Computing">
Nothing Special   »   [go: up one dir, main page]

Tema4 - Calidad Unir

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 32

Principales mecanismos para la

protección de activos de información II


[4.1] ¿Cómo estudiar este tema?

[4.2] Seguridad de las comunicaciones: protocolos, dispositivos y


arquitecturas de seguridad

[4.3] Seguridad de los sistemas operativos

[4.4] Referencias bibliográficas

4 TEMA
Protección de activos
de información
Esquema

TEMA 4 – Esquema
Seguridad de las Seguridad de los
comunicaciones sistemas operativos
OSI (7 capas) Contraseñas
Protocolos: robustas Control de
modelos de capas. acceso/autorización
TCP/IP (4 capas) Listas de
control de
acceso (ACLs)
Dominios de

2
colisión hubs, switches,
routers, gateways
Dispositivos. Ficheros Auditabilidad
log
Arquitecturas de Cortafuegos
colisión
Backups

Proliferación de
Desafíos. dispositivos móviles Política instalación
software
Tecnologías Control de
cloud Antivirus, parches de software
seguridad

© Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información
Calidad y Auditoría de Sistemas de Información

Ideas clave

4.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las Ideas clave que te presentamos a continuación.

Además tendrás que leer las páginas 167-178, 229-234 y 244-262 de los capítulos
4 y 5 del siguiente libro disponible en la Biblioteca Virtual de UNIR.

Álvarez, G. y Pérez, P. P. (2004) Seguridad informática para empresas y particulares.


Madrid: Mc Graw Hill.

Al igual que en el tema anterior se ha visto las principales herramientas criptográficas


para preservar las propiedades de la triada CID: confidencialidad, integridad y
disponibilidad, este tema tiene por objetivo proporcionar al ingeniero informático los
conocimientos y competencias suficientes para que establezca los mecanismos de
seguridad precisos a la hora de proteger la información en tránsito.

Así, el tema aborda cuáles son los medios que permiten establecer comunicaciones
seguras y cuáles son los pasos, asociados a cada sistema operativo, que permiten
garantizar, de forma intrínseca, la circulación segura de la información.

4.2. Seguridad de las comunicaciones: protocolos, dispositivos y


arquitecturas de seguridad

En el tema anterior nuestro objetivo fue establecer los principales procedimientos para
preservar la tríada CID en el almacenamiento de la información. Además de
tales procedimientos, un proceso de constatación de la calidad de un SGSI debe validar
la protección de la información en tránsito.

Tanto los protocolos como los dispositivos de red y las arquitecturas son críticas a la hora
de conseguir la confidencialidad, integridad y disponibilidad de nuestros activos.

TEMA 4 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

De esta manera, será necesario contar con protocolos de comunicaciones que


proporcionen cifrado de información y autenticación en las redes de comunicación de un
organismo. A efectos de integridad de activos, los cortafuegos y los servicios de detección
de intrusos son críticos a la hora de implantar una adecuada gestión de la seguridad de
las comunicaciones.

Por último, la disponibilidad de activos incorpora sistemas de backup y de redundancia


de sistemas de almacenamiento pero además obliga a llevar a cabo una buena
coordinación entre los procesos asociados a las comunicaciones.

El objetivo de esta coordinación es tratar de garantizar la eficiencia de los métodos


de seguridad, así como la gestión de la identificación y autenticación de usuarios y/o
entidades.

Un protocolo es un conjunto de reglas que determina cómo se comunican los


ordenadores a través de la red. Los protocolos permiten la comunicación entre distintos
dispositivos con sistemas operativos diversos.

El diseño adecuado de los protocolos requiere identificar todos los elementos


involucrados en un proceso de comunicación lo cual se suele efectuar adoptando una
arquitectura de capas.

Dicha arquitectura de capas lleva a cabo una división de comunicaciones en grupos


lógicos, lo que permitirá:

Clarificar las funciones generales de un proceso de intercambio de información en


lugar de centrarse en cómo llevarlo a término.
Descomponer procesos complejos de interconexionado en subcapas más livianas.
Diseñar interfaces estandarizadas para posibilitar la interoperabilidad entre los
agentes involucrados en los procesos de comunicación.
Hacer viables cambios en una determinada capa sin rediseñar las restantes.
Conseguir aligerar la búsqueda de soluciones en caso de que exista un problema.

TEMA 4 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Figura 1. Modelo OSI.

El principal referente de arquitectura de capas para las comunicaciones es el estándar


OSI (Open System Interconnection) o interconexión de sistemas abiertos
(Zimmerman, 1980), aunque en la práctica se impone el estándar TCP/IP.

Tal y como aparece en la figura anterior, el modelo OSI, al establecer un canal de


comunicación entre dos entidades, produce una conversión de los datos de nivel de
aplicación en información de nivel, de forma que el flujo de información comporta siete
niveles de codificación que posibilitan la integración de las diversas tecnologías
involucradas en el conjunto heterogéneo de comunicaciones.

