eventos que están almacenados en el registro de sistema se dividen en tres categorlas: Errores. Los errores son eventos de sistema que representan una posible pérdida de datos o de la funcionalidad de la red, lo que puede ser un fallo de una unidad o de un componente del sistema encargado de la carga durante el inicio. Alertas. Son menos serias que los errores, las alertas son eventos menores que se deben tener en cuenta ya que pueden indicar fallas a futuro. Las alertas se pueden generar como resultado de eventos, como la proximidad de un disco lleno, por dar un ejemplo. Información. Ésta engloba a los registros "Información", "Seguridad con éxito" y "Seguridad fallida". Se pueden incluir eventos como la sincronización entre controladores o la carga satisfactoria de un programa de base de datos. Eventos de aplicación. Generados por las aplicaciones y almacenados en el registro de aplicación. Los eventos de aplicación representan un número bastante menor que el de los otros eventos almacenados. Las aplicaciones los registran en el sistema y son muy variados. Eventos de seguridad (eventos de auditoria). Generados por el NOS y almacenados en el registro de seguridad cuando la actividad seleccionada aparece o falla. Los eventos de seguridad y el registro de seguridad son el punto de mayor interés para el administrador. Las opciones de los eventos de seguridad que se van a registrar, se configuran en el administrador de usuarios para dominios. Se pueden realizar auditorias de eventos correctos y erróneos en todas las categorlas, por lo que en determinado tiempo podemos tener un registro de sistema de exageradas dimensiones. Se pueden utilizar filtros para seleccionar eventos de acuerdo a los siguientes campos. Ver desde y ver hasta. Utilizados para reducir los eventos por fecha. Tipos. Utilizados para seleccionar el tipo de eventos que se pretende ver. Origen. Utilizado para escoger los eventos que se registrarán en un determinado origen, como, por ejemplo, una unidad. Usuario. Utilizado para ver todos los eventos que ocurren mientras un usuario en particular inicia una sesión. Identificador. Utilizado para ver eventos dentro de una categorla, con una identidad en particular. 46 2.1.5. Tareas de auditoria Un servicio de auditoria rastrea las operaciones sobre Jos objetos. El sistema acumufa información sobre como se usan Jos objetos, almacena información en archivos de registro y permite visualizar eventos para identificar fallos en la seguridad. Si se descubriera un fallo en Ja seguridad, el registro puede ayudar a determinar fa extensión del daño para que pueda ser recuperado el sistema y también puede ser bloqueado para evitar intrusiones futuras. El sistema puede decir cual es la cuenta que está en operación, pero no puede decir quien es Ja persona que está utilizando dicha cuenta. El registro de seguridad del Visor de eventos puede mostrar una lista de eventos por categorfas y por identificador de evento: Administración de Usuarios y Grupos o Account Management. Estos eventos describen Jos cambios de afio nivel en Ja base de datos de cuentas de usuarios, como son Ja creación de usuarios o cambios en Ja pertenencia de un grupo. Seguimiento de Procesos o Detailed Tracking. Estos procesos proporcionan información detallada del seguimiento de un sujeto, como puede ser la activación de un programa, la duplicación manuaf y el acceso indirecto a objetos. Inicio y Cierre de Sesión o Logon/Logoff. Estos eventos describen un intento de Inicio o Cierre de Sesión, y si ha tenido éxito o no. Acceso a Archivos y Objetos u Object Access. Estos eventos describen ambos accesos con o sin éxito a objetos protegidos. Cambio en el Plan de Seguridad o Po/icy Change. Estos eventos describen cambios de alto nivel en la base de datos en el plan de seguridad, como Jo es Ja asignación de privilegios. Cambio en el Uso de Privilegios o Privilege Use. Estos eventos describen ambos intentos falfidos o no de utilización de privilegios. Eventos del Sistema o System Event. Estos eventos indican que ha ocurrido algo que afecta a fa seguridad del sistema entero o del registro de auditoria. El sistema de auditoria puede también ser utifizado para detectar virus. Puede visualizar intentos no esperados para acceder a archivos ejecutables (.EXE) y a bibliotecas de programas (.DDL), o intentos de modificar estos archivos o crear nuevos archivos ejecutables. 2.1.6. Recuperación de datos del sistema Dentro de todo plan de seguridad se debe de tomar en cuenta Ja recuperación de datos en caso de una intrusión, ya que hay información que es muy Importante para toda empresa y de Ja cuál depende. · · ·· 47 Se tienen que identificar las aplicaciones y los servrcros más criticas en fa organización, y de igual forma se tienen que identificar los sistemas de hardware que requieren estas aplicaciones y cualquier dependencia con otros sistemas. Es importante que toda empresa, de acuerdo a sus posibilidades económicas, cuente con equipos de copias de seguridad, que pueden estar conformados hasta por equipos que ha venido desechando, lo que le puede permitir en un momento dado actuar con rapidez en caso de que una emergencia sea suscitada. Las copias de seguridad son las herramientas de recuperación más importantes, por lo que se deben de comprobar constantemente que los procedimientos para restaurarlas sean los adecuados. Los servidores duplicados, como ya se mencionó, pueden proteger frente a desastres locales por copiar información en tiempo real a servidores en otras localizaciones. También se debe considerar la creación de conexiones múltiples entre localizaciones para protegerse de los fallos entre los enlaces. Idealmente estos enlaces deben de estar interconectados, por lo que deben seguir distintas rutas para comunicarse con los proveedores de distintos servicios. Dentro de un plan de emergencia para la recuperación de datos, es importante que se tenga una respuesta inmediata cuando se descubre un problema; además de contar con la gente necesaria para reconstruir los sistemas, reintroducir la información critica que haya sido pérdida o administrar fa restauración de la informaclón sensible. 2.2. Recursos externos de seguridad en redes Dentro de los requerimientos primarios para fa creaclórl:de:.una • ~~d d~nde fa seguridad sea prioridad, sin llegar a entorpecerJél;acCión,:de;compartir·:recursos entre usuarios, es fa creación de normas~ y_, directrices;;que.; conlleven al conveniente uso de los recursos, al igual, que fa interacción de .diversos sistemas que protejan a fa red y sus recursos de ataques externos e internos. 2.2.1. Definición de política de seguridad de red El documento que describe fas caracterlsticas de seguridad de fa red, dentro de una organización especifica, se flama fa polftica de seguridad de fa red. Este documento .·deberá de detallar, de una manera muy completa, todas fas caracterlsticas del sistema de seguridad a implementar, abarcando principalmente los siguientes puntos: Identificación de los recursos que hay que proteger. Identificación de fas amenazas a los recursos a proteger. Como deberá de ser usada fa red. Responsabilidades de cada uno de los usuarios de fa red. 48 Acciones a tomar en caso de que la política de seguridad sea violada. Procedimientos de administración, configuración y recuperación de la red. Una definición adecuada de la polltica de seguridad, conllevará la consulta de varios expertos, dentro y fuera de la organización donde se planea implementar el sistema de seguridad de la red, para que dicha polltica pueda ser efectiva y salvaguarde los recursos del sistema. La polltica de seguridad de la red es un instrumento de trabajo indispensable en el mantenimiento del sistema de seguridad en su totalidad; es como un mapa de referencia que nos permitirá saber con precisión como está funcionando la seguridad de la red, así como, facilitarnos la toma de decisión para tomar las acciones correctivas en caso de ser victimas de un ataque. Para asegurar que la polltica de seguridad de la red sea adecuada a la empresa, es indispensable realizar juntas de trabajo con los miembros experimentados de dicha empresa, esto es para conocer sus necesidades reales de uso del sistema y definir con claridad: Qué recursos deben tener una protección máxima. Protección contra las amenazas en la red. Contra quién queremos proteger estos recursos. La importancia relativa del recurso en si. Las medidas a implementar para proteger estos recursos de-una -manera económica. __ - : -, __ Un plan para revisar la misma politica periódicamente_ y obserlar si los objetivos y circunstancias de fa red siguen vigentes. · La definición de la polltica de seguridad de la red deberá de especificar lo más precisamente posible todos estos factores de una manera clara y veraz. A continuación, a manera de ejemplo, en la tabla 2.1. presentamos algunos aspectos que nos ayudarán a comprender mejor como se lleva acabo, en un principio, la definición de la polltica de seguridad de la red. Esta tabla nos indica, en la primera columna, recursos de la red y como podrlan especificarse para ser protegidos. Mediante un inventario podemos asignarle un número a cada recurso, un nombre y ponderar la importancia que tiene dicho recurso para los usuarios de la red con respecto a su importancia dentro del sistema de red. La segunda columna nos indica el tipo de usuario contra quien podemos proteger el recurso: Interno, externo, huésped o un grupo de usuario dentro de fa red. La tercera columna nos pide que asignemos un número (0-100%) que indique la probabilidad de que el recurso sea amenazado. En la última columna se especificarán las medidas que se hallan seleccionado para garantizar la seguridad del recurso. 49 En este ejemplo se muestra un solo recurso, un disco duro F423, de acuerdo al inventario de la empresa. Pero en una gran organización, esta tabla puede ser una verdadera hoja electrónica, con una enorme cantidad de renglones clasificados según el tipo de recurso de que se trate, hardware, software, datos, documentación, discos y cintas de respaldo, entre otros. Recursos de la red Tipos de Mediadas a usuarios Probabilidad de implementar para contra quien Número Nombre Importancia proteger los amenaza proteger el del recurso recurso recursos Permisos por Grupo de NOS para archivo F423 Disco 90% usuarios de 40% y directorio. duro contabilidad Alarmas de accesos. Tabla 2.1. Tabla auxiliar para implementar la polftica de seguridad de red. El punto fino a recordar en la definición de la política de seguridad de red de la empresa, es que debe de indicarnos la medida más económica posible contra el costo de recuperar un recurso afectado por una amenaza. Al elaborar la política debemos siempre tener en mente que no podemos implementar una medida cuyo costo supere al valor del mismo recurso. Asimismo, para llevar acabo una definición de la polltica de seguridad de la red, es fundamental conocer la importancia de los riesgos, en función de la pérdida del recurso y su importancia dentro del sistema. Este análisis de riesgo es fundamental para definir la política de seguridad de la red, y debe de extenderse a cada recurso dentro de la red, con los criterios de ponderación elegidos adecuadamente por los analistas expertos. La polltica de seguridad de la red de la empresa, deberá de especificar también las responsabilidades de cada usuario del sistema, debidamente jerarquizadas de acuerdo al tipo de grupo de usuario que se trate, ante cualquier contingencia de la red. Especificará quien accesará a los recursos, el uso adecuado para el recurso con respecto al usuario que lo va a usar. Detallará los distintos tipos de abusos que un usuario puede incurrir en el uso de un recurso del sistema, quién podrá obtener acceso a otros recursos dentro de la operación de la red, quién en determinado momento tendrá los privilegios de la administración del sistema. Asl mismo, definirá en detalle el manejo de las contraseñas para los diferentes usuarios de la red, los derechos y responsabilidades de cada grupo de usuarios, cómo se dispondrá de la información de vital importancia o información sensible 50 dentro de Ja empresa y las sanciones por cada falta cometida dentro del rubro de la responsabilidad de los usuarios, de acuerdo a la polltica de seguridad. En este último aspecto hay que considerar que las sanciones por violar la política de seguridad de la red, siendo éstas debidamente clarificadas, publicadas, explicadas, entendidas y aceptadas, deben de ser aplicadas invariablemente de acuerdo a la misma política sirviendo de base para un continuo perfeccionamiento de la misma. En este sentido, la mayorla de las empresas recurren a la estrategia de "proteger y proceder"; esto es, proteger la red y reestablecer el servicio bloqueando al intruso, sin pretender "atraparlo". Hay, sin embargo, empresas cuya información es muy sensible y que por ende eligen la estrategia de "perseguir y consignar", permitiendo al intruso continuar hasta reunir suficiente evidencia para atraparlo y remitirlo a un proceso jurídico. Estas empresas cuentan, lógicamente, con todo un aparato judicial bien consolidado y mecanismos de protección de la información que, sin embargo, permitan al intruso continuar sin que éste perciba que ha sido descubierto. La polltica de seguridad de la red deberá declarar en cada caso las acciones legales a tomar. Por último, la polltica de seguridad de la red desplegará quien se encargará de la interpretación de la misma, o qué comités dentro de la empresa son los encargados de administrar lo concerniente a la polltica de seguridad; quiénes son los encargados de publicarla y enseñarla dentro de la empresa, detallando los itinerarios para las juntas y seminarios de trabajo en torno al aprendizaje de la política de seguridad de la red. 2.2.2. Tipos de ataques Existen varios tipos de ataques a la red, pero el más común es la usurpación de privilegios del administrador. Un punto muy importante que debe enfatizarse sobre los ataques en la red, es que el punto de origen del ataque no siempre estará fuera del Firewall. El riesgo de un ataque interior, dónde el empleado carga un código ejecutable directamente de un disco flexible en el sistema, es tan real como la amenaza de un usuario que entra por la Internet. Sin tener en cuenta donde el ataque se origina, el primer paso es encontrar una vulnerabilidad que conceda el acceso y control al usuario desautorizado. La lista de opciones disponibles para un usuario malicioso es considerable: IP falso. Ataques al servicio File Transfer Protocol. Ataques de frames fragmentados. Uso de Email. Uso del DNS. Ataques a passwords. 51 Ataques al servidor Proxy. Ataques al Servicio de Acceso Remoto. Carga de programas específicos. Exploración de puertos. Manipulación de la secuencia del TCP/IP. Ataques al Web Server. Control del ActiveX. Todos éstos son puntos potenciales de vulnerabilidad, pero ciertamente el mejor ejemplo de un problema conocido es el desbordamiento del buffer. Éste, junto con algunos otros puntos mayores, merece la pena ser mencionados. Desbordamiento del Buffer o Buffer Overflow. Los medios clásicos en los que un usuario desautorizado puede engañar a un dispositivo es desbordando el buffer, y puede ocurrir cuando un programador descuida los parámetros específicos sobre la cantidad de datos que pueden pasar en un campo de entrada. De tal manera que si un usuario llena un campo hasta saturarlo de datos causará el desbordamiento de la memoria local, forzando la aplicación, al punto dónde dicho usuario pudiera asumir el mando. Mala Protección de Contraseñas. Otro punto vulnerable es cuando el usuario desautorizado verifica si el administrador de la red aplica una politica de control de contraseña. En Windows NT las contraseñas son bien conocidas ya que vienen predefinidas y son fáciles de usar; si éstas quedan inalteradas, entonces el usuario desautorizado no necesita usar algo más que una conexión de Internet para tomar el mando. Malware. El software malévolo, o malware, es un término genérico usado para describir '"herramientas de hacker'", que son colecciones de programas que pueden ser usados para explorar una red, determinar sus puntos de vulnerabilidad e incluso descubrir contraseñas.El maiware incluye los kernelkits los cuales pueden usarse para alterar el Sistema Operativo de Red. Otros ejemplos son los olfateadores o sniffers, diseñados para observar e identificar la actividad de la red, e informar sus resultados al usuario desautorizado. Spyware. Es un software por medio del cual se vigilan las actividades en Internet y envía un informe, generalmente al creador del mismo, cada vez que se abre el navegador. Por ejemplo, el Aureate Spy, se instala en los archivos DLLs de los equipos Windows. Este archivo crea una ventana oculta cada vez que se abre el navegador y envía 4 paginas de información a los servidores de Aureate usando el puerto 1749 del sistema, estas páginas incluyen el nombre (según como conste en el registro del sistema), la dirección IP, las DNS de la dirección; les dice qué proveedor de servicios de Internet es usado, el área del país donde se encuentra, y también un listado de todo el software instalado que se muestra en el registro de Windows. El administrador no tiene ninguna manera de saber de que esta acción está pasando a menos que cada máquina se verifique y se supervise. 52 Los virus. Puede usarse un virus para obtener el control de redes, aunque su uso no se restringe sólo a este propósito. El uso de un virus puede formar parte de un frente de ataque para implantar malware, que se usará después para lograr el control completo de la red; alternativamente, estos se podrlan usar para consumir los recursos disponibles, podrlan cambiar o corregir archivos. y generalmente suelen ser una molestia para los usuarios. Los puntos de infección van desde el boot-sector hasta file-types, a través de macros, correo y redes habilitadas. Los más conocidos tipos de virus que hay en la actualidad son los Troyanos y gusanos; estos tienen la habilidad para reproducirse en redes vulnerables (que no cuentan con la vigilancia del usuario). Ataques al administrador. Dado que la principal prioridad de un hacker es obtener el más alto grado de privilegios del administrador, resulta en que la tarea del personal de seguridad de red es prevenirlo a toda costa, o, asegurar que la actividad del intruso pueda ser descubierta y que ésta pueda ser eliminada en un corto plazo de tiempo. Negación de servicios (DoS, Denia/ of service). Éste es el más común de los ataques a redes. En su forma más simple, ocurre cuando una demanda legítima para el servicio no puede responderse por la red, ya que sus recursos disponibles están siendo consumidos por demandas desautorizadas. Este tipo de ataque puede usarse contra un blanco que el usuario no autorizado ha previsto, sólo basta con que éste reúna un numeroso grupo de sistemas, a los que se les llama 'zombies'. Como se muestra en la Figura 2.1, estos zombies (Z) son máquinas infectadas que responden a comandos u órdenes hacia direcciones especificas como una simple demanda de servicio. Normalmente estas demandas se manejarán por una o más máquinas maestras. mientras que la unidad de control opera con una IP falsa para disfrazar el ataque. Cuando una máquina requiere un servicio, la respuesta al recurso es mlnima, pero cuando esta demanda llega al mismo tiempo por decenas de máquinas, el tráfico generado puede 'tirar' al sistema. Es muy fácil lanzar un ataque DoS una vez armado y organizado un grupo de host, redes o máquinas individuales. Existen miles de ataques DoS mensuales. Se tienen como ejemplo al ya famoso Yahoo!, Amazon, y paros de eBay en el 2000, mientras que en 2002 hubo un ataque directo contra los 13 DNSs que habilitan la búsqueda de direcciones de Internet. Existen distintas variaciones de DoS, como reflejar y cifrar las señales para dificultar el poder encontrar la fuente del ataque, y para minimizar la oportunidad que un administrador encuentre que su o sus redes están arregladas. Pero las dos amenazas del Dos permanecen claras; que se puede ser la víctima de un ataque, o que nuestra red está participando 'tirando' el sistema de otro. 53 Figura 2. 1. Negación de servicios provocado por varios host. los ataques están ahora mezclados en caracteres o cifrados, y trabajan en particular con herramientas muy flexibles capaces de asaltar al sistema en una gran variedad de formas. la red debe defenderse por consiguiente de maneras múltiples, con un mayor grupo de herramientas primarias para habilitar esta defensa y manejar los ataques virales, como el bloqueo del tráfico desautorizado dentro y fuera de la red, y monitorear la red para descubrir eventos inesperados (y por consiguiente sospechosos). los elementos en la defensa de la red deben consistir por consiguiente en un Anti- virus, uno o más Firewalls, un Sistema de Detección de Intrusos, Sistemas de Inspección de Contenido y un Sistema de detección de vulnerabilidades y riesgos. Cuando las acciones de estos componentes, tradicionalmente separados, se reúnen con una eficaz política de seguridad, el resultado es un ambiente capaz de bloquear ciertos ataques e identificar las amenazas antes de que el daño pueda ser grande. Esta es una meta realista y completamente factible, y es hacia donde todo administrador de red debe dirigirse. 2.2.3. Antivirus los virus han existido desde principios de los BO's, y anteceden a la Internet por algún tiempo. Sin embargo, esta unión (virus e Internet) se ha convertido en una amenaza global; antes de la interconectividad ofrecida por la Web, las oportunidades para los virus de extenderse estaban sumamente limitadas, y su amenaza se contuvo eficazmente en las redes individuales. Antes de extenderse la Internet a casi todos los aspectos de la vida moderna, el medio más común de infección entre computadoras era un articulo infectado, como un disco flexible o un CD-ROM, y la amenaza era relativamente fácil de contener. 54 La Internet ha cambiado esto completamente. La transmisión de malware y los virus es ahora más fácil. Además, este problema aumenta por el hecho de que los usuarios mal intencionados con pocas habilidades de programación pueden adquirir herramientas automatizadas a través del Internet. La creación de virus por programadores y la disponibilidad de estas herramientas, se han convertido en un serio problema para la seguridad. La amenaza de un ataque por un virus varia de acuerdo al uso del sistema. La facilidad con que un sistema puede ser contagiado por un virus ha obligado el uso de Antivirus (AV), convirtiéndolos en una necesidad. Estudios llevados por el DTI (Department of Trade and lndustry: Departamento de Reino Unido de Comercio e Industria), indica que el 83% de los negocios, incluyendo el 94% de grandes negocios, emplean algún tipo de AV tanto en el escritorio como en servidores. Tipos de virus Un virus puede describirse como un simple código ejecutable, a menudo capaz de infectar o vincularse para unirse al código en una red y reproducirse. Aunque hay literalmente miles de variaciones de virus, pueden considerarse cinco categorlas generales: Virus de sector de arranque o Boot Sector. Este tipo de virus infecta las áreas del disco dónde se localizan las órdenes de Inicialización, comprometiendo la habilidad de la máquina a iniciar desde el disco duro. Virus de archivo o File Virus. Un virus de aplicación se extiende cuando un documento infectado se abre, o cuando se corren o ejecutan las aplicaciones asociadas. Virus de Macro o Macro Virus. Éste es un tipo muy común de virus, algunas estimaciones sugieren que el 75% de virus pertenecen a esta categorla. Los Virus de Macro afectan las aplicaciones de Microsoft Office, utilizado el mismo lenguaje de programación, modifican las características del Office y ejecutan programas sin el consentimiento o conocimiento del usuario. Virus Múltiple o Multipartite Virus. Estos virus infectan sectores de arranque y archivos simultáneamente, siendo muy dificil de erradicar de un sistema a menos que se limpien ambos ambientes totalmente. Virus Polimórficos o Polymorphic Virus. Este virus cambia su código al pasar de una máquina a otra, con el fin de burlar a los AV. Los filtros basados en AV, que buscan caracterlsticas del código, podrfan ser engañados por estos cambios, pero en la práctica la mayorla de sistemas de AV avanzados (Computar Associates, Symantec, McAfee, y Sophos, como los ejemplos obvios) pueden reconocer estos cambios. Aunque los primeros virus tendieron a encajar bastante estrechamente en estos tipos, los virus más avanzados son capaces de poseer varios, o incluso todos los atributos referidos anteriormente. Más allá de estos tipos genéricos, dos 55 variaciones especificas de virus merecen una discusión más en profundidad: los Troyanos y los Gusanos. Los Troyanos. El caballo de Troya de la leyenda era un objeto aparentemente benigno que ocultó una carga útil peligrosa. El equivalente viral moderno trabaja exactamente de la misma manera, con la carga útil que normalmente involucra códigos ejecutables que intentan crear los privilegios del administrador. Otro nombre que reciben es RA TS (Remote Access Trojans: Troyanos de Acceso Remoto). Estos son programas que habilitan el acceso desautorizado a la red una vez instalados en la computadora victima. No todos los Troyanos pueden entregar el mando total de un sistema en las manos de un usuario remoto; la magnitud del mando robado dependerá de la habilidad y las opciones utilizadas por el creador original del Troyano. El riesgo es claro, un reto del administrador consiste en no permitir la entrega del mando a ningún usuario desautorizado. Los Gusanos o Wonns. Los Worms se introducen y viajan entre las redes, se han vuelto las herramientas más sofisticadas en los últimos años, y hoy son capaces de infectar plataformas múltiples, atributos polimórficos los hacen muy difíciles de identificar, pudiendo explotar varias estrategias para impactar en la actuación de la red. Por ejemplo, el tomar listas de distribución de sistemas de Email para distribuirse. Valoración de severidad del virus Cada vendedor de AV categoriza la peligrosidad de un nuevo virus a su propia manera. Algunos virus son nada más que una molestia, mientras otros son capaces de derrumbar una red, desde unos cuantos minutos hasta en algunos días. Para que los administradores determinen qué necesita ser examinado urgentemente, se utilizan los siguientes atributos, para ponderar la importancia de cada virus: Peligrosidad del virus. Habilidad de reproducción. Daño de la carga útil. Valoraciones continuas y un equipo de seguridad que informe de nuevos ataques, así como de ataques. anteriores, debe de ser parte de Ja política de una red. Mantener un conocimiento y control de cambios será un punto importante para asegurar defensas más flexibles que puedan localizar amenazas más severas. Software Antivirus Las soluciones de AV deben adaptarse para responder a las nuevas formas de virus y sus formularios de ataque, la habilidad de poner al día los elementos que nos puedan ayudar a reparar el sistema es el centro del valor del producto. 