THIS IS FOR LEFT PAGES 1

Transcripción

1 THIS IS FOR LEFT PAGES 1 Análisis y diseño de un modelo de seguridad de la información para el Centro de Investigación y Desarrollo en Simulación de la Escuela Militar de Cadetes General José María Córdova mediante la utilización de técnicas de defensa en profundidad Jeisson Alexander Hernández Pulido Universidad Distrital Francisco José de Caldas Ingeniería en telecomunicaciones Bogotá D.C, Colombia hernandez.jeisson@gmail.com Abstract En el siguiente artículo se describen y esclarecen las razones por las cuales es necesario implementar un modelo de seguridad de la información basado en técnicas de defensa en profundidad para el Centro de Investigación y Desarrollo en Simulación de la Escuela Militar de Cadetes General José María Córdova. También se describen los pasos necesarios para logar el objetivo general, teniendo en cuenta una serie de objetivos específicos entre los cuales encontramos: diagnóstico de la red (recolección y análisis de la información), implementación de una arquitectura de red con segmentación de redes y servicios y finalmente la implementación de la arquitectura de seguridad. Index Terms confidencialidad; integridad; disponibilidad; arquitectura de seguridad; cultura de seguridad; defensa en profundidad; seguridad de la información I. INTRODUCCIÓN TODAS las organizaciones tienen problemas de seguridad lo realmente importante es que estos problemas sean detectados e identificados a tiempo. Tradicionalmente las organizaciones piensan que establecer parámetros de seguridad para su información es poner un punto de control entre su red y la internet. Sin embargo con el gran crecimiento que han tenido las redes y la convergencia de nuevas redes y tecnologías, ésta creencia ha sido totalmete desvirtuada, pues hoy día la mayor cantidad de ataques a la información de una organización, no provienen de afuera sino de adentro. De manera más concreta, podemos decir que cerca de un 70 % de los ataques realizados en contra de la información de las organizaciones proviene de los usuarios internos[1]. Así que hoy día las organizaciones en el momento de realizar su planeación estratégica deben considerar de forma muy importante la parte de SEGURIDAD DE LA INFORMACIÓN. Para entender de forma un poco más clara ésta temática podemos decir que por definición, la seguridad es conjunto de políticas que establece una organización con el fin de proteger LA INFORMACIÓN LA CUAL ES EL ACTIVO MÁS IMPORTANTE DE LA ORGANIZACIÓN, el cumplimiento de éstas políticas se lleva a cabo mediante una serie de normas que son controladas a través de una cadena de acciones (procedimientos ó estándares) [2], todo esto genera un grado de seguridad bastante alto para la protección de la información. Para hacernos una idea de como identificar cual información es crítica y cual no lo es, debemos tener en cuenta siempre que la criticidad y la sensibilidad de la información se miden en términos monetarios. II. DIAGNÓSTICO Consiste en determinar el estado del nivel de seguridad de la organización. Para realizar este proceso se deben seguir los siguientes pasos: II-A. Levantamiento de información Este proceso se realiza teniendo en cuenta los siguientes items: II-A1. tecnología: : Infraestructura física, topología de la red, información de las plataformas de los servidores, elementos de seguridad, equipos activos, aplicaciones, canales de comunicación, etc. II-A2. Procesos: : A nivel de procesos es importante conocer el ciclo: Entradas-Procesos-Salidas.