TEMA 4 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

En la tabla 1 puede encontrar una breve definición de los objetivos cubiertos en cada capa
OSI, así como ejemplos de protocolos de comunicación de acuerdo con tales objetivos:

Capa Definición Ejemplos de


protocolos

1 Capa física Interfaz física con los EIA/TIA-232,


dispositivos. X.21.

2 Capa de enlace Activar, mantener y HDLC, ARP,


desactivar enlaces. SLIP, PPP.
Detección y control de
errores.

3 Capa de red Transferencia de X.25, IP, OSPF,


información. ICMP, RIP.
Direccionamiento de
datagramas.

4 Capa de transporte Intercambia datos entre TCP, UDP y


sistemas finales en SPX.
orden, sin pérdidas y de
acuerdo con criterios de
calidad de servicio.

5 Capa de sesión Control de diálogo. NFS, SQL y RPC

6 Capa de Codificación y formato HTTP, TIFF,


presentación de los datos. Cifrado y JPEG, MIDI y
comprensión de datos. MPEG.

7 Capa de aplicación Medio para que los WWW, FTP,


programas accedan TFTP
entorno OSI.
Tabla 1. Objetivos en cada capa OSI.

En términos de la seguridad de la información, OSI define 6 servicios de seguridad:

Autenticación.
Control de acceso.
Confidencialidad.
Integridad.
No repudio.
Logging y monitorización.

En correspondencia con tales servicios, además, OSI recoge 7 mecanismos de seguridad:

TEMA 4 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Cifrado.
Firma digital.
Control de acceso.
Autenticación.
Padding (en datos).
Control de encaminamiento.
Auditoría.

Figura 2. Modelo OSI y Modelo TCP/IP.

Este conjunto de especificaciones, funcionalidades y requerimientos es en términos


generales compartido por el modelo TCP/IP (Álvarez y Pérez, 2004).

En este caso en lugar de siete capas tenemos cuatro, como se muestra en la gráfica de
arriba. El estándar TCP/IP fue propuesto para su uso en ARPANET y el primer diseño
corresponde a la versión IPv4.

TEMA 4 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Esta propuesta cubre suficientemente la disponibilidad de los servicios. Sin embargo


presenta serios problemas en aspectos de seguridad. En la versión IPv6 parte de esos
problemas han sido afrontados desde el inicio de acuerdo con el principio security by
design (haciendo de la seguridad un requisito más en el diseño de los protocolos
involucrados) (INTECO, 2010).

La conexión de la infraestructura de red de nuestra organización con Internet viene


mediada por la presencia de redes de área local (Local Area Networks –LAN-) que están
basadas en el estándar Ethernet, siendo la especificación más extendida la del estándar
IEEE 802.3.

De modo sucinto, la creación de una red Ethernet requiere de un conjunto de equipos


con tarjeta de comunicaciones compatible con el estándar 802.3, un cable de red (de tipo
UTP/STP), un medio de red compartido (hub, switch) y un router a través del cual nos
conectaremos con Internet.

Los principales dispositivos necesarios para construir una LAN son:

o Un concentrador o hub. Este dispositivo opera a nivel físico y proporciona un


método adecuado para agrupar conexiones Ethernet en un solo punto. Dicho de
otra forma, un hub proporciona un dominio de colisión único para todos los
nodos conectados a él. En la medida que el medio es compartido por varios
dispositivos, los hub son una buena solución de interconexión únicamente bajo
consideraciones de limitación de costes y poca necesidad de ancho banda.

o Un conmutador o switch. En este caso el objetivo es proporcionar conectividad


LAN de elevado ancho de banda. El switch puede ser un dispositivo de capa 2 OSI
aunque habitualmente es un dispositivo de capa 3 OSI.

o Un puente o bridge. Trabaja a nivel 2 de OSI y permite ampliar una red que ha
llegado a su máximo, ya sea por distancia o por el número de equipos.

o Aunque puede que el tráfico en las redes involucradas no sea excesivamente alto,
interesa aislar las colisiones que se producen en los segmentos interconectados
entre sí. Los bridges, debido al abaratamiento de los conmutadores prácticamente
no se usan.

TEMA 4 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

o Un encaminador o router. Es un equipo que trabaja a nivel 3 de la pila OSI, con


lo que puede filtrar protocolos y direcciones de modo simultáneo (lo cual es muy
importante desde el punto de vista de la seguridad de la información). Los equipos
de una red envían los paquetes al router cuando el destinatario o destinatarios de
dichos paquetes es un equipo o equipos en otro segmento de red. Una
funcionalidad muy importante de los routers es la conversión de direcciones de red
(Network Address Transalation -NAT-), la cual permite traducir direcciones
origen/destino en otras.

o El uso más común de NAT es para asignar a un conjunto de dispositivos una única
dirección de salida a Internet. Este tipo de aplicación permite definir direcciones
IP internas que no son conocidas fuera de nuestra LAN.

o Una pasarela o gateway. Enlaza protocolos diferentes y se emplean para


traducir e interconectar protocolos de red.

o Un proxy. Elemento de nivel aplicación que permite ocultar la dirección IP de


origen además de contar con otras funcionalidades adicionales como el cacheo de
información, la autenticación o el control de contenidos.

o Un cortafuegos o firewall. Actúa como barrera entre el interior (intranet) y el


exterior (Internet). Los cortafuegos pueden estar implementados vía hardware
(normalmente mediante un router con ciertas reglas para dejar o no dejar pasar
los paquetes) o vía software (programa que se ejecuta preferentemente en un
ordenador bastión que verifica los paquetes con diferentes criterios para dejarlos
pasar o descartarlos).