56 En general, todas las soluciones de AV requieren de tres componentes principales: Aplicación de escaneo. Esta acción proporciona una interfaz entre el usuario y las opciones de configuración presentes en el sistema, que se utilizarán para identificar qué archivos serán examinados. Es necesaria la comunicación entre los usuarios y administradores para manejar esta aplicación utilizando alarmas cuando un virus sea detectado. Un motor de escaneo. Este sistema es responsable de examinar los archivos, pudiendo descubrir líneas de código y/o firmas, o si éste emplea modelos heurísticos, también puede identificar comportamientos anormales en ausencia de un código viral conocido, y lleva a cabo cualquier acción de reparación de archivo, junto con una acción de inmunización. Biblioteca de Definición de Virus. Consiste en una base de datos de firmas de virus conocidos, con instrucciones de acciones a seguir para limpiar y corregir los archivos dañados. Se reconocen a los virus como una amenaza para los negocios de cualquier tamaño y forma. Fabricantes de seguridad y especialistas de administración están convergiendo sus esfuerzos para encontrar un producto que cubra las demandas variantes de este mercado. Las políticas de seguridad se deben bosquejar firmemente. La actualización constante de las vacunas contra virus es necesaria, y siempre debe tomar como base la definición de la política definida para la empresa. 2.2.4. Firewalls Un Firewall es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet, además de que va a permitir que el usuario pueda contar con cierta información proveniente del Internet, siempre y cuando esté permitida por el Firewall de la empresa. Cuando se trata de usuarios externos, este sistema determina quién puede ingresar para utilizar los recursos de la red pertenecientes a la empresa, lo que permite que exista un control en el manejo y acceso a la información. El Firewall es parte de una politica de seguridad integral, que crea un perímetro de defensa diseñada para proteger las fuentes de información. Esta política de seguridad podrá incluir publicaciones con las guias de ayuda, donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, polltica de autenticidad en acceso remoto o local a usuarios propios de la red, normas de tono de entrada o dial-in o tono de salida o dial-out, reglas para cifrar los datos y discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad. 57 Existen tres tipos principales de Firewalls: Filtrado de frames en forma estática. Son extremadamente rápidos, ya que actúan sobre Jos trames de información, en función de unas reglas definidas por el administrador de red. Esto consiste en que se obtienen los trames de información provenientes de Ja Internet, verifica la dirección de red y conforme a Ja programación con que cuente el Firewall, los rechaza o acepta dependiendo si se encuentran o no. Es un buen filtro, pero no es suficiente ya que puede ser vulnerable a ataques, debido a que constantemente hay muchas amenazas por las innovaciones en los protocolos que se realizan. Filtrado de paquetes en forma dinámica. Consiste en que el Firewall verifica toda Ja información del paquete, además de que monitorea el estado de la conexión de dicha información en todo momento. Es más confiable que el primer tipo de filtrado. Servidor Proxy. Actúa como un intermediario para las peticiones de los usuarios, estableciendo una segunda conexión a Ja fuente requerida, de manera que nunca existe una conexión directa entre las dos redes. Dentro de los beneficios que se encuentran disponibles con la implementación de un Firewall, es que va a permitir al administrador mantener Ja red segura contra Jos usuarios desautorizados, pero ello no significa que este tipo de sistema no sea vulnerable a ataques, por Jo que se deberá contar con otros sistemas de seguridad que sirvan de complemento a Ja red. También sirve para simplificar Jos trabajos de administración, una vez que se consolida el sistema de seguridad basado en las politicas de la empresa. Además, Ja seguridad puede ser monitoreada, y si aparece alguna actividad sospechosa, el sistema generará una alarma ante Ja posibilidad de que ocurra un ataque, o suceda algún problema en el tránsito de Jos datos. El administrador de red va a contar con beneficios como Ja auditoria o registro del uso de Internet, lo que va a permitir justificar gastos en cuanto a conexión de IP. Dentro de un Firewall, también se encuentra un traductor de direcciones de red, Jo que permite que se guarden y eliminen las direcciones necesarias, en caso de que la empresa se cambie de proveedor de Internet. El Firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación, como son Jos ocasionados por los usuarios internos en el que la información puede ser copiada y utilizada con fines ajenos a fa empresa. También es vulnerable en cuanto a los virus que puedan ser adquiridos mediante archivos tomados del Internet, lo que puede provocar un daño en Ja red de Ja empresa. Finalmente, un Firewall puede ser vulnerable durante la transferencia de datos, por lo que es recomendable la instalación de un servidor Proxy que va a permitir contar con una mayor seguridad. 58 El costo de la implementación de un Firewall va a depender del número de sistemas a proteger y sobretodo, con que herramientas de seguridad se va a contar, las cuáles deben estar basadas en las políticas de la empresa. Lo anterior permitirá que la información que se esté manejando sea la necesaria, para beneficio de todas aquellas organizaciones que cuenten con Firewalls. También puede implementarse como un hardware o software que se encuentre dentro de un Sistema Operativo de Red. 2.2.5. Sistema de Detección de Intrusos Los IDS, son aquellos que se encargan del monitoreo y registro de todo el tráfico de una red, de tal forma que pueden estos sistemas actuar de manera preventiva ante un ataque, y así evitar daños en la red. La velocidad de respuesta es un factor crítico, por lo que los IDS actúan al Nivel de Aplicación, mediante el uso de diversas técnicas, como son desde la detección de patrones estáticos hasta técnicas de inteligencia artificial y extracción de datos. Existen tres diferentes tipos de IDS·s: HIDS (Host based lntrusion Detection System: Sistema de Detección de Intrusos basado en Equipo). Protegen a un único host, intentando detectar anomalías que hacen suponer un ataque, evitándolo en caso de ser necesario, y verifica la integridad de los archivos del sistema. Generalmente son programas que se ocultan dentro del sistema, para evitar que sean desactivados por el intruso. El HIDS se puede apoyar de Verificadores de Integridad del Sistema, que van a monitorear los cambios en los archivos críticos del host, para evitar modificaciones que afecten la seguridad del mismo. NIDS (Network based lntrusion Detection System: Sistemas de Detección de Intrusos basados en Red). Este sistema de detección va a proteger segmentos de red de la información que entre o salga, para prever ataques como Dos, peticiones mal intencionadas a servidores, etc. Se puede instalar en una máquina para el monitoreo de la red, en la que un administrador de red debe estar pendiente en caso de alarmas que afecten a la misma. Un ejemplo de este tipo de Sistema de Detección de Intrusos es el llamado Etrust IDS. DNIDS (Distributed NIDS: Sistema de Detección de Intrusos Distribuido). Consiste en el monitoreo de varias redes con un enfoque global, cuyo objetivo es encontrar datos que puedan servir a servicios de espionaje que afecten a la industria a nivel mundial. Dentro de una empresa, es recomendable la instalación de HIDS y NIDS en conjunto, para tener una protección a nivel general, de igual forma ar surgir un problema, es necesario que el administrador de red se apoye de dichos sistemas de seguridad, y así evitar que la red o el host se vean afectados. Cuando surge una alarma estos sistemas son capaces de enviar un mensaje de alerta al 59 administrador de red, ya sea vla correo electrónico, pager, desplegado en pantalla o fax, según sea configurado. Dentro de los IDS, pueden existir falsas alarmas, como es el caso del olvido de un password, o el equivoco en el uso de passwords. De igual manera un ataque real puede estar encubierto por una falsa alarma. Los IDS pueden estar de igual forma apoyados por los /PS (lntrusion Prevention System: Sistemas de Prevención de Intrusos), los cuáles son una variación de los IDS, con diferencia en que al detectar una anomalía en la red, automáticamente.actúan sobre el problema. Al hablar sobre este tipo de sistemas de seguridad, es muy conveniente concientizar a las empresas en el uso de este tipo de implementos, que están hechos con la finalidad de proteger la información, aunque también es importante que dentro de la misma empresa, la gente sea parte de la solución y no del problema. 2.2.6. Sistemas de Inspección de Contenido y detección de vulnerabilidades y riesgos El C/ (Content /nspection System: Sistema de Inspección de Contenido). Es un software que detecta la actividad de algún código dañino e interviene inmediatamente para frenar el ataque, valiéndose de la detección, el bloqueo y la notificación automática de todos los contenidos peligrosos. Este sistema ofrece una seguridad proactiva basada en el Gateway de Internet, restringiendo las direcciones y bloqueando el acceso a sitios Web que contengan palabras clave inadecuadas, protegiendo a los servidores de eBusiness contra virus y aplicaciones mal intencionadas de Java, controles de ActiveX y demás códigos que pudieran ser descargables a través del Internet, los cuales pueden dañar al sistema o robar información critica. Con esta herramienta es factible proteger a las empresas frente a las amenazas procedentes de Internet, inspeccionando de modo dinámico el comportamiento del sistema. También permite desplegar y utilizar con seguridad las aplicaciones empresariales de Internet basadas en código móvil. Este sistema ofrece una solución en tiempo real protegiendo a la red empresarial de los archivos ejecutables y las descargas de Internet que no cumplan las políticas de seguridad de la misma empresa, y forma un excelente complemento para los Firewalls y los Antivirus que pudieran encontrarse instalados previamente en la red. Sistema de deteccion de vulnerabilidades y riesgos. Es un sistema de seguridad empresarial que identifica áreas problemáticas potenciales, facilitando su solución y previniendo problemas recurrentes mediante el monitoreo cercano a los sistemas de seguridad. Este sistema realiza una auditoria a las directrices de seguridad que se han programado en los diversos servidores y aplicaciones, desde una sola consola, lo que permite que el administrador realice una 60 evaluación del estatus en la seguridad de los sistemas, detectando fácilmente las vulnerabilidades existentes en la polltica de seguridad y además permite que administre efectivamente Jos riesgos que éstas conllevan. Esta aplicación permite que el administrador rectifique las directrices en los elementos de seguridad con los que cuenta la red, sin perder tiempo en auditar a cada uno de los componentes del sistema de seguridad de la red, reduciendo considerablemente el tiempo en el que un hueco en Ja seguridad queda expuesto, manteniendo lo más cerca de la red en condiciones ideales de trabajo en cuanto a seguridad se refiere. 2.2.7. lnteroperatividad y administración de seguridad Por lo mencionado anteriormente, consideramos que los principales productos de seguridad para la prevención ante amenazas en una red deben ser los Antivirus, los Firewalls, los JOS, los CI y un Sistema de detección de vulnerabilidades. Estos deben de trabajar en forma integrada y no mutuamente excluyente para obtener los mayores beneficios. Esta interoperatividad de los componentes de las capas de seguridad de la red, es fundamental para garantizar que Jos objetivos de seguridad del sistema se satisfagan. Fallas en la interoperatividad abren brechas de oportunidad para ser explotadas por ataques al sistema de seguridad, en lo referente a la prevención de entrada de ataques, detección de amenazas y respuesta a eventos de manera oportuna. Así, los elementos que constituyen nuestro bloque de seguridad deberán de ser seleccionados tomando en consideración su grado de interoperatividad entre cada componente del sistema. Si una solución en una capa, por ejemplo, un poderoso Antivirus, no presenta una adecuada respuesta en cuanto a su interoperatividad con los demás componentes del sistema, deberá de ser descartado. Existen dos enfoques para crear una arquitectura de capas de seguridad: El modelo hlbrido. El modelo consolidado. El modelo hfbrido representa una arquitectura multicapa, donde se han seleccionado las mejores tecnologlas disponibles para cada capa. Por ejemplo: se puede tomar un Antivirus de McAfee que trabaje a lo largo de la red, mientras que Computer Associates puede ofrecer protección en Jos Gateways del sistema y Check Point podrla aportar el Firewall y en Jos routers tener la tecnologla IDS de CISCO. Este modelo hlbrido puede, sin embargo, presentar problemas de falla de interoperatividad de sus componentes. Estas fallas de interoperatividad se pueden reflejar en los siguientes términos: 61 Las soluciones líderes ofrecen una interfaz gráfica, en donde de forma visual se representan las opciones de configuración del producto, asi como una manera de presentar las mediciones y eventos que acontecen dentro del campo de acción del producto. Dichos parámetros vitales para la administración del sistema de seguridad de la red pueden competir entre diversos productos, causando fallas de interoperatividad, por ejemplo, pueden competir con los puertos del sistema. Una de las ventajas de un sistema de seguridad por capas, es que cubre un amplio margen de actividad de la red, pero esta virtud es opacada debido a que Jos distintos productos tienen sus propias consolas de monitoreo de la red, imposibilitando al administrador del sistema poder cubrirlas todas en un tiempo óptimo. Otro término donde las fallas de interoperatividad se puede reflejar, es en lo referente a la actualización de las diferentes soluciones adoptadas, las cuales en un sistema hibrido deben de realizarse una por una, en turno, a varios dispositivos de la red y la necesidad de múltiples reinicias del sistema, perdiendo tiempo valioso y permitiendo incrementar la probabilidad de amenazas al equipo. La responsabilidad en casos de fallas en un sistema hibrido no puede ser claramente establecidas, sobre todo, considerando que los ataques actuales son del tipo multicanal, donde el intruso trata de penetrar al sistema en distintos niveles de seguridad al mismo tiempo. Cuando un producto es actualizado tecnológicamente, antes que otros del sistema, pueden perder comunicación entre si. El modelo consolidado, por otra parte, tomará el menor número de productos (preferiblemente uno solo) para armar su estructura de seguridad de red. En este modelo se han incorporado productos que han desarrollado muy buenas plataformas de administración de red, con soluciones de seguridad multicapa muy atractivas dentro de un marco centralizado y gráfico. Estas ofertas de paquetes consolidados permiten un ahorro, ya que sólo se debe pagar a un solo proveedor con el correspondiente descuento por volumen. Con un modelo consolidado la responsabilidad en caso de falla es fácilmente asignada. Este modelo consolidado ofrecerá la mayor interoperatividad posible en un sistema multicapa como el recomendado, sin embargo, podemos puntualizar algunos rubros donde debemos de tener cuidado al incorporar a la red un sistema consolidado: Un solo proveedor muchas veces no será suficientemente competente al ofrecer una solución óptima en cada una de las capas de seguridad del sistema. Al estar dependiendo de un solo proveedor, podemos vernos en serias dificultades si algo falla, estamos poniendo todos "los huevos en una sola 62 canasta". Debemos por lo tanto tener mucho cuidado al elegir al proveedor de nuestro sistema de seguridad de red. Al ser un único proveedor, los ahorros actuales pueden no serlo, al intentar actualizar el único producto del cual depende enteramente para la seguridad de toda la estructura de la red. Debemos saber explfcitamente cuales son las compensaciones que ofrece el producto, en caso de fallas que afecten a nuestro sistema. Dentro de las consideraciones de la administración de un sistema de seguridad de red, la administración del sistema de seguridad es precisamente el punto clave de todo el proceso de aseguramiento de la misma. Las funciones operacionales del sistema deben de estar claramente establecidas y comprendidas por el personal encargado de la seguridad del mismo. Un sistema excelente puede venirse abajo si el personal a su cargo no ha sido suficientemente entrenado para su uso. Se debe de tomar lo anterior en cuenta, siempre que optemos por un producto cualquiera, sin importar que modelo necesitemos realizar, hlbrido o consolidado. Siempre nos deben de ofrecer todos los medios posibles para garantizar que el personal a cargo de la administración del sistema pueda ser entrenado competentemente en todos los aspectos del producto a implementar. 2.3. Modelos y arquitecturas de seguridad La mayorla de las arquitecturas de administración de redes utilizan el mismo conjunto de relaciones y estructuras básicas. Las estaciones terminales y otros dispositivos de red, corren software que les permite enviar señales de alerta cuando descubren que hay un problema. En el momento en que reciben estas señales de alerta, se pueden ejecutar una o varias acciones, incluyendo la notificación al administrador. Las arquitecturas más utilizadas son: la DMZ (De- militarized Zone: Zona Desmilitarizada) y la MZ (Militarizad Zona: Zona Militar). 2.3.1. Arquitectura de Zona Desmilitarizada y Militarizada La arquitectura de Zona Desmilitarizada, también conocida como red perimétrica, es la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de Firewalls situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastion (entendiéndose por este término al arreglo formado por un par de Firewalls colocados a la entrada y salida del servidor). Es posible implementar una DMZ con un único router que posea tres o más interfaces de red, pero en este caso si se compromete este único elemento se rompe toda nuestra seguridad, frente al caso general en que hay que comprometer ambos, tanto el externo como el interno. También podemos, si necesitamos mayores niveles de seguridad, definir varias redes perimétricas en serie, situando los servicios que requieran de menor 63 fiabilidad en las redes más externas, a estas áreas protegidas se les conoce como Zonas Militarizadas; así, el atacante habrá de saltar por todas y cada una de ellas para acceder a nuestros equipos; evidentemente, si en cada red perimétrica se siguen las mismas reglas de filtrado, niveles adicionales nos proporcionarán mayor seguridad. Estas arquitecturas de Firewalls eliminan puntos únicos de fallo antes de llegar al host bastion. La arquitectura DMZ es más segura, pero también la más compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimétrica como se muestra en la figura 2.2. En esta red perimétrica, que constituye el sistema Firewall's, se incluye el host bastion y también se podrían incluir sistemas que requieran un acceso controlado, como arreglos de modems o el servidor de correo, que serán los únicos elementos visibles desde fuera de nuestra red. El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo pero con el tráfico entre la red interna y la perimétrica; así, un atacante habría de romper la seguridad de ambos routers para acceder a la red protegida o militarizada. IN et Firewall Figura 2.2. Arquitectura DMZ. Estas arquitecturas de Firewall eliminan puntos únicos de fallo: antes de llegar al host bastion (por definición, el sistema más vulnerable) un atacante ha de saltarse las medidas de seguridad impuestas por el router externo. Si lo consigue, como hemos aislado al host bastion en una subred, estamos reduciendo el impacto de un atacante que logre controlarlo, ya que antes de llegar a la red interna ha de comprometer también al segundo router. En caso extremo, si un usuario no autorizado logra comprometer el segundo router, la arquitectura DMZ no es mejor 64 que un solo Firewall a la entrada del servidor. Por supuesto, en cualquiera de Jos tres casos (comprometer al router externo, al host bastión, o al router interno) las actividades de un usuario no autorizado pueden violar nuestra seguridad, pero de forma parcial. por ejemplo, si simplemente accede al primer ruteador, puede aislar toda nuestra organización del exterior, creando una negación de servicio importante, pero esto suele ser menos grave que si lograra acceso a la red protegida. 2.3.2. Estructura por capas de seguridad En la protección de los recursos de una organización, el implementar la seguridad sólo con la utilización de un Firewall, podría dejarla vulnerable a la Intromisión de virus a través del Email, o que un hacker pudiera atravesarlo, en busca de información valiosa. Al tener una estructura por capas es posible minimizar las oportunidades de que los recursos se encuentren comprometidos. Una estructura de capas incluye tener otros elementos de seguridad, además de Jos Firewalls, como son los Antivirus, detectores de contenido y los IDS's. Es de tomarse en cuenta que entre más capas existan, los recursos se encontrarán más seguros, con la desventaja que esto representa, la utilización de monitoreos más complejos y el natural aumento en las tareas de administración. Las politicas que soportan los componentes de software y hardware, son de crucial importancia para la creación de una capa de defensa, para la seguridad de Jos recursos, ya que es ésta quien define las necesidades y aplicaciones a proteger. La relación entre la polltica de seguridad y el nivel de protección, definirá el camino a seguir de la compañia, para adquirir el máximo de seguridad, de acuerdo a los parámetros establecidos. 2.3.3. Métodos complementarios de seguridad El modelo de seguridad de Ja red puede ser integrado utilizando varios componentes colocados alrededor de una polltica central de seguridad, utilizando medios prácticos y previniendo el equilibrio entre el costo y los resultados. La creación de un sistema de seguridad modular ofrece la oportunidad para hacer un armazón que anulará las amenazas conocidas, y advertirá a un administrador sobre las actividades de la red raras e inesperadas. Las tecnologlas útiles en tal armazón serán aquéllas que se han mencionado a lo largo de este trabajo, AV, Firewalls, detectores de contenido, y soluciones de IDS. El concepto de estructura, como una serie integrada de componentes, nos lleva a reforzar el uso de soluciones o servicios en áreas especificas. Este proceso de apuntalar los sitios vulnerables importantes puede ser critico en conjunto para el éxito de todos los otros elementos de seguridad de la red. 65 El servidor del correo electrónico se ha considerado como un punto de alto riesgo, para ésta y cualquier otra organización, y el servidor de Web entra en la misma categoría. Los administradores podrlan agregar capas adicionales de seguridad existentes a estos puntos, por ejemplo, desplegando una solución de AV de un segundo vendedor al nivel del servidor; sin embargo, algunos productos de seguridad especificas se han diseñado para diferentes puntos de peligro dentro de la empresa. Dado que cada compañia posee sus propias necesidades operacionales, es imposible proporcionar una lista confiable de componentes de seguridad útiles, que puedan complementar la polltica de seguridad de sus compañlas; sin embargo, se recomiendan tres áreas generales a considerar, por su importancia para el manejo de una red: cumplimiento de la polltica de seguridad, contenido y filtración de la Web y la auditoria. Cumplimiento de la política de seguridad La polltica de seguridad carece de valor si no se aplica a todos los usuarios, o si los sistemas poseen configuraciones que no reúnen las normas y capacidades mlnimas de seguridad. Por consiguiente, es esencial supervisar elementos tecnológicos y humanos de la red en todo momento. La mayorla de soluciones de seguridad disponibles en el mercado actual, proporcionan soluciones de control centralizadas, además de dar la dirección de actualizaciones de producto. Ésta es una demanda obvia para soluciones como los productos de AV y Firewalls que utilizan la información puesta al dla. Cuando una organización sigue un modelo de seguridad basado en componentes, creando de esta manera una estructura de varias tecnologlas, proporciona un obstáculo mucho más serio a un hacker. Pero uno de los costos inevitables, será una mayor demanda en tiempo y habilidades del personal responsable para la red. El segundo problema con la polltica de seguridad involucra los elementos humanos de la red, es decir, los empleados de la organización. El mal uso e impropio del correo electrónico, por ejemplo, de los usuarios, ha llegado a producir problemas corporativos, por lo que se debe de crear conciencia entre los usuarios de la red, como una medida de seguridad. Contenido y filtración de la Web La habilidad de impedir que cierta información entre a la red, es potencialmente un componente muy útil para agregarse a la política de seguridad. Un buen ejemplo es la habilidad de bloquear el acceso a un URL (Universal Resource Locator: Localizador de Recursos Universa/) específico, no requiere el soporte de algún otro producto en particular; sin embargo, algunos están disponibles para simplificar el proceso. Si en una revisión de tráfico de Web se indica que uno o varios empleados están gastando más tiempo que lo que la polltica permite en sitios 66 como eBay o Amazon (por mencionar algunos), entonces simplemente se bloquean esos URLs. Esto evita cualquier repercusión negativa de empleados que puedan quejarse de que no se les permite la comunicación entre ellos. De igual forma se puede impedir que estos bajen información de la red o que accedan a sitios que son evidentemente sólo para adultos. Si un informe indica, por ejemplo, que se tienen conexiones punto a punto, se presenta una brecha clara a la política de seguridad. Puede que se trate de información que no tenga nada que ver con la compañia, como por ejemplo, el intercambio de música o material de video, produciéndose niveles altos de consumo del ancho de banda, perjudicando la disponibilidad de recursos cuando son requeridos por el negocio. El ancho de banda es caro de mantener, y hay una tendencia fuerte a pagar por medios de transmisión de mayor capacidad, en lugar de manejar lo que ya se tiene de manera más eficaz. También se tiene el inconveniente de que dicho archivo podría portar un virus. Si el riesgo de acceder un servicio no tiene ningún propósito comercial, entonces el riesgo no debe tomarse en absoluto. La auditoria La necesidad de intervenir la actividad de la red debe ser una prioridad clara por el administrador. Saber que se está haciendo, por quién y en dónde, y qué recurso . se está consumiendo en la red. El uso Inesperado de recursos resalta a menudo la actividad del "computomaniaco", por lo que esta información resulta ser muy valiosa. Las herramientas de la auditoría pueden ser consideradas como los componentes para simplificar la adquisición y presentación de datos de la red, que tienen valor considerable para la estructura de seguridad. En caso de un fracaso de la red debido a una falla de seguridad, puede ser crucial determinar lo que ocurrió para minimizar el tiempo exigido en devolver al estado totalmente operacional a la red. En este caso, está también claro que la Información de la auditoria necesita ser guardada debidamente contra intrusos, los que intentarán modificarla para cubrir sus huellas. 