2 THIS IS FOR LEFT PAGES 2 II-A3. Personas: : Roles, constumbres. Ahora se verán algunos ejemplos de los datos que se deben recopilar según el equipo al cual se le va a realizar el proceso de levantamiento de la información. para empezar a conocer la información de un servidor se deben obtener los siguientes datos: Nombre del servidor Función Dirección IP Sistema operativo Actualizaciones Administrador Todos estos datos deben ser consignados en una tabla Ahora bien, si se quisierá conocer la información de un equipo activo, se deben tener en cuenta los siguientes datos: Nombre Dirección IP Tipo de administrador (remoto ó local) Versión de software Actualizaciones Marca Función Nombre del administrador Estos datos deben estar consignados en una tabla. Para obtener la información acerca de la topología de la red, se deben obtener los siguientes datos: Topología física Topología lógica Para obtener información acerca de la infraestructura física, se debe obtener la siguiente información: Espacios Controles de acceso Tipo de cableado Control de fallas físicas Para obtener información acerca de los canales de comunicación: II-B. Tipo de enlace (Alámbrico o inalámbrico) Análisis de la información La información se analiza con el fin de identificar cuales son las vulnerabilidades 1. 1 Es la debilidad que presenta un sistema, por ejemplo puertos abiertos que no estén configurados, es decir, la debilidad no está en tener puertos abiertos sino en no configurarlos correctamente. II-C. Identificación de vulnerabilidades Para realizar el proceso de identificación de vulnerabilidades se deben seguir los siguientes pasos: Metodología de ethical hacking. Identificación de vulnerabilidades administrativas (lista de chequeo) mediante los 11 dominios de seguridad y 133 controles (norma 27001)[2]. II-D. Análisis de riesgos El análisis de riesgos se puede realizar mediante los siguientes métodos: II-D1. Métodos cualitativos: : Los métodos cualitativos deben abordar un análisis SUBJETIVO de la red, las ventajas de emplear este tipo de análisis son las siguientes: No se le da valor (en términos monetarios) a los activos, es decir, el costo del activo no es un factor determinante para el análisis. No se le da costo a las medidas correctivas que se piensen implementar. Se pueden aplicar medidas correctivas inmediatamente en caso de ser posible (esto depende directamente del tipo de problema que se esté presentando). La desventaja a la hora de aplicar el método cualitativo es la siguiente: Es una evaluación totalmente subjetiva, es decir está supeditada al criterio, preparación y experiencia del evaluador. En conclusión, éste método es ampliamente utilizado ya que ofrece inmediatez a la hora de resolver problemas de seguridad. II-D2. Métodos cuantitativos: : El método cuantitaivo es un método que requiere de mucha más preparación académica, conocimiento y experiencia de el ó los evaluador(es). Las ventajas que brinda la utilización de éste método son: Es medible; esto quiere decir, que permite medir los resultados obtenidos. Es objetivo; al ser objetivo, no depende del criterio del evaluador, sino que por el contrario, está ajustado a la norma. Está orientado al proceso; esto quiere decir, que los métodos utilizados para abordar los problemas hallados están orientados a cada proceso particular de la organización. Las desventajas que se presentan para implementar el análisis mediante métodos cuantitativos son las siguientes: Requiere de costos muy altos (monetariamente hablando) en cuanto al personal ya que éste debe estar muy capacitado y también en cuanto a las herramientas

3 THIS IS FOR LEFT PAGES 3 que se deben utilizar, ya que éstas herramientas son especializadas y obligatoriamente deben ser herramientas licenciadas para que cuenten con un respaldo institucional. Ya que el análisis que se debe realizar debe estar regido a la norma, el tiempo de implementación es muy alto, porque debe superar todos lo niveles que la norma estipule. II-D3. Riesgos altos, medios y bajos: : Para identificar si los riesgos son altos, medios o bajos se debe realizar una matriz de riesgos que en líneas generales me arroja el siguiente resultado: Riesgo=vulnerabilidad+amenaza 2 +impacto 3 II-E. Plan de seguridad El plan de seguridad es el documento físico en el cual se establecen los principios de la organización, es decir, se deben consignar las políticas, normas, procedimientos y/o estándares a los cuales la organización se regirá para implementar y desarrollar de forma adecuada el modelo de seguridad. IV-A. NIVEL 1 