Los cortafuegos son un elemento clave en el despliegue de arquitecturas de seguridad.

TEMA 4 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Existen cuatro modelos de cortafuegos:

Filtrado de paquetes. Los filtros en este caso se aplican a nivel de red con lo que
no hay ningún control en términos de protocolos de nivel de aplicación (control de
acuse de recibo ACK, de número de secuencia SEQ, etc.). Los routers básicos
satisfacen esta funcionalidad. El nivel de protección conseguido es de bajo nivel.

Figura 3. Filtrado de paquetes.

Proxies de nivel de aplicación. En este caso se actúa en el nivel de aplicación lo


que limita la cantidad de aplicaciones que se pueden usar, pues se requiere un proxy
separado por cada nuevo servicio. Además, el rendimiento es pobre, fruto de la
necesidad de realizar copia de datos y cambios de contexto en la ejecución de las
aplicaciones. La flexibilidad (conectividad y transparencia) de esta solución es
inexistente y puede variar de fabricante en fabricante.

TEMA 4 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Figura 4. Proxies a nivel de apliación.

Proxies de nivel de circuito. Es un híbrido entre proxies de aplicación y


cortafuegos por filtrado de paquetes. Se crea un circuito entre la fuente y el destino
sin leer ni procesar los datos de aplicación.

Figura 5. Proxies a nivel de circuito.

TEMA 4 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Inspección de estado. Filtros a nivel de transporte (información de estado) y a


nivel de contenido para tráfico sin información de estado lo que permite proteger las
aplicaciones. Su rendimiento es superior a las anteriores soluciones y dado el nivel de
transparencia que proporciona se asemeja a una pasarela. Respecto al modo de
funcionamiento verifica los números de secuencia y otros detalles de la conexión para
asegurar que ningún paquete furtivo (modificado) pase por el firewall si este no forma
parte de alguna conexión válida.

Figura 6. Inspección de estado.

A la hora de examinar el despliegue de protección conseguido por el auditor, no solo debe


tener presente el nivel de seguridad que facilita cada configuración, sino que la
flexibilidad ha de ser también una máxima (ver figura de abajo).

En este punto se debe tener en cuenta todo el conjunto de recomendaciones a efectos de


asegurar un equilibrio entre riesgo y contramedidas adoptadas o si se prefiere,
entre usabilidad de las tecnologías y seguridad conseguida

TEMA 4 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Filtrado de
estado

Flexibilidad Filtrado de
paquetes
Proxy de
aplicación

Seguridad

Figura 7. Máximas de seguridad y flexibilidad.

La selección del modelo adecuado de cortafuegos es muy dependiente del modo en el que
vamos a incorporarlo en nuestra red de comunicaciones.

Así, podemos distinguir 4 arquitecturas distintas de inserción de cortafuegos en una red:

Filtrado de paquetes. Es la arquitectura más simple. Se puede implementar


haciendo uso de una estación de trabajo estándar (por ejemplo, un PC con Linux) con
al menos dos interfaces de red (Network Interface Cards –NICs-) y software de
filtrado y encaminamiento. También es posible conseguir esta arquitectura mediante
un dispositivo dedicado de encaminamiento (router) que además ofrece facilidades
de filtrado. La zona de riesgo es igual al número de ordenadores de la red y al número
y tipo de servicios hacia los que el router de filtrado permite el tráfico. Si el router
falla o es vulnerado se deja sin protección la red interna.

Figura 8. Filtrado de paquetes.

Screened host. Es una de las configuraciones más usadas y se implementa


utilizando un host bastión y un router de selección. El host bastión contiene los

TEMA 4 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

diversos proxies que se emplean y está ubicado en la red privada, siendo el único
equipo alcanzable desde el exterior. El router de selección permite que solo los
servicios que tienen instalado un proxy en el host bastión se comuniquen con él.

Figura 9. Screened host.

Host de base dual. Cortafuegos que se implementa situando un host (bastión) entre
las redes interna y externa de modo que bloquea el tráfico directo entre las dos redes.
Hay dos posibles opciones de funcionamiento:

o Como primera opción se puede instalar en el host pasarelas a nivel de aplicación.


o La segunda alternativa consiste en permitir login remoto en dicho host para, desde
allí, poder acceder al resto de servicios del host. Esta configuración proporciona
una gran facilidad para mantener los logs de las acciones que van aconteciendo.

Figura 10. Host de base dual.

Subred de filtrado. Se crea una red perimétrica entre dos filtradores de paquetes.
El filtrador interno proporciona seguridad adicional para el caso en el que el host
bastión se vea comprometido. La red perimétrica (Demilitarized Zone –DMZ)
es un lugar idóneo para situar un servidor de información de forma pública (por
ejemplo, un servidor web).

TEMA 4 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Figura 11. Subred de filtrado.