2.3.4. Estándares e instituciones reconocidas en seguridad Hay una gran variedad de estándares e instituciones responsables para el análisis de las soluciones y productos de seguridad. En esta sección se mencionan algunas de las más sobresalientes. CERT (Computer Emergency Response Team: Equipo de Respuesta a emergencias en cómputo). Este grupo de trabajo, con centro coordinador en el Instituto de Software de fa Universidad de Carnegie Mellon, tiene a su cargo, la respuesta oportuna a las amenazas que llegan a ocurrir en toda la Internet: tales como ruptura a sistemas de cómputo, denegaciones de servicio, etcétera. Además de que es responsable de la publicación de una serie de documentos sobre 67 vulnerabilidades de sistemas que vayan apareciendo en Internet, comentándolas y haciendo recomendaciones para incrementar la seguridad de Internet como un todo. El sitio de este equipo de trabajo se localiza en Ja siguiente dirección de Internet: http://www.cert.org. ITSEC (lnformation Technology Security Evaluation and Certification Scheme: Esquema de Certificación y Evaluación de Seguridad de la Tecnologfa de la lnfoirmación). Este estándar permite conocer si algún software comercial proveerá de un nivel de garantla de seguridad. El software es probado en forma independiente del proveedor y es examinado contra un criterio estándar mediante una metodologia formal. Este estándar tiene por sede en el Reino Unido a Ja CESG (Communications Electronics Security Group: Grupo de Seguridad en Comunicación Electrónica) y es adoptado también por Jos siguientes países: Francia, Alemania, los Países Bajos, Finlandia, Grecia, Italia, Noruega, España, Suecia y Suiza. El ITSEC define siete niveles de garantía de seguridad que un producto puede ofrecer; desde el más bajo (EO) que indica que "el producto fallo Ja prueba" hasta el más alto (E6) que indicará que ef producto si cumple con todas las especificaciones. Este estándar es accesible en Ja siguiente dirección de Internet: www.cesg.gov.uk. . - .·,,,., Los niveles de clasificación, llamados _de aseguramiento, _ que, utiliza - esta institución son Jos siguientes: - - · - - EO. índica un funcionamiento inadecuado y qLie el producto ha fallado en la prueba. E1. Un nivel básico de funcionamiento, que ha pasado -varias normas y métodos de la documentación. E2. El vendedor ha proporcionado un plan detallado informal y documentación de pruebas. Acredita la prueba y Ja del diseñador. E3. El vendedor ha proporcionado el código fuente y de diseño, mostrando correspondencia entre éste y Jos fines a alcanzar. E4. El vendedor ha proporcionado un modelo formar de seguridad, arquitectura y de diseño. Comparado con ef criterio anterior, también logra acreditar Jos criterios de seguridad. ES. El diseño arquitectónico explica la interrelación entre Jos componentes de seguridad, incluidos en ef criterio para transferir información sobre procesos de integración y librerías que se han corrido. E6. El vendedor ha proporcionado una descripción formal de Ja arquitectura y funciones de seguridad. Se ha proporcionado correspondencia entre Ja especificación formal de las funciones de seguridad a través def código fuente y pruebas. Este estándar es muy confiable, ya que es una entidad independiente de alguna compañía proveedora de software de seguridad. 68 IACS (lnformation Assurance and Certification Services: Servicios de Aseguramiento y Certificación de la Información). Un servicio de certificación desarrollado para responder a la demanda creciente de productos y sistemas de seguridad. Este estándar es adoptado por más países que eí ITSEC y tiene también, su sede en el Reino Unido en la CESG. Los países que han adoptado este estándar son principalmente: Australia, Nueva Zelanda, Canadá, Francia, Alemania, Reino unido, Estados Unidos, Finlandia, Grecia, Italia, Israel, Países Bajos, Noruega y España. Los productos usados en México, son importados de alguno o algunos de estos países. La IACS como un estándar de certificación en seguridad de productos de la tecnología de la información se compone de las siguientes secciones fundamentales: Un Criterio Común (CC). Derivado del ITSEC, y que incluye los estándares de pruebas y reporte de pruebas: EN45001 e IS017025, en su conformación. Este elemento del estándar permite una certificación del producto en un plano internacional. El SYS (Leve/ System Eva/uations: Evaluación de los Niveles del Sistema). Utiliza las pruebas y metodologías de revisión del ITSEC y. del Criterio Común. Sin embargo, esta certificación no es reconocida internacionalmente. Las Valoraciones Registro Rápido o Fast Track Assessments. Los usuarios de esta sección del estándar requieren seguridad informal -- en la funcionalidad de un producto. Es un servicio pensado para usuarios específicos y no se otorga certificado. Una Revisión de Inmunidad o Health Check. Que otorga un servicio de verificación de las vulnerabilidades conocidas para un sistema de seguridad o producto de seguridad. Cifrado de Datos o Cryptography. Se proveen servicios de verificación criptográfica para cumplir con estándares gubernamentales, además de verificar la correcta implementación de soluciones de seguridad en redes y sistemas. IPSec (Internet Protocol Security: Seguridad del Protocolo de Internet). Es un nuevo estándar de seguridad proveniente del IETF (Internet Engineering Task Force: Fuerza de Trabajo en Ingeniar/a de Internet), define las características que debe de tener el protocolo mismo de Internet, y opera en la Capa de Red del modelo de referencia OSI. Muchas aplicaciones para Internet toman como punto de partida a este estándar para la elaboración de sus programas. El IPSec se ocupa principalmente de los siguientes dos aspectos de seguridad del protocolo de Internet: 69 ESP (Encapsulating Security Pay/oad: Seguridad del Encapsulado de la Carga Útil). Se refiere a la seguridad del contenido de los trames que circulen por la Internet. AH (Authentication Header: Autentificación del Encabezado). La seguridad que debe imperar para el manejo del encabezado de un frame. OPSEC (Open Platform for Security: Plataforma Abierta para Seguridad). Este estándar, originario de la empresa de seguridad Check Point, pero que actualmente cuenta con unos 300 socios, provee a Jos desarrolladores de software de seguridad de una estructura sólida que les facilite poder edificar soluciones de seguridad, tanto a nivel de aplicaciones integradas como de plataformas de desarrollo de software. Muchos productos cuentan con el certificado de Ja OPSEC y garantizan su confianza. Plan SEGURO (SAFE B/ueprint). La empresa Cisco, /ne., ha desarrollado SAFE B/ueprint. Éste está basado en la Arquitectura de Cisco para voz, video y datos (AWID). Esta arquitectura está pensada para ayudar a los negocios a competir en "la Internet". SAFE B/ueprint cubre la seguridad en redes para: Empresas. Usuarios remotos. LANs Inalámbricas. Telefonía JP. ICSA. (lnformation and Computer Security Association: Asociación de Seguridad para la Información y el Cómputo). Los Laboratorios de JCSA son una división de la sociedad TruSecure. Su sitio Web (www.icsalabs.com) menciona que "la meta para la ICSA es reforzar y mejorar aplicaciones de seguridad de red e Internet mejorando la seguridad comercial con el uso de productos de seguridad apropiados, servicios, políticas, técnicas, y procedimientos". Actualmente, los Laboratorios de JCSA reconocen que su certificación no ampara que los sistemas sean impenetrables, pero si que pueden reducir significativamente el riesgo de ataques a Ja vulnerabilidad de Jos sistemas. ISMS (The Standard for lnformation Security Management System: Estándar para la Administración de Sistemas de Seguridad de la Información). Es un estándar de enorme importancia actual en el rubro de Ja seguridad de la tecnología de Ja información. Más frecuentemente conocido como el estándar BS7799, de procedencia británica, pero acogido en forma universal, nos especifica las características que un sistema de seguridad efectivo debe de tener, así como, los pasos a seguir para lograrlo. IS017799. Este estándar creado para ofrecer una referencia internacional que asegure un óptimo desempeño de un sistema de información seguro dentro de una compañía. Abarca todos los aspectos de seguridad de una red. Basado en el estándar británico BS7799, revisado y actualizado hasta mayo de 1999 y meses 70 después, en diciembre del 2000, aprobado como el estándar internacional ISO 17799. Este estándar está compuesto por diez secciones: planeación de la continuidad del negocio, sistema de control de accesos, mantenimiento y desarrollo del sistema, seguridad física y ambiental, fidelidad con otras entidades, seguridad del personal, seguridad organizacional, administración del equipo de cómputo y la red, control y clasificación de recursos y valores de la empresa y todo Jo referente a Ja política de seguridad que una empresa debe de tener. El ISO 17799 se ha convertido en un punto de partida que garantiza la efectividad de nuestro plan de seguridad. Nosotros basaremos nuestro desarrollo e implementación en este estándar y se verá reflejado en la sección correspondiente de este trabajo. 2.3.5. Metodologías de comparación de productos La clave para escoger la metodología adecuada para seleccionar un tipo de producto, será siempre el nivel de protección requerido, contra lo que se está protegiendo del sistema. No podernos elegir un producto que sobrepase el costo de lo que se desea proteger. Aunque existen una multitud de enfoques a seguir para establecer criterios de comparación de productos en el mercado, para poder escoger al mejor en nuestro caso particular. Definiremos primero los aspectos que queremos comparar, puesto que los consideramos necesarios para nuestra red. Dentro de los aspectos a considerar destacan unos indicadores de mercado o directrices, que nos ayudarán a seleccionar a los mejores productos para nuestra red. Estas directrices del mercado de seguridad son: Popularidad. Esta directriz nos indica que tanto un producto de seguridad está siendo empleado. Un producto en general, no una marca particular; así, por ejemplo, podernos detectar si se está empleando más un sistema contra virus o uno de detección de intrusos, un Firewall, o algún otro. Existen dos peligros al considerar esta directriz como método auxiliar en la selección de un tipo de producto a emplear: la prensa y los vendedores. En el primer caso, muchas veces se exagera la importancia de contar con una medida de seguridad, por ejemplo: un Antivirus, siendo que quizás nos convenga invertir más en un Firewall, por ejemplo, y seleccionar un Antivirus en segundo término. En el caso de los vendedores, tenemos que cuidar que muchas veces exageran la importancia de su producto; si es éste un IDS, por ejemplo, nos pueden querer convencer que es el más importante dentro de la mezcla de seguridad de la red y reelegar Ja importancia de un Firewall, por ejemplo, si la compañía que representan no lo proporciona. Incremento de conectividad. Esta directriz nos puede guiar también a conocer que productos son los empleados con mayor frecuencia por otras empresas. El incremento de redes interconectadas acarrea una gran demanda de productos de seguridad y por ende, de competidores; 71 entonces será el indicador que muestra en que aspectos de la conectividad está interviniendo algún producto de seguridad. Estándares. Esta directriz indicará si algún producto está, o no está, de acuerdo con los "estándares de seguridad de red", como se definió anteriormente en este trabajo, acerca de la importancia de los estándares de seguridad de red. Este rubro puede ser decisivo para seleccionar un producto en particular. Tecnologfa. Las mejoras tecnológicas se reflejan en el mercado inmediatamente y pueden ser la explicación de la selección de un producto o una marca en particular. Estas mejoras deberán de ser plenamente identificables y cuantificables, para no caer en productos mejorados sólo en su apariencia o diseño exterior, en vez de su funcionalidad. Integración de productos. Esta directriz nos marcará si el producto que queremos estará perfectamente integrado en todos los niveles establecidos de seguridad del sistema. Una falla en este aspecto puede resultar en una mala selección del producto. También el enfoque unificado o consolidado, donde se recurre a un solo proveedor de servicios de seguridad, debe de considerarse, ya que no obstante, sus sistemas están bien integrados, a veces es una solución poco práctica para empresas pequeñas. Percepción de complejidad. Se dice que la tecnologia de la información es compleja, esto puede originar compras por encima de las necesidades reales de la empresa. Esta directriz nos posicionará con productos accesibles y de fácil uso, que puedan sencillamente calificarse. Sin descuidar, lógicamente, el aspecto de su funcionalidad. Solución única. Existen, además, empresas que han querido implementar una solución de seguridad completa para sus clientes, sin ser un producto totalmente consolidado. Estas empresas han implementado una medida llamada de fin a fin o "end to encf', donde pretenden abarcar a todo el complejo de la red. Hay que considerar esta directriz, para observar si la solución prometida realmente cumple con las especificaciones publicitadas, o es una medida producto de la fusión de está empresa con subsidiarias alquiladas para completar el "paquete". Dentro de las metodologias de comparación de productos de seguridad, además de las directrices, también debemos de ver ciertos aspectos de adopción de un producto de seguridad para una compañia en particular. Entre estos aspectos destacamos los siguientes: RO/ (Return On lnvestment: Retomo de la Inversión). Este es un problema en el campo de la seguridad; es como conocer cuando la inversión hecha para una solución de seguridad será retribuida con una ganancia de capital. En este aspecto, debemos de pensar como en una inversión por aseguramiento, como un seguro comercial, y considerar más bien el costo que provocarla una amenaza real para nuestra empresa, de perpetrarse ésta; cuánto daño nos costarla de no tener implementada la medida de seguridad. 72 Soluciones modulares. Este aspecto nos mostrará que la medida puede suministrar una solución de seguridad adquirida por etapas, de acuerdo a nuestras necesidades reales de seguridad. Estos módulos adquiridos pueden estar debidamente integrados mediante un tipo de programa API (Application Programming Interface: Interfaz de Programación de Aplicaciones), el cual nos presenta en una sola consola de mando y administración todos los programas de seguridad que vayamos adquiriendo. Nosotros, sin embargo, preferiremos la solución consolidada, con un solo proveedor, debido a las razones expuestas en la sección correspondiente a "interoperatividad" de este trabajo, y a las necesidades de la empresa en la cual instalaremos nuestro sistema. Pruebas independientes. Este aspecto nos permitirá verificar si la solución que buscarnos adquirir está realmente certificada, con base en los estándares de seguridad, corno los expuestos en la sección "estándares de seguridad" de este trabajo (ITSEC, IACS, IPSec, OPSEC, ICSA labs Certification). También podemos contratar una empresa que pruebe definitivamente si el producto a adquirir efectivamente es competente para evitar alguna amenaza. Esta empresa intentaria penetrar nuestro sistema de seguridad instalado y si lo logra, la solución puede ser descartada. Por último, dentro de la rnetodologia para seleccionar los productos de seguridad se deben considerar también las siguientes áreas: Costos adiciona/es de operación. Si al comprar algún producto éste no demandará recursos adicionales que deberán de ser Incluidos en el costo total del producto, muchas empresas esconden este factor, previendo luego que el cliente deberá de solventar estos costos. Facilidad de uso del producto. Siempre el producto más fácil de usar será el que nos moverá a emplearlo, ya que será inevitablemente más seguro y su uso podrá ser plenamente entendido. Pre-configuración. Muchos productos vienen previamente arreglados para combatir eficazmente la mayoría de las amenazas actuales, este aspecto es importante al comparar la calidad de pre-configuración con que cuenta un producto dado. Alertas y reportes. La calidad de su sistema de comunicación con el administrador del sistema es un área vital para comparar un producto. Si un producto no tiene una plataforma eficaz para advertir al administrador de una amenaza en curso, puede provocar una error de decisión grabe, implicando una falla de seguridad. Respuesta ante nuevas amenazas. Al elegir un producto, debemos de verificar si éste está preparado para actualizarse rápidamente contra las nuevas vulnerabilidades que vayan apareciendo en la red. Se seleccionará siempre al producto con el mejor sistema que permita una respuesta inmediata a un nuevo riesgo de seguridad. Expansión en el mercado. Igualmente consideraremos si la solución ofrecida está siendo demandada por otras empresas, ya que en el campo 73 de la seguridad, tenemos que confiar que nuestro proveedor estará lo suficientemente fuerte en el mercado para ofrecer la mejor solución de seguridad a largo plazo. Estrategia. Este aspecto nos ayudará a decidir el producto adecuado para nuestra red, al reflejarnos que inventiva empleará el proveedor del servicio de seguridad para continuar existiendo en el mercado. Un proveedor demasiado temerario posiblemente no sobreviva al embate del tiempo. Con todos estos puntos a considerar, podremos elaborar unas herramientas que nos permitan elegir el producto más adecuado a nuestro sistema. 2.3.6. Comparación de estrategias de proveedores En cuanto al desarrollo de los sistemas de seguridad, se analizarán las estrategias de siete de los principales proveedores que ofrecen sus servicios en el mercado de sistemas de seguridad. Cysco Systems, lnc. Esta empresa se ha caracterizado principalmente por la venta de routers y switches. En lo que refiere a la seguridad en redes, nos presenta el denominado sistema SAFE Blueprint, en donde se encuentran Firewalls, como el modelo PIX 515E, que son Firewalls reconocidos en el mercado y que están dirigidos a pequeñas y medianas empresas. Estos productos presentan deficiencias en cuanto a la seguridad que proporcionan, por lo que al implementarlos en una red tienen que estar apoyados de software adicional. Pueden ser sencillos en su manejo pero no muy funcionales. En cuanto a los IDS"s, se presenta la serie 4200, que para su implementación dentro de una red se debe de adquirir producto adicional como el CiscoWorks Monitoring Center for Security, que lo hace más confiable, pero que aumenta el costo para la empresa, por lo que no lo hace un producto muy competitivo dentro del mercado. Check Point Software Technologies Este proveedor se enfoca al mercado gubernamental, finanzas, inmunidad y ventas al mayoreo principalmente; además de que es una de las más importantes en cuanto al desarrollo de Firewalls se refiere. Su fuerte relación con Nokia le ha permitido la entrega de hardware con el nombre de Nokia. En cuanto a sus ventas se refiere, se enfoca a grandes empresas y a la solución de sus problemas, mediante un contacto directo, lo que le ha permitido un gran posicionamiento en el mercado. Su producto es el denominado OPSEC (Open Platform for Security: Plataforma Abierta de Seguridad) que permite la integración y estandarización de una red. 74 Dentro de los Firewalls, su modelo principal es el Nokia IP330 con una VPN-1, que a diferencia de sus competidores, una vez que se adquieren sus componentes adicionales, resulta simple su manejo y muy funcional. Computer Assoclates Esta empresa se ha preocupado por conocer los problemas, las necesidades y las capacidades con la que cuentan sus clientes; por lo que su estrategia de mercado se basa en proveer soluciones en cuanto a seguridad en redes se refiere, de manera ascendente y para todos tamaños de empresas, de tal forma que conforme crece la empresa. Las soluciones que ofrece también se desarrollan a mayor escala, lo que le ha permitido tener gran aceptación en el mercado. Dentro de sus productos presentan el AV e Trust 6.0, resultando muy eficiente y no requiere de complementos adicionales. En cuanto a IDS"s se presenta el eTrust lntrusion Detection 2.0, que es muy versátil, se amolda al tamaño de la empresa, por lo que entre mayor sea la red, va a requerir de componentes adicionales, que le permitan un manejo eficiente en cuanto a seguridad en la red se refiere. Entercept Security Technologies Esta empresa está enfocada a medianas empresas. Sus productos tienen la caracterlstica de poder operar con otros sistemas, su alianza con Cisco es lo que le ha permitido salir adelante. · · · Dentro de sus productos presenta un Sistema de Prevención de·· Intrusos, denominado Entercep 2.5, y que sólo puede ser desarrollado sobre plataformas Linux, UNIX y AIX. Network Associates Esta empresa se ha enfocado en la implementación de un si.stemade seguridad basado en herramientas eficientes de defensa, apoyadas . en . fas pollticas de seguridad de los clientes. · Su principal producto es el McAffe Active Virús Defence, reconocido más por su uso a nivel residencial, pero que puede contar con· .. otrcis complementos cuando se trata a nivel de red, como es el ePolicy Orchestrator." · Sophos Ple. Esta compañia se enfoca a todo tipo de empresas, de cualquier tamaño, y sus Antivirus se encuentran dentro del producto QoS (Quality of Service: Servicio de Calidad). Sus principales productos son Sophos Antivirus, MailMonitor y Entreprise Manager y se caracterizan principalmente por sus procesos de actualización y el soporte que proporciona a sus clientes. 75 Symantec Corporation Es una de las principales proveedoras en cuanto a sistemas de seguridad se refiere, y esto se debe a que ofrece soluciones en todas las áreas en lo referente a seguridad. También ofrece el llamado "lntemetworking", que es capaz de proveer la infraestructura de red que permita una eficiente fluidez de la información, con la confiabilidad de que la información va a ser manejada con gran seguridad e integridad en donde sea requerida. Dentro de sus productos se encuentra el Symanlec Antivirus Enterprise Edilion 8.5, que ha tenido gran aceptación en el mercado, debido a que permite al administrador de red desarrollar habilidades en cuanto a seguridad se refiere. Presenta la limitante de que no se pueden establecer reglas fuera de las que ya vienen configuradas. En cuanto a Firewalls, se encuentra el Symantec Enterprise Firewall 7.0, que es enfocado a medianas y grandes empresas y todo el software que sea requerido es proporcionado por Symantec. 2.3.7. Evaluación y comparación de otras tecnologías Los siguientes productos que se presentan están enfocados a ofrecer soluciones en la administración de sistemas de seguridad. Tienen la capacidad de ser utilizados en diferentes Sistemas Operativos, además de que permiten el manejo de la gente que conforma la red de la empresa. Hay empresas que han sobresalido en el manejo de este tipo de soluciones, como son: /BM Tivoli y Active Ned Steward. IBM Tivoli Risk Manager 4.1 Esta solución está diseñada para minimizar la complejidad que puede existir para la administración de un sistema de seguridad en una red, debido a que integra diferentes aplicaciones dentro de la red, como son los Sistemas Operativos, routers, Firewalls, IDS's y demás dispositivos que se encuentren conectados. Lo anterior permite al administrador de red el manejo de ésta de manera segura, aunque no sea un experto en lo que respecta a los sistemas de seguridad, creando un sistema de seguridad inteligente y autónomo. Esta solución está enfocada básicamente a empresas grandes, debido a que está diseñado para el soporte de este tipo de infraestructuras. Active Ned Steward Éste ha sido desarrollado por una empresa inglesa de nombre Security Designers, y cuyo producto se ha enfocado a pequeñas y medianas empresas y al sector público. Su producto se ha diseñado con el fin de proporcionar un alto nivel de seguridad en cuanto a la administración de un sistema de seguridad se refiere, ya que se amolda a las necesidades de la empresa a contratar y de las pollticas que ésta presente. Dentro de las soluciones que propone se encuentra un sistema de 76 control central, el cuál es configurado de acuerdo a lo requerimientos que se pidan por parte de la empresa; el servidor de administración central es el que va a almacenar toda la información en tiempo real, lo que va a permitir la identificación de ataques, intrusiones o malos manejos en la red, para encontrarles una rápida solución. Este producto únicamente es manejado por el administrador de la red, lo que le va a permitir tener una base de datos de los problemas que surjan en la red, sin que los empleados de una empresa estén por enterados. Utilizando como base la información anterior, en cuanto a conceptos y soluciones de seguridad para una red, en el capitulo siguiente se presentará el análisis del caso que es de nuestro interés, con la finalidad de obtener los resultados que nos permitan desarrollar un sistema de seguridad adecuado para la red en estudio. 