POLÍTICAS, NORMAS, PROCEDIMIENTOS Y ESTÁNDARES El nivel 1 define las políticas 4, normas 5, estándares 6 y procedimientos 7, es decir, desarrolla el modelo de seguridad. Los estándares están basados en trabajo puramente técnico ya que dentro de esta categoria debemos realizar la implementación y configuración de los equipos que se encuentran dentro de la arquitectura de la red. Todos los estándares y procedimientos llevados a cabo dentro de la red deben quedar debidamente documentados. IV-B. NIVEL 2 SEGURIDAD FÍSICA El nivel 2 desarrolla los controles de acceso físico a la organización, como por ejemplo el monitoreo (CCTV 8, sensores de movimineto, de humo, de temperatura, etc), se implementa de igual forma todo el tema concerniente a personal de vigilancia, aseguramiento de servidores (controles de acceso físico al hardware interno de un servidor) y de estaciones de trabajo. II-F. Panorama de riesgos Se debe identificar qué es cada riesgo, es decir, a cuanto equivalen los riesgos altos, los riesgos medios y los riesgos bajos. III. DISEÑO El diseño de seguridad parte de las políticas, normas y estándares y/o procedimientos (norma 27001)[2], en esta parte se desarrollan las siguientes características: III-A. Arquitectura de seguridad III-A1. Infraestructura de seguridad: : Arquitectura de firewall Arquitectura de IDS/IPS Arquitectura de VPN Cifrado de información Certificados digitales. Firmas digitales. III-A2. Planes de continuidad: III-A3. Cultura de seguridad: IV. DEFENSA EN PROFUNDIDAD [3] Se denomina defensa en profundidad a todos aquellos controles que se tienen en unos determinados niveles. El nivel más elevado son los datos, ya que éstos son el activo más crítico de la organización. 2 Materialización de la debilidad, es decir, todo lo que puede pasar si se explota la debilidad de un sistema. 3 Afectación que sufre la organización en teŕminos de la razón de ser de su negocio. Figura 1. IV-C. Seguridad física NIVEL 3 SEGURIDAD PERIMETRAL La seguridad perimetral hace referencia a la protección que se le brinda a la red interna ante posibles ataques que provengan desde la parte externa, para solventar estos ataques se implementan normalmente los siguientes elementos de seguridad: Firewall VPN 9 4 La política es la directriz general del modelo de seguridad, ésta debe cumplir con un objetivo y debe ser medible. 5 La norma es una directriz particular dentro del modelo de seguridad y se define como un conjunto de reglas específicas para cumplir con una política. 6 Un estándar es un conjunto de pasos para cumplir con una norma y se define como un patrón enfocado principalmente a la parte técnica. 7 Al igual que el estándar, éste define una serie de pasos para cumplir con una norma y no es otra cosa que un listado de instrucciones a seguir para cumplir con un procedimiento (configuración de un equipo, instalación de un software, etc) 8 Circuito cerrado de televisión 9 Virtual path network

4 THIS IS FOR LEFT PAGES 4 IPS 10 IDS 11 NAC 12 Figura 2. Seguridad perimetral Figura 3. hardening de sistema operativo Los perímetros a los cuales se hace referencia en este apartado pueden ser la frontera entre mi red interna y la red externa a este se le llama perímetro exterior. Sin embargo, el perímetro también puede definir una segmentación dentro de mi propia red a este se le llama perímetro interno. En este nivel es necesario realizar pruebas de penetración con el fin de identificar vulnerabilidades, estas pruebas pueden ser intrusivas o no intrusivas. IV-D. NIVEL 4 RED INTERNA En este nivel se deben realizar procedimientos de segmentación de la red a nivel 2 y a nivel 3, esto se logra mediante: vlan ACL Incluye además todo el tema de configuración de equipos activos como: Routers Switches IDS IPS También se deben manejar protocolos seguros con el fin de brindarle seguridad al tráfico de información que pasa por la red, algunos de ellos son: SSH: SFTP TELNET SEGURO SSL: IV-E. FTPS HTTPS NIVEL 5 HOST En este nivel se aplican todos los controles que estén orientados a los usuarios, grupos, filesystem, privilegios, etc, en conclusión, todo en conjunto se conoce como hardening de sistema operativo. 