Desde el punto de vista de la facilidad de uso y abaratamiento de costes, nuestra


arquitectura ha de permitir el acceso remoto a la red interna por parte de usuarios
pertenecientes a nuestra empresa. En efecto, el uso remoto de facilidades evita tener que
contratar líneas dedicadas y al mismo tiempo, proporciona mayor flexibilidad de cara al
trabajo a desarrollar por los empleados.

Además, hace que el contacto con clientes, proveedores y trabajadores sea más fácil. De
especial relevancia en este contexto son las redes privadas virtuales (Virtual Private
Networks –VPN-) (Álvarez y Pérez, 2004, pp. 229-234).

Las redes privadas virtuales pueden ser creadas empleando distintos protocolos
(PPTP, L2F, L2TP, IPSec) y permiten conseguir las siguientes propiedades:

Confidencialidad del tráfico mediante su aislamiento.


Confidencialidad de los datos en tránsito mediante su cifrado.
Integridad de los datos en tránsito (comprobación de funciones hash).
Autenticación de origen en base a certificados o contraseñas.
Autenticación del destino mediante certificados o secretos compartidos.

En muchas ocasiones las organizaciones no llegan a instalar y desplegar una VPN para
acceso remoto a la red corporativa. En estos casos se puede hacer uso del protocolo
SSH o gestores de escritorios remotos basados en los estándares VNC (Virtual
Network Computing) y RDP (Remote Desktop Protocol), si bien en este caso un
uso seguro de tales protocolos requiere que se utilicen a través de una VPN.

Un último escenario a considerar por el auditor al evaluar la arquitectura de red de una


empresa es su política para conexiones inalámbricas (Álvarez y Pérez, 2004, pp. 173-
176).

TEMA 4 – Ideas clave 15 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Las denominadas redes de área local inalámbricas (Wireless Local Area Networks –
WLAN-) están presentes en casi todas las redes corporativas actuales. El estándar por
antonomasia de redes WLAN es el IEEE 802.11 (estándar Wi-Fi –Wireless
Fidelity-). En relación a la seguridad hemos de tener en cuenta el conjunto de
configuraciones que nos brinda el estándar Wi-Fi, así como los procedimientos de
protección de información que incorpora (Bhatnagar y Birla, 2015).

Al respecto del primer punto, wifi permite dos tipos de conexiones: conexiones en modo
infraestructura y conexiones en modo ad-hoc.

En el modo infraestructura la WLAN presenta un punto de acceso (Access Point –AP-) y


todos los dispositivos con interfaz de red wifi se conectan a dicho punto. En consecuencia
en dicho punto pueden y deben incorporarse mecanismos de filtrado de paquetes.

En el caso del modo ad-hoc las conexiones entre los terminales wifi se efectúa de
terminal a terminal sin pasar por un nodo central. De esta forma cada dispositivo en la
red debe asumir el AP. En caso de que se desee acceder a Internet uno de los equipos
habrá de actuar de proxy.

En el contexto de las redes ad-hoc es de especial interés y relevancia las denominadas


redes MANET (Mobile Adhoc Networks). Las redes MANET permiten desplegar
de modo flexible una red con orientación peer-to-peer para lo cual se requiere que cada
uno de los nodos de la red (los dispositivos o puntos finales de comunicación) tenga
capacidades para encaminar el tráfico. Estas redes son de gran interés para entornos con
limitaciones a la hora de establecer una red cableada.

Ahora bien las redes MANET presentan dos grandes desafíos:

La configuración flexible de arquitecturas de red: inclusión y eliminación de


nodos, encaminamiento dinámico de tráficos, establecimiento de APs para la eventual
conexión a Internet.
La configuración de seguridad: autenticación de nuevos usuarios, privacidad de
usuarios, defensa frente a nodos falsos que solicitan su inclusión en la red o su
participación como AP.

TEMA 4 – Ideas clave 16 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

En cuanto a la seguridad wifi en su primera versión incorporaba el protocolo WEP


(Wired Equivalent Privacy), el cual presentaba serios problemas de seguridad y que
se debe descartar en favor de WPA (Wi-Fi Protected Access) o mejor WPA2.

La irrupción de los denominados teléfonos inteligentes o smartphones es uno de


los más relevantes escenarios de oportunidades y desafíos en la actual coyuntura
tecnológica.

El uso generalizado de tales dispositivos tiene efectos evidentes en el día a día de nuestras
actividades y por tanto también tiene consecuencias en el ámbito concreto de una
empresa.

En clave SGSI y más concretamente a efectos de la verificación (a través de las


pertinentes auditorías) de tales sistemas hay un conjunto de decisiones que deben ser
convenientemente encauzadas a través de la política de seguridad de una organización:

En primer lugar ha de existir una toma de posición a la hora de permitir que los
usuarios utilicen sus propios dispositivos móviles como un elemento más de la red de
comunicaciones de la empresa. El asumir tal disciplina implica aceptar la política
denominada BYOD (Bring Your Own Device) (CSO España, 2014).