77 78 3.1. Planteamiento del problema CAPÍTULO 3 ANÁLISIS DEL CASO El conocimiento del estado actual de la compañfa, asf como el método utilizado para la obtención de esta información son puntos crflicos del presente trabajo. El método utilizado es por medio de cuestionarios, los cuales muestran como se encuentra estructurada la seguridad de la compañfa. A través de esta información se /levará a cabo el diseño de la solución de seguridad para la empresa televisara. La empresa televisara cuenta con un gran prestigio en México, ofreciendo sus servicios al público en general. Dentro de sus servicios más importantes de la misma se encuentra la comercialización de producciones televisivas propias y de otras empresas televisaras alrededor del mundo. Esta última incluye telenovelas, noticias, espectáculos, programas de opinión y deportes. La compañia produce más de 10,000 horas de programación al año. El ingreso principal para sustentar la operación de la empresa proviene de la publicidad, ésta sobrepasa los mil millones de pesos al año, por tanto también esta empresa interactúa continuamente con empresas privadas de diversos tipos de mercado. La empresa televisara se ha caracterizado por ofrecer planes flexibles de publicidad a sus clientes, que han redituado en buenos resultados en cuanto ingresos en los últimos años, y como lo hacen una gran cantidad de empresas, busca ofrecer cada vez más un mejor servicio a sus clientes, proveedores, empleados y accionistas, y es ahí donde la tecnología y más aún el Internet puede apoyar para alcanzar esta meta. Esta empresa televisara ha sido pionera en el área de sistemas y siempre ha buscado altos niveles de productividad, utilizando medios tecnológicos para lograr sus objetivos. Ha integrado una red de telecomunicaciones con dispositivos tecnológicos de punta, asl mismo ha desarrollado sistemas para las diferentes áreas que componen su infraestructura, con la finalidad de compartir la información para la operación y toma de decisiones. Aprovechando recursos como la Internet, la empresa busca poner a disposición de empleados, proveedores y clientes, servicios Web. Asl también, ha automatizado 79 la comunicación dentro y fuera de la empresa, por medio de la implementación de servicios de correo electrónico. Como consecuencia del desarrollo tecnológico planteado anteriormente, se ha llegado a situaciones de eventos que han detenido su operación, principalmente por ataques de virus a través del correo electrónico, asl mismo, la empresa ha detectado que diversos proyectos de alta confidencialidad han caldo en manos de su competencia, sin tener la seguridad de que la fuga de información se haya realizado por medio de la red. Otro problema que se presentó fue el uso indiscriminado de la red para acceder a sitios de Internet ajenos a la operación de la empresa, provocando mayor tráfico en el medio de transmisión y alentando de esta manera los procesos que se llevan a cabo en la red, con la consecuente pérdida de tiempo y dinero y en algunas ocasiones la calda de los enlaces de red tanto LAN y WAN. Con el desarrollo de servicios Web, la compañia ha extendiendo sus aplicaciones a proveedores, clientes, empleados y socios, dejando sus sistemas expuestos a posibles accesos no autorizados. Los problemas y necesidades planteados por la empresa televisora coinciden con encuestas y estadlsticas de instituciones reconocidas en el ámbito de seguridad. Estas encuestas y estadlsticas nos apoyarán para el diseño de la arquitectura del sistema de seguridad, implementando las mejores prácticas hoy existentes. Dentro de las varias encuestas que se relacionan con las necesidades de la empresa televisora, se puede mencionar la correspondiente al Instituto de Seguridad en Cómputo, que forma parte del FBI (Federal Bureau of lnvestigation: Departamento Federal de Investigaciones) de los Estados Unidos de Norteamérica. Esta institución reportó que en el año 2001 el número de intrusiones, en cantidad de incidentes, fueron aproximadamente un 50% internas y un 50% externas, a diferencia del año anterior en donde la cantidad de incidentes de intrusiones internas llegó a ser hasta de un 80%. Para los años 2000 y 2001 la misma encuesta arrojó que los tipos de ataques -entendiendo por ataques cualquier situación que comprometa el buen funcionamiento de la red- más usuales fueron en primera instancia los virus informáticos, seguidos por el abuso de los enlaces de red y el robo de equipos portátiles, lo que ocasionó un gran impacto financiero en las empresas afectadas. 3.2. Estado actual del sistema de seguridad La empresa televisora cuenta con una infraestructura de red tipo Ethernet, con una LAN central establecida en la Ciudad de México y un backbone para integrar una WAN de tipo Frame Relay. t:sta última utiliza principalmente como medio de transmisión fibra óptica para enlazar tres localidades estratégicas ubicadas en Monterrey, Guadalajara y Puebla. Para lograr estos enlaces cuenta con ruteadores de marca Cisco y arreglos de switches y hubs a nivel local marca 3COM, en una 80 topologla ffsica en configuración de estrella a 100 Mbps, utilizando el estándar 1 OOVGAnyLan. La empresa televisara cuenta con un total aproximado de 1600 computadoras integradas en la red, además de los servidores con los que provee servicios de archivos, impresión, correo electrónico, aplicaciones, RAS y Web. La estructura general de las redes LAN y WAN se observa en la figura 3.1. Puebla 150 PC's Distrito Federal Servidor WEB Misión Critica Monterrey 305 PC's -"-"-'> Ro u ter 512 kbps Fircwall 850 PC's Figura 3. 1. Arquitectura de Red WAN. La red cuenta con Sistema Operativo Microsoft Windows NT con el SP6 (Service Pack 6: Paquete de Servicios Versión 6), y los nodos cuentan con un sistema operativo Microsoft Windows 2000 o anterior. El ancho de banda de la red de datos hacia Monterrey es de 512 kbps, el segmento que va hacia Puebla es de 768 kbps, el que va hacia Guadalajara es de 512 kbps y el implementado en México es de 512 kbps. La diferencia en anchos de banda es debida a que en Puebla se encuentra localizado el servidor que aloja la videoteca. El tipo de configuración de la dirección IP es tipo A. Los ruteadores se encuentran ubicados en cada una de las localidades y se cuenta con un servicio de correo electrónico Microsoft Outlook Versión 9.0.0.2711. Cabe comentar que en la Ciudad de México se cuenta con un servidor de servicios Web marca IBM Web Sphere. 81 3.3. Levantamiento de la información El levantamiento de información para desarrollar el sistema de seguridad solicitado partió de conocer la situación de la empresa en el rubro de seguridad, en lo referente a su operación y procesos diarios. Para llevar a cabo lo anterior se desarrollaron cuestionarios con el objetivo de proveer un análisis de los problemas de seguridad de la empresa. Estos cuestionarios fueron aplicados a dos personas claves del área de sistemas de la empresa. 3.3.1. Método El método usado para conducir el estudio correspondiente al levantamiento de información se realizará en tres fases: generación de cuestionarios, aplicación de cuestionarios y análisis y exposición de resultados, tal como se muestra en la figura 3.2. Generación de cuestionarlos Figura 3.2. Método para el levantamiento de Información. Generación de cuestionarios En esta fase se crearon unos cuestionarios para ser aplicados al personal administrativo de la red actual, siendo estos el Director de Sistemas y el Gerente de Seguridad Informática de la empresa, con el propósito de investigar el estado actual de seguridad de la compañía. Para elaborar este instrumento, se procederá mediante el apoyo de diversa bibliografia en el rubro de la seguridad de datos, en particular, el estándar británico BS17799, el estándar IS07799, y en recomendaciones hechas por Gartner Group, compañia especializada en sistemas de seguridad. 82 Aplicación de cuestionarios La aplicación de los cuestionarios al ·personal administrativo consiste· en una entrevista que integra un total de diez cuestionaños, cubriendo los siguientes temas: l. Cuestionaño de organización y pollticas de seguridad. Este cuestionario cuenta con 48 preguntas. . . ·•· 11. Cuestionario para la prevención de seguridad. Este cuestionario cuenta con 111. IV. V. VI. VII. VIII. IX. 27 preguntas. · .. ·~ · · •• Cuestionario para la administración de usuarios. Este cuestionaño se encuentra conformado por 24 preguntas. . .. Cuestionario para el control de accesos. Este cuestionario es el más extenso, contando con 77 preguntas. · Cuestionario para la seguridad flsica. Este cuestionario tiene 23 ··preguntas. Cuestionario para la evaluación de activos. Aqul sólo contamos· con 9 preguntas. · · · · Cuestionario para el análisis de seguridad. Se tienen 7 preguntas: < Cuestionario para el análisis de continuidad de negocio; Se tienen 14 ~~;~~~~!rio para el análisis de auditoria. Este cuestionario p~ZiEinta 7 preguntas. X. Cuestionario para el análisis del ambiente . aplicativo. Se •· cU~nta ,/con 9 preguntas. Se cuenta con un total de 245 preguntas; de las cuales 4 de éll~~ C::ar~~~~ de una calificación, pidiendo una respuesta escrita. Las restantes ... 241. preguntas mantienen un puntaje especifico. · ' Estos cuestionarios fueron aplicados al Director de Sistemas y ·el Gerente de Seguridad Informática de la empresa en forma individual. Los cuestionarios, junto con una breve explicación de su importancia, se muestran a continuación. l. Cuestionario de organización y pollticas de seguridad Este cuestionario pretende sondear aspectos del rubro de seguñdad, correspondientes a las polfticas implementadas hasta este momento por la empresa en lo que se refiere a seguridad flsica, continuidad de negocio, estructura organizacional, el trato con terceras personas tanto flsicas como morales, aspectos de confidencialidad y cultura de seguridad dentro de la empresa. Ver Tabla 3.1. 83 Pregunta Actual Meta Exollcaclón 1; Exisle una oolllica complela de seauridad? o = no hav; 5 = comoleta 2¿Existen polllicas individuales? O = ninauna; 5 = cobertura comoleta 3Ellas cumplen con: 3.1 Conlrol de acceso o = no; 5 = completa 3.2 Aplicación O = no; 5 = complela 3.3 Aclivos de la empresa O = no; 5 = completa 3.4 Auditoria o = no; 5 = completa 3.5 Aulenlificación P = no; 5 = completa 3.6 Backup y Recovery p = no; 5 = completa 3.7 Adminislración de la conlinuidad del P = no; 5 = completa Negocio 3.8 Conlrol de cambios P = no; 5 = completa 3.9 Confidencialidad b = no; 5 = completa 3.1 O Aspectos legales y contractuales b = no; 5 = complela (incluyendo terceros) 3.11 Manipulación de medias y O = no; 5 = completa documentos 3.12 Educación O = no; 5 = complela 3.13 Correo electrónico O = no; 5 = completa 3. 14 Encriplación o = no; 5 = completa 3.15 Manejo de incidenles O = no; 5 = completa 3.16 Uso de redes O = no; 5 = complela 3.17 Uso de equipo fuera del sitio () = no; 5 = completa 3.18 Personal Cl = no; 5 = complela 3.19 Seguridad flsica O = no; 5 = completa 3.20 Acceso remolo p = no; 5 = complela 3.21 Violación a las polllicas de seguridad P = no; 5 = complela 3.22 Configuración de Sislemas Operalivos P = no; 5 = complela y servidores 3.23 Soflware P = no; 5 = complela 3.24 Desarrollo de soflware b = no; 5 = complela 3.25 Virus y soflware malicioso O = no; 5 = complela 3.26 Acceso a lnlernel ) = no; 5 = comolela 4¿Con qué frecuencia es revisada la polltica de J - nunca; 2 = una vez; 3 - cada seguridad de la empresa? ano; 4 = cada 6 meses; 5 = cada 4 meses 5¿ La polilica de seguridad se aplica a lodo O= no; 5 =si el oersonal? 6; Qué oolítica es distribuida? Información 7; Hav alcuna oraanización de seaurídad? O = no; 5 = comolela B¿Hay algún miembro de la mesa directiva a O= no; 5 =si caroo de lada la seouridad de la TI? 9; Hav aloún foro de alto nivel? O = no· 5 = comolela 10¿Hay algún foro interorganizacional de 1 = no; 5 = completa seouridad de TI? Tabla 3.1. Organización y pollticas de seguridad.(Continúa) 84 Preaunta Actual Meta Explicación 11 ¿Qué tan frecuentes son estos foros? kJ - 1 vez; 2 - anualmente; 3 = cada 6 meses; 4 = cada 4 meses; 5 =cada mes 12¿La instalación de cualquier facilidad de TI es 1 = no; 5 = completa aorobada v autorizada? 1 J¿Son llevadas a cabo revisiones 1 =no; 5 =si indeaendientes? 14¿Qué tan frecuente son llevadas a cabo estas o - nunca; 2 = 1 vez; 3 = cada 2 revisiones? ar'los; 4 = anualmente; 5 = cada 6 meses 15¿ Se tienen analizados los riesgos asociados O = no; 5 = completa de acceso de terceras personas a las facilidades de TI? 16¿Los contratos con terceras entidades O = no; 5 = completa especifican condiciones de seQuridad? 17 ¿La auditoría de la organización es reportada O= no; 5 =si a la mesa directiva? 1B¿Hay algún equipo de respuesta a O = no; 5 = completa incidentes? 19¿Existen roles de y responsabilidades de kJ = no; 5 = completa seauridad definidos oara todo el oersonal? 20¿Hay trabajos sensitivos que requieren p = no; 5 = completa orivilegios especiales? 21¿Todo el personal firma un acuerdo de kJ = no; 5 = completa confidencialidad? 22¿Existen procesos disciplinarios para p = no; 5 = completa cuestiones de seauridad? Tabla 3.1. Organización y polfticas de seguridad. 11. Cuestionario para la prevención de seguridad Este cuestionario tiene la finalidad de conocer el nivel de prevención, educación y actualización del personal de la empresa en el rubro de seguridad. También integra información de su situación actual en lo que se refiere tanto a comunicación vía correo electrónico y comunicados no electrónicos internos, así como la documentación existente en aspectos de seguridad en general. Ver Tabla 3.2. Preaunta Actual Meta Excllcaclón 1 ¿Existe un programa de prevención de P = no; 5 = completa se¡:¡uridad? 2¿Existen mediciones de efectividad de O = no; 5 = completa seauridad? Tabla 3.2. Prevención de seguridad.(Continúa) 85 Preaunta Actual Meta Exollcaclón 3¿Se producen poslers de seguridad? o = nunca; 2 = una vez; 3 = 2 veces al ai'lo; 4 = anualmenle; 5 = cada 6 rneses 4¿Se emilen regularmenle bolelines de p = no; 5 = completa seouridad? 5;.Se dislribuven obielos? O = no; 5 = completa 6¿Existe entrenamiento para usuarios p = no; 5 = completa resoecto a la orevención? 7 ¿Qué tan frecuente ocurren estos P = no; 5 = completa entrenamientos? BEi entrenamiento cubre: 8. 1. Procesos de reporte P = no; 5 = completa 8.2. Virus y software malicioso O = no; 5 = completa 8.3. Procedimientos de seguridad fisica O = no; 5 = completa 8.4. lngenieria social O = no; 5 = completa 8.5. Aclividad inusual o = no; 5 = completa 8.6. Administración de passwords O = no; 5 = complela 8.7. Pruebas de marketing vagas o = no; 5 = completa 8.8. Teléfono I correo electrónico O = no; 5 = completa 8.9. Datos I baja de programas O = no; 5 = completa 8.1 O. Licenciamiento de software O = no; 5 = completa 8.11. Resoaldos v restauración O = no; 5 = comoleta 9¿ Los usuarios saben donde encontrar los P = no; 5 = completa estándares y polllicas de seouridad? 1 Q; Hav un programa de prevención para el staff? O = no; 5 = completa 11 ¿El personal va a presenlaciones y o = no; 5 = completa seminarios de seauridad? 12¿EI personal va a cursos externos P = no; 5 =completa reconocidos de segur;dad? 13Se reciben alertas de seguridad: 13.1. Alertas del CERT P =no; 5 =si 13.2. Bolelines de seguridad de Microsoft O= no; 5 =si 13.3. Alertas de vendedores de seguridad p = no; 5 = completa 13.4. Otros O = no; 5 = completa 14¿Los usuarios son informados de cualquier O = no; 5 = completa monitoreo corooralivo que se lleva a cabo? Tabla 3.2. Prevención de seguridad. 111. Cuestionario para la administración de usuarios El siguiente cuestionario se encarga de integrar la información correspondiente al control de la administración de los perfiles y roles de los usuarios que utilizan los sistemas o activos dentro de la empresa, asl mismo, integra lo correspondiente a la administración de passwords de los mismos. Ver Tabla 3.3. 86 Preaunta Actual Meta Exollcación 1 ¿Se pueden fácil y rápidamente borrar todas O = no; 5 = completa las cuentas de un usuario cuando ellos dejan la oroanización? 2¿Existe un proceso para manejar las cuentas O = no; 5 = completa de los usuarios cuando ellos dejan la oraanización? 3¿Hay un proceso para manejar p = no; 5 = completa adecuadamente los activos asociados con las cuentas cuando han sido suspendidos, borrados o el usuario deia la oraanización? 4¿Existe una base de datos central de P = no; 5 = completa usuarios? S¿Existe un procedimiento de autorización P = no; 5 = completa cara aareaar nuevos usuarios a los sistemas? 6¿Existen facilidades para la administración O = no; 5 = completa de usuarios? 7 · Es deoendiente de la localidad? lnfomiación 8; Es deoendiente del sistema? Información 9; Es controlado oor software? O = no; 5 = comoleta 10 ¿Los usuarios son autentificados por O = no; 5 = completa software? 11 ¿La administración de cuentas de usuarios O = no; b = completa utiliza mecanismos de liemoo fexoiraciónl? 12 ·Se tienen cuentas comoartidas? b =no; 5 =no 13 ¿Se tienen cuentas con acceso público o P =no; 5 =no guest? 14 ¿Existen estándares para la construcción de P = no; 5 = completa user id? 15 ; Son uniformes en todas las olataformas? b = no; 5 = comoleta 16; Los user id son únicos en Ja olataforma? b = no; 5 = comoleta 17 ¿Todas las cuentas pueden ser O = no; 5 = completa correlacionadas hacia un usuario real? 18 ¿Las cuentas del sistema tienen los O = no; 5 = completa oasswords cor defaull? 19 ¿Las cuentas administrativas pueden ser O = no; 5 - completa asociadas a un usuario real? 120 ¿La polilica de seguridad se aplica a todo O = no; 5 = completa el personal? !21 ¿Los usuarios son administrados por grupos O = no; 5 = completa o roles? ~2 ¿Los privilegios de acceso de los usuarios O = no; 5 = completa son revisados reoularmente? 123 ¿Se les pide a los usuarios seguir prácticas O = no; 5 = completa de seguridad definidas en la sección de passwords? Tabla 3.3. Administración de usuarios.(Continúa) 87 Preaunta Actual Meta Exalicaclón 24 ¿Existe una sincronización de passwords Información entre las diferentes aplicaciones y olataformas? Tabla 3.3. Administración de usuarios. IV. Cuestionario para el control de accesos El siguiente cuestionario permite conocer el grado de complejidad que la compañia televisara presenta en lo que se refiere a los accesos de servicios y sistemas, combinando desde biométricos, conexiones autorizadas y sistemas asignados a los usuarios autorizados y acreditados. El conocimiento sobre el control, administración y limitación de acceso de los usuarios con jerarqula de supervisor de red, controles de acceso al nivel de código de las aplicaciones de misión critica de la empresa, es también parte de este cuestionario. Como información adicional al mismo, se hace un sondeo en lo correspondiente a la información de los horarios de uso de los sistemas internos, inhabilitación de aplicaciones, control de acceso a los servidores, redes de datos, cifrado y monitoreo de los mismos. Ver Tabla 3.4. Preaunta Actual Meta Exallcaclón 1¿Qué métodos de autentificación son empleados? 1. 1. Smartcard P =no; 5 =si 1.2.Token b =no; 5 =si 1.3. Password de una sola vez P =no; 5 =si 1.4. Dispositivos biométricos O= no; 5 =si 1 .5. Username / passwords O= no; 3 =si 1.6. Con oassword o= no· 5 =si 2¿Las terminales son identificadas o =no; 5 =completa automáticamente para autentificar la la conexión a localidades esoecfíicas? 3¿Existen alarmas mediante las cuales los O= no; 5 =si usuarios ouedan ser cohesionados? 4¿Las actividades en computadoras pueden 1) = no; 5 = completa ser asociadas a individuos? 5¿ El acceso a los sistemas de negocios es P = no; 5 = completa restringido a cada usuario o grupo de usuarios de acuerdo a requerimientos de neoocio documentados? 6¿Los administradores están restringidos a P = no; 5 = completa iniciar alguna transacción de nivel aplicativo a menos aue estén autorizados a realizarlo? Tabla 3.4. Control de accesos. (Continúa) 88 Preaunta Actual Meta Explicaclón 7 ¿Los usuarios tienen restringido el acceso a O= no; 5 =si los datos más allá del alcance de las aolicaciones? B¿Los usuarios tienen restringido el acceso a O = no; 5 = completa datos y funciones de acuerdo a los requerimientos de la descripción de su trabaio? 9¿Las cuentas privilegiadas de emergencia b = no; 5 = completa son revisadas, monitoreadas v controladas? 10¿EI acceso a las bitácoras de eventos y del b = no; 5 = completa sistema es controlado? 11 ¿Los intentos fallidos de acceso son b = no; 5 = completa restrinaidos? 12¿Las cuentas son deshabilitadas después de p = no; 5 = completa un número predefinido de intentos fallidos? 13¿EI acceso a los datos es otorgado bajo la O = no; 5 = completa base de orivileaios "need to knowf 14¿Se puede asegurar la integridad del código y O = no; 5 - completa de los binarios de la aplicación? 15¿Existe un procedimiento estándar para los O = no; 5 = completa eQuioos no atendidos? 16¿Existen restricciones por hora y dla de la o = no; 5 = completa semana para las aplicaciones y servicios sensibles? 17 ¿Existen tiempos límites para la O = no; 5 - completa desactivación de aplicaciones y servicios sensibles en caso de inactividad? 18¿Existe un mensaje de aviso de advertencia o = no; 5 = completa antes de cada login? 19¿ Existe un mensaje de aviso para desplegar o = no; 5 = completa el último looin? Control de acceso a servidores 20¿Se restringe el acceso de cuentas b - no; 5 = completa administrativas a nodos especificas y a la consola del sistema? 21¿EI acceso a las utilerias del sistema se b - no; 5 = completa encuentra restrinaido y controlado? Control de acceso a la red .. 22¿Cada usuario es autentificado antes de tener P = no; 5 = completa acceso a los servicios de red (archivos e imoresoras)? 23¿EI tráfico LAN sensible se encuentra P = no; 5 = completa cifrado? 24¿EI tráfico WAN sensible se encuentra p = no; 5 = completa cifrado? Tabla 3.4. Control de accesos. (Continúa) 89 Preaunta Actual Meta Explicación 25¿Se encuentra habilitada la seguridad en el p = no; 5 = completa correo electrónico? 26¿Los correos electrónicos tienen firmas P = no; 5 = completa dioitales? 27 ¿Los correos electrónicos se encuentran O = no; 5 = completa cifrados? 28; Los correos electrónicos son monitoreados? J = no; 5 = comoleta 29¿La seguridad de los Sistemas Operativos de ) = no; 5 = completa red se encuentra habilitada? 30;.Se utilizan VPN"s para usuarios remotos? o= no; 5 =si 31 ¿Se utilizan VPN"s para conexiones seguras o = no; 5 = completa entre los sitios de cómputo? 32¿La ruta de una terminal hacia un servidor p = no; 5 = completa es controlada por la creación y mantenimiento de una ruta reforzada? 33¿EI acceso a los puertos de diagnóstico es p = n~; 5 = completa controlado de una manera segura? 34¿Las redes se encuentran divididas en P =no; 5 =si dominios lógicos separados? 35¿Las conexiones entre redes tienen p = no; 5 = completa controles de ruteo? 36¿Exislen identificadores de usuarios P = no; 5 = completa genéricos de ruteadores para propósitos administrativos? 37 ¿Se evita el uso de SNMP para la o= no; 5 =si administración de recursos de red? Control de acceso Web 3B¿Existen restricciones en la descarga O = no; 5 = completa de software de lugares públicos? 39¿Se realiza un registro del software O = no; 5 = completa descargado de sitios públicos? 40¿Se revisa la seguridad del sitio Web por o = 1 vez; 2 = anualmente; 3 = cada recomendaciones del vendedor? 6 meses; 4 = 3 meses; 5 = mensual 41 ¿Se prohíbe el acceso directo a los p = no; 5 = completa datos internos vfa servicios Web? 42¿Se prohíbe el uso de 'includes' en el P = no; 5 = completa Website? 43¿Hay necesidad de cuentas de login en p =no; 5 =si el sitio Web? 44¿Se emplean mecanismos de autentificación O - password; 5 =Token robustos oara los logins? i:1slco/Smart- Cards 45¿Se utiliza SSL ú otra forma de cifrado O = no; 5 = completa para proteger información sensible del cliente cuando ésta transita por ta Web? Tabla 3.4. Control de accesos. (Continúa) 90 Preaunta Actual Mota Exnllcaclón 46¿Se tienen mecanismos de no repudiación O = no; 5 = completa para transacciones basadas en la Web? 47¿Las transacciones de Web utilizan O = no; 5 = completa certificados digitales? Control de Acceso Dial-in 48J Se emplean controles dial-back? n = no; 5 = comoleta 49¿Hay un control de los modems o = no; 5 = completa conectados a la red? SO¿Existe un segundo mecanismo de O = no; 5 = completa autentificación para usuarios dial-up? 51 ¿Se restringen los servicios disponibles lo = no; 5 = completa a los usuarios del dial-in? 52¿Se restringen las conexiones con lo = no; 5 = completa mecanismos de Caller ID B/ocking? 53¿Se han realizado consideraciones lo = no; 5 = completa especiales para terceras entidades para el soporte a través de los servicios dial-up? Control de acceso a bases de datos 54¿Se encuentra habilitada la seguridad para p = no; 5 = completa base de datos? 55¿Se prohibe el acceso a la base de datos b = no; 5 = completa con id's a nivel aplicativo? Control de acceso a Internet 56¿EI acceso a Internet está adecuadamente O = no; 5 = completa configurado y monitoreado? 57¿Las conexiones de acceso a Internet son O = 1 vez; 2 - anualmente; 3 = cada revisadas renularmente? R meses; 4 = 3 meses; 5 = mensual SS¿ Existe una política de Internet que describa b = no; 5 = completa los tipos de sitios y servicios que los usuarios oueden o no puedan acceder? 59¿Se monitorea el tráfico de Internet? n = no; 5 = comnleta 60¿Los Firewalls son utilizados para reforzar lo = no; 5 = completa las pollticas de Internet? 61 ¿Se emplean OMZ's para alojar servers ló = no; 5 = completa públicos? 62J Se tiene una DMZ con uno o dos Firewalls? n=1;s=2 63¿Se utilizan sistemas de inspección de lo = no; 5 = completa contenido para reforzar las polfticas de seguridad de Internet? 64¿La red interna está particionada con lo = no; 5 = completa Firewalls? 65¿Hay una auditoria sobre el tráfico de lo = no; 5 = completa Internet o su uso? (que sitios son visitados) 66¿Se revisan periódicamente las políticas del kJ = 1 vez; 2 - anualmente; 3 = cada Firewalls? ~ meses; 4 = 3 meses; 5 = mensual Tabla 3.4. Control de accesos. (Continúa) 91 Preaunta Actual Meta Exclicaclón 67 ¿Son autentificados los usuarios antes de o = no; 5 = completa que puedan accesar a Internet? 68¿Se encuentra restringido el acceso para o = no; 5 = completa administrar los Firewalls y software de monitoreo? 69¿Se utilizan mecanismos de autentificación o = no; 5 = completa para los usuarios de Internet que accesan a los recursos internos? 7Q¿La información sensible que transita en ID = no; 5 = completa Internet se encuentra cifrada? 71 ¿Se instalan Jos parches y actualizaciones p = no; 5 = completa de software tan pronto como se reciben los avisos? 