10 Intrusion prevetion system 11 Intrusion detection system 12 Network access control Los controles llevados a cabo en este nivel, se realizan a través de la activación de logs de seguridad, actualización de firmware del hardware del host, entre otros. También es recomendable realizar un escaneo de vulnerabilidades en el host. IV-F. NIVEL 6 APLICACIONES Para establecer controles en el nivel de aplicaciones, se deben establecer políticas de usuarios, roles, privilegios, controles de acceso, firewalls de host (software), IDS de host, entre otros. IV-G. NIVEL 7 DATOS En este nivel se utilizan técnicas de cifrado, las cuales pueden ser: Simétricas Asimétricas Certificados digitales [4] Otra técnica que actualmente está siendo muy utilizada para la protección de datos es el DLP 13, el cual evita la fuga o robo de información a través de medios extraibles. V. ESTADO DEL ARTE El proceso de implementación de modelos de seguridad mediante técnicas de defensa en profundidad a pesar de ser relativamente nuevo, tiene antecedentes muy importantes, algunos de los cuales se mencionarán a continuación: David W. Robinson, implementó un modelo de seguridad basado en técnicas de defensa en profundidad para una universidad, y con este demostró cómo puede variar un modelo de otro dependiendo del lugar en el cual se implemente, ya que cada lugar tiene sus propias particularidades, pero de forma general un modelo de seguridad basado en técnicas de defensa en profundidad abarca todas las capas o niveles que tenga la organización por más grande o pequeña que ésta sea[5]. De la misma manera G Michael Runnels, presenta un modelo de seguridad en el cual se utilizan técnicas de 13 Data lost prevention

5 THIS IS FOR LEFT PAGES 5 defensa en profundidad y se puede ver claramente la importancia de implementar dichos modelos ya que la información se encuentra muy expuesta tanto a ataques internos (en su gran mayoría) como externos, sobre todo cuando la organización cuenta con bastantes usuarios[6]. Para no ir tan lejos un ingeniero Mexicano en el año 2008, presenta un trabajo en el cual busca implementar un modelo de seguridad basado en técnicas de defensa en profundidad, en este trabajo se presentan casos de uso que son muy comunes en nuestras organizaciones y que simplemente pasamos por alto porque pensamos erróneamente que nuestra información solo está expuesta cuando un hacker se interesa por la misma o cuando nos encontramos ejecutando algún tipo de servicio orientado a internet (chat, , etc), el autor nos presenta casos de uso tan cotidianos como: un gusano electrónico activo, un alumno curioso (que bien podria ser un usuario ordinario, dependiendo del tipo de organización) ó un empleado descontento[7]. VI. TRABAJO A FUTURO La propuesta a futuro es implementar un modelo de seguridad de la información basado en técnicas de defensa en profundidad que permita interconectar a través de canales dedicados cifrados y/o vpn, las diferentes escuelas de formación y las diferentes unidades del Ejército que generen proyectos de investigación con el fin de establecer una plataforma virtual para el aprendizaje, entrenamiento, reentrenamiento, investigación y desarrollo de diferentes sistemas que fortalezcan la capacidad técnica y táctica de los hombres y mujeres que conforman el Ejército Nacional de Colombia. José María Córdova, la cual es incalculable en términos monetarios. Jeisson Alexander Hernández Pulido REFERENCIAS [1] Deloitte, Informe Anual de Seguridad en Entidades Financieras, [2] ICONTEC, Tecnología de la Información-Técnicas de seguridad-código para la práctica de la gestión de la seguridad de la información. [3] ar/library/dd aspx, Defensa en profundidad. [4] Ca-trust.pdf. [5] David W. Robinson, Defense In Depth: A Small University Takes Up the Challenge, [6] G Michael Runnels, Implementing Defense in Depth at the University Level, [7] Helios Mier Castillo, Modelo de Seguridad Informática Basado en Defensa en Profundidad para Instituciones Educativas de Nivel Superior, VII. CONCLUSIONES Mediante el diagnóstico de la red de datos del Centro de Investigación y Desarrollo en simulación de la Escuela Militar de Cadetes General José María Córdova, es posible detectar de forma precisa todas las falencias que hacen que ésta red hoy por hoy no garantice la seguridad de la valiosa información que circula por allí. Realizando la adecuación de la red de datos del Centro de Investigación y Desarrollo en simulación de la Escuela Militar de Cadetes General José María Córdova, se puede generar un grado de confianza bastante elevado en cuanto a la segmentación de las redes y los servicios que se encuentran implementados en dicha red. A través de la implementación de un modelo de seguridad basado en técnicas de defensa en profundidad es posible garantizar en un alto grado la confidencialidad, integridad y disponibilidad de la información que circula diariamente por el Centro de Investigación y Desarrollo en simulación de la Escuela Militar de Cadetes General