Si aceptamos la política BYOD hemos de diseñar nuestra red de forma que la inclusión
de dispositivos móviles propiedad de los trabajadores y usuarios de nuestra red no
implique un riesgo de seguridad para nuestros activos.

Aquí es muy importante el uso de tecnologías como los cortafuegos, redes VLAN
(Virtual Local Area Networks) y redes privadas virtuales.

En segundo lugar también hemos de desarrollar (y comprobar la solvencia) de un


sistema de gestión de dispositivos móviles corporativos o de trabajadores y usuarios.
Dicho de otra forma, es más que conveniente sopesar el desarrollo o adopción de
sistemas MDM (Mobile Device Management).

Estos sistemas pueden incluir funcionalidades relativas a la localización de dispositivos


de borrado remoto de datos como mecanismo DLP (Data Loss Protection) en caso de
robo, supervisión de aplicaciones instaladas en el móvil, (des-)habilitación de permisos

TEMA 4 – Ideas clave 17 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

de acceso a recursos del móvil y recursos de la red corporativa, copias de seguridad de


puntos finales (de información no personal en smartphones), etc.

Con el precedente desglose tenemos una panorámica general de los puntos principales
de incidencia que ha de examinar un auditor de seguridad: protocolos de
comunicaciones, dispositivos que implementan tales protocolos y elementos que
funcionan o hacen uso de dichos protocolos.

El engranaje entre esos tres ámbitos ha de estar encaminado a minimizar el impacto de


la concreción de amenazas a la seguridad de los activos involucrados. Esta estrategia, de
acuerdo con lo desarrollado en temas precedentes, se cifra en identificar amenazas y
establecer contramedidas.

De acuerdo a la clasificación que aparece en (Álvarez y Pérez, 2004, pp. 176-178) en la


siguiente figura se puede encontrar una taxonomía de los principales ataques (activos y
pasivos) en redes de comunicaciones:

Figura 12. Taxonomía de los principales ataques.

Desde el punto de vista de la planificación de estrategias de protección en redes de


comunicaciones las principales contramedidas que deben implantarse son la correcta
configuración de los dispositivos de red y los terminales y la adecuada incorporación de

TEMA 4 – Ideas clave 18 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

mecanismos criptográficos (cifrado de información y autenticación de entidades y de


datos).

En todos y cada uno de los frentes involucrados debe prevalecer el principio de


mínimo privilegio: a la información sensible solo debe accederse de modo autenticado
y con autorización y la información pública no debe contener detalles que permitan
inferir información sensible o información que habilite algún posible ataque.

En efecto la recopilación de información (harvesting) es un ataque pasivo en el


que el atacante accede a información pública para deducir qué dispositivos, arquitectura,
sistema operativo y software se utilizan en una red. Aquí el uso de cortafuegos y la
desactivación de servicios que no son necesarios son contramedidas que deben estar
presentes en un SGSI.

Desde la óptica de un auditor de seguridad se ha de constatar que siguen tales


procedimientos y que ninguno de los paquetes de información intercambiados de modo
público contiene información sobre configuración interna que no debieran ser conocidos
por agentes externos a la organización.

Para llevar este análisis se utilizarán herramientas de enumeración, de análisis


de vulnerabilidades, de escaneo de puertos, etc. Estas herramientas serán
estudiadas en detalle en temas posteriores y en las prácticas de laboratorio de la
asignatura.

Asimismo, hemos de validar los procedimientos de autenticación y cifrado que


evitarían la intercepción de tráfico (sniffing) para lo cual se han de emplear (entre
otros procedimientos, como mecanismos automáticos de verificación formal de
protocolos y de implementaciones software) software de cracking de contraseñas.

En este punto también es muy relevante tener en cuenta los dominios de colisión que
nos definen los distintos tipos de dispositivos involucrados en una red comunicaciones.

Si estamos en una red o subred en la que los terminales están conectados a través de un
hub hemos de tener en cuenta que un sniffer presente en uno de los equipos permite
acceder al tráfico que generan el resto de equipos de la red. En el caso de que el
dispositivo de interconexión sea un switch, el sniffer solo tendría acceso a los equipos
que comparten con él la entrada en el switch. La separación de dominios de colisión a

TEMA 4 – Ideas clave 19 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

nivel hardware o software es crucial para evitar ataques activos como la denegación
de servicio (DoS, por Denial of Service).

Este ataque consiste en generar altos volúmenes de tráfico y consecuentemente una


buena estrategia de filtrado de tráfico (en concreto de tráfico broadcast, cuyos
destinatarios son todos los dispositivos conectados a la red) y una adecuada
configuración de cortafuegos.

Los cortafuegos de análisis de estado son una contramedida contra los secuestros de
sesión (session hijacking), uno de los grandes problemas en el contexto de los sistemas
distribuidos y que suele estar apoyada en ataques de suplantación o falsificación
de identidades (spoofing).

4.3. Seguridad de los sistemas operativos

El correcto despliegue de una política de seguridad es de naturaleza holística y,


consecuentemente involucra tanto a la capa de interconexionado como a los puntos
finales de las comunicaciones. Los equipos de trabajo, los servidores y los dispositivos
móviles no son meros componentes pasivos de la infraestructura TIC de una empresa,
sino que han de ser incluidos en el diseño de la estrategia de seguridad desde el inicio.