72¿ Todos los sistemas visibles externamente ID = no; 5 = completa están sujetos a revisiones rigurosas de seguridad? Tabla 3.4. Control de accesos. V. Cuestionario para la seguridad física De este cuestionario obtendremos información crucial para el análisis de vulnerabilidades. Típicamente se cree que la seguridad informática sólo se encarga de evitar los accesos vía red no deseados a la información sensible de la empresa, pero ésta no serla completa si no se cubren también aspectos flsicos, por lo que el nivel de efectividad de los equipos de vigilancia que autorizan los accesos a las instalaciones deben formar parte de la misma. La seguridad flsica llega hasta el nivel de orden y compromiso con el que cuentan todos y cada uno de los empleados dentro de la organización. Asl, el portar un gafete con identificación y la cultura de orden en los escritorios forman parte de ésta entre otros rubros. A través de este cuestionario se obtendrá información en lo referente a la existencia de un centro de recuperación ante desastres, éste debe contemplar sistemas UPS, una planta de emergencia eléctrica, y un sitio alterno en donde resguardar la información con la cual opera la empresa. Hoy la información es considerada unos de los activos más importantes de la empresa y es parte de la sobrevivencia de la misma. Ver Tabla 3.5. Preaunta Actual Meta Excllcación 1 ¿El acceso a las lineas telefónicas o = no hay; 5 = completa analóQicas se encuentra restrinoido? 2.J El Firewall se encuentra en un área seoura? b = no hav: 5 = comoleta 3¿Exislen UPS para proleger los sistemas ID = no hay; 5 = completa más sensibles? 4¿Se tiene un sistema de poder de ID = no hay; 5 = completa emeroencia? Tabla 3.5. Seguridad flsica.(Continúa) 92 Prcaunta Actual Meta Exolicaclón 5¿Se tiene acceso mediante llaves o códigos O = no; 5 = completa a los cuartos de los eouioos sensibles? 6¿Existen ser'1alamientos en el directorio del O= si; 5 =no edificio que hagan a la localización de los centros de cómputo? 7 ¿Existen guardias en los puntos de entrada y O = no; 5 = completa salida? 8¿5e tienen sistemas especiales para P = no; 5 = completa prevención de fuego instalados en los cuartos de cómouto? 9¿5e tienen sistemas de circuito cerrado de P = no; 5 = completa televisión para monitorear las áreas sensibles? 1 O¿EI Site es manejado en un período de O = no; 5 = completa 24 X7? 11 ;. Existe una oolftica de escritorio limpio? O = no; 5 =completa Eauioo de seauridad 12¿Existen dispositivos antirrobos empleados O = no; 5 = completa oara eouioos oortátiles o PC oortables? 13¿ Todos los archivos de TI tienen marcas O = no; 5 = completa oermanentes? 14¿Existe un procedimiento para mover o o = no; 5 = completa remover ecuioos? Seauridad Dersonal 15¿Se requiere que todos los empleados lleven P=no;5=sí identificación todo el tiemoo? 16¿Los visitantes son escoltados todo el P =no; 5 =sí tiempo? 17 ¿Se monitorea y controla el trabajo de los p =no; 5 =sí emoleados desoués de la hora de la salida? 1 B¿Se tienen controles para prohibir el P = no; 5 = completa acceso en áreas sensibles? Manejo de cintas de respaldo 19¿Los medios magnéticos de respaldo son O = no; 5 = completa almacenados de acuerdo con las instrucciones del fabricante? 20 ¿Hay un proceso en operación para O = no; 5 = completa documentar y destrllir los respaldos basados en la clasificación del contenido? 21 ¿Existe un almacenamiento seguro para las o = no; 5 = completa cintas removibles? 22¿Las cintas removibles se encuentran o = no; 5 = completa claramente etiauetadas? 23¿La cinta en tránsito se encuentra protegida o = no; 5 = completa de oérdida. dano o acceso no autorizado? Tabla 3.5. Seguridad flsica. 93 VI. Cuestionario para la evaluación de activos Una de las realidades en lo que se refiere a contemplar un sistema eficiente de seguridad será siempre definir prioridades. Aunque es imposible llegar a un 100% de seguridad en todos los sistemas (ya que esto hace prácticamente inoperable a cualquier red), si es importante el tratar de cubrir al máximo aquellos activos con mayor sensibilidad para la empresa. La valuación de los activos se convierte en algo de extrema importancia. Esta valuación también permite definir el presupuesto que se va a asignar a este rubro, el cual obviamente será diferente para cada empresa. Asi mismo, esta información permitirá poder justificar ante las instancias de administración y finanzas el riesgo de no invertir en un sistema de seguridad. El inventario y la valuación de activos es un punto a contemplar y que forma parte de las metodologias más comunes, entre ellas el 887799. El siguiente cuestionario nos permitirá sondear todos estos aspectos. Ver Tabla 3.6. Preaunta Actual Meta Exollcaclón 1 ,; Existe un inventario aara los activos de TI? O = no hav; 5 = comoleta 2¿Existen clasificaciones de seguridad para la ~ =no hay; 5 =completa información? 3¿Existe una persona designada para la p = no hay; 5 = completa contabilidad de cada activo? 4Se ha evaluado el impacto de cada activo en términos de: 4.1. Pérdida de confidencialidad ~ = no; 5 = completa 4.2. Pérdida de disponibilidad p = no; 5 = completa 4 .3. Pérdida de i1 oteQridad b = no; 5 = completa 5; Se ha oroducido una lista de activos fiios? D = no; 5 = comnleta 6¿ Se ha realizado un estudio de dependencia O = no; 5 = completa de los activos? 7 ¿Estos se realizan regularmente? o - nunca; 2 = una vez; 3 = anualmente; 4 = cada 6 meses; 5 = cada 3 meses Tabla 3.6. Evaluación de activos. VII. Cuestionario para el análisis de seguridad Sería irresponsable en la implementación de un sistema de seguridad de datos el no contemplar, previo al mismo, un Análisis de Vulnerabilidades o Risk Assesment. El no hacerlo pudiera repercutir en la implementación de un sistema no efectivo y por tanto en una inversión no redituable para la empresa. A partir del análisis de vulnerabilidades se pueden empezar a definir las pollticas de seguridad de la empresa, y con el mismo, se pueden integrar los sistemas de administración y mantenimiento de las mismas polfticas. Un sistema de seguridad de datos y sus politicas puede llegar a ser muy dinámico, y este dinamismo dependerá de los cambios que viva la empresa en el tiempo. Este cuestionario nos permitirá conocer la situación de la empresa televisara en lo que refiere a estos puntos. Ver Tabla 3.7. 94 Preaunta Actual Meta Exollcaclón 1 ¿Existe un análisis de seguridad de la O = no hay; 5 = completa empresa formal v documentado? 2¿Existe una metodologla de O = no hay; 5 = completa Risk Assessment formal? 3¿EI Risk Assessment identifica las O = no; 5 = completa amenazas, vulnerabilidades e imoaclos? 4¿Se modifica el Risk Assessment cuando O - nunca; 2 = una vez; ocurre un cambio en el sistema? ~ = anualmente; 4 = cada 6 meses; 5 = cada 3 meses 5¿Se tiene una estrategia de administración O = no; 5 = completa del riesQo? 6¿Se revisa regularmente Ja estrategia de O - nunca; 2 = una vez; administración de riesgo? ~ = anualmente; 4 = cada 6 meses; 5 = cada 3 meses 7 ¿Todas las áreas dentro de la organización son J = nunca: 2 - una vez: sujetas a entrevistas regulares para determinar ¡3 = anualmente; 4 = cada 6 meses; el nivel de cumplimiento de las polllicas de 5 = cada 3 meses seauridad? Tabla 3. 7. Análisis de seguridad. VIII. Cuestionario para el análisis de continuidad de negocio Por medio de este cuestionario obtendremos información en el rubro de continuidad de negocio. El sistema de seguridad a implementar tiene como objetivo mantener a la empresa televisara en operación. Este cuestionario integrará información sobre los acuerdos de niveles de servicio entre el área de tecnologia de información y los diversos departamentos de la empresa, en lo referente a los procedimientos para la resolución de incidentes de seguridad y pruebas de los mismos, asi como también la verificación de procedimientos de los sistemas de respaldo y restauración de información de la empresa. Ver Tabla 3.8. Proa unta Actual Meta Exolicaclón 1; Existe un olan de continuidad del neaocio? D = no hav; 5 = comoleta 2¿Existe un proceso especifico que cubra los l = no hay; 5 = completa activos más valiosos? J¿En caso de interrupción en el servicio, tJ = no; 5 = completa éste es investiaado? 4¿Se tienen acuerdos de niveles de servicios P = no; 5 = completa con terceras entidarles? 5EI procedimiento de respuesta a incidentes contempla: 5. 1 . Prevención tJ = no; 5 = completa 5.2. Detección O = no; 5 = completa 5.3. Contención O = no; 5 =completa 5.4. Remedio O = no; 5 = completa 5.5. Retorno a aceración normal O = no; 5 = comoleta Tabla 3.8. Continuidad del negocio.(Continúa) 95 Preaunta Actual Meta ExDlicaclón 6¿Se prueba el procedimiento de respuesta a o = nunca: 2 = una vez: incidentes? 13 = anualmente;4 = cada 6 meses; 5 = cada 3 meses 7 ¿Se tiene más de un carrier de p = no; 5 = completa telecomunicaciones oara TI? Resoaldo v recuoeración 8¿Los procedimientos de recuperación son o - nunca; 2 - una vez; verificados continuamente? 3 = anualmente; 4 = cada 6 meses; 5 =cada 3 meses 9; Se emolean facilidades de backuo off-site? ) = no; 5 = comolela 1 O¿Se realizan respaldos en línea con los ) = no; 5 = completa datos crfticos de los sistemas de información? Tabla 3.8. Continuidad del negocio. IX. Cuestionario para el análisis de auditoria La información que integrará este cuestionario nos ayudará a verificar la habilidad que tiene la empresa televisara en el manejo sus auditorias. Las auditorias sirven para verificar el buen funcionamiento y uso del sistema, por lo que bien utilizadas, siempre son de gran ayuda, pudiendo llegar incluso -en el caso de cualquier violación a las normas de seguridad- detectar al usuario infractor. Para llevar a cabo una auditoria eficiente es necesaria la integración de información de los sistemas y elementos de seguridad en consolas centrales para el monitoreo de la red. Analizar este tipo de información también permite ajustar o crear nuevas políticas para la empresa. La integración de los diferentes eventos de seguridad y la correlación de los mismos son cruciales para los responsables de la auditoria de sistemas. Ver Tabla 3.9. Preaunta Actual Meta ExDlicaclón 1 ¿La información es archivada para uso en O = no hay; 5 = completa orocedimientos leoales? 2¿Se pueden rastrear las transacciones desde o = no; 5 = completa el inicio hasta el final? 3¿Se mantienen las auditorfas de los eventos P = no; 5 = completa de seouridad? 4¿Se generan alertas de seguridad al detectar P = no; 5 = completa una brecha de seouridad? 5¿Las alertas de seguridad son moniloreadas p = no; 5 = completa centralmente? 6¿Las bitácoras son revisadas frecuentemente P = nunca; 3 = manualmente; en busca de actividad sospechosa? 5 = autométicamenle 7 ¿Se encuentra sincronfzado el tiempo en O = no; 5 = completa los sistemas? Tabla 3.9. Análisis de auditoria. 96 X. Cuestionario para el análisis del ambiente aplicativo La vigilancia de aplicaciones internas en cualquier empresa es en la mayoria de las veces una labor la cual se descuida, a pesar de ser parte, y en la mayoria de las veces, de los activos más sensibles y criticas de la empresa. Por medio de este cuestionario se obtendrá información en lo referente a los procedimientos actuales que la compañia televisara presenta. Para el mantenimiento y actualización de estos sistemas es crucial el control de cambios de los mismos y de las versiones generadas. Con esta información complementaremos nuestras recomendaciones en lo que refiere a seguridad para la empresa televisora. Ver Tabla 3.10. Pregunta Actual Meta Exolicaclón Desarrollo de aplicaciones 1 ¿La entrada de datos en los sistemas P = no; 5 = complela aplicativos es válida para asegurar que sea correcta? 2¿Los datos procesados (salida) por Jos O = no; 5 = complela sistemas aplicativos son validados para aseourar Que sean correctos? Administración de cambios 3¿Existe una administración de cambios para cualquier modificación en el software? 3.1.PC's O = no; 5 = completa 3.2. Servidores de red O = no; 5 = complela 3.3. Aplicaciones l = no; 5 = comoleta 4¿Existe un ambiente de producción y l = no; 5 = complela pruebas separados para preservar la inteoridad de los datos productivos? 5¿Existe un procedimiento para asegurar que P = no; 5 = completa las nuevas aplicaciones cumplan con los requerimientos de seguridad (incluyendo el software Que se obliene a través del lnlernel)? 6¿Existe un procedimiento para asegurar que O = no: 5 = completa , los nuevos sistemas cumplan con los ; ,, ,, requerimientos de seauridad? ,' 7 ¿Existe un procedimiento formal de control O = no: 5 = completa de cambios para todas las etapas del ciclo de vida de un desarrollo de sistemas? Tabla 3.10. Análisis del ambiente aplicativo. Respuestas a los cuestionarios La Tabla 3.11. muestra los resultados de la encuesta practicada al Director de Sistemas, mientras que la Tabla 3.12. contiene las respuestas del Gerente de Seguridad Informática. El resultado de cada respuesta se encuentra justo al frente 97 •.' ,_ - •-f-- 1 - 1 - ~--- - - - ~ - f - - ~ - - 1 - --~- f - - 1 - 1 - ,_ º' f-4--4·--1•-,-+-.,..~~_,s-,- ~ ~ ~ "i;:-.:',;-~_J~·_+'"',1~ ~ ~ 'i u s t-~· ~~ l'i:g'i'i'i~: i7 ... u ' " ' °' ' .. ' .. ' " ' .. s " s " ' " ' " ' °' ' 6 ' R s ' ' ~ -~ ~ ~ u : ~ ~-Ir- ~ ~-if~~~ t:~''-+'-•,,... 4 =- 7 T " º' 69 m ,9 ~, .... '" C9 o < 9 ' .. ' "' s b S ' s " 1 " - " " <; 'i'i ' " " ,. .. "" º' "" oc " q: ;e " " " " oc ,,.. a= " "' " " u " "" ·~-t~ ' s .. . " o " s " 5 " o " ' °' s . ' . s ' 9 . ' ' < .. " " " " ----¡; --,.- ""' "' - 1 • 1 0 ' " ~- ~ ~ . ' ~- e .. ' .. ' " s .. e " o .. o " . " e " 5 º' 5 ' e . e ' s 9 'C ' '" " e ' " E l 'i '" s E: E :I 'i '" ' Z C :l'i u c " s s I E :l'i "' u 5 o Z :l'i rec " s ' " ' º" "" 5 o °' 5 º" .. s s 6 ' .tlt:" .. 5 o .., o 0 1 0 'i " ' o 6 H C: '" o e e • " .. 5 o '8 s "' " ' o ... '" " ' o '"' º" " 5 o '"' ., º' ' o '"' "' 6 ' o '"' " o ' o '"' 9 C ' '° " . 9 ; " o " " ' " < C 5 " " ' " ' o " < o .. ' o . j j j j j 11 ~ ·~- -~if- }--- ~ f ~ ~ f ~ g:+';+;'"""'"'-"~-;~.,_=-'"~~~,...~~f'...'--+'-~'-.=-·~ ...... -=-"'=-'-4'~---~ j j ~~ i j ~l ~j • ~ ~ !/ !/ .. jj 11 h fil 'l! ~ j'i! .. ,¡¡ "' ... !-= T a b la 3 . 1 1 . R e s p u e s ta s o fre c id a s p o r e l D ire c to r d e S is te m a s . ..-~~~~~~~~~~, TESIS CON FA.r TA DE ORIGEN 98 NO S SI SA L NI DI MO 3 q a ] - 2 O N p u n o j a ] p e p u n B a s ep aj ua la z) ja 10 d Se pj 9a lj o S e I s e n d s a y "Z L' E e1 qe l 40. Ambiente Aplicativo 9. Auditoria B. Continuidad del Negocio 1. Análisis de Seguridad 6. Valuación de Activos 5, Seguridad Física d, Control de Árcesos d. Prevención Suguridad 4, Organización y Políticas de Seguridad c ¡¡- ..- -.;-- c.: 7 L T E ---a - , - . - '°e .. u ... "" lC Z •9 & . •.,t•U U I . " . " o o .. "" s L O s "" s S 9 -t--t--t--t---+-l,-t~;~-J·~-1---t-l-t--+---t----->------ " u '" o} o C 9 .. o <; l~I n '" e '" 5 "" , __ ·- s t 'º s s "" 1 - - 1 - e-~ < :;< j - 1 - ,_ "s c, c, '• o o ... o = - - - ,_ - , fif' g _ y ,. ~- ,_g_ !-• o 9 • s o S • , o .. c, s C < " s - - u - " s " o º' 5 = o "" 5 e.o - 1 - ,_,_ - 1 - 1 - 5 o oc 5 "' 'E 5 " o 9C 5 "' E o:.c 5 so s •e 5 '' o r r s o n o < E s 5 ,. o " s o .. o O E s o º' . "" s o 6 E "" s o e 1 - 1 - o " = °' s 5 ' 9 s 5 5 -1-~ ., . o . ,, 5 5 " " e i'"'l': 5 9 ' E " 5 > < E = E E :I <,;. 5 E < E Z E l 5 = E L E l S ~ ,. s E O < E " s s G • E 0 1 5 s B < C _ _ , _ _, _ _,__,_--+-!-~--+--<_:-•,_--_ ++---1-1---_ -1_,,,_~-t:;--,_,_.,''f=-~~+o~l-t~~'-'~: ~ ~ ~~ ~___,,,,~_,___,,_,..,,é-11"-"-1---0~ t-::.1-::.-::.t-::.-.:.•,-_-- -~ ~ ~ ~ i,_..,!'-"'~~:-~---l·~~--"f"':·"~l-.f'~'--1~'="1-< G S " L ' E 1 1 R S s 9 .C 'i t'l 5 ".> .ti ~ u 5 5 ' E '7 o 9 1 ... s 9 1 5 o 6 0 E o . . E e o s 5 E ' E 'A 5 . < • E 9 0 5 E " E s o s s 'E o " • B S 5 G E o °' c e s B E ' . " 5 5 < O S ¿ e " 5 o 5 o • e s g ~: s o s 5 ' 5 E " ' S E 5 o 9 <; 5 5 o 9 S > E 5 S E E ' s ,. 5 o 5 5 E 5 E s o . " ' . 5 5 o i-·i- ~~ g ~ ~ ~ ~ ,. l ~ ~ ~ g s o E " E 5 s o S S I C O C S C C L S C S O E S 'E s o , 5 , 5 s o s '.i z e s t:. Z L S o 5 a < S , s o ' s " ' 5 5 o ' . E ' i ;; ~ i j i J i ~ j l ¡;¡ h li! jJ .:¡,,. ""~ ;: ... "' T a b la 3. 1 2 . R e s p u e s ta s o fre c id a s p o r e l G e re n te d e S e g u rid a d In fo rm á tic a . 9 9 TE S IS C O N FA LLA D E O R IG E N de su propia pregunta, asl como también el cuestionario al que pertenecen. Se utilizó una ponderación o calificación que va desde O (Nula) a un 5 (Total o completa) a cada una de fas respuestas, pidiendo que cuando no fuera el caso de una respuesta O o 5, se indique fa solución con un número entero. Se tienen excepciones, en las cuales en algunas preguntas se solicitó una respuesta verbal y carente de calificación, pero que sirven para fa obtención de la solución de seguridad a implementar. También se piden respuestas concretas cuya calificación se da de acuerdo a fa respuesta, quedando a criterio del propio entrevistado la mejor ubicación a dicha respuesta. En estas tablas se presenta también un valor meta, que representa el valor ideal a alcanzar. Este valor no se especifica en los cuestionarios anteriores para no condicionar fa respuesta del entrevistado. 3.4. Integración y correlación de la información La Tabla 3.13. muestra los porcentajes obtenidos de fas respuestas ofrecidas por el Director de Sistema y el Gerente de Seguridad en los cuestionarios. En la primera columna se tienen el número de preguntas que se realizaron, seguido de la calificación obtenida por la suma de puntos de todas las respuestas a cada uno de los cuestionarios. Al lado se tiene el valor meta esperado. En la columna siguiente se calcula el porcentaje del promedio de cada una de las respuestas por cuestionario. Esto con el fin de poder ver que tan cerca se encuentran las respuestas del valor esperado. Le sigue el porcentaje meta, el cual nos dice que tan cerca nos encontramos del valor ideal de un sistema de seguridad funcional. Los promedio de ambos resultados se pueden ver al final de la tabla y nos sirven para darnos una muy clara idea de cómo se encuentra la compañia en lo referente a su seguridad informática, detectando cuales son los puntos más vulnerables a los cuales se les prestará mayor atención. Es importante mencionar -como se puede ver en la columna "Promedio Meta"- que en algunos casos no será necesario cubrir el 100% de las expectativas, esto es debido a la gran cantidad de medidas preventivas que se deberán tomar para la solución del apartado en cuestión. 3.4.1. Expresión gráfica de los resultados En la Figura 3.3. se muestran los componentes clave de seguridad que pudieran afectar la protección de los activos más valiosos de la empresa. Al Director de Sistemas y al Gerente de Seguridad se les solicitó ponderar la importancia de esos componentes para la empresa, asf como la efectividad actual de los procesos y herramientas de soporte. La diferencia entre la importancia y la efectividad de cada componente indica el rendimiento logrado. Las diferencias más grandes serán las que tendrán una mayor prioridad para iniciar las acciones apropiadas. ·, 100 l "'º "' ,, ,, ;i> i~ "' {f ,, ;o,, ,, ~~ "' !a' ;¡;· ; ~~ ; ~ a a ; ~! ¡;¡ ~~ ~ ii ~ a. a " ~~ ~ ~ 6' i w -iji· '*' ~ g- cu~. .¡¡. ~ s· ~ "' "' ; ; 1. OrQanización v Polllicas de Sequridad 47 169 231 72'Yo 73% 164 231 70% 71% 166.5 231 71% 98% 2. Prevención de Seguridad 27 38 130 28% 29% 31 131 23% 24% 34.5 1305 26% 97% 3. Administración de Usuarios 21 79 105 75% 75% 68 105 65% 65% 73 5 105 70% 100% 4. Control de Acceso 77 252 359 65% 70% 177 384 46% 46% 214.5 371 5 56% 96% 5. Seauridad Fisica 23 75 115 65% 65% 81 115 70% 70% 78 115 68% 100% 6. Valuación de Activos 9 33 45 73% 73% 27 45 60% 60% 30 45 67% 100% 7. Anáhsis de Seguridad 7 o 35 0% 0% o 35 0% 0% o 35 0% 100% 8. Continuidad del Neaoc10 14 55 70 79% 79% 40 69 57% 58% 47 5 695 68% 99% 9. Auditoria 7 29 35 83% 83% 15 35 43% 43% 22 35 63% 100% 10. Ambiente Anl1calrvo 9 24 45 53% 53% 38 45 84% 84% 31 45 69% 100% !Promedio General 66'11 Tabla 3.13. Porcentajes de las respuestas a los cuestionarios. 9.Auditorl . Administración de usuarios B. Continuidad del negocl ~Gerente de Seguridad--- Oireclor de Sistemas .........._Promedio preguntas ---Meta Figura 3.3. Gráfica de rendimiento de seguridad empresaria/ relativa. TESIS CON 101 FALT !!.. T"IT:' . ~·']EN 3.5. Análisis y exposición de los resultados Los siguientes resultados nacen del análisis de la Tabla 3.13. y de la Figura 3.3. Al realizar el análisis de la información recopilada en la empresa televisara, se deduce que las dos áreas en donde la diferencia entre el estado actual y la meta es mayor son: 2. Prevención de seguridad 7. Análisis de seguridad Por otro lado, los puntos con menor diferencia entre el estado actual y la meta son: 1. Organización y pollticas de seguridad 3. Administración de usuarios En las áreas donde hay más diferencias entre las percepciones de la seguridad en entre los entrevistados en la empresa telévisora son: · · ·- · · 8; Continuidad del negocio 9. Auditoria 10. Ambiente aplicativo Áreas con menores diferencias en las percepciones de la seguridad en la empfesa televisara de los entrevistados son: - - -- - - - 1. Organización y políticas de seguridad 7. Análisis de seguridad La diferencia entre el estado actual y la m~t~--~r~~edi~ qu~ 0 existe es de 56% y eliminando las muestras mas bajas (O % y 26 %) se obtiene un Indicador del 66% promedio general de cumplimiento de la seguridad a primer nivel dentro de la empresa televisara. Para las respuestas escritas carentes de puntaje, algunos puntos singulares que se decubrieron son: No existe una restricción de terminales de las cuentas privilegiadas. No hay una revisión constante de privilegios de usuarios. No existe una polltica de escritorio limpio. No se han realizado estudios de dependencia de los activos. No se mantienen las auditorias de eventos de seguridad. Aunque se aplican controles de seguridad, no hay definido un programa para la prevención de seguridad. No hay que olvidar que finalmente lo que . nos interesa es proteger la información a la cual tienen acceso los usuarios 102 de acuerdo a sus roles, y por lo tanto deben tener una cultura para el manejo de información. No existe un proceso para realizar un análisis formal de los activos. La empresa televisora tiene inventariados los activos, pero no se tiene un análisis de riesgo de cada uno de ellos. No existe un estudio de dependencia de los activos. La falta de estudios de dependencia de los activos es necesaria para tener identificados los servidores y componentes crlticos, y evaluar sobre ellos con un mayor detalle la aplicación de pollticas de seguridad. Finalmente se puede observar en la Figura 3.3. que en la mayorla de los casos se tiene una deficiencia promedio en instancias de seguridad de · un 30% aproximadamente. · La información resultante de este análisis será utilizada en el· siguiente capitulo para el desarrollo de la arquitectura del sistema de seguridad para la compañia televisora mexicana. · .. 103 104 4.1. Sistema de seguridad CAPÍTULO 4 DISEÑO E IMPLEMENTACIÓN Tomando como base la información obtenida en el capftulo anterior, en lo referente a la situación de la seguridad de la empresa televisara, se pueden definir claramente fas prioridades para las cuales es necesaria dar una solución de seguridad. En el presente capftulo se obtendrá la solución del sistema de seguridad, integrando desde el diseño de la arquitectura, el presupuesto para la implementación, la creación de las políticas y la justificación e implementación del mismo. Con base en los resultados de la gráfica de la Figura 3.3., del capitulo 3, denominada gráfica de rendimiento de seguridad empresarial relativa, basada en la encuesta realizada, se determinó que los rubros que más resaltaron en la misma fueron una baja prevención de seguridad, asl como también, la falta de un análisis de seguridad actual de sus sistemas y procesos. Cabe comentar, que el análisis de la seguridad debe ser en toda organización un proceso continuo, por tal razón éste no termina, por lo que debe estar definido como parte de la estrategia corporativa de la empresa televisara. En lo que refiere a la prevención de la seguridad, como punto prioritario expuesto en los resultados, se deduce la necesidad de implementar un sistema de seguridad ligado a las posibles amenazas que pueda vivir la empresa televisara. Existen otros puntos menos prioritarios, los cuales no se tomarán en cuenta en el diseño de Ja presente arquitectura, mas su solución se integrará al final de este trabajo como parte de las recomendaciones. Como parte del rubro correspondiente a la prevención de la seguridad, ya se habla validado la existencia de un sistema de respaldo y restauración de datos y sistemas, éste se encuentra en operación y configurado de forma distribuida, utilizando Ja herramienta de marca Brighstor de Computer Associates. Ésta realiza respaldos diarios de forma incremental de los servidores de misión critica y equipos de cómputo de Ja alta gerencia, sobre estos equipos también se tienen configurados respaldos automáticos semanales de forma diferencial. Estos respaldos se llevan a cabo en horarios nocturnos, todos los viernes para evitar 105 carga en los anchos de banda de la red. Los servidores de misión critica se encuentran en la Cd. de México y éstos son: nómina, finanzas, tesorerla, bases de datos de videos, producción, servicios Web y correo electrónico. En lo correspondiente a protección de ataques de virus, el cliente ha venido siendo usuario de la herramienta Etrust Antivirus de Computer Associates. En el pasado han tenido varios eventos de ataques de virus de diferentes tipos, predominando los gusanos. Esta herramienta hasta ahora ha cubierto las expectativas de la empresa televisora, aunque será necesaria la validación de la configuración del mismo. Actualmente, todo lo correspondiente a seguridad intrínseca de administración de usuarios y servicios de directorio, se encuentra configurados a nivel del Sistema Operativo Windows NT, esto se muestra en los resultados de la Figura 3.3. mostrada en el capitulo 3, correspondientes a la administración de usuarios, control de acceso y ambiente aplicativo, en donde los promedios se encuentran por arriba del un 60%. La solución deberá constar de la reconfiguración de la arquitectura de hardware actual y la integración de herramientas de software que cubran amenazas tales como intrusiones a los sistemas de misión crítica, robo de información, caldas de sistemas por eventos de Dos y el mal uso de los enlaces de red de la empresa televisora. 4.1.1. Justificación del diseño La necesidad de herramientas extrlnsecas de seguridad se hace más que necesaria después de analizar los resultados de la encuesta. La definición de las herramientas de seguridad extrlnsecas se eligió basándose en un modelo de seguridad consolidado y no hlbrido. La empresa televisora, bajo recomendación nuestra, tomó la decisión de optar por un sólo fabricante en soluciones de software de seguridad, para aprovechar la integración de las soluciones y eliminar mayores vulnerabilidades por falta de ésta, además de poder tener un solo frente ante un problema de cualquier tipo y reducir la curva de conocimiento de su staff técnico. Basados en la información recabada de una empresa llder especializada en el análisis de productos de seguridad, The Butler Group, se obtuvieron las siguientes figuras y tablas que apoyaron la decisión de integrar una arquitectura consolidada. Recordemos que la empresa televisora busca una solución integral. efectiva, de fácil uso y económica. The Buffer Group considera ocho puntos importantes para la comparación de diversos productos, estos son: Costos operacionales extras. Además del precio de la compra inicial, se consideran las demandas en los recursos y la inversión financiera adicional para usar la solución eficazmente. 