Tal y como aparece desarrollado por Villalón (2002) para sistemas Unix y por Álvarez y
Pérez (2004, pp. 237-328) para sistemas Windows, los distintos sistemas operativos
ofrecen soluciones para establecer mecanismos robustos de autenticación, de protección
del sistema de ficheros y de defensa frente a malware.

Al respecto de la autenticación de usuarios, aunque existen diversas alternativas


reseñadas en temas anteriores, el modo habitual de validar un usuario es a través de una
contraseña.

En clave del auditor de seguridad se ha de comprobar que existe una política de gestión
de usuarios que obligue primero a que las contraseñas sean suficientemente
complejas (en términos de longitud y no de estar incluidas en ningún diccionario que
pudiera emplear un atacante para evitar una estrategia de ataque por fuerza bruta).

TEMA 4 – Ideas clave 20 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Tanto en Windows como en sistemas UNIX existen procedimientos incluidos en el


sistema para llevar a cabo esta gestión. De esta forma, en Windows podemos hacer uso
de la directiva de contraseñas (Álvarez y Pérez, 2004, 244-245), mientras que en el caso
de sistemas UNIX se puede hacer uso del módulo PAM (pluggable authentication
modules) (Villalón, 2002, pp. 162-167).

Además se ha de regular el tiempo de vida de las contraseñas y se debe dar de baja


cuentas de usuarios que no renuevan sus contraseñas o que dejan de formar
parte de una empresa.

Por otro lado la autenticación de usuarios ha de ir acompañada de un control de la


autorización de acceso a recursos de sistema. En sistemas UNIX esto se efectúa
mediante la creación de grupos de usuarios y la asignación de permisos de
lectura/escritura/ejecución sobre los ficheros del sistema (aquí hay que tener en cuenta
que en sistemas UNIX todos los recursos son tratados como ficheros), lo cual se puede
además gestionar mediante ACL (access control lists o listas de control de acceso)
(Villalón, 2002).

En el caso de Windows existen procedimientos en las herramientas administrativas tanto


para controlar el uso de software como la compartición de ficheros y carpetas (Álvarez y
Pérez, 2004, pp. 248-256).

Los principales mecanismos que existen contra el malware son la monitorización de


actividad en los equipos (por vía de herramientas para el análisis de vulnerabilidades,
como Nessus) y la verificación del software de terceros que se instala.

Mediante una exhaustiva política de gestión de instalación de software la


utilización de productos software antivirus y la configuración de
cortafuegos software se logra un nivel de protección que debe ser acompañado por
una política de reacción ante la detección de amenazas.

En este sentido los administradores de equipos deben asegurar que el software en


dichos equipos está actualizado y que los parches de seguridad son instalados de
modo inmediato. En el caso de Windows esta gestión se lleva a cabo mediante Windows
update, Windows update services (WUS) y System management server (SMS) (Álvarez
y Pérez, 2004, pp. 256-262).

TEMA 4 – Ideas clave 21 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

En sistemas UNIX existen diversas herramientas para gestionar la actualización de


software y la aplicación de parches de seguridad. Entre los más usados está el sistema
RPM y yum (red hat package manager) de red hat o apt-get en Debian.

Teniendo en cuenta las contramedidas mencionadas al hablar de los ataques a las redes
de comunicaciones, también en los equipos ha de evitarse usar servicios que no
son necesarios.

Para sistemas Windows los servicios habilitados se pueden encontrar dentro de la


utilidad servicios incluida en herramientas administrativas (Álvarez, G. & Pérez, P.,
2004: 241-243) mientras que en sistemas UNIX existe variabilidad en cuanto al modo
de gestionar los servicios. En el caso de la distribución Ubuntu los servicios que se
arrancan al iniciar el sistema aparecen en la carpeta /etc/init.d y se puede obtener un
listado de lo mismo haciendo service –status-all, mientras que la inclusión o eliminación
de servicios se puede llevar a cabo a través del programa update-rc.d.

Para concluir esta pequeña (y no exhaustiva) reseña sobre herramientas de protección


de equipos hemos de destacar los elementos que incorporan los diversos sistemas
operativos para llevar a cabo auditorías del sistema.

Aunque la generación de logs en caso de aplicaciones no incluidas en el sistema


dependerá del modo en que se haya programado la aplicación, sí que existen tanto en
Windows como en sistemas UNIX una estructura de ficheros log para
registro de incidencias.

En el caso de Windows estos ficheros log de sistema son:

SysEvent.Evt: registra los eventos relativos al sistema.


SecEvent.Evt: registra los eventos relativos a la seguridad.
AppEvent.Evt: eventos relativos a aplicaciones, los cuales se encuentran en la
carpeta %systemroot%\system\config y que se pueden visualizar mediante la
herramienta eventvwr.msc (visor de eventos en Windows).

En el caso de los sistemas UNIX la captura de eventos se lleva a cabo por el demonio de
sistema syslogd (Villalón, 2002). La configuración de la actividad log viene dada por el
fichero /etc/syslog.conf, aunque el nombre del fichero puede variar en las distintas

TEMA 4 – Ideas clave 22 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

variantes de UNIX. Por ejemplo, en las últimas versiones Ubuntu el fichero es


/etc/rsyslog.conf y el demonio rsyslogd)

4.4. Referencias bibliográficas

Álvarez, G. y Pérez, P. P. (2004). Seguridad informática para empresas y particulares.


Madrid: Mc Graw Hill.

Bhatnagar, R. y Birla, V.K. (2015). Wi-fi Security: a literature review of security in


wireless network. International Journal of Research in Engineering & Technology, 3(5),
23-30. Recuperado de
https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=1094702

CSO España. (13 de octubre de 2014). Tres estrategias para el éxito de un programa
BYOD [Blog post] Recuperado de http://cso.computerworld.es/seguridad-movil/tres-
estrategias-para-el-exito-de-un-programa-byod

INTECO. (2010). Informe sobre las implicaciones de seguridad en la implantación de


IPv6. Recuperado de
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf
_seguridad_implantacion_ipv6.pdf

Villalón, A. (2002). Seguridad en Unix y redes. Recuperado de:


https://www.rediris.es/cert/doc/unixsec/unixsec.pdf

Zimmerman, H. (1980). OSI Reference model – the ISO model of architecture for open
systems interconnection. IEEE Transactions on communications, 28(4), 425-432.
Recuperado de https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=1094702

TEMA 4 – Ideas clave 23 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Lo + recomendado

No dejes de leer…

Seguridad y privacidad en las redes móviles

GSMA. (2018). Seguridad y privacidad en las redes móviles: desafíos, propuestas y


consideraciones para los gobiernos. Buenos Aires: GSMA Latin America.

La asociación GSM, que representa los intereses de todos los operadores de


comunicaciones móviles del mundo, presenta, en el año 2018, un documento de la donde
muestra los desafíos, propuestas y consideraciones a los que se enfrentan los gobiernos
en el mundo móvil en cuanto a seguridad y privacidad.

Accede al documento desde el aula virtual o a través de la siguiente dirección web:


https://www.gsma.com/latinamerica/wp-
content/uploads/2018/04/Seguridadyprivacidad.pdf

Protocolo Ethernet/IP: analizando sus comunicaciones y medidas de


seguridad

INCIBE. (28 de febrero de 2019). Protocolo Ethernet/IP: analizando sus comunicaciones


y medidas de seguridad [Blog post].

El Instituto Nacional de Ciberseguridad (INCIBE) nos proporciona un análisis del


protocolo industrial CIP mostrando los mecanismos de seguridad precisos para
establecer comunicaciones seguras.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:


https://www.incibe-cert.es/blog/protocolo-ethernetip-analizando-sus-
comunicaciones-y-medidas-seguridad

TEMA 4 – Lo + recomendado 24 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

IEEE P802.3cg 10Mb/s Single Pair Ethernet: a guide

Zimmerman, G., Jones, P., Lewis, J., et al. (Enero, 2019). Single Pair Ethernet: a guide.
Presentado en la IEEE P802.3cg 10Mb/s, Long Beach, CA.

El Institute of Electrical and Electronics Engineers (IEEE) nos facilita en el año 2019 una
guía de cómo proceder en la implantación de una red Ethernet actualmente.

Accede al documento desde el aula virtual o a través de la siguiente dirección web:


http://www.ieee802.org/3/cg/public/Jan2019/Tutorial_cg_0119_final.pdf

Big Data analytics and digital forensic

Sheikh, T. H. y Gupta, R. (2018). Big data analytics and digital forensic. International
Journal of Scientific and Technical Advancements, 4(2), 207-210.

La revista International Journal of Scientific and Technical Advancements publica en


su volumen 4, número 2 del año 2018 un artículo académico de Sheikh y Gupta donde
comenta la utilidad del empleo de Big Data en el análisis forense.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:


http://www.ijsta.com/papers/NCEEITET-2018/IJSTA-V4N2R47Y18.pdf

TEMA 4 – Lo + recomendado 25 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Design and Configuration of IPS, IDS and SIEM in Industrial Control


Systems

CERTSI. (2017). Design and Configuration of IPS, IDS and SIEM in Industrial Control
Systems. [León]: INCIBE.

En noviembre de 2017 el CERT de seguridad e industria del Gobierno español publicó a


través del Instituto Nacional de Ciberseguridad este documento donde muestra cómo
diseñar diferentes sistemas de intrusión.

Accede al documento desde el aula virtual o a través de la siguiente dirección web:


https://www.incibe-
cert.es/sites/default/files/contenidos/guias/doc/certsi_design_configuration_ips_ids
_siem_in_ics.pdf

Safety, privacy and security across the mobile ecosystem

GSMA. (2017). Safety, privacy and security across the mobile ecosystem: key issues and
policy implications. London: GSMA Head Office.

En este documento la asociación GSM, en el año 2017, muestra de forma más exhaustiva,
y en inglés, los aspectos principales en cuanto a seguridad y privacidad del ecosistema
móvil.