106 Facilidad de uso. Cuando la administración de la seguridad tiende a ser compleja, debido al tamaño de la red, se debe de considerar que la solución sea amigable, esto es que sea fácil de manejar y mantener. Preconfiguración y reglas. Estos productos vienen preconfigurados contra ataques específicos. Aqul se analiza que tan completa es esta preconfiguración contra los ataques más conocidos y cuales son las reglas a seguir para cada ataque. Reportes y alertas. El conocimiento de que un ataque se está realizando es de crucial importancia. Este punto se refiere a la forma y el tiempo en que una alarma es enviada al administrador del sistema. Administración. Se refiere a la manera en que nuestro producto puede ser actualizado contra nuevas amenazas. Protección contra nuevas amenazas. Se refiere a los mecanismos . que puede adoptar nuestra solución contra nuevas amenazas. Desarrollo. Considerando la complejidad del sistema a proteger, para este punto se consideran las formas en que la solución puede proteger al sistema de un ataque. Estrategia contra ataques. Se considera en este punto las estrategias a tomar contra ataques futuros. Para la elección de un Antivirus, se compararon los tres productos más solicitados en el mercado, eTrust Antivirus de Computer Associates, Symantec Antivirus Enterprise Edition 8.5 de Symantec Corporation y McAfee Active Virus Defence de Network Associates. De la Tabla 4.1. lo primero que salta a la vista es el precio, siendo el producto de Computar Associates el más económico. Los siguientes puntos mostrados en la Tabla 4.1. nos dicen que todas estas soluciones se encuentran prácticamente a la misma altura. presentando prácticamente idénticas caracteristicas. The Butler Group presenta también gráficas tipo radar para estos productos en las cuales podemos comparar de manera visual los puntos anteriormente explicados En la Figura 4.1.a. se presenta la solución de Computar Associates, teniendo sus puntos fuertes en los costos operacionales extras, administración y desarrollo. Le sigue la solución de Network Associates, Figura 4.1.b., presentando las mejores caracterlsticas que se esperan para este tipo de soluciones. La valuación nos dice que McAfee Active Defence es el mejor producto en la rama de Antivirus. Para la solución de Symantec Corporation, Figura 4.1.c., los puntos fuertes son: reportes y alertas, protección ante nuevas amenazas y su desarrollo. La compañia televisara ya contaba con una solución Antivirus, que resultó ser la presentada por Computar Associates. Como se mencionó anteriormente, ya se tenlan antecedentes de ataques por virus, los cuales fueron controlados de manera efectiva por el producto e Trust Antivirus. Este antecedente es importante, ya que nos dice que el personal que labora en la compañia televisora se encuentra familiarizada con esta solución y la opinión que se tiene de este producto -en cuanto a su servicio- es calificada como buena por parte del cliente. 107 Computer Network Symentec Comparación de soluciones Associates. Associates. Corporation. Antivirus. eTrust ·· McAfee Active Symantec Antivirus The Bullar Group 2003. Antivirus Virus Defence. Enterprise Edition. 6.0. Fuera de la caja SI SI SI Costo Por1000 EU$35,000 1:41,000 EU$48,450 usuarios Esfuerzo Moderado Moderado Moder.;do/alio administrativo Licencias Suscripción NO si ·.,. ·,NO SI, con . Perpetua descuentos si si; desc~.;nl~s por volumen oorvolumen .. _,.; .. Anual NO NO 'NO Soporte Ajuslado si si si, seaún costo Eslándar NO NO NO 24x7 Consola Central de si si .si manelo Especificación de Moderado Moderado Moderado hardware Servidor dedicado Recomendado Recomendado Recomendado Productos SI, si si Adicionales administración Protección Computadora si si si de usuario Servidor de si si si<. archivos '· Servidor de grupo de si si ... -~SI;'"' trabajo " ... Compuerta si SI '< ... ··'. -.;- :,"·:·c(SI ;·,:¿_.-_~.- Facilidad de uso Buena .• sueilá ;, :;';'\.':(\~\ . ,:x ..... Actualizaciones \ . ;;; /;: . ;~~\'/)I .· ... . T~,::::W~~1 •;y .. - ,~ Manual NO '"''~?'<'e:! , · .. Automática si.·· . :'.'.;''c\is1::~';· • ··: ¡ ·s·,•\\''}:,s1:( Control del tamai'!o so.íe'"!a:.,;::, eú.;1)3¡) ,. .. "~-.:;_ ,,.,,, • : ~á9ll1ar •. de las descargas -~.f.": -- -;,·.;:~--: ' "''" Tabla 4.1. comparación de prodllcíos por fabricante de Áv.(coniimJa) .. 108 .. Computer :. Network Symantec Comparación de soluciones . ·Associates.- · . Associates. Corporation. Antivirus. . e Trust McAfee Active Symantec Antivirus The Bullar Group 2003. Antivirus Virus Enterprise Edition. 6.0. Defence. .. Actualización digitalmente si· SI si firmadas Reglas Propias Escribe 1 "' reglas NO NO NO oroplas · .. Asistente de NO 'NO NO rea las Opciones de coíltr~l~do interacción de Controlado Controlado usuarios finales Reportes Medio de Varios Adecuado Varios reporte Opciones de Detallado Detallado Regular. o detallado con costo reporte extra Discriminación entre Respuestas si si si amenazas Confiaurables Respuesta si. Buena SI, Buena SI, alta calidad automatizada Procedimientos de si si si escalamiento Número de usuarios No 250,000 No especificado. ootenciales esoecificado Integración con .. :.: productos de la NO si si comoetencia ·_·_' . ; Soporte de Sólo Sólo produ6i~~ ·;;;:,' ~lcrosoft ·· plataformas Extensiva Productos de · Microsoft ,·,-:e'< Funcionamiento si si ·.····. si.> modular Dispositivo remoto . ;, '.¡,'.~L:;~ ,··.··.···• ' de monitoreo de si si ordenes '» < .·.:;: Alertas de usuario si si >;· ,_: ·n ·:•: si~<~;•. confiaurables ., .. · Almacenz:Je de Tiempo Real si SI::. · [¡-•. \'•';~;/~•sr· · .. reportes de eventos Facilidades de si si . ·····: si investigación 24x7 Certificación ICSA SI ·SI . o,,-·, ... ,.e,·-.,. .. .· . SI-- . · .. -: __ -_ --.'~--.:--.>_'.. _-_'. - , -- Tabla 4. 1. Comparación de productos por.fabricante de AV ........ - .... .. . ¡ ..... ~; >. '····· 1 T ' 109 Computar Associate& soluclon de eTrust Antnnrus 6 O antrv1rus ·············~=~1:;~:;::1 L::;,,. Mejor del orupo a) Solución Antivirus de Computer Associates. Network Associates So lJC 1or1es ne McAfee Actwe Virus Oefence A•itw 1 ru~ ROtlQO del PlodUCIO •• • • • .. • • •• • • Prornedto CJel GtuDC> Ll.. Mep det Grupo b) Solución de Antivirus McAfee Active Virus Defence. Figura 4.1. Productos Antivirus más reconocidos del mercado.(Continúa) TESIS CON FAT r,. 1:"r.' nn¡nt'N ,.-. • • •• • •. .J 110 Syrnantec Corporation S • ' 1 )' t ,., .l1' Syrn<:intec AntiV1rus Enterprtse Ed1t1on 8 5 ;. 'v flJ~ -----Rango dOI Pl'odUCfO ••••••••••••• Pr~oefgrutJO 6 Mep en el grupo c) Solución Antivirus de Symantec Corporation. Figura 4. 1. Productos Antivirus más reconocidos del mercado. Para la elección de un Sistema Detector de Intrusos o IDS, consideraremos la Tabla 4.2., proporcionada también por The Buffer Group. Se comparan los ----J siguientes productos: Cisco Systems /ne., con Cisco IDS 4210; Computer Associates, con eTrust lntrusion Detections 2.0; Entercept Security Technologies, con Entercept 2.5 y Open Source Software, con Snort. La primera diferencia notoria la tenemos en el esfuerzo administrativo, donde el producto Snort demanda un alto conocimiento de la herramienta, mientras que Cisco /DS 4210 demanda un esfuerzo moderado, y en los productos restantes el esfuerzo es bajo. Snort no cuenta con una consola central de manejo, mientras que los restantes productos si. Tanto Cisco Systems /ne. como Entercept Security Technologies presentan productos adicionales o complementarios para un mejor funcionamiento de su producto. Todos estos productos pueden escribir reglas propias y sólo Cisco Systems /ne. proporciona un asistente para el desarrollo de reglas. los productos eTrust lntrusion Detection 2.0 y Entercept 2.5 presentan un mayor número de mecanismos de alerta, siendo este punto muy importante, ya que un conocimiento rápido del problema se traduce en una rápida respuesta para mantener al sistema y a la compañia en funcionamiento. Todos los productos menos Cisco Systems /ne. presentan alertas configurables. Se tiene una buena actualización de firmas para nuevos ataques en los productos de Computer Associates y Entercept Segurity Technologies, siendo el mejor en este punto el producto de Snort. Para el seguimiento de auditorías los productos e Trust /ntrusion Detection 2.0 y Entercept 2.5 no requieren de software adicional. The Butler Group presenta también para estos productos cuatro figuras que muestran de forma gráfica su funcionamiento, en comparación con el resto de los productos. La Figura 4.2.a. presenta la solución de Computer Associates, 111 mostrando como puntos fuertes su facilidad de uso, el manejo de reportes y alertas, su administración, su prevención ante nuevas amenazas y desarrollo. Para la solución de Cisco Syslems /ne. se tienen costos extras y mayor número de demandas para su manejo, el equipo viene preconfigurado, presentando un alto grado de desarrollo y estrategia. Para Entercept Segurity Technologies, se tiene una mayor demanda operacional junto con un costo en productos extras, es fácil de usar, presenta buenos reportes y alertas, una buena administración, desarrollo y prevención contra nuevas amenazas. Esta última es una muy buena solución, pero su gran desventaja es que no cuenta con soporte técnico local a través del fabricante. Para Open Source software se tiene también una alta demanda operacional y costos extras, es dificil de usar, siendo su punto fuerte el desarrollo que el producto presenta. Computer Cisco Comparación de soluciones JOS. Systems, Associates. Entercept Open Source The Butler Group 2003. /ne. e Trust Security Software. Cisco/OS lntrusion Technologies. Snort. 4210. Detection Entercept 2.5. 2.0. Fuera de la caía SI SI SI Descarna Tipo Basado en si si Si se requiere si red Basado en NO NO NO NO Host Aparato si NO NO NO Costo Información Información Información no Aparato US$7,995 no no disponible disponible disoonible E2,995 Incluido en consola Software el aparato US$25,000 central gratis E695 por servidor Censores múltiples Múltiples Múltiples Múltiples Múltiples o únicos Licencias Licencia Información Información Pública no no Información si General no disponible CGPLl disponible disponible Perpetua NO si si Información no disnonlble Evento Único si NO NO Información no dlsoonible Esfuerzo Moderado Bajo Bajo Alto Administrativo Soporte Mediante Información no revendedor si NO NO Europeo ·. disponible Tabla 4.2. Comparación de soluciones de IDS.(Contlnúá) 112 Cisco Computar Comparación de soluciones IDS. Systems, Associates. Entercept OpenSource The Buller Group 2003. /ne. e Trust Security Software. Cisco/OS lntrusion Techno/ogies. Snort. 4210. Detection Entercept 2.5. 2.0. soporte Foro en línea NO NO NO si Adaptable al NO si NO Información no costo disponible Porcentaje del NO NO 25% Información no costo oriainal disponible Interfaz GUI SI SI SI NO Linea de NO NO NO si comandos Consola Central si SI si NO de maneio Especificación de Información Hardware no Moderado Moderado Poca disponible Productos si NO si NO Adicionales Facilidad de uso Buena Buena Buena Requiere experiencia Actualizaciones Cifrada si si si NO Firmada NO NO NO si Di!'.litalmente Control del tamaño Buena Buena Buena Regular de las descaroas Reglas Propias Escribe reglas si si si si orooias Asistente de si NO NO NO reolas Mecanismos de Página si si si NO Alertas Correo Electrónico si si si NO Teléfono SI SI SI NO Ventanas de NO NO NO si Windows Otros formatos NO si si NO Plataformas Varias Varias Windows, Sun Extensiva sooortadas Solaris Alertas de usuario NO si si si conficurables Almacenaje de Local, directo a si NO NO NO reportes de consola eventos Definido por el NO si si si administrador ldenlifica tipos de si si ... .. S(. .. ·- ~·. si ataques -· ..-« ... Tabla 4.2. Comparación de soluciones d~ 1i:is:(continúaJ ''"'' 113 Cisco Computer Comparación de soluciones IDS. Systems, Assoclates. Entercept The Butler Group 2003. /ne. e Trust Security Cisco/OS lntrusion Technologies. 4210. Detection Entercept 2.5. 2.0. Actualización de Información firmas de nuevos Frecuente no si si ataques disponible Base a la si NO NO demanda Constate NO NO NO Regla: "Permitir si NO SI, pre todo" confiaurado Capacidad de NO si NO correlación Procedimientos de si si si escalamiento Software de reporte NO si si adicional Protocolos TCP/IP SI SI SI monitoreados Aolicación SI SI SI Entrenamiento Disponible por el si si si vendedor Documentado Información Información Información en linea no no no disponible disoonible disoonible Seguimiento de Incluido NO si si auditorias Información Herramientas si no Información de un tercero disoonible no disponible Clasificación por si si si prioridades Dispara respuesta Firewall de si NO NO en otro sistema CISCO Computar NO si NO Associates Check Poinl NO si si Compatible NO si si con OPSEC Modo de operación NO sr NO. "cieao" Tabla 4.2. Comparación de soluciones de IDS. TESIS CON FALLA DE ORIGEN 114 Open Source Software. Snort. Información no disponible NO SI NO NO NO NO SI SI Información no disponible si NO Información no disponible si si NO si NO si CORlputer Assoclates -.,,.,,.,,,n 1 1~ < JH eTrust lntTus1on Oetectron 2 O [.>f•Tt~ < 1nn OP. 1n1n,~os Demandas º~..!9.~~les y cos1os ~:=~o····;: ...•. ·~·······•~s=~- \ . . . .. / \ . . . I , __________ N;.;..::uev=as amenaz~~ • __ . . v ... ~aportes y ofertas ••••••••••••• Prorr4-xi.o ool grupo ---- _-- Rango dl..'I prod.JCt1 · ·- ---- L::i. Mepr oe1 g"-00 AdminlStración a) Solución /DS de Computer Associates. Cisco Systerns.. lnc. S1s!c.•rr,LJs <.JL Cisco IDS 4210 [Jeleccinn ue 1r11rus<>s ----- Rungo del produc1o ••••••••••••• Prorlied<>deCO~ 6, t..'\clQt CJel grupo b) Solución /OS de Cisco Systems. Figura 4.2. Productos IDS más reconocidos en el mercado.(Continúa) 1 115 TESIS CON FALLA ílJi' nmGEN Entercept- Secudty Technologies S1s'P''1•1'> ll+> Entercept 2 5 Ck. ''L" ( 1• )f 1 01 1nln.Js, v:. Demandas operacionales y costos extras Estrategia,.----· I Desarrollo '\ <1 \ \ •---------~~u=e=v'-"as amenazas ........ __ ----- Rango dol p1oduct - •••.••.••••.• Pron-.ado °'31 gu>0 6 Mop on ol grupo --- ---- ·--.:'\Facilidad de uso \ \ ' \ )<> ) Preconfiguroción / ¡ _ ___......,, íleportes y ciertos ----- Adm1ri1Sí1ocl6n -------------------- ------------------- c) Solución IDS de Entercept Security Technologies. Open source software 'ir'>'', • , ,., r 11, Snort -i.Jt tu, 1.1r1 dt' lr1li1JSdS d} Solución /OS de Open Source Software. Figura 4.2. Productos /OS más reconocidos en el mercado . . . . . . 116 Para una solución de tipo consolidado es necesario conocer, además de las caracteristicas de cada producto, que otras soluciones presentan las diversas compañlas especializadas en seguridad. En la Tabla 4.3. se puede observar un portafolio de productos de las compañfas lfderes en la esta rama, fa cual nos da una muy buena referencia de la capacidad de cada compañia para desarrollar una solución con un sistema consolidado de seguridad. Area de Solución. Computer Network Symantec. IBM/Tivoli. Check Otro. Associates. Assocíates. Poi ni Software. Protección lnoculate/T McAfee Norton No hay Sophos Anti- Antivirus (eTrust VirusScan Antivirus Solución Virus Antivirus) Norton AntiVirus Trend Micro OfflceScan Antivirus para lnoculate/T McAfee No hay No hay Equipos forWindows Virus Sean Solución Solución F-Secure Inalámbricos/PO CE Wireless Norton Anti-Virus for A lnoculate/T AntiVirus EPOC for Palm OS (e Trust Antivirus) Antivirus para lnoculate/T McAfee Norton No hay SophosAnti- Aplicaciones (e Trust GroupShield AnliVirus Solución Virus for GroupWare Anlivi1us) Exchange for Norton Notes/Dom in MS- Microsoft AntiVlrus o Exchange McAfee Exchange Option GroupShield .Trend Micro Lotus Notes Domino Norton ScanMail Oplion AnliVirus for Sybari Lotus - A11t1gen Notes Antivirus para e Trust McAfee Norton -- - - Trend Micro Gateway Content WebShield AnliVirus- lnterScan lnspecllon SMTP for Norton :OPSEC-- VlrusWall Gateways AntNlrus -' Content McAfee -- :. :vectoring Aladdin eSafe WebShield Norton { Protocol ,- Protect Proxy AnliVlrus - Gateway for McAfee Flrewalls WebShleld --Solaris -- -- Tabla 4.3. Comparación de diversos fabricantes en seguridad.(Continúa) 117 IArea de Solución. Computer Network Symantec. /BM/Tivoli. Check Otro. Assoclates Associates. Point Software. Firewall e Trust Gauntlet Raptor IBM Firewall-1 CiscoPIX Flrewall Firewall Firewall SecureWay Firewall Firewall VelociRapt Microsoft or Proxy (Appiiance) Microsoft ISA Servar Firewall Personal e Trust McAfee Symantec No hay No hay Ositis o para PC Firewall PE Firewall Desktop Solución Solución WinProxy Firewall Network ICE -- BlacklCE Defender Virtual Private e Trust PGPVPN PowerVPN IPSecVPN VPN-1 F-Secure Network (VPN) VPN supportin VPN+ Gauntlet IBM VPN SecureWay LucentVPN Firewall, no Gateway separata -- product Content eTrust McAfee Norton Finjan lnspection Content WebShield AntiVirus Software (Malware) lnspection SMTP far SurfinGate OPSEC- SurfinGate Gateways MIMEsweeper Content eTrust McAfee vectoring Finjan lntrusion WebShield Norton Protoco/ Software Detection Proxy AntiVirus SurfinGuard for McAfee Firewalls Content WebShield Technologies Solaris MIMEsweepe r lntrusion e Trust CyberCop NetProwler No hay Check ISS Detectlon lntruslon Monitor Solución Point Real Secura Basado en Red Detection RealSecur ·- e lntruslon.Com --· ;~.;:( - ;.,,,_: SecureNet Pro lntrusion e Trust CyberCop lntruder :· .¡;No hay.;·:. Check ISS Detection Basado Audit Monitor Alert .- Solución· Point Real Secura en Host _. --. ·- :~:<:.'.j,.:~ RealSecur eTrust, ·-·:·_ ;';~,: ;, ·e lnlrusion.Com · · Access'' Kane Security Control·• : ,· Monitor --- --··--" ----· -·- ---- -- --- Tabla 4.3. Comparaciónde diversos fabrlcantes en seguridad.(Contínúa) 118 rea de Solución. Computer Network Symantec. IBM/Tivoli. CheckPoint Otro. Associates. Associates. Software. Herramientas de e Trust CyberCop Symanlec Tlvoll No hay ISS Internet Análisis de Policy Scanner Relriever SecureWay Solución Scanner Riesgo y Compliance Rlsk Vulnerabilidad Symantec Manager ISS System Expert Scanner NetReconn ISS Database Scanner Enterprise Security Mana er Solución de PassGO Tlvoli No hay Novell Single Single Sign-On sso SecureWay Solución Slgn-On Global Sign- On Entrust EntrusUSign On Tivoll No hay Systor SecureWay Solución Security U ser Administration Manager Manager SAM Tlvoll No hay Systor SecureWay Solución Security Securlty Admlnlstratlon Manager Manager (SAM) Tivoll SecureWay Prlvacy Mana er Seguridad para Tlvoll No hay Systor Aplicaciones y SecureWay Solución Security WebServer Policy Admlnlstratlon Director Manager (SAM) Soluciones para No hay IBM No hay Novell NOS Directorio Solución SecureWay Solución IPlanet Directory Directory Server Crltical Palh lnJoin Oír. Server Microsoft Active Directo Tabla 4.3. Comparación de diversos fabricantes en seguridad.(Continúa) 119 rea de Solución. Solución de PKI (Publlc Key lnleñace) Check Po/ni Software. Otro. Baltlmore UnlCERT En trust EntrusUPKI RSA Keon Advanced PKI No hay Valicert Solución Tabla 4.3. Comparación de diversos fabricantes en seguridad. Ahora, de la Figura 4.3. podemos ver una gráfica de participación y tendencias del mercado por fabricante, que tiene como fuente a una de los analistas independientes más reconocido a nivel mundial, IDC Select, 2001. Basados tanto en la Tabla 4.3. como en la Figura 4.3., podemos observar que los dos fabricantes más importantes a considerar para la implementación del sistema consolidado de seguridad son Computer Associates y Network Associates. Ambos presentan una solución para Antivirus, Firewall, Content lnspection, Sistema de Detección de Intrusos y Sistema de detección de vulnerabilidades y riesgos. Estas herramientas son las indicadas para lograr un aseguramiento razonable de la red, apoyados por los resultados de las encuestas hechas en el capitulo anterior. Comparando productos encontramos que Netwok Associates presenta un mejor Antivirus, cuyas ventajas ya se discutieron anteriormente. Para la solución en Firewall, Network Associates presenta una buena propuesta, superada sólo por Computar Associates, por su interfaz gráfica, lo cual hace fácil la administración del producto. Para la opción de Content lnspection ambas compañlas cuentan con variados productos, de parte de Network Associates tenemos McAfee WebShield SMTP, McAfee WebShield Proxy y McAfee WebShield Solaris, todos ellos confiables en su uso pero limitados en su manejo y áreas de protección. Computer Associates presenta un producto especializado para este rubro, llamado eTrust Content lnspection, y otro que funciona de apoyo, llamado eTrust Intrusión Detection. Este segundo producto entra también como solución al siguiente punto, correspondiente a la Detección de Intrusos. Network Associates presenta su producto CyberCop monitor, el cual cubre de manera satisfactoria este punto en cuanto a intrusiones se refiere. Para el análisis y riesgos de vulnerabilidades Computer Associates presenta a eTrust Policy Compliance mientras que Network Associates presenta a CiberCop Scanner. Ambos productos son fáciles de manejar y administrar. 120 Socure Computlng 1.8o/o Trend Micro 2.8% Securlty Dynamics 3.0% AXENT Chock Polnt Tochnologles Technologies 3.1°/o 4.4% Computor Associatos lntºf (CA, Momeo, Platinum & Sterling) 19.5% Notwork Figura 4.3. Participación y tendencias de mercado por fabricante. (IDC 2001). Las compañlas mencionadas cumplen perfectamente con la solución a implementar, sin embargo se adoptó finalmente a Computer Associates como proveedora del software. Computer Associates cuenta con ·el portafolio más amplio en el rubro de soluciones de seguridad, con un alto nivel en lo referente a la administración centralizada, facilidad de manejo de los productos, alarmas. que'.: indican·:, una actividad anormal del sistema y manejo de inventarios. , .. ,~,.:~~:::~.-:-·':_',:~.-.;;~""~· Como ventaja extra, para futuras etapas del sistema de· segu~idaJ;.' Co~~uter Associates podrá aportar un valor agregado adicional y cubrir7 necesidades subsecuentes, gracias a que actualmente cuenta con el mayór jíúmero de soluciones en lo que a seguridad se refiere. 121 La empresa televisara estuvo de acuerdo en la elección de este proveedor, ya que contaba con buenos antecedentes de servicio y compatibilidad comercial, esto dado que ya eran usuarios de sus soluciones de respaldo y restauración de datos, además de su solución Antivirus. 4.1.2. Diseño de la arquitectura del sistema de seguridad Una vez tomada la decisión del portafolio de soluciones de seguridad a implementar, se integró la arquitectura que se observa en la Figura 4.4. Las zonas MZ y DMZ se encuentran definidas por un Firewall utilizando eTrust Firewa/I de Computer Associates. La configuración utilizada integra tres Tarjetas de Red, una de ellas asignada a la DMZ -donde se encuentran el servidor de servicios Web-, otra de ellas hacia la Zona Militarizada -donde se concentran los servidores de misión crítica- y por último la tercer Tarjeta de Red, que conecta a la Intranet en donde se encuentra la red WAN a la cual tienen acceso los empleados, apoyándose en los ruteadores internos Cisco ya presentes en la arquitectura de la televisara. No se dispuso de un ruteador exterior por limitante presupueslal. El Firewall se encuentra en un servidor dedicado por la necesidad de procesar grandes frames de información, entre ellos videos que deben ser procesados rápidamente sin afectación de la WAN. Así también, para la.formación de la arquitectura presentada en la Figura 4.4. se están integrando las herramientas de e Trust Intrusión Detection, con dos licencias cubriendo los segmentos ·de red de la zona MZ y DMZ. Con esta herramienta la empresa televisara tendrá la capacidad de monitorear el tráfico de la red, eliminando la posibilidad de ataques DoS tanto internos como externos, así mismo, evitará que información interna confidencial salga a través de Internet, esto lo hará utilizando la funcionalidad de filtrado que integra la misma herramienta. También con el uso de esta misma herramienta se evitará que los empleados usen indiscriminadamente los anchos de banda de red, evitando accesos a sitios no autorizados por la empresa. Una de las necesidades más importantes de la empresa televisara es el proporcionar servicios Web de forma segura, este servidor se encuentra en la zona DMZ definida en la Figura 4.4. Además de estar cubierta por la herramienta de Detección de Intrusos, el Servidor Web incluye una licencia de eTrust Policy Comp/iance; a través de la funcionalidad de este producto, el servidor será validado continuamente en cuanto a sus vulnerabilidades como host, cubriendo desde el Sistema Operativo de Red Windows NT, la base de datos -en este caso MS SQL Server- y el servidor de aplicación Web -WEBSphere de /BM-. Ésta misma herramienta se encargará de verificar los últimos "parches" emitidos por cada uno de los fabricantes de estos sistemas, así como de instalarlos y mantenerlos actualizados en forma automática. De esta forma se mantendrán en operación y disponibilidad los servicios Web implementados por la empresa televisara. 122 __. 1\) w Puebla ~~~~~ Roulcr Guadalajara ~~.5~ Routcr Monlerrcy ~~~~ Routcr cT FW cT Al' cT m el' re Consola de adminislración TESIS CON FALLA DE ORIGEN 1111 RAS!~ 111· .. '? T_L_~ ~~ TT nuu.o .. DMZ' •·tl!· 4---__¡-I~;~:.~~ i~: :. eTID' ~- 1111111·1111w· -.'1Y.:'1~ LAN's México D.F. •' .~ ... 't rll\\ i· :.· .. p ~~: .. Fim1al ;'::; ·i/\ '"':!;):· ..... lh9.t9.l.O $ ~léxico D.F. . ·~ ~ .. )~·scrVC~··: ! ~,!rU:~:~~r.? ;:'._:4~~.j~~:i':~ México D.F. íÍ!~l")l!i~r¡1 ~·:\:r~--: -;::"•:: .~,.~. !