Accede al documento desde el aula virtual o a través de la siguiente dirección web:


https://www.gsma.com/publicpolicy/wp-content/uploads/2017/02/GSMA_Safety-
privacy-and-security-across-the-mobile-ecosystem.pdf

TEMA 4 – Lo + recomendado 26 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

No dejes de ver…

ISMS [ISO27001] - Implementing network perimeter security

Lección del año 2017 del ISO Training Institute donde se muestra como implementar el
perímetro de seguridad en una network, en conformidad con la norma ISO 27001.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:


https://youtu.be/XUvuxWgC42E

Seguridad perimetral

Lección de la intypedia donde se explican las principales amenazas en redes de


comunicaciones y contramedidas para mitigar asociado a las mismas.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:


https://youtu.be/sxg1nq17xj4

TEMA 4 – Lo + recomendado 27 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

+ Información

Enlaces relacionados

Recomendaciones protección de comunicaciones en dispositivos móviles

En el siguiente enlace puedes encontrar una lista de recomendaciones a tener bien


presentes para proteger las comunicaciones que involucran dispositivos móviles.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:


http://www.criptored.upm.es/crypt4you/temas/privacidad-
proteccion/leccion4/leccion4.html

Seguridad en TCP/IP

Página web de la Red IRIS que contiene un análisis de seguridad de la familia de


protocolos TCP/IP y sus servicios asociados.

Accede a la página desde el aula virtual o a través de la siguiente dirección web:


https://www.rediris.es/cert/doc/segtcpip/Seguridad_en_TCP-IP_Ed1.html

TEMA 4 – + Información 28 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Bibliografía

Camacho, J., Marciá, G., Díaz, J. y García, P. (2014). Monitorización y selección de


incidentes en seguridad de redes mediante EDA.
Recuperado de: http://rua.ua.es/dspace/handle/10045/40456

RedIRIS. (2008). Sistemas de detección de intrusos [Internet]. Recuperado de


https://www.rediris.es/cert/doc/unixsec/node26.html

TEMA 4 – + Información 29 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

Actividades

Laboratorio #1: Análisis de seguridad de sistemas informáticos

Preparación del laboratorio

La descripción del alcance del laboratorio la encontrarás en el documento «Descripción,


alcance y criterios de valoración de las actividades» dentro de la carpeta Documentación
del campus virtual.

Descripción del laboratorio

En este laboratorio se pretende que el alumno compruebe de manera práctica la


importancia de la implementación de la seguridad en los sistemas de información y
desarrolle las competencias específicas de esta actividad.

Entrega del laboratorio

Los resultados del laboratorio debe entregarlos al finalizar la actividad en los formularios
que puede descargarse durante la realización del mismo desde la carpeta Documentación
del campus virtual.

TEMA 4 – Actividades © Universidad Internacional de La Rioja


(UNIR) 30
Calidad y Auditoría de Sistemas de Información

Test

1. ¿Qué cortafuegos emplea una tabla dinámica de estado para examinar el contenido de
los paquetes?
A. Un cortafuegos de filtrado de paquetes.
B. Un cortafuegos de nivel de aplicación.
C. Un cortafuegos de inspección de estado.

2. ¿Cuál de los siguientes protocolos proporciona mayor seguridad en redes wifi?


A. WEP.
B. WPA.
C. PGP.

3. ¿Cuál de los siguientes conceptos representa un método para engañar a un intruso o


atacante con el objeto de identificarlo haciéndole ver que el sistema no tiene seguridad y
es vulnerable?
A. Honey pot.
B. Cortafuegos.
C. IDS.

4. ¿En qué capa del modelo OSI operan los cortafuegos de filtrado de paquetes?
A. Capa de aplicación.
B. Capa de sesión.
C. Capa de red.

5. Con el objeto de asegurar la privacidad e integridad de los datos, las conexiones entre
cortafuegos sobre redes públicas deberían usar:
A. VPNs y cifrado.
B. Certificados digitales.
C. Subredes blindadas.

TEMA 4 – Test 31 © Universidad Internacional de La Rioja (UNIR)


Calidad y Auditoría de Sistemas de Información

6. ¿Cuál es la función esencial de un sistema IDS?


A. Detección de actividades anormales.
B. Detección de fallos en el sistema.
C. Verificar un sistema en busca de vulnerabilidades.

7. ¿Cuál de las siguientes afirmaciones se ajusta al comportamiento de un IDS de host?


A. Monitoriza la red.
B. Monitoriza un sistema específico.
C. No es visible por parte de atacantes y usuarios autorizados.

8. ¿Cuál de las siguientes capas OSI se encarga de conseguir el cifrado y comprensión de


datos?
A. Capa de presentación.
B. Capa de transporte.
C. Capa de aplicación.

9. ¿Cuál es la tecnología más popular en las redes de área local?


A. Ethernet.
B. ATM.
C. Token ring.

10. ¿Cuál de las siguientes arquitecturas de cortafuegos se implementa utilizando un


host bastión y un router de selección?
A. Host de base dual.
B. Filtrado de paquetes.
C. Screened host.

TEMA 4 – Test 32 © Universidad Internacional de La Rioja (UNIR)

También podría gustarte