·,,., . M1s1on ~ritica _(tvs09 MlQ.,tvs!Fytvsl2):·: Figura 4.4. Arquitectura del Sistema de Seguridad En el Proxy ubicado en la MZ se integró una licencia de eTrust Content lnspection. Esta licencia se encargará de realizar la inspección de contenido para captar posible malware que pueda llegar a introducirse a esta zona, tanto por fuera como dentro de la empresa. Para las cinco soluciones de software comentadas anteriormente, se está integrando una consola de administración centralizada en la Cd. De México, ésta tendrá la posibilidad de configurar o ajustar parámetros de forma remota, asi como también de recibir las alarmas ante cualquier evento sospechoso o amenaza de ataque. Para la solución Antivirus, ya utilizada por la empresa televisara, tan solo se integró una politica de seguridad que se tocará más adelante. Las 1600 computadoras personales ya cuentan con la última versión de e Trust Antivirus en el presente diseño. Cabe comentar que el Firewall Cisco Pix denominado como RAS 2 deberá integrar seguridad estricta, ya que es la entrada de Internet abierta al público en general, siendo de esta forma, el primer filtro de entrada. También el Firewall sirve para prevenir un alto nivel de tráfico en la red. Los seis servidores que aparecen en el diseño de la arquitectura ya eran propiedad de la empresa televisara y fueron aprovechados para el diseño de la solución, estos servidores corresponden a dos equipos con eTrust Intrusión Detection, el Proxy con eTrust Content lnspection, el Web Server con eTrust Policiy Compliance, un servidor con e Trust Firewal/ y la consola de administración con equipos marca Hewlett Packard Pentium 111 a 800Mhz con 256Mb de Ram y 5 GB en disco duro, Sistema Operativo Microsoft Windows 2000. A continuación se integra un detalle de los beneficios adicionales de cada una de las herramientas de software propuestas. eTrust Antivirus Entre sus funciones se encuentra un doble escaneo de las Zonas de Riesgo, que van a permitir al administrador organizar las máquinas de los usuarios, ya sea por departamentos o por localización geográfica; la opción Bloqueo de Virus encierra los archivos contaminados para evitar una propagación en la red de un virus. " Cuenta además con un sistema de actualización automática y con base en las :-; pollticas de información, se identifican y aislan aquellos códigos maliciosos que pY,edan causar algún daño. ·-~ 1 cCi,rrlo beneficios se pueden señalar los siguientes: ... '• : -·} : Reducción de riesgos y caldas de tiempos de trabajos, ya que está certificado y respaldado por otro componente denominado e Trust TARGET (Threat Analysis and Response Global Emergency Team: Análisis de 124 Amenazas y Equipo de Respuesta Global ante una Emergencia}, que permite una mayor protección y confianza en el producto. Cuenta con mecanismos de alerta y desplegado de funciones. Permite un uso confiable del Internet, sin temor de ser contaminados por un virus. Funcionalidades distintivas: Administración centralizada, ya que el administrador en una sola consola podrá monitorear fácilmente toda la red WAN. Entre estas herramientas se encuentran los agentes para Microsoft Exchange, Lotus Notes, el soporte para usuarios remotos, el Bloqueo de Virus y la instalación y desinstalación de forma remota. Escaneo de virus y malware, en los distintos protocolos de SMTP, FTP, HTTP y POP3. Prevé protección para todos los correos electrónicos, descargas de sitios de Internet y transferencia de archivos. Este producto se encuentra certificado por: /CSA Labs, West Coast Labs y Virus Bulletin. Este Antivirus soporta ambientes Windows 9xl NT / 2000 / XP I Me. eTrust lntrusion Detection Este producto detecta intrusiones potenciales, ataques y abusos por parte de los usuarios. Además presenta gran flexibilidad y manejo; centraliza el monitoreo, lo que permite al administrador ver más de una estación de trabajo ya sea local o remota. Este producto puede ser instalado en distintos segmentos de la red, permitiendo al administrador ver alertas y generar reportes. Los beneficios que ofrece son los siguientes: El IDS provee un modo de operación sordo, ya que no es posible para los intrusos el detectarlo. .. . Conserva los recursos de ancho de banda de la red, al no permitir _ que mucha de la capacidad de la red sea utilizada por actividades ajenas a los protocolos HTTP, SMTP, TELNET y FTP. . Productividad de los empleados, en cuanto a la restricción existente de información no deseada proveniente del Internet. Funcionalidades distintivas. Para Administración: Alto desempeño, ya que es capaz de balancear el tráfico de redes. - Actualización automática de URL's, para una máxima protección. 125 Administración de una consola centralizada, lo que permite al admi.,istrador de red monitorear y controlar toda una red desde una consola, permitiéndole al administrador diseñar las reglas y polfticas de la red y en caso de alerta, responder inmediatamente. Administración remota, que permite a los usuarios remotos conectarse a la red de la empresa monitoreando y verificando los reportes de Ja red. Para protección de la red: Protección de red completa, debido a que se instala en diferentes segmentos de la red, monitorea y previene contra intrusiones. · Escaneo de la red, para localizar virus, malware y generación de alertar en caso de encontrarlos. ·· .. ,, Para monitoreo de sesión: Registro y reporte de una red en uso, que permite a los administradores contar con una herramienta de visualización, logrando un monitoreo sencillo de lo que sucede en la red, llevando seguimiento de los usuarios, aplicaciones, protocolos, servidores, etc. Esto ayuda a crear reportes, mejorar las políticas de uso y contar con una mejor protección contra abusos. Monitoreo de contenidos de los protocolos HTTP, SMTP, TELNET y FTP, lo que permite ver el uso del correo electrónico y el Internet. Análisis y registro de Intrusiones, por medio de un sistema que captura la información y la pone a disposición para su posterior análisis. Para el bloqueo de contenido de Internet: Bloqueo de direcciones URL y control de acceso, evitando la improductividad, ya sea de forma individual o por grupos de direcciones. Vigilancia, ya que los administradores verifican el tráfico, y si el usuario viola las politicas, finaliza su sesión de red. e Trust lntrusion Detection es soportado por Windows 98 / Me I 2000 / NT 4.0 y Redes TCP/IP. eTrust Firewall Los principales beneficios del e Trust Firewal/ son: Visualización de seguridad. El e Trust Firewall permite a Jos administradores visualizar los recursos de la red, pudiendo personalizar Ja pantalla a conveniencia de la compañia. Despliegue de la seguridad basada en una política unificada. El eTrust Firewal/ permite definir una polftica de red centralizada. Estas politicas se 126 pueden hacer extensivas a todas las instalaciones de eTrust Firewall, permitiendo Ja seguridad a Jo largo de Ja empresa. La funcionalidad del estado de alerta de tecnologia de filtrado de paquetes, ofrece Ja más alta tecnologla para el filtrado de protocolos complejos, rastreando Jos trames TCP y filtrando paquetes IP basados en el estado de la sesión, esto Jo hace en forma inteligente, ya que mantiene Ja eficiencia del mismo filtrado. Sistema de alerta y reporte. El e Trust Firewall mantiene el tráfico de Ja red y la administración de Ja operación de otros Firewalls en forma centralizada. La información, como el organizador del Firewall, estado, la conexión actual y tablas de ruteo, están disponibles para su supervisión. Soporte por calendario. Las reglas del Firewall pueden activarse y/o desactivarse por medio de calendarios. Internet Firewall Wizard. El e Trust Firewal/ se puede instalar y personalizar fácilmente a través del uso de pantallas paso a paso (wizards), diseñado con las reglas para los servicios de Internet más populares. Traducción de direcciones de red. El eTrust Firewall protege a los servidores sensibles de intrusos, a través de su facilidad de traducción de dirección. Los usuarios pueden acceder desde fuera de Jos sistemas y servicios sin revelar el JP del servidor. El Dominio de NT. Permite crear reglas basado en el ID del usuario o grupos de usuarios dentro de un solo dominio, esto elimina Ja necesidad de la utilización de bases de datos separadas por usuario. Interfaz para otros productos. Mantiene un método de autentificación, haciendo reglas dinámicas para otra aplicación, como pueden ser Jos Detectores de Intrusos. Administración centralizada. El administrador de Ja red puede manejar múltiples Firewalls desde una sola consola. e Trust Firewall es soportado por Windows 98 I Me/ 2000 / NT 4.0, Sun Solaris, HP-UX y IBM AIX. eTrust Policy Compliance eTrust Po/icy Compliance es un administrador de riesgo y solución de seguridad para empresas, que permite identificar las áreas vulnerables a problemas y, con ello, facilitar su resolución y prevenir Ja repetición del mismo supervisando Ja seguridad del sistema. Ayuda a los administradores a detectar las vulnerabilidades de las politicas de seguridad y permite manejar los riesgos en cualquier parte de sus ambientes comerciales. Esta solución también permite a las organizaciones salvaguardarse contra uso desautorizado del sistema o ataques. Dentro de los beneficios que este producto presenta se encuentran los siguientes: 127 Mejora la seguridad y reduce el riesgo, identificando los puntos débiles potenciales en las políticas de seguridad, proporcionando la corrección para estas vulnerabilidades de forma inmediata. El eTrust Policy Compliance supervisa a los sistemas y aplicaciones, y en especial, a las violaciones de las reglas en especifico. Reduce el costo y complejidad de manejar la seguridad del sistema a través de una administración centralizada, mostrando informes de riesgos con sus posibles soluciones. Mantiene la seguridad actualizada a través del acceso directo a la Web. Mejora los niveles de servicio, permitiendo a administradores observar excepciones o desviaciones de las políticas de seguridad definidas, e inmediatamente tomar la acción para corregirlas. Funcionalidades distintivas: Verificación centralizada de sistemas heterogéneos. El eTrust Policy Compliance permite a administradores intervenir en servidores y aplicaciones desde una sola consola. También varios administradores pueden intervenir simultáneamente, pudiendo supervisarlos, los sistemas incluidos son: Windows NT/2000/XP / .NET, UNIX, Linux y sistemas de OpenVMS, Oracle, MS SQL y bases de datos Sybase, Apache Web Servers, y otros. Reparación automática. Que les permite a los administradores rectificar la seguridad critica inmediatamente. Actualización de Web dinámica. Lo que proporciona un acceso fácil a actualizaciones de seguridad, con el fin de encontrar debilidades en el sistema. Controles predefinidos de seguridad. El eTrust Po/icy Comp/iance proporciona una colección de controles predefinidos que pueden llevar a cabo metas particulares. Pueden asignarse valores de peso que representan el nivel de severidad de una violación de seguridad a los controles y organizadores, permitiendo a administradores enfocarse en tareas más criticas. Cuentas del usuario y análisis de politica de contraseña. El eTrust Po/icy Compliance identifica las cuentas de usuario que están Inhabilitadas o que son utilizadas por usuarios múltiples. También descubre cuentas que tienen las contraseñas perdidas que pueden ser utilizadas por hackers. Este producto puede ser soportado en plataformas Windows NT 12000 / XP. eTrust Content lnspection Las funcionalidades distintivas que presenta este producto son: Esta solución se conecta fácilmente al Firewall y asegura una conexión a Internet libre de riesgos de contenido activo, tal como JAVA y ActiveX. Sin 128 esta solución, el código activo pasa fácilmente por el Firewall debido a que lo considera parte del protocolo HTTP. Proporciona protección de código activo. Dicha protección ·es personalizable a cada empresa. El eTrust Active Content lnspection bloquea código malicioso y emite reportes. · La solución puede ser administrada de manera centralizada a los diferentes componentes en cada segmento. e Trust Content lnspection soporta plataformas Windows NT. 4.2. Requerimientos para el sistema de seguridad Los requerimientos de las configuraciones de software necesarias para la implementación de estos sistemas, basado en la arquitectura definida en la Figura 4.4., está compuesto de acuerdo a la Tabla 4.4. eTrust lntrusion Detection (elDl 2 eTrust Policy Compliance (ePC) eTrust Content lnsoection íeCll eTrust Firewall (eFW) Tabla 4.4. Requerimientos de configuración. Requerimientos de plataforma para la Consola de Administración Los requerimientos mfnimos para la implementación de la Consola de Administración, en la cual se administrará de forma centralizada la vigilancia de la red, contará de los siguientes elementos: Cantidad de Equipos: 1 Caracterlsticas principales: 128 Mb en RAM 2 GB Libres de Disco Duro Windows NT 4.0 (SP6a) / Windows 2000 JRE 1.1.8 o superior (viene en la media de eTrust Firewalf) Microsoft Windows Script 5.1 (Disponible en Internet Explorar) Requerimientos de plataforma para eTrust tntrusion Detection Los requerimientos mfnimos para la implementación de este software serán los siguientes: 129 TESIS CON FALLA P.E C1:üGEN Cantidad de Equipos: 2 Caracterlsticas principales: 256 MBen RAM 2 GB Libres de Disco Duro Procesadores con por lo menos 500 MHz Windows NT 4.0 (SP6a) / Windows 2000 Requerimientos de plataforma para eTrust Firewall Los requerimientos mlnimos para la implementación del Firewall son los siguientes: Cantidad de Equipos: 1 Caracterlsticas principales: 256 MBen RAM 2 GB Libres de Disco Duro Procesadores con por lo menos 500 MHz Windows NT 4.0 (SP6a) / Windows 2000 JRE 1.1.8 o superior (viene en la media de e Trust Firewall) SQL Server 7.0 (opcional) Tres Tarjetas de Red Ethernet 100VGAnyLAN Requerimientos de plataforma para el seividor Proxy con eTrust Content lnspection Los requerimientos mlnimos para implementar el software eTrust Content lnspection en el Servidor Proxy son los siguientes: Cantidad de Equipos: 1 Caracterlsticas principales: 256 MB en RAM 2 GB Libres de Disco Duro Procesadores de por lo menos 500 MHz Windows NT 4.0 (SP6a) / Windows 2000 Requerimientos de plataforma para el Servidor Web con eTrust Policy Compliance Los requerimientos mlnimos para la implementar en el Servidor Web del producto e Trust Po/icy Compliance son: Cantidad de Equipos: 1 _ ...... ___ ,,,..,_M•_,., ... :; caracterlsticas"principales: ,-, 130 Al menos 64 MB en RAM 1 GB Libres de Disco Duro Windows NT 4.0 (SP6a) / Windows 2000 Para la implementación de todos los productos antes mencionados, los actuales anchos de banda para la red de datos no tuvieron que ser modificados, ya que son suficientes para la configuración. 4.3. Plan de trabajo e implementación del sistema de seguridad Para la implementación del proyecto se definió junto con el cliente una serie de actividades, basadas en las prioridades por parte del cliente y la disponibilidad de personal técnico y equipo de operación. Este plan de implementación contempla el levantamiento de información y análisis -obtenido en el Capitulo 3-, pasando por sesiones de trabajo con la empresa televisara para la definición de pollticas a ser cumplidas por las soluciones de software a implementar. Lo anterior se cubre en la Etapa 1 de implementación. La Etapa 2 contempla la instalación de cada una de las soluciones de software en los servidores definidos en la arquitectura del sistema de seguridad, observado en la Figura 4.4. Finalmente, en la Etapa 3\se · integra la configuración de estas soluciones junto con la documentación : , correspondiente. En la Tabla 4.5. se muestra este Plan de Implementación: integrando las actividades de cada etapa. 4.3.1. Plan de trabajo El plan de trabajo se llevó en etapas, éste se organizó de acuerdo a la Tabla 4.5. Etapa 1. Análisis de seguridad Para el análisis de la operación de la compañia, referente a las pollticas de acceso y generación de reportes de seguridad, se tomó como base la encuesta realizada al Gerente de Seguridad y al Director de Sistemas, descritas en el Capitulo 3. Este análisis contempla los rubros prioritarios para la empresa televisara. A partir de este análisis se tuvo la posibilidad de definir e implementar una serie de polltlcas nuevas y una mejor cobertura ante vulnerabilidades, todo a través de la tecnologla de software seleccionada en este capitulo. Etapa 2. Generación de un esquema de seguridad Los consultores estuvieron apoyados por el equipo técnico de la empresa televisara para llevar a cabo las siguientes actividades: Definición de reglas de acceso para el e Trust Firewall. Definición de reglas y pollticas para e Trust lntrusion Detection. Definición de reglas de e Trust lntrusion Detection para configuración dinámica del Firewall. 131 ' .J . ' E l DO Laenvoso J PRED ] E E 1 se Plan de Actividades pare implementación del Sistama de Seguriiad Emprása Televisora 55days? — Mon DiMi07 Fr q 7 CO Seguridadantared : 55days? — Mon0302003 Fei turcos 10% 3 Elapa 1, Análisis de Seguridad M4 daya — Mon 03/02/03 Thu 20792103 100% ty Análisis de la operación actual Mdays Mon 0302003 ' Mon 17102003 100% 31 Anáhsis delas polincas de acceso tidays Mon 010203 Mon 17/0203 4 100% EY Generación 08! reporte ds Angiis:s de Segundad 3days Tue 16:02:03 Thu 200203 5 100% E ww” Etapa 2. Generación de un esquema de teguridad - Seays Mon 2400210) Frammaa 3 100% B 1% Definición de reglas de 20ceso para el hrewall : 3cays Mon 240203 Wed 26/0203 300% HUA Defrución de teglas y politcas para eTrust inirusion Detecton ” 3days — MonZ24/0203 Wed2602103 8 100% 11% Delinción de reglas de eTrust intrusión Detecton para configuración Enámica det trewal Jay Mon 2410203 Wed 2602/03 — $ “100% AN Y " ; Sesión de trabajo con Empresa Telensora para validar las reglas y políticas 1 day En 28/02/03 Fa 2802103 10 . _ 100% RAY] Etapa 3. instalación de las herramientas o Mcays? — Mon 03/03/03 Thu 20/0/03 O lr? a Trust Firawall Bdsys? Mon 03/0303 Mon 10/0303 3 100% otr ' " Reisión de los requerimientos y adecuación 075days — Mon0Y0303 Mon 0Y0Y03 100% Blr * Instalación de las tanelas nr > 1éay — Tue 04030) Tus 04/0307 14 100% Holy Instalación del producto OScays Tue 040M0S Tue DAMOS 15 ¡00% Tales Configuración de la DALZ y la MZ tday Wed0S03Ó) Wed0sQV01 18: 100% Cul Pruebas de Conectividad o : 3days — WedOS/0I03 O A IMF instalación de la Consola de Admunistración ! 1037? — Mon 100403 Mon 100103 2 00% 20 Y «Trust lntruslon detection 5 dayt Tue 1101/03 Mon t7/01/03 : . "100% . alo Remisión de los requentuentos y adecuación o 102 — Tuetiro303 Tue 11/03/03 100% Ta | Instalación de los seradores de «Trust Ininygon Detection — Idays Wed12/0103 En sargos 23 00% Ta ly Instalación da lá Consotá de Agministración or 1day Mon 17/01/03 Mon 17:0303 " "100% PA aTrust Policy Compliance O 2eays Tue 18/03/03 Wed 18/03/03 ! " dopó 3 iv instalación 09 eTrust Porcy Comphance en Senedor WEB 1tday — Tue 18/0303 Tus 18/0303 100% 28 |. insia'ación de la Consola de Admmustación 1day — Wed19W0W03— Wed120303 100% Vale” aTrutt Antivirus y Content Inspection : : _ : 2daya Wed 18/03/03 Thu 2003/03 00% FI IS 7 instalación de Tres Content Inspection en Senador Proxy e Tday Wed19'0103 Wed10:0303 “100% E * instalación de la Corsola de Acmimisración mo 1dy — Tu20030) Thu 20003:03 : 100% Daly” Elapa 4. Configuración de las herramientas mr 20 days? Fi24/0d03 Fel 18040) 7 100% 1 Flema : 4day Fri2sm003 FM210103 109% 2 | — Configuración ds regías en el Fwewail Tr 1day Fn210303 Fn 21/03/03 700% = r * eTrusi Intrualon Detection a 11.75 daya FHzZVO%0s Mon OPI04I0d 34 “100% E Y o o Ardins del iálico ina! - 075 days Fn 2110103 En 210303 100% Bl”: Detinición de regias y polivcas 075 days Mon 24/0103 Mon 240109 34 100% EN co Montoreo del stema Cp tOdays Mon 24/0103 Fn0410403 35 100% CITAS 7777 Ajuste de regtas y poltucas despues del monitorea cnn dT5days | Mon07/0403 Mon Ot mao 36 100% Tal eTrust Polley Compliance — = 1day Tue 08/0403 Tue oárm4s : “160% a | — Defimeión del Modelo de Venficación de Vulnerabilidades o 102y Tue 08/0403 Tue ÓU/04/03 100% Da ir 7 Documéntación ” nooo rr aca | Wed 09040) Mon 14:00) 23 0 100% A LATT C 7 Entrenamianto al Personal Técnico. : OS Ñ Sdays? Mon 14403 Fn 18/0403 A “100% Tabla 4.5, Actividades del Plan de Implementación. ~iiii~~i~~~ll'~~liJ~Jlllil~ll~liil~llll~~J ~ " 1 3 2 En la sesión de trabajo con la empresa televisora, para validar las reglas y politicas de seguridad, se consideraron los resultados emitidos del estudio de vulnerabilidades generales llevado a cabo en el Capitulo 3. La finalidad fue el tomar las vulnerabilidades más importantes ligadas a los objetivos de este proyecto, tomar estas pollticas, llevarlas a la arquitectura de solución definida y finalmente implementarlas utilizando la tecnologla de software seleccionada. Para esa segunda Etapa se utilizaron principalmente las soluciones de Computer Associates, e Trust lntrusion Detection y e Trust Firewafl. El Staff mlnimo requerido por ambas partes (proveedor y empresa} fue: Proveedor: Consultor de Seguridad y Llder de Proyecto. La empresa televisora: Administrador de la Seguridad (responsable del proyecto} y Gerentes de las áreas involucradas con la red externa. Etapa 3. Instalación de las herramientas de software Para la instalación de las herramientas de software se requirió de: 2 Servidores Microsoft Windows NT, en donde se instaló.eTrustJntrusion Detection. ·: · . 1 Servidor Microsoft Windows NT con 3 interfaces de red; donde ·se instaló e Trust Firewaf/. . : :.; ···'' ·•>:•··· · 1 Servidor Microsoft Windows NT con Web Application Servei,•en donde se instaló e Trust Poficy Comp/iance. . · · ~ .. · .. > ;e,: . 1 Servidor Microsoft Windows NT e Internet lnformaCión Servar, en· donde se instaló e Trust Content lnspection. ·:~,<' . '>" ·" < •r ," :.'\ 1 Consola Microsoft Windows NT para'· instalar· . los.- módulos de administración de las soluciones de software (e Trust 2 /ntrusion:Detection, e Trust Policy Compliance, e Trust Antivirus y eTrost Firewa11.f::~':i."·;;;,o:· , .. _ ,:_ -,-:-:'.:-~~)?·;~;:_:~;~~-:~{ 1?::~i;P~j!o:~:~:-~~~ .. ::}·/.~·.', .:. Los consultores fueron apoyados por el equipo técnico de la empresa televisora, y llevaron a cabo las siguientes actividades: · · · · · '· · · ·, ':; .. ~ . , , :;'.,, Revisión de los requerimientos y adecuacióí{ de' 'ei;;,;;¡Fi;~~;ti. Instalación de las Tarjetas de Red. Instalación del producto. Configuración de la DMZ y la MZ. Pruebas de conectividad. Instalación de la Consola de Administración. Cabe comentar que la instalación de la herramienta fue llevada a cabo de forma muy ágil, ya que esta herramienta cuenta con un método de instalación muy claro, llevando al instalador paso a paso. Es tal el nivel de facilidad de instalación, que la misma herramienta puede identificar los componentes que estarán tanto en la MZ, DMZ y la Intranet, identificando cada Tarjeta de Red instalada en el servidor. Por 133 otro lado, la herramienta cuenta con reglas básicas definidas para la configuración de los puertos de cada servicio Web, correo electrónico, transferencia de datos, etc. Esto, evita la programación dentro de la herramienta y por tanto un costo mayor para la administración de la misma. Para la instalación de e Trust Intrusión Detection fue necesario: Revisión de los requerimientos y adecuación de eTrust lntrusion Detection. Instalación de los servidores eTrust lntrusion Detection. Instalación de la Consola de Administración de e Trust Intrusión Detection Se instaló esta solución de software en los servidores correspondientes, definidos para los segmentos de red mostrados en la Figura 4.4. Para e Trust Po/icy Comp/iance fue necesario: Instalación e Trust Policy Compliance en el servidor Web. Instalación de la Consola de Administración de e Trust Po/icy Compliance. Para esta solución de software se instalaron los módulos de Client Manager, Agent y e Trust Web Update. Para la instalación de este tipo de herramienta debe existir un módulo Client y un módulo Agent. El método de instalación es 'paso a paso', lo que hace la instalación muy fácil. Durante la implementación se solicitó la definición del password para el módulo Agent y Client. Para la instalación es importante que el protocolo TCP/IP se encuentra previamente Instalado y definido. Durante la instalación esta herramienta se mapea al puerto de servicio TCP/IP 1827 de la red. Los pasos a seguir son: Instalación en el Servidor Proxy de eTrust Content lnspection. Instalación de las Consolas de Administración de e Trust Antivirus y Content lnspection. e Trust Content lnspection se va a instalar en un servidor Microsoft Proxy, es muy importante verificar que los requerimientos mlnimos se cumplan. De esta forma, una vez instalada esta herramienta, se evitarán posibles cuellos de botella por el procesamiento del filtrado de contenido. La instalación de la consola de Antivirus no tuvo ninguna particularidad, ya que de forma automática identificó todos los nodos remotos con el Antivirus y las versiones de sus vacunas. Revisados los requerimientos se procedió a instalar las siguientes herramientas: e Trust Firewal/ en 1 equipo. e Trust lntrusion Detection en 2 equipos. e Trust Po/icy Comp/iance 1 equipo. e Trust Content lnspection 1 equipo. t34 El Staff mfnimo que se requirió por ambas partes (proveedor y empresa televisara) fue: Proveedor: Consultor de Seguridad, Llder de Proyecto. La empresa televisara: Administrador de Ja Seguridad (responsable del proyecto). Etapa 4. Configuración de las herramientas de software Los equipos configurados fueron: 2 Servidores Microsoft Windows NT, con e Trust lntrusion Detection. 1 Servidor Microsoft Windows NT con 3 interfaces de red con eTrust Firewal/. 1 Servidor Microsoft Windows NT, con e Trust Policy Compliance. 1 Servidor Microsoft Windows NT, con e Trust Content /nspection. 1 Consola en donde se configuraron las herramientas eTrust lntrusion Oetection, e Trust Po/icy Compliance, eTrust Antivirus y eTrust Firewall. Los consultores, apoyados por el equipo técnico de la empresa _televisara, llevarán a cabo fas siguientes actividades: Para e Trust Firewal/ es necesario: Configuración de reglas en el Firewall. Para eTrust lntrusion Detection es necesario: Análisis del tráfico inicial. Definición de reglas y polfticas. Monitoreo del sistema. Ajuste de reglas y pollticas después del mónitoreo. Para e Trust Policy Compliance es necesari~:_. Definición del modelo de verificación de vulnerabilidades. Utilizando la herramienta eTrust lritrusion Detection se realizó un análisis del tráfico de Ja red externa, con el objetivo de ajustar las reglas en las herramientas (e Trust /ntrusion Detection, e Trust Firewa// y e Trust Policy Compliance). Se configuró la herramienta de eTrust Policy Comp/iance en el servidor Web, de tal forma que ya se tuvieran los modelos de análisis de vulnerabilidades predefinidos, y de la misma forma los reportes a ser emitidos. El Staff mlnimo requerido por ambas partes (proveedor y empresa televisara) fue: 135 Proveedor: Consultor de Seguridad, Llder de Proyecto. La empresa televisora: Administrador de Seguridad. (responsable del proyecto). Entrega bles: Memorias técnicas. 4.3.2. Implementación del sistema de seguridad Se determinó la cantidad de recursos humanos y el mlnimo tiempo de ejecución del proyecto, tomando en cuenta los tiempos, disponibilidad y necesidades de negocio de la empresa televisora. Asl mismo, la empresa televisora nombró a uno de sus empleados como el responsable por los Servicios de Implementación, quedando éste autorizado para aprobar las fases, resolver dudas y responder a nombre de la empresa televisora durante la ejecución de los mismos. Para la ejecución de los servicios de implementación se establecieron horarios de atención, lunes a viernes de 9:00 AM a 6:00 PM. Para los servicios realizados en fines de semana u horarios distintos al establecido, fue necesaria la previa coordinación con el Gerente del Proyecto. 4.3.3. Presupuesto del sistema de seguridad El presupuesto para un sistema de seguridad como el expuesto debe estar balanceado, de acuerdo a los activos a proteger. El presupuesto asignado sólo se limitó al proyecto de implementación y licencias de los productos de software involucrados, la empresa ya contaba con el hardware necesario para la implementación de cada uno de los sistemas, previa validación de la configuración mlnima de cada uno de los equipos y basándose en las recomendaciones del presente documento. El importe de mantenimiento anual cubre el soporte técnico y la protección a actualización de versión de los productos citados. Los servicios de implementación tuvieron un costo total de $39,600.00 (treinta y nueve mil seiscientos dólares americanos 00/100). En lo correspondiente al licenciamiento de los productos de software, el presupuesto requerido es el que se muestra en la Tabla 4.6 136 Qr1idJ:ld3 Au:i.dcs a l.iardér Uan:ias ROOoUitaio lm:xrte Teta l'vtrt A't.B eTn.st Rreval 1 $400 $400 $100 eTn.st lrtn.S01 Dlla::ti01 2 $25. eTn.st R::liO/ a:::rmia-m 1 $93 $93 $ID eTn.st Q:ngt lrE!B:D01 1 $3,493 $3.493 sae :ro :!04.93'.l $10,!m Tabla 4.6 Presupuesto de Licenciamiento. El valor total de proyecto incluyendo productos, mantenimiento y serv1c1os correspondieron a un total de $105,588.00 (ciento cinco mil quinientos ochenta y ocho dólares americanos 00/100). Todos los precios anteriormente citados fueron dólares americanos y no incluyeron el IVA. "4.4. Políticas de Seguridad de la red El documento que describe las caracterlsticas de seguridad de la red, dentro de una organización especifica, se llama Polltica de Seguridad de Ja red. Este documento detalla todas las características del sistema de seguridad a implementar, abarcando los siguientes puntos: Identificación de los recursos que hay que proteger. Identificación de las amenazas a los recursos a proteger. Como deberá de ser usada la red. Responsabilidades de cada uno de Jos usuarios de Ja red. Acciones a tomar en caso de que la política de seguridad sea violada. Procedimientos de administración, configuración y recuperación de la red. Este documente, por si mismo, es muy extenso, ya que debe de contemplar todos y cada uno de Jos elementos que conforman a Ja red, apoyados por un inventario de todos los equipos y sistemas a proteger. Por razones de espacio, en el presente trabajo sólo se mostrarán los puntos más importantes a discusión en Jos foros y reuniones que se llevaron a cabo dentro de la compañia televisora, para la conformación de la política de seguridad para las áreas que constituyen a la compañia. Cabe mencionar que la mayoría de las Pollticas de Seguridad las obtenemos directamente de los cuestionarios que se aplicaron al Director de Sistemas y el 137 Gerente de Seguridad, estos cuestionaros se encuentran basados en el estándar IS017799 {el cual se encuentra apoyado por el estándar ingles BS7799). Este estándar define que una buena seguridad depende un 70% de los procesos y un 30% de la tecnología. Tomando lo anterior tenemos una referencia de cuán importante es la definición de estas políticas y que la tecnología no fo es todo en la resolución de este tipo de necesidades. Las políticas están reforzadas con el uso de tecnofogfa, pero siempre será necesario que una vez definidas estas políticas, las mismas sean auditadas y revisadas continuamente. Las políticas básicas definidas son las siguientes: Contar con sistemas UPS en caso de interrupción de energía. Contar con vigilancia continua en áreas donde se encuentre equipo con información de gran importancia. Llevar un inventario def equipo con el que se cuenta y en caso de mover un equipo, notificarlo al personal autorizado. Para lo empleados, es necesario portar un gafete y en caso· de que se labore en tiempos fuera de lo establecido, se debe.de.avisar al encargado en turno. ·:··<: ,· .. · Control seguro en la utilización de cintas DAT. Tener una clasificación de seguridad para la información con fa que se cuenta. Se restringe el acceso a cuentas administradas a nodos específicos y a la consola de sistemas. Debe existir tiempo límite en las aplicaciones y servicios en caso de inactividad. El acceso a las utilerfas del sistema debe estar restringido y controlado. El tráfico LAN y WAN sensible deberá estar cifrado. Los correos electrónicos deberán estar monitoreados. Las redes deberán encontrarse en dominios segmentos lógicos separados. Las conexiones entre redes deberán ser establecidas por controles de ruteo. Se prohíbe el acceso a los datos internos vía servicios Web. Deben existir restricciones en la descarga de software de lugares públicos. Ef acceso a Internet deberá estar restringido y monitoreado. Control de accesos a los servidores de misión critica con la implementación de la MZ, configurada ésta a partir del agente del detector de intrusos ID y Content lnspection {CI) sobre del Servidor Proxy, evitando que usuarios no autorizados ingresen a directorios clasificados o intentos de intromisión de malware por los mismos. Control de aplicaciones, especialmente a las bases de datos del MS SQL Server en los servidores de misión critica de nómina, finanzas, tesorería, bases de datos de videos y producción. En cuanto al control de accesos se debe de tener un control de los logins y el personal debe de contar con claves de autentificación para el ingreso a la red. 138 Debe existir una seguridad para el acceso a la base de datos, con el personal calificado y sus correspondientes claves de autentificación. Apoyo a la red mediante la utilización de Firewalls. Se deben borrar todas las cuentas de usuario cuando éste deja la organización. Debe existir una base central de usuarios. Debe existir un procedimiento de autorización para agregar nuevos usuarios a los sistemas. Los usuarios deben ser autentificados a través de un password. Se deben tener cuentas de acceso público o guest. Todas las cuentas deben ser correlacionadas hacia un usuario real. Los privilegios de usuarios deben ser revisados periódicamente. Se deben de seguir prácticas de seguridad definidas en la selección de passwords. Las cuentas deben tener un tiempo de expiración determinado. Las terminales deben ser identificadas automáticamente para autentificar la conexión a localidades específicas. Deben existir alarmas mediante las cuales los usuarios puedan ser notificados. Las actividades en computadoras deben ser asociadas a un usuaño en especifico. Los administradores deben estar restringidos a iniciar transacciones de nivel aplicativo. Los usuarios deben estar restringidos al acceso a datos y funciones"fuera del perfil de su puesto. Las cuentas privilegiadas y de emergencia deben ser revisadas constantemente. El acceso a bitácoras de eventos debe estar controlado. Los intentos fallidos de acceso deben estar restringidos deshabilitando Ja cuenta después de un número determinado de intentos. Deben existir restricciones de horario en las aplicaciones y servicios. Se debe de realizar un análisis de vulnerabilidad, documentando las fallas, amenazas e impactos sobre el sistema cuando estos llegaran a ocurrir. Se debe de llevar a cabo una estrategia de administración de riesgo con pasos a seguir en caso de contingencia. Estas estrategias de administración de riesgos deben de ser revisadas al menos cuatro veces por año. Todas las áreas dentro de Ja empresa deben ser sujetas a entrevistas o supervisiones continuas para asegurar el cumplimiento de las politicas de seguridad. Se debe de crear un plan de continuidad de negocio que considere el buen funcionamiento de Jos activos principales por área de la empresa. En caso de interrupción de los servicios, se debe de buscar la causa real del problema y debe ser documentada junto con su solución. 139 Se debe crear un plan de procedimientos a respuestas de incidentes que contemple: prevención, detección, contención, solución y retorno a operación normal del sistema. Se deben de crear procedimientos de respaldo y recuperación de información critica para cada área de la empresa. Se deben de revisar siempre las bitácoras en busca de actividades sospechosas y la información recopilada debe ser siempre almacenada. Se debe de crear un procedimiento que nos asegure que los nuevos sistemas cumplen con los requerimientos de seguridad, asl como también un control de cambios en estos sistemas. Nadie en la organización deberá bajar de Internet ningún tipo de software no autorizado. Cualquier tercer parte que tenga que trabajar con la información de la organización tendrá que firmar un acuerdo de confidencialidad para la seguridad de la información. Todos los empleados deberán firmar un acuerdo de confidencialidad como parte de sus términos y condiciones de empleo. El responsable de la administración de incidentes deberá asegurar una respuesta rápida y efectiva ante cualquier incidente de seguridad. Las áreas de desarrollo de aplicaciones y pruebas deberán estar completamente separadas a los ambientes de operación. Los sistemas de respaldo (medios magnéticos) en donde se mantenga información sensible deben ser destruidos en caso de no ser utilizados. Se deberá contar con un inventario completo de los activos, integrando su identificación, ubicación, valuación, responsable asignado y su clasificación de seguridad completamente documentada. Los activos podrán ser definidos como procesos, información, documentos en papel, activos en software, activos físicos, personal, imagen y reputación de la compañia y servicios. La valuación deberá estar relacionada con el valor de impacto al negocio, ésta deberá referenciar pérdida de confidencialidad, de integridad y disponibilidad. El valuar en forma monetaria en muchos casos pudiera ser complicado. Se podrá definir una escala de 1 al 5 para identificar los mismos. El nivel de impacto de un activo deberá también clasificarse en Muy Alto (más de 5 Millones de Dólares), Alto (Menos de 5 Millones de Dólares), Medio (Menos de Quinientos Mil Dólares) y Bajo (menos de cinco mil Dólares). Algunos puntos de interés son: Aunque se aplican controles de seguridad, no hay definido un programa para la prevención de seguridad de la empresa televisara. No hay que olvidar que finalmente lo que nos interesa proteger es la información a la cual tienen acceso los usuarios de acuerdo a sus roles, y por lo tanto deben tener una cultura para el manejo de información. 140 No existe un proceso para realizar análisis formal de Jos activos. La televisora tiene inventariados Jos activos, pero no se tiene un análisis de riesgo de cada uno de Jos activos. No existe un estudio de dependencia de Jos activos. La falta de estudios de dependencia de Jos activos es necesaria para tener identificados Jos servidores y componentes crlticos y evaluar sobre ellos con un mayor detalle la aplicación de políticas de seguridad. No se cuentan con sistemas de auditoria. 4.5. Memorias técnicas Las memorias técnicas son parte de la solución del problema, éstas cuentan con información sobre los productos a instalar, y Ja manera de cómo se llevó a cabo la instalación. Por razones de confidencialidad, no se muestran los passwords reales, y en algunos casos, no fue posible incluir esta información en el presente trabajo, a petición propia de la empresa, por razones de confidencialidad. A continuación se presentan las memorias técnicas por solución. Memoria técnica de eTrust Firewall La arquitectura de de esta herramienta de software se encuentra compuesta por los siguientes módulos: 1) e Trust Firewall Admin Server. Este 'módulo se encarga' de guardar en su base de datos las políticas definidas, para- eLf"irewall. Por _otro lado,' este módulo se encarga también de administrar otros Firewalls dentro de _la red. ' ;-:<·- - ' ·- - ·-' _. ,,.~,-·;-"Ó<:_ ., ,~ :Ü·\~ ,:-~ ·-,-,;;·;1.:: "'.---; ·-;',' >; 2) e Trust Firewa// Admin Client. Permite adrninistrar de forma rernotá el e Trust Admin Server. · 3) e Trust Firewa// Engine. Este módulo se encarga de interceptar el tráfico de la red y asegura Ja política definida. 4) e Trust Firewa// User Client. Ésta es Ja interfaz de administración de usuario, se instala en aquello nodos que acceden al Firewall. 5) e Trust Firewa// Login Agent. Éste facilita el acceso a las reglas del Firewall utilizando Ja autenticación del Sistema Operativo. Corno puntos adicinales se tiene: La comunicación entre estos módulo está completamente asegurada. Todos Jos componentes _fueron insalados en un equipo definido para esta función: 141 Equipo: tvsOO Función: servidor de Firewall 169.19.1.0 IP: Versión SO: Windows 2000 Profesional Se configurÓ· 0 el Fi'~~~aÍI· para' la '1ntr~net utilizando dos NIC's, se definió una dirección de resguardo del archivo de configuración, contenido en:, Directorio: c:\program files\Comp~ter Associates\eTrust\Firewall Admin Credentials: User Name: fwadmin Password: fwtvOO Reglas definidas: 1. Nadie desde la Internet se podrá conectar a las redes internas o Intranet- Activada. 2. Usuarios internos podrán realizar accesos a Internet, servicios FTP y correo electrónico al exterior sólo y únicamente a través de la DMZ- Activada. 3. La conectividad de correo electrónico, hacia y desde Internet, será a través del servidor de correo en la DMZ- Activada (El servidor Web dispuesto en la DMZ tiene activados los servicios SMTP). 4. Todo el tráfico proveniente de la Internet y FTP está autorizada en la DMZ. Estas reglas fueron definidas a través de las pantallas paso a paso de eTrust Firewall, todas y cada una de ellas fueron adicionadas en una base de datos, integrada en el módulo e Trust Firewal/ Admin Cfient. Para la creación de nuevas politicas será necesario desarrollar el procedimiento paso a paso que contempla esta herramienta de software. Las reglas definidas fueron simuladas antes de ser implementadas, a través del módulo de Security Po/icy, contenido en la herramienta. La simulación de estas reglas implementadas fue satisfactoria. Memoria técnica de eTrust lntruslon Detection Se utilizaron NIC's Ethernet de 3Com 3C595 101100 PCI. De estos, dos equipos fueron configuradas en modo promiscuo, esto permitirá que el tráfico de la red del segmento pase en su totalidad por la misma. Dado que eTrust Intrusión Detection se da de alta como un servicio en Windows NT, éste se dio de alta como usuario "admin22" con password "admin33" con derechos de administración y configuración de acceso a una impresora local conectada a este equipo. 142 Se llevó a cabo la implementación de dos licencias en los segmentos de red a 100Mbps, tanto de la DMZ como MZ. Cada uno de estos equipos fueron conectados al puerto RAP de los switches 3COM Superstack 11. Se integró una configuración en esta herramienta de software el monitoreo, reporteo y bloqueo de las sesiones TCP/IP (TCP y UDP), http y POP, TNP e IMAP; estos últimos tres para el monitoreo de los componentes de MS Exchange y el contenido de virus dentro de mensajes de correo electrónico. Asl mismo, se integraron filtros para detección de acciones sospechosas en la red de datos y configuración de monitoreo, reportes y categorfas de acceso a URL's para http. El contenido de datos en la red de la empresa televisora estará siendo monitoreado en el Intranet. como datos de salida hacia Internet a través del servidor Proxy o aquellos datos de entrada a través del servidor Web, antes de llegar al Firewall. El filtro de datos configurado fue a nivel de tipos de archivo y cadenas de caracteres especfficos. La dirección de los servicios SMTP correspondiente al servidor de correo electrónico de Ja empresa televisora configurada fue: Equipo: Función: IP: Versión SO: tvs09 (integrado en la granja de servidores en la MZ) servidor de correo electrónico 15.94.4.44 Windows 2000 Profesional La dirección del servicios Proxy correspondiente al servidor de correo electrónico de la empresa televisara configurada fue: Equipo: Función: IP: tvs01 Proxy Server 15.94.3.2 Versión SO: Windows 2000 Advanced Server . Al reinicializar el equipo con Wind~.,.;; NT~o .será necesaria arrancar el servicio de estos productos · ·· Configuración de filtrado de a;chivos} cadenas de caracteres y URL 's especificas: El producto quedó confi~u~~~~ ~arafiltrar: -~i·.' 1) Archivos: ;\';''"" ,__ .. ·'>}::\: ~;~·~ .. :~_ .; .EXE, .COM, .JPEG; :~P3>· . 2) Cadenas de caractéres: CONFIDENCIAL; usc:>INTE~NO, CURRÍCULUM. 143 3) Bloqueo de acceso vfa http a sitios de sexo, música, servicios /CQ, AOL, Prodigy y hotmail. 4) Bloqueo de mensajes de correo electrónico de máximo 2MB de tamaño. 5) Bloqueó para enÍaces FTP de cualquier mens~je contenido entre los servidores tvs9; tvs10, tvs11, tvs12 y cualquier otro nodo dentro de la red que tardé más de 5 minutos entre el origen y destino. · 6) Bloqueo .de enlaces TELNET y protocolos no estándares en uso fuera de los logins y passwords de administrador de la red de la empresa teievisora. 7) Para c~mportamiento extraño en la red fue configurad.a la detección de posibles: MAC Spoofing. La activación evita que dos direcciones MAC existan en una misma red. IP Spoofing. . ... Ping Abuse. Máximo paquete ICMP autorizado 1024 Mbytes. Ping Flooding. Mfnimo intervalo en el tiempo entre dos páquetes ICMP 2500 milisegundos. Máximo cantidad de. frames .. ICMP enviados entre fuente y destino 30. . SYN Flooding. Máximo número de sesiones concurrentes por estación, 10. . Rastreo de puerto TCP. Mfnimo promedio de tamaño por sesión, 10; máximo promedio de sesiones concurrentes abiertas por destinatario, 30; máximo número promedio de sesiones concurrentes por originario, 50; mfnimo promedio del tamaño de sesión de originario, 500. Los consultores de la empresa televisora tendrán la posibilidad de integrar más filtros a través de la administración de esta herramienta de software y de acuerdo a la nueva generación de pollticas para la detección de contenido critico para la empresa televisora. Configuración de filtrado de archivos y cadenas de caracteres: El producto quedó configurado para filtrar las siguientes cadenas de caracteres: .EXE, .COM,.JPEG,.MP3, CONFIDENCIAL, USO INTERNO, CURRfCULUM. Se configuraron dos plantillas de reportes para las dos consolas de monitoreo de cada una de estas reglas definidas, estás podrán emitirse en cualquier de las consolas o directamente en la consola de administración de seguridad de la empresa televisora. 144 Memoria técnica de eTrust Content lnspection V 2.4 Los siguientes puntos describen la configuración tanto de ubicación,, denominación, función y dirección IP correspondientes a la herramienta de' software eTrust Content lnspection, esto permitirá darle a la empresa televisora la \ posibilidad de reconfigurar la herramienta cuando sea necesario, se logró:- Instalación del producto: adecuada. Para los servidores: Equipo: tvs01 Función: Proxy Server IP: 15.94.3.2 Producto: e Trust Content /nspection V 2.4 (MS Proxy GatewayJ e Trust Content /nspection V 2.4 (Policy Manager) e Trust Content lnspection V 2.4 (Control Center) e Trust Content /nspection V 2.4 (Audit ViewerJ Directorio: c:\program files\Computer Associates\eTrust\Content lnspection Versión SO: Windows 2000 Advanced Server Para la consola: Equipo: tvs02 IP: 15.94.4.35 Producto: eTrust Content lnspection V 2.4 (Policy Manager) e Trust Content lnspection V 2.4 (Audit ViewerJ Directorio: c:\program files\Computer Associates\eTrust\Content lnspection Versión SO: Windows 2000 Profesional El password para el administrador fue: XXXXXX La instalación del producto eTrust Content lnspection V2.4 se realizó en un servidor con Microsoft Proxy V 2.0. El módulo instalado fue el 'Gateway para Microsoft Proxy, y se instaló en una consola. La arquitectura de la herramienta de softwa-re_se-puede o~servar--~nla Figura 4.5. Esta figura permite entender cuales son los flujos de información o alarmas de esta herramienta. - · '· · ' -, . _ -.. -;,~:·<'L~ ,·~:;~¿;~; .. v_;;.\ La herramienta se compone de cuat~o_mÓdulos~ que son: 1) El Gateway. Es el encargado'-de interceptar las requisiones HTML que realiza el proxy, y pasarlas 'al Control Center- para su análisis por contenido malicioso del código de programacicjn.~~11ª.Y,de vi.rus. 145 . \ Consola A udil V icwcr Policy M anagcr Servidor 1 Control Ccnlcr Gatcway Figura 4.5. Arquitectura de la Herramienta de Software e Trust Content lnspection. 2) El Control Center. Es el que aplica las reglas definidas por el Policy Manager sobre el contenido que recibe del módulo Gateway. Este módulo siempre debe de estar activo en el servidor, ya que el Gateway constantemente se comunica con él. Un ejemplo de pantalla se puede observar en la Figura 4.6. EA•.4110. Ffifi#*'dffi'' 1 14 il,i !. ¿,• . Fle Edt Yle.,. Tools Help 1 Control Center: Default Control Center Objoct lníormelion Ust: 1 5tatus Status: Servtce(GIE) Acttve 10/l"'l/20019:59:16PM ;::,.:' '.· .·.:·.·•.- . Figura 4.6. Pantalla del Control Center. 146 3) El Audit Viewer. Se conecta con el Control Center para recibir los resultados del escaneo por código malicioso. El detalle de la misma se puede observar en la Figura 4.7. ~'t!!El!™~ ... ~'= .... =i•_,...,16Mll!:ll'ª'1191D=·~'=¡11t1&m:·#~':·::11 ........................ El:if~li!l~~~1~::.1c1~ lconnected to: 141.202.96.214 Gate lo Audl1 Ust hrto·JJ-/Krots/ .. "llocJ'll.9 .. Analvl'O!dby-t-Vn>s hno·/114J.lll2 'll6.21•/•ch( ... ¡,...,,.¡ooJFW:/riáf] t«p:lf-/1C«J/ .. Áa! .¡.... .. Analyndbr-•·Vl'llf 1·1 .. 1.2'02.w..21 .. 141.202.96.n ?4141.2'0296.214 14J.2'0Z.96.Zll ,.141202.%214 Hl2'0Z.9'>.7J i.cl1•1.202.96.214 14).2'02.9621] ,.l•U.2Q29b.2H 141.202.96.73 ,.1 .. 1.zm.96.214 141.2'02.96.n J' 0 141.2Ql.96.214 14J.2'!1Z.96.7l ,.141.ZOZ.9621<1 141 ZOZ.96 73 !Ql412'Q2.96.214 141 Z01.962JJ ,., .... 202.96214 141 2112.96 7l ,.141.2'0Z.96.214 141.202.96.7) ,.141.202.96.214 141.202.96.13 ht.to:/ll•l.2'0l 'll6 214/•ch C··· [~.;ooJFW:¡.N,dr) A•ietted ·- http://-lt.e.•C>t1/ .. A.tz .. /.... .• AnalvndbrAnl•·Yrvl Mp.¡/-/KfC>t1f .. "ll.<1%9... AnalyH/dbyAnlrV'rUI hlto./l-/$C•IP1f .. "lo(:J"1.9 ... An;llyledbyArLt-'ñul. tctp·//-/10U1/ .. .4a. /""' .. AIW'(l'O!dbyArC"t-Yl'UI hrto·l/1•1202.96214/pueb .. C~"t.ed,~~ http/J-/Kt'U.1/.Aa,,/- ~n 11-/tc.nro/ ./:.ce .. /... ......,.l'edbyAn11·V.U1 hltp·IJ-/Kr~5/ •• /:.ce .. / ....... ~ffdbyAnll-Y•UI Figura 4.7. Pantalla del Audit Viewerdel e Trust Content lnspection. 4) El Policy Manager. Es una interfaz gráfica donde se definen las reglas y políticas que aplicará el Gateway. La pantalla que presenta se puede ver en la Figura 4.8. ,..,[d;_, ___ ...., li:g Default Control Center }!I '':-:::.. .. _ ~ -i6r--IC-... l·-· ~ ...... ~ .. -ª1 . -~--., ...... fG :-. .iiilr_....,..,.,_ ~ "111~~~r~~i=.· -+j ~Auh>{C-...PtOIO'CtM>n) I~~:':~: ....... • .LJIE"'"'"'..,.._fl..._,,¡¡ 'tJ,.1,.,..,..,...-t>!.,•!.tf" 't:.~ ~l~l ..... ~r·-"'l"'"""'""''' 'li:>"·'-··· 't,r..,. JI~~,¡""'""" ~~tPPt,t~ohJ ...... """ cio.11~4dtt .. ,~~ l~..., f51:""'" !St•ttoT!Tl!t ll!l!IC•I St•!ed '°'"' 51~11d AUom..io:: l«,., lO",llo~... Al.(Qm411C ... _. ~............ ~ ~-"·· Pr~F ... Sl•ll!d ""-l«tT> ... 5t..ted Figura 4.11. Pantalla de Configuración de e Trust Po/icy Compliance. 2) El cliente. Es la interfaz gráfica con Ja cual se definen las auditorías a realizar. 3) El CA Update. Es una interfaz gráfica y un servicio en donde a través de un enlace a Internet están bajando actualizaciones de los nuevos parches o actualizaciones de Sistema Operativo, base de datos o servidor de aplicaciones Web. Un ejemplo de esta pantalla se observa en la Figura 4.12. I elrust Eicplout1 ~~EJ Messagelog " · •,;;; ~-- ~ J Web Updote 1~----"-· ·~·-·-· ·-··---"-',,_ .. _-_·:~_._ ... _:._~_!:'_ .. ,_·_;_· . ..:_• __ , •::_,_.!:_.,,_.·_··_. ·;_.~1_··~~~·1r._.J_. '-4~_i .. _". Figura 4.12. Pantalla de e Trust Po/icy Comp/iance CA Update. En el cliente se pueden seleccionar las pruebas a ejecutar dependiendo del tipo de servidor y el nivel de seguridad deseado, generando Jo que se conoce como una auditoria, la cual se guarda en el cliente bajo un archivo con extensión .smx. El agente es el responsable de revisar el equipo y enviar Jos resultados al cliente. Este agente adicionalmente puede generar un modelo con extensión.mdl que son los resultados de las auditorias, con el objeto de que cualquiera de estos modelos 151 pueda ser utilizado posteriormente como una base y a partir del cual se puedan realizar comparaciones contra auditorías que se ejecuten posteriormente. Modelos Configurados Estos modelos se localizan bajo el directorio· c:\ca\audits, y fueron· obtenidos a través del ·nivel de seguridad predeterminado · "NT-SRV". Para é, facilitar el entendimiento de los análisis, se configuraron 3 modelos diferentes,~ los cuales podemos ver en la Tabla 4.7. Cada uno de ellos presenta una observación, la cual explica su funcionamiento. Estos tres modelos tienen configurados los siguientes parámetros de password: Passwords\Password Aging\Password Age After Expiration 30 Passwords\Password Aging\Password Maximum Age 35 Passwords\Password Aging\Password Mínimum Age 1 User Accounts\Old Accounts\Maximum Account Age 365 Title: Data source: an.tvs01 Live Save data into model: $HOST _an.mdl Basellne comparison: Targets: tvs01 Observaciones: Tiene como objetivo agrupar todas aquellas pruebas que se utilizan para recabar información únicamente del equipo, en las cuales el resultado de las pruebas no es un error o falla en la seguridad, sino información que deberá analizarse para ver si la configuración es la adecuada. Ti ti e: Data source: chk.tvs01 Live Save data into modal: $HOST _chk.mdl Baseline comparison: Targets: tvs01 Observaciones: Tiene como objetivo agrupar todas aquellas pruebas en las cuales deben cumplir con las políticas definidas para la televisara. ; .· ; ; . Tabla 4.7. Ejemplos de los modelos configurados.(Continúa) 152 Title: Data source: base.tvs01 Live Save data into model: $HOST an.mdl $HOST=base.mdl Baseline comparison: Targets: tvs01 Observaciones: Tiene como objetivo definir las pruebas tanto de an.tvs como de chk.tvs para que como resultado de estas pruebas se generé un archivo que servirá como base. Tabla 4. 7. Ejemplos de los modelos configurados. Las pruebas que agrupan cada uno de estos modelos se describen a continuación. Un detalle de las pruebas de auditoria que se pueden aplicar se observan en la siguiente pantalla, Figura 4.13., y en la Tabla 4.8. Audil Wtza•d Step 5 of 6 Select Check.. 6 Ei Selecl the checks thal you want lo run. ' .